Menguji Event Threat Detection

Verifikasi bahwa Event Threat Detection berfungsi dengan sengaja memicu detektor IAM Anomalous Grant dan memeriksa temuan.

Event Threat Detection adalah layanan bawaan yang memantau aliran logging Cloud Logging dan Google Workspace organisasi Anda serta mendeteksi ancaman secara hampir real time. Untuk mempelajari lebih lanjut, baca Ringkasan Event Threat Detection.

Sebelum memulai

Untuk melihat temuan Event Threat Detection, layanan harus diaktifkan di setelan Layanan Security Command Center.

Untuk menyelesaikan panduan ini, Anda harus memiliki peran Identity and Access Management (IAM) dengan izin resourcemanager.projects.setIamPolicy, seperti peran Project IAM Admin.

Menguji Event Threat Detection

Untuk menguji Event Threat Detection, Anda membuat pengguna uji coba, memberikan izin, lalu melihat temuan di Google Cloud konsol dan di Cloud Logging.

Langkah 1: Membuat pengguna uji coba

Untuk memicu detektor, Anda memerlukan pengguna uji coba dengan alamat email gmail.com. Anda dapat membuat akun gmail.com, lalu memberikan akses ke project tempat Anda ingin melakukan pengujian. Pastikan akun gmail.com ini belum memiliki izin IAM apa pun di project tempat Anda melakukan pengujian.

Langkah 2: Memicu pendeteksi Pemberian IAM yang Anomali

Picu detektor Pemberian Izin IAM yang Anomali dengan mengundang alamat email gmail.com ke peran Project Owner.

1. Buka halaman IAM & Admin di Google Cloud konsol.
   Buka halaman IAM & Admin
2. Di halaman IAM & Admin, klik Add.
3. Di jendela Add principals, di bagian New principals, masukkan alamat gmail.com pengguna pengujian.
4. Di bagian Select a role, pilih Project > Owner.
5. Klik Simpan.

Selanjutnya, Anda memverifikasi bahwa detektor IAM Anomalous Grant telah menulis temuan.

Langkah 3: Melihat temuan di Security Command Center

Untuk melihat temuan Event Threat Detection di Security Command Center:

1. Buka halaman Temuan Security Command Center di konsol Google Cloud .

   Buka Temuan

2. Di bagian Category pada panel Quick filters, pilih Persistence: IAM anomalous grant. Jika perlu, klik Lihat lainnya untuk menemukannya. Panel Findings query results diperbarui untuk menampilkan hanya kategori temuan yang dipilih.

3. Untuk mengurutkan daftar di panel Findings query results, klik header kolom Event time sehingga temuan terbaru ditampilkan terlebih dahulu.

4. Di panel Findings query results, tampilkan detail temuan dengan mengklik Persistence: IAM Anomalous Grant di kolom Category. Panel detail untuk temuan akan terbuka dan menampilkan tab Summary.

5. Periksa nilai pada baris Principal email. Alamat email tersebut harus berupa alamat email test gmail.com yang Anda berikan kepemilikannya.

Jika temuan yang cocok dengan akun gmail.com pengujian Anda tidak muncul, verifikasi setelan Deteksi Ancaman Acara Anda.

Langkah 4: Melihat temuan di Cloud Logging

Jika Anda mengaktifkan logging temuan ke Cloud Logging, Anda dapat melihat temuan di sana. Melihat logging temuan di Cloud Logging hanya tersedia jika Anda mengaktifkan Security Command Center Premium di tingkat organisasi.

1. Buka Logs Explorer di konsol Google Cloud .

   Buka Logs Explorer

2. Pilih Google Cloud project tempat Anda menyimpan log Event Threat Detection.

3. Gunakan panel Query untuk membuat kueri dengan salah satu cara berikut:

   • Dalam daftar Semua resource, lakukan hal berikut:
     1. Pilih Detektor Ancaman untuk menampilkan daftar semua detektor.
     2. Di bagian DETECTOR_NAME, pilih iam_anomalous_grant.
     3. Klik Terapkan. Tabel Hasil kueri diperbarui dengan log yang Anda pilih.

   • Masukkan kueri berikut di editor kueri, lalu klik Run query:

     resource.type="threat_detector"

     Tabel Hasil kueri diperbarui dengan log yang Anda pilih.

4. Untuk melihat log, klik baris tabel, lalu klik Luaskan kolom bertingkat.

Jika Anda tidak melihat temuan untuk aturan Pemberian Izin IAM yang Tidak Normal, verifikasi setelan Event Threat Detection Anda.

Pembersihan

Setelah Anda selesai menguji, hapus pengguna uji coba dari project.

1. Buka halaman IAM & Admin di Google Cloud konsol.
   Buka halaman IAM & Admin
2. Di samping alamat gmail.com pengguna pengujian, klik Edit.
3. Di panel Edit izin yang muncul, klik Hapus untuk semua peran yang diberikan kepada pengguna uji coba.
4. Klik Simpan.

Langkah berikutnya

• Pelajari lebih lanjut cara menggunakan Event Threat Detection.
• Baca ringkasan tingkat tinggi tentang konsep Event Threat Detection.
• Pelajari cara menyelidiki dan menyusun rencana respons terhadap ancaman.