測試 Event Threat Detection

請刻意觸發 IAM 異常授權偵測工具，並檢查是否有發現項目，確認 Event Threat Detection 正常運作。

Event Threat Detection 是 Security Command Center Premium 層級的內建服務，可監控貴機構的 Cloud Logging 和 Google Workspace 記錄串流，並近乎即時地偵測威脅。詳情請參閱「Event Threat Detection 總覽」。

事前準備

如要查看 Event Threat Detection 發現結果，必須在 Security Command Center 的「服務」設定中啟用這項服務。

如要完成本指南，您必須具備含有 resourcemanager.projects.setIamPolicy 權限的 Identity and Access Management (IAM) 角色，例如專案 IAM 管理員角色。

測試 Event Threat Detection

如要測試 Event Threat Detection，請建立測試使用者、授予權限，然後在 Google Cloud 控制台和 Cloud Logging 中查看調查結果。

步驟 1：建立測試使用者

如要觸發偵測器，您需要使用 gmail.com 電子郵件地址的測試使用者。 您可以建立 gmail.com 帳戶，然後授予該帳戶存取權，以便在要進行測試的專案中執行測試。請確認這個 gmail.com 帳戶在執行測試的專案中，沒有任何身分與存取權管理權限。

步驟 2：觸發 IAM 異常授權偵測工具

邀請 gmail.com 電子郵件地址擔任專案擁有者角色，觸發 IAM 異常授予行為偵測器。

1. 前往Google Cloud 控制台的「IAM & Admin」(IAM 與管理) 頁面。
   前往「IAM & Admin」(IAM 與管理) 頁面
2. 在「IAM & Admin」(IAM 與管理) 頁面上，按一下「Add」(新增)。
3. 在「新增主體」視窗的「新增主體」下方，輸入測試使用者的 gmail.com 地址。
4. 在「請選擇角色」下方，選取「專案」>「擁有者」。
5. 按一下 [儲存]。

接著，請確認 IAM 異常授權偵測器是否已寫入發現項目。

步驟 3：在 Security Command Center 中查看發現項目

如要在 Security Command Center 中查看 Event Threat Detection 發現結果，請按照下列步驟操作：

1. 在 Google Cloud 控制台中，前往 Security Command Center 的「發現項目」頁面。

   前往「發現項目」

2. 在「快速篩選器」面板的「類別」部分，選取「持續性：IAM 異常授權」。如有需要，請按一下「查看更多」 尋找該項目。「發現項目查詢結果」面板會更新，只顯示所選的發現項目類別。

3. 如要在「發現項目查詢結果」面板中排序清單，請按一下「事件時間」欄標題，讓最近的發現項目顯示在最前面。

4. 在「發現項目查詢結果」面板中，按一下「類別」欄中的「Persistence: IAM Anomalous Grant」(持續性：IAM 異常授權)，即可顯示發現項目的詳細資料。系統會開啟發現項目的詳細資料面板，並顯示「摘要」分頁。

5. 檢查「主要電子郵件」列的值。這應該是您授予擁有權的 testgmail.com 電子郵件地址。

如果沒有與測試 gmail.com 帳戶相符的發現項目，請檢查事件威脅偵測設定。

步驟 4：在 Cloud Logging 中查看結果

如果您已啟用將發現項目記錄至 Cloud Logging 的功能，就能在該處查看發現項目。如要在 Cloud Logging 中查看記錄發現項目，您必須在機構層級啟用 Security Command Center 進階方案。

1. 前往 Google Cloud 控制台的「Logs Explorer」頁面。

   前往記錄檔探索工具

2. 選取儲存事件威脅偵測記錄的 Google Cloud 專案。

3. 使用「Query」(查詢) 窗格，透過下列其中一種方式建構查詢：

   • 在「所有資源」清單中執行下列操作：
     1. 選取「威脅偵測工具」，即可顯示所有偵測工具的清單。
     2. 在「DETECTOR_NAME」下方，選取「iam_anomalous_grant」。
     3. 按一下 [套用]。「Query results」(查詢結果) 表格會更新為您選取的記錄。

   • 在查詢編輯器中輸入下列查詢，然後點選「執行查詢」：

     resource.type="threat_detector"

     「Query results」(查詢結果) 表格會更新為您選取的記錄。

4. 如要查看記錄，請點選表格列，然後按一下「Expand nested fields」(展開巢狀欄位)。

如果沒有看到 IAM 異常授權規則的調查結果，請檢查事件威脅偵測設定。

清除所用資源

測試完成後，請從專案中移除測試使用者。

1. 前往Google Cloud 控制台的「IAM & Admin」(IAM 與管理) 頁面。
   前往「IAM & Admin」(IAM 與管理) 頁面
2. 在測試使用者的 gmail.com 地址旁，按一下「編輯」。
3. 在顯示的「編輯權限」面板中，按一下測試使用者獲授的所有角色「刪除」。
4. 按一下 [儲存]。

後續步驟

• 進一步瞭解如何使用 Event Threat Detection。
• 閱讀 Event Threat Detection 概念的整體總覽。
• 瞭解如何調查及制定威脅因應計畫。