בדיקה של שירות הפעולות הרגישות

כדי לוודא ששירות הפעולות הרגישות פועל, מפעילים בכוונה את Persistence: project SSH key addedהגלאי ובודקים אם נמצאו ממצאים.

מידע נוסף על שירות הפעולות הרגישות זמין במאמר סקירה כללית על שירות הפעולות הרגישות.

לפני שמתחילים

כדי להשלים את המדריך הזה, אתם צריכים תפקיד בניהול הזהויות והרשאות הגישה (IAM) עם ההרשאות compute.projects.setCommonInstanceMetadata ו-iam.serviceAccounts.actAs בפרויקט שבו תבצעו את הבדיקה, כמו התפקיד אדמין של Compute ‏ (roles/compute.admin).

בדיקה של שירות הפעולות הרגישות

כדי לבדוק את שירות הפעולות הרגישות, מוסיפים מפתח SSH ברמת הפרויקט, שיכול להעניק גישה למפתחות SSH לכל המכונות בפרויקט.

המזהה הזה לא יוצר ממצא אם כבר מוגדר מפתח SSH ברמת הפרויקט. בוחרים פרויקט שעדיין אין בו מפתחות SSH ברמת הפרויקט.

שלב 1: הפעלת גלאי של שירות פעולות רגישות

כדי להפעיל את הגלאי, צריך חשבון למטרות בדיקה. אתם יכולים ליצור חשבון למטרות בדיקה עם כתובת אימייל בדומיין gmail.com או להשתמש בחשבון משתמש קיים בארגון. אתם מוסיפים את חשבון המשתמש למטרות בדיקה לארגון שלכם ומעניקים לו הרשאות מוגזמות.

הוראות נוספות להוספת מפתח SSH ברמת הפרויקט זמינות במאמר איך מוסיפים מפתחות SSH למטא-נתונים של פרויקט. הוראות ליצירת מפתח SSH מופיעות במאמר יצירת מפתחות SSH.

  1. עוברים לדף Compute Engine Metadata במסוף Google Cloud .

    מעבר אל Metadata

  2. לוחצים על הכרטיסייה SSH Keys (מפתחות SSH).

  3. מוודאים שאין כרגע מפתחות SSH שהוגדרו בפרויקט. אם מוגדרים מפתחות SSH, המפתחות הקיימים יוצגו בטבלה והבדיקה לא תפעל. בוחרים פרויקט שאין בו מפתחות SSH קיימים ברמת הפרויקט לבדיקה.

  4. לוחצים על Add SSH Key (הוספת מפתח SSH).

  5. מוסיפים מפתח ציבורי לתיבת הטקסט. פרטים נוספים על יצירת מפתח SSH מפורטים במאמר יצירת מפתחות SSH.

  6. לוחצים על Save.

לאחר מכן, מוודאים שגלאי Persistence: project SSH key added כתב ממצאים.

שלב 2: הצגת הממצא ב-Security Command Center

כדי לבדוק את הממצאים של Sensitive Actions Service במסוף, פועלים לפי השלבים הבאים:

  1. נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .

    כניסה לדף Findings

  2. בוחרים את הפרויקט או הארגון. Google Cloud
  3. בקטע Quick filters, בקטע המשנה Source display name, בוחרים באפשרות Sensitive Actions Service. תוצאות השאילתה של הממצאים מתעדכנות כך שיוצגו רק הממצאים מהמקור הזה.
  4. כדי לראות את הפרטים של ממצא ספציפי, לוחצים על שם הממצא בעמודה קטגוריה. חלונית הפרטים של הממצא תיפתח ותציג את הכרטיסייה סיכום.
  5. בכרטיסייה סיכום, בודקים את פרטי הממצא, כולל מידע על מה שזוהה, המשאב שהושפע, ואם יש – השלבים שאפשר לבצע כדי לתקן את הממצא.
  6. אופציונלי: כדי לראות את הגדרת ה-JSON המלאה של הממצא, לוחצים על הכרטיסייה JSON.

שלב 3: צפייה בממצא ב-Cloud Logging

אפשר לראות רשומות ביומן של פעולות רגישות באמצעות Cloud Logging.

  1. נכנסים אל Logs Explorer במסוף Google Cloud .

    כניסה לדף Logs Explorer

  2. אם צריך, משתמשים בבורר הארגונים בחלק העליון של הדף כדי לעבור לתצוגת הארגון.

  3. משתמשים בחלונית Query כדי ליצור את השאילתה:

    1. ברשימה All resources בוחרים באפשרות sensitiveaction.googleapis.com/Location.
    2. לוחצים על אישור. הטבלה Query results מתעדכנת עם היומנים שבחרתם.

  4. כדי לראות יומן, לוחצים על שורה בטבלה ואז על הרחבת שדות מקוננים.

הסרת המשאבים

כשמסיימים את הבדיקה, מסירים את מפתח ה-SSH ברמת הפרויקט.

  1. עוברים לדף Compute Engine Metadata במסוף Google Cloud .

    מעבר אל Metadata

  2. לוחצים על Edit.

  3. לצד מפתח ה-SSH, לוחצים על מחיקת פריט.

  4. לוחצים על Save.

המאמרים הבאים