Tester Event Threat Detection

Vérifiez que Event Threat Detection fonctionne en déclenchant intentionnellement le détecteur d'octroi anormal d'autorisations IAM et en vérifiant les résultats.

Event Threat Detection est un service intégré pour le niveau Premium de Security Command Center qui surveille les flux de journalisation Cloud Logging et Google Workspace de votre organisation et détecte les menaces presque en temps réel. Pour en savoir plus, consultez la présentation d'Event Threat Detection.

Avant de commencer

Pour afficher les résultats d'Event Threat Detection, le service doit être activé dans les paramètres Services de Security Command Center.

Pour suivre ce guide, vous devez disposer d'un rôle IAM (Identity and Access Management) disposant de l'autorisation resourcemanager.projects.setIamPolicy, tel que le rôle Administrateur de projet IAM.

Tester Event Threat Detection

Pour tester Event Threat Detection, vous devez créer un utilisateur test, lui accorder des autorisations, puis afficher le résultat dans la console Google Cloud et dans Cloud Logging.

Étape 1 : Créer un utilisateur test

Pour déclencher le détecteur, vous avez besoin d'un utilisateur test disposant d'une adresse e-mail gmail.com. Vous pouvez créer un compte gmail.com, puis lui accorder l'accès au projet dans lequel vous souhaitez effectuer le test. Assurez-vous que ce compte gmail.com ne dispose pas déjà d'autorisations IAM dans le projet dans lequel vous effectuez le test.

Étape 2 : Déclencher le détecteur d'octroi anormal d'autorisations IAM

Déclenchez le détecteur d'octroi anormal d'autorisations IAM en invitant l'adresse e-mail gmail.com au rôle de propriétaire du projet.

1. Accédez à la page IAM et administration de la console Google Cloud.
   Accéder à la page "IAM et administration"
2. Sur la page IAM et administration, cliquez sur Ajouter.
3. Dans la fenêtre Ajouter des comptes principaux, sous Nouveaux comptes principaux, saisissez l'adresse gmail.com de l'utilisateur test.
4. Sous Sélectionner un rôle, sélectionnez Projet > Propriétaire.
5. Cliquez sur Enregistrer.

Ensuite, vérifiez que le détecteur d'octroi anormal d'autorisations IAM a généré un résultat.

Étape 3 : Afficher le résultat dans Security Command Center

Pour afficher le résultat de Event Threat Detection dans Security Command Center:

1. Accédez à la page Résultats de Security Command Center dans Google Cloud Console.

   Accéder

2. Dans la section Catégorie du panneau Filtres rapides, sélectionnez Persistance: autorisation anormale IAM. Si nécessaire, cliquez sur Afficher plus pour le trouver. Le panneau Résultats de la requête de résultats est mis à jour pour n'afficher que la catégorie de résultats sélectionnée.

3. Pour trier la liste dans le panneau Résultats de la requête de résultats, cliquez sur l'en-tête de colonne Heure de l'événement afin que le résultat le plus récent s'affiche en premier.

4. Dans le panneau Résultats de la requête de résultats, affichez les détails du résultat en cliquant sur Persistance: octroi anormal d'autorisations IAM dans la colonne Catégorie. Le panneau d'informations du résultat s'ouvre et affiche l'onglet Résumé.

5. Vérifiez la valeur de la ligne Adresse e-mail principale. Il doit s'agir de l'adresse e-mail gmail.com test à laquelle vous avez accordé la propriété.

Si aucun résultat ne correspond à votre compte test gmail.com, vérifiez vos paramètres Event Threat Detection.

Étape 4 : Afficher les résultats dans Cloud Logging

Si vous avez activé la journalisation des résultats dans Cloud Logging, vous pouvez accéder aux résultats dans cette application. L'affichage des résultats de journalisation dans Cloud Logging n'est disponible que si vous activez le niveau Premium de Security Command Center au niveau de l'organisation.

1. Accédez à l'explorateur de journaux dans la console Google Cloud.

   Accéder à l'explorateur de journaux

2. Dans le sélecteur de projet en haut de la page, sélectionnez le projet dans lequel vous stockez vos journaux Event Threat Detection.

3. Cliquez sur l'onglet Générateur de requêtes.

4. Dans la liste déroulante Ressources, sélectionnez Détecteur de menaces.

5. Sous Nom du détecteur, sélectionnez iam_anomalous_grant, puis cliquez sur Ajouter. La requête apparaît dans la zone de texte du générateur de requêtes.

6. Vous pouvez également saisir la requête suivante dans la zone de texte :

   resource.type="threat_detector" resource.labels.detector_name="iam_anomalous_grant"

7. Cliquez sur Exécuter la requête (Run Query). La table Résultats de la requête est mise à jour avec les journaux que vous avez sélectionnés.

8. Pour afficher un journal, cliquez sur une ligne du tableau, puis sur Développer les champs imbriqués.

Si aucun résultat ne s'affiche pour la règle Octroi anormal d'autorisations IAM, vérifiez vos paramètres Event Threat Detection.

Effectuer un nettoyage

Lorsque vous avez terminé les tests, supprimez l'utilisateur test du projet.

1. Accédez à la page IAM et administration de la console Google Cloud.
   Accéder à la page "IAM et administration"
2. À côté de l'adresse gmail.com de l'utilisateur test, cliquez sur Modifier.
3. Dans le panneau Modifier les autorisations qui s'affiche, cliquez sur Supprimer pour tous les rôles attribués à l'utilisateur test.
4. Cliquez sur Enregistrer.

Étape suivante

• Découvrez comment utiliser Event Threat Detection.
• Lisez une présentation générale des concepts d'Event Threat Detection.
• Découvrez comment examiner et développer des plans d'intervention sur les menaces.