測試 Event Threat Detection

刻意觸發 IAM 異常授予偵測工具,並檢查發現項目,確認 Event Threat Detection 正常運作。

Event Threat Detection 是一項內建服務,可監控貴機構的 Cloud Logging 和 Google Workspace 記錄串流,並近乎即時地偵測威脅。詳情請參閱「Event Threat Detection 總覽」。

事前準備

如要查看 Event Threat Detection 發現項目,必須在 Security Command Center 的「服務」設定中啟用這項服務。

如要完成本指南,您必須具備含有 resourcemanager.projects.setIamPolicy 權限的 Identity and Access Management (IAM) 角色,例如專案 IAM 管理員角色。

測試 Event Threat Detection

如要測試 Event Threat Detection,請建立測試使用者、授予權限,然後在 Google Cloud 控制台和 Cloud Logging 中查看發現項目。

步驟 1:建立測試使用者

如要觸發偵測器,您需要擁有 gmail.com 電子郵件地址的測試使用者。您可以建立 gmail.com 帳戶,然後授予該帳戶存取權,以便在要執行測試的專案中進行測試。請確保這個 gmail.com 帳戶在要執行測試的專案中,尚未擁有任何 IAM 權限。

步驟 2:觸發 IAM 異常授予偵測工具

邀請 gmail.com 電子郵件地址擔任專案擁有者角色,觸發 IAM 異常授予偵測工具。

  1. 前往Google Cloud 控制台的「IAM & Admin」(IAM 與管理) 頁面。
    前往「IAM 與管理」頁面
  2. 在「IAM 與管理」頁面,按一下「新增」
  3. 在「新增主體」視窗的「新主體」下方,輸入測試使用者的 gmail.com 地址。
  4. 在「請選擇角色」下方,選取「專案」>「擁有者」
  5. 按一下 [儲存]

接著,請確認 IAM 異常授權偵測工具是否已寫入發現項目。

步驟 3:在 Security Command Center 中查看發現項目

如要在 Security Command Center 中查看 Event Threat Detection 發現項目:

  1. 前往 Google Cloud 控制台的 Security Command Center「發現項目」頁面。

    前往「發現項目」

  2. 在「快速篩選器」面板的「類別」部分,選取「Persistence: IAM anomalous grant」。如有需要,請點按「查看更多」來尋找。「發現項目查詢結果」面板會更新,只顯示所選的發現項目類別。

  3. 如要排序「發現項目查詢結果」面板中的清單,請按一下「事件時間」欄標題,讓最新的發現項目顯示在最上方。

  4. 在「發現項目查詢結果」面板中,點按「類別」欄中的「Persistence: IAM Anomalous Grant」,即可顯示發現項目的詳細資料。系統會開啟發現項目的詳細資料面板,並顯示「摘要」分頁。

  5. 請注意「主體電子郵件地址」這一列的值。這應該是您授予擁有權的 testgmail.com 電子郵件地址。

如果沒有與測試用 gmail.com 帳戶相符的發現項目,請檢查 Event Threat Detection 設定。

步驟 4:在 Cloud Logging 中查看發現項目

如果您已啟用將發現項目記錄至 Cloud Logging 的功能,可以在該處查看發現項目。只有在組織層級啟用 Security Command Center Premium,才能在 Cloud Logging 中查看記錄發現項目。

  1. 前往 Google Cloud 控制台的「Logs Explorer」頁面。

    前往 Logs Explorer

  2. 選取儲存事件威脅偵測記錄的 Google Cloud 專案。

  3. 使用「Query」(查詢) 窗格,透過下列其中一種方式建構查詢:

    • 在「所有資源」清單中,執行下列操作:
      1. 選取「威脅偵測器」,即可顯示所有偵測器的清單。
      2. 在「DETECTOR_NAME」下方,選取「iam_anomalous_grant」
      3. 按一下 [套用]。「查詢結果」表格會更新為您選取的記錄。

    • 在查詢編輯器中輸入下列查詢,然後點選「執行查詢」

      resource.type="threat_detector"

      「Query results」(查詢結果) 表格會更新為您選取的記錄。

  4. 如要查看記錄,請點選表格列,然後按一下「展開巢狀欄位」

如果沒有看到 IAM 異常授權規則的調查結果,請檢查事件威脅偵測設定。

清除所用資源

測試完成後,請從專案中移除測試使用者。

  1. 前往Google Cloud 控制台的「IAM & Admin」(IAM 與管理) 頁面。
    前往「IAM 與管理」頁面
  2. 在測試使用者的 gmail.com 地址旁,按一下「編輯」
  3. 在顯示的「編輯權限」面板中,按一下測試使用者獲授的所有角色「刪除」
  4. 按一下 [儲存]

後續步驟