Sensitive Actions Service testen

Prüfen Sie, ob der Dienst für vertrauliche Aktionen funktioniert, indem Sie absichtlich den Persistence: project SSH key added-Detektor auslösen und nach Ergebnissen suchen.

Weitere Informationen zum Sensitive Actions Service finden Sie in der Übersicht zum Sensitive Actions Service.

Hinweise

Sie können diese Anleitung nur ausführen, wenn Sie eine IAM-Rolle (Identity and Access Management) mit den Berechtigungen compute.projects.setCommonInstanceMetadata und iam.serviceAccounts.actAs im Projekt haben, in dem Sie den Test ausführen, z. B. die Rolle „Compute-Administrator“ (roles/compute.admin).

Sensitive Actions Service testen

Wenn Sie den Dienst für vertrauliche Aktionen testen möchten, fügen Sie einen SSH-Schlüssel auf Projektebene hinzu, der möglicherweise SSH-Schlüsselzugriff auf alle Instanzen im Projekt gewährt.

Dieser Detector generiert kein Ergebnis, wenn bereits ein SSH-Schlüssel auf Projektebene für das Projekt festgelegt ist. Wählen Sie ein Projekt aus, für das noch keine SSH-Schlüssel auf Projektebene vorhanden sind.

Schritt 1: Sensitive Actions Service-Detektor auslösen

Um den Detektor auszulösen, benötigen Sie ein Testnutzerkonto. Sie können ein Testnutzerkonto mit einer @gmail.com-E‑Mail-Adresse erstellen oder ein vorhandenes Nutzerkonto in Ihrer Organisation verwenden. Sie fügen das Testnutzerkonto Ihrer Organisation hinzu und gewähren ihm übermäßige Berechtigungen.

Weitere Informationen zum Hinzufügen des SSH-Schlüssels auf Projektebene finden Sie unter SSH-Schlüssel zu Projektmetadaten hinzufügen. Eine Anleitung zum Generieren eines SSH-Schlüssels finden Sie unter SSH-Schlüssel erstellen.

  1. Rufen Sie in der Google Cloud Console die Seite Compute Engine-Metadaten auf.

    Zur Seite "Metadaten"

  2. Klicken Sie auf den Tab SSH-Schlüssel.

  3. Prüfen Sie, ob derzeit SSH-Schlüssel für das Projekt festgelegt sind. Wenn SSH-Schlüssel festgelegt sind, werden die vorhandenen Schlüssel in einer Tabelle angezeigt und der Test funktioniert nicht. Wählen Sie ein Projekt aus, für das keine projektweiten SSH-Schlüssel für den Test vorhanden sind.

  4. Klicken Sie auf SSH-Schlüssel hinzufügen.

  5. Fügen Sie einen öffentlichen Schlüssel in das Textfeld ein. Weitere Informationen zum Generieren eines SSH-Schlüssels finden Sie unter SSH-Schlüssel erstellen.

  6. Klicken Sie auf Speichern.

Als Nächstes prüfen Sie, ob der Persistence: project SSH key added-Detektor Ergebnisse geschrieben hat.

Schritt 2: Ergebnis in Security Command Center ansehen

So prüfen Sie die Ergebnisse des Sensitive Actions Service in der Console:

Standard oder Premium

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

    Zu Ergebnissen

  2. Wählen Sie Ihr Google Cloud Projekt oder Ihre Organisation aus.
  3. Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option Sensitive Actions Service aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
  4. Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um die Details eines bestimmten Ergebnisses aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
  5. Sehen Sie sich auf dem Tab Zusammenfassung die Details des Ergebnisses an, einschließlich Informationen dazu, was erkannt wurde, welche Ressource betroffen ist und – falls verfügbar – welche Schritte Sie unternehmen können, um das Problem zu beheben.
  6. Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.

Unternehmen

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

    Zu Ergebnissen in der Enterprise-Version

  2. Wählen Sie Ihre Google Cloud Organisation aus.
  3. Klicken Sie im Abschnitt Aggregationen, um den Unterabschnitt Anzeigename der Quelle zu maximieren.
  4. Wählen Sie Sensitive Actions Service aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
  5. Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um die Details eines bestimmten Ergebnisses aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
  6. Sehen Sie sich auf dem Tab Zusammenfassung die Details des Ergebnisses an, einschließlich Informationen dazu, was erkannt wurde, welche Ressource betroffen ist und – falls verfügbar – welche Schritte Sie unternehmen können, um das Problem zu beheben.
  7. Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.

Schritt 3: Ergebnis in Cloud Logging anzeigen

Sie können Logeinträge zu vertraulichen Aktionen mit Cloud Logging aufrufen.

  1. Rufen Sie in der Google Cloud Console den Log-Explorer auf.

    Zum Log-Explorer

  2. Wechseln Sie bei Bedarf mit der Organisationsauswahl oben auf der Seite zur Organisationsansicht.

  3. Erstellen Sie Ihre Abfrage im Bereich Abfrage:

    1. Wählen Sie in der Liste Alle Ressourcen die Option sensitiveaction.googleapis.com/Location aus.
    2. Klicken Sie auf Übernehmen. Die Tabelle Abfrageergebnisse wird mit den ausgewählten Logs aktualisiert.

  4. Zum Aufrufen eines Logs klicken Sie auf eine Tabellenzeile und dann auf Verschachtelte Felder erweitern.

Bereinigen

Wenn Sie mit den Tests fertig sind, entfernen Sie den SSH-Schlüssel auf Projektebene.

  1. Rufen Sie in der Google Cloud Console die Seite Compute Engine-Metadaten auf.

    Zur Seite "Metadaten"

  2. Klicken Sie auf Bearbeiten.

  3. Klicken Sie neben dem SSH-Schlüssel auf Element löschen.

  4. Klicken Sie auf Speichern.

Nächste Schritte