Probar Event Threat Detection

Verifica que Event Threat Detection funcione y active intencionalmente el detector de Otorgamiento anómalo de IAM y controle los resultados.

Event Threat Detection es un servicio integrado que supervisa las transmisiones de registros de Cloud Logging y Google Workspace de tu organización, y detecta amenazas casi en tiempo real. Para obtener más información, consulta Descripción general de Event Threat Detection.

Antes de comenzar

Para ver los resultados de Event Threat Detection, el servicio debe estar habilitado en Security Command Center Servicios configuración.

Para completar esta guía, debes tener una función de Identity and Access Management (IAM) con el permiso resourcemanager.projects.setIamPolicy, como la función de administrador de IAM del proyecto.

Probar Event Threat Detection

Para probar Event Threat Detection, crea un usuario de prueba, otorga permisos y, luego, visualiza los resultados en la Google Cloud console y en Cloud Logging.

Paso 1: Crea un usuario de prueba

Para activar el detector, necesitarás un usuario de prueba con una dirección de correo electrónico de gmail.com. Puedes crear una cuenta de gmail.com y otorgarle acceso al proyecto en el que deseas realizar la prueba. Asegúrate de que esta cuenta de gmail.com no tenga permisos de IAM en el proyecto en el que realizas la prueba.

Paso 2: Activa el detector de otorgamiento de IAM anómalo

Activa el detector de Otorgamiento anómalo de IAM invitando la dirección de correo electrónico de gmail.com a la función de Propietario del proyecto.

1. Ve a la página IAM y administración en la Google Cloud consola.
   Ir a la página IAM y administración
2. En la página IAM y administración, haz clic en Agregar.
3. En la ventana Agregar principales, en Principales nuevas, ingresa la dirección gmail.com del usuario de prueba.
4. En Seleccionar una función, selecciona Proyecto > Propietario.
5. Haga clic en Save.

A continuación, verifica que el detector de otorgamiento de otorgamiento de IAM, tenga resultados escritos.

Paso 3: Visualiza los hallazgos en Security Command Center

Para ver el hallazgo de Event Threat Detection en Security Command Center:

1. Ve a la página Resultados de Security Command Center en la Google Cloud console.

   Ir a hallazgos

2. En la sección Categoría del panel Filtros rápidos, selecciona Persistencia: Otorgamiento anómalo de IAM. Si es necesario, haz clic en Ver más para encontrarla. El panel Resultados de la consulta se actualiza para mostrar solo la categoría de hallazgo seleccionada.

3. Para ordenar la lista en el panel Resultados de la consulta, haz clic en el encabezado de la columna Hora del evento para que aparezca primero el hallazgo más reciente.

4. En el panel Resultados de la consulta, haz clic en Persistencia: Otorgamiento anómalo de IAM en la columna Categoría para mostrar los detalles del resultado. Se abre el panel de detalles para el hallazgo y se muestra la pestaña Resumen.

5. Comprueba el valor en la fila Correo electrónico principal. Debe ser la dirección de correo electrónico de prueba de gmail.com para la que le otorgaste la propiedad.

Si un resultado no coincide con tu cuenta de gmail.com de prueba, verifica tu configuración de Event Threat Detection.

Paso 4: Visualiza el hallazgo en Cloud Logging

Si habilitaste el registro de hallazgos en Cloud Logging, puedes verlos allí. La visualización de los resultados de los registros en Cloud Logging solo está disponible si activas el nivel Premium de Security Command Center a nivel de la organización.

1. Ve al Explorador de registros en la Google Cloud console.

   Ir al Explorador de registros

2. Selecciona el Google Cloud proyecto en el que almacenas los registros de Event Threat Detection.

3. Usa el panel Consulta para compilar tu consulta de una de las siguientes maneras:

   • En la lista Todos los recursos, haz lo siguiente:
     1. Selecciona Threat Detector para mostrar una lista de todos los detectores.
     2. En DETECTOR_NAME, selecciona iam_anomalous_grant.
     3. Haz clic en Aplicar. La tabla Resultados de la consulta se actualiza con los registros que seleccionaste.

   • Ingresa la siguiente consulta en el editor de consultas y haz clic en Ejecutar consulta:

     resource.type="threat_detector"

     La tabla Resultados de la consulta se actualiza con los registros que seleccionaste.

4. Para ver un registro, haz clic en una fila de la tabla y, luego, en Expandir campos anidados.

Si no ves un resultado para la regla de otorgamiento anómalo de IAM, verifica la configuración de detección de amenazas de eventos.

Limpia

Cuando finalices la prueba, quita el usuario de prueba del proyecto.

1. Ve a la página IAM y administración en la Google Cloud consola.
   Ir a la página IAM y administración
2. Junto a la dirección de gmail.com del usuario de prueba, haz clic en Editar.
3. En el panel permiso de edición que aparece, haz clic en Borrar para todas las funciones otorgadas al usuario de prueba.
4. Haga clic en Save.

¿Qué sigue?

• Obtén más información para usar Event Threat Detection.
• Lee una descripción general de alto nivel de los conceptos de Event Threat Detection.
• Obtén información para investigar y desarrollar planes de respuesta a las amenazas.