Verifica che il servizio Azioni sensibili funzioni attivando intenzionalmente il rilevatore Persistence: project SSH key added e controllando se sono presenti risultati.
Per saperne di più sul servizio Azioni sensibili, consulta la panoramica del servizio Azioni sensibili.
Prima di iniziare
Per completare questa guida, devi disporre di un ruolo Identity and Access Management (IAM) con le autorizzazioni compute.projects.setCommonInstanceMetadata e iam.serviceAccounts.actAs nel progetto in cui eseguirai il test, ad esempio il ruolo Amministratore Compute (roles/compute.admin).
Test del servizio Azioni sensibili
Per testare il servizio Azioni sensibili, aggiungi una chiave SSH a livello di progetto, che potrebbe concedere l'accesso tramite chiave SSH a tutte le istanze del progetto.
Questo rilevatore non genera un risultato se nel progetto è già impostata una chiave SSH a livello di progetto. Scegli un progetto che non abbia già chiavi SSH a livello di progetto.
Passaggio 1: attivare un rilevatore del servizio Azioni sensibili
Per attivare il rilevatore, devi disporre di un account utente di test. Puoi creare un account utente di test con un indirizzo email gmail.com o utilizzare un account utente esistente nella tua organizzazione. Aggiungi l'account utente di test alla tua organizzazione e concedigli autorizzazioni eccessive.
Per ulteriori istruzioni su come aggiungere la chiave SSH a livello di progetto, consulta Aggiungere chiavi SSH ai metadati del progetto. Per istruzioni su come generare una chiave SSH, consulta Creare chiavi SSH.
Vai alla pagina Metadati di Compute Engine nella Google Cloud console.
Fai clic sulla scheda Chiavi SSH.
Verifica che al momento non siano impostate chiavi SSH nel progetto. Se sono impostate chiavi SSH, le vedrai in una tabella e il test non funzionerà. Scegli un progetto che non abbia chiavi SSH a livello di progetto esistenti per il test.
Fai clic su Aggiungi chiave SSH.
Aggiungi una chiave pubblica nella casella di testo. Per maggiori dettagli su come generare una chiave SSH, consulta Creare chiavi SSH.
Fai clic su Salva.
Adesso verifica che il rilevatore Persistence: project SSH key added abbia scritto i risultati.
Passaggio 2: visualizzare il risultato in Security Command Center
Per esaminare i risultati del servizio Azioni sensibili nella console:
-
Nella Google Cloud console, vai alla pagina Risultati di Security Command Center.
- Seleziona il tuo Google Cloud progetto o la tua organizzazione.
- Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato origine, seleziona Servizio Azioni sensibili. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo i risultati da questa origine.
- Per visualizzare i dettagli di un risultato specifico, fai clic sul nome del risultato nella colonna Categoria. Si apre il riquadro dei dettagli del risultato e viene visualizzata la scheda Riepilogo.
- Nella scheda Riepilogo , esamina i dettagli del risultato, incluse le informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi eseguire per correggere il risultato.
- (Facoltativo) Per visualizzare la definizione JSON completa del risultato, fai clic sulla scheda JSON.
Passaggio 3: visualizzare il risultato in Cloud Logging
Puoi visualizzare le voci di log delle azioni sensibili utilizzando Cloud Logging.
Vai a Esplora log nella Google Cloud console.
Se necessario, passa alla visualizzazione dell'organizzazione utilizzando il selettore dell'organizzazione nella parte superiore della pagina.
Utilizza il riquadro Query per creare la query:
- Nell'elenco Tutte le risorse, seleziona sensitiveaction.googleapis.com/Location.
- Fai clic su Applica. La tabella Risultati della query viene aggiornata con i log selezionati.
Per visualizzare un log, fai clic su una riga della tabella e poi su Espandi campi nidificati.
Libera spazio
Al termine del test, rimuovi la chiave SSH a livello di progetto.
Vai alla pagina Metadati di Compute Engine nella Google Cloud console.
Fai clic su Modifica.
Fai clic su Elimina elemento accanto alla chiave SSH.
Fai clic su Salva.
Passaggi successivi
- Scopri di più su ll'utilizzo del servizio Azioni sensibili.
- Leggi una panoramica di alto livello dei concetti del servizio Azioni sensibili.
- Scopri come esaminare e sviluppare piani di risposta alle minacce.