請刻意觸發 Persistence: project SSH key added 偵測工具並檢查發現項目,確認敏感操作服務是否正常運作。
如要進一步瞭解 Sensitive Actions Service 服務,請參閱「Sensitive Actions Service 總覽」。
事前準備
如要完成本指南,您必須在執行測試的專案中,具備含有 compute.projects.setCommonInstanceMetadata 和 iam.serviceAccounts.actAs 權限的 Identity and Access Management (IAM) 角色,例如 Compute 管理員角色 (roles/compute.admin)。
測試敏感動作服務
如要測試敏感動作服務,請新增專案層級的安全殼層金鑰,這可能會授予專案中所有執行個體的安全殼層金鑰存取權。
如果專案已設定專案層級 SSH 金鑰,這項偵測器就不會產生結果。請選擇尚未設定任何專案層級 SSH 金鑰的專案。
步驟 1:觸發「敏感動作服務」偵測器
如要觸發偵測器,您需要測試使用者帳戶。您可以建立 gmail.com 電子郵件地址的測試使用者帳戶,或使用貴機構現有的使用者帳戶。將測試使用者帳戶新增至貴機構,並授予過多的權限。
如需如何新增專案層級安全殼層金鑰的詳細操作說明,請參閱「將安全殼層金鑰新增至專案中繼資料」。如需產生 SSH 金鑰的操作說明,請參閱「建立 SSH 金鑰」。
前往 Google Cloud 控制台的「Compute Engine Metadata」(Compute Engine 中繼資料) 頁面。
按一下「SSH Keys」分頁標籤。
確認專案目前未設定任何 SSH 金鑰。如果已設定 SSH 金鑰,表格中會顯示現有金鑰,且測試無法運作。 選擇沒有任何現有專案層級 SSH 金鑰的專案,以進行測試。
按一下「新增安全殼層金鑰」。
在文字方塊中新增公開金鑰。如要進一步瞭解如何產生安全殼層金鑰,請參閱「建立安全殼層金鑰」。
按一下 [儲存]。
接著,請確認 Persistence: project SSH key added 偵測工具是否已寫入調查結果。
步驟 2:在 Security Command Center 中查看發現項目
如要在控制台中查看「敏感動作服務」的調查結果,請按照下列步驟操作:
-
前往 Google Cloud 控制台的 Security Command Center「發現項目」頁面。
- 選取 Google Cloud 專案或機構。
- 在「快速篩選器」部分的「來源顯示名稱」子部分中,選取「Sensitive Actions Service」。發現項目查詢結果會更新,只顯示來自這個來源的發現項目。
- 如要查看特定發現項目的詳細資料,請按一下「類別」欄中的發現項目名稱。 系統會開啟發現項目的詳細資料面板,並顯示「摘要」分頁。
- 在「摘要」分頁中,查看發現項目的詳細資料,包括偵測到的內容、受影響的資源,以及 (如適用) 可採取哪些步驟來修正發現項目。
- 選用:如要查看發現項目的完整 JSON 定義,請按一下「JSON」分頁。
步驟 3:在 Cloud Logging 中查看發現項目
您可以使用 Cloud Logging 查看敏感操作記錄項目。
前往 Google Cloud 控制台的「Logs Explorer」頁面。
如有需要,請使用頁面頂端的機構選取器,切換至機構檢視畫面。
使用「查詢」窗格建構查詢:
- 在「所有資源」清單中,選取「sensitiveaction.googleapis.com/Location」。
- 按一下 [套用]。「查詢結果」表格會更新為您選取的記錄。
如要查看記錄,請點選表格列,然後按一下「展開巢狀欄位」。
清除所用資源
測試完成後,請移除專案層級的 SSH 金鑰。
前往 Google Cloud 控制台的「Compute Engine Metadata」(Compute Engine 中繼資料) 頁面。
按一下 [編輯]。
按一下 SSH 金鑰旁的「刪除項目」。
按一下 [儲存]。
後續步驟
- 進一步瞭解如何使用敏感操作服務。
- 閱讀敏感動作服務概念的概略總覽。
- 瞭解如何調查及制定威脅應變計畫。