Vérifiez que le service Actions sensibles fonctionne en déclenchant intentionnellement le détecteur Persistence: project SSH key added et en vérifiant les résultats.
Pour en savoir plus sur le service Actions sensibles, consultez la présentation du service Actions sensibles.
Avant de commencer
Pour suivre ce guide, vous devez disposer d'un rôle Identity and Access Management (IAM) avec les autorisations compute.projects.setCommonInstanceMetadata et iam.serviceAccounts.actAs dans le projet dans lequel vous effectuerez le test, tel que le rôle Administrateur Compute (roles/compute.admin).
Tester le service d'actions sensibles
Pour tester le service Actions sensibles, vous devez ajouter une clé SSH au niveau du projet, ce qui peut accorder l'accès à toutes les instances du projet.
Ce détecteur ne génère pas de résultat si une clé SSH au niveau du projet est déjà définie dans le projet. Choisissez un projet qui ne possède pas encore de clés SSH au niveau du projet.
Étape 1 : Déclencher un détecteur du service Actions sensibles
Pour déclencher le détecteur, vous avez besoin d'un compte utilisateur test. Vous pouvez créer un compte utilisateur de test avec une adresse e-mail @gmail.com ou utiliser un compte utilisateur existant dans votre organisation. Ajoutez le compte utilisateur de test à votre organisation et accordez-lui des autorisations excessives.
Pour savoir comment ajouter la clé SSH au niveau du projet, consultez Ajouter des clés SSH aux métadonnées de projet. Pour savoir comment générer une clé SSH, consultez Créer des clés SSH.
Accédez à la page Métadonnées Compute Engine dans la console Google Cloud .
Cliquez sur l'onglet Clés SSH.
Vérifiez qu'aucune clé SSH n'est actuellement définie dans le projet. Si des clés SSH sont définies, vous les verrez dans un tableau et le test ne fonctionnera pas. Choisissez un projet qui ne comporte aucune clé SSH au niveau du projet pour le test.
Cliquez sur Ajouter une clé SSH.
Ajoutez une clé publique dans la zone de texte. Pour en savoir plus sur la génération d'une clé SSH, consultez Créer des clés SSH.
Cliquez sur Enregistrer.
Ensuite, vérifiez que le détecteur Persistence: project SSH key added a écrit des résultats.
Étape 2 : Afficher le résultat dans Security Command Center
Pour examiner les résultats du service Actions sensibles dans la console, procédez comme suit :
Standard ou Premium
- Dans la console Google Cloud , accédez à la page Résultats de Security Command Center.
- Sélectionnez votre projet Google Cloud ou votre organisation.
- Dans la sous-section Nom à afficher pour la source de la section Filtres rapides, sélectionnez Service Actions sensibles. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats provenant de cette source.
- Pour afficher les détails d'un résultat spécifique, cliquez sur son nom dans la colonne Catégorie. Le panneau de détails du résultat s'ouvre et affiche l'onglet Résumé.
- Dans l'onglet Récapitulatif, examinez les détails du résultat, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les étapes à suivre pour corriger le résultat.
- Facultatif : Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.
Entreprise
- Dans la console Google Cloud , accédez à la page Résultats de Security Command Center.
- Sélectionnez votre Google Cloud organisation.
- Dans la section Aggregations (Agrégations), cliquez pour développer la sous-section Source Display Name (Nom à afficher de la source).
- Sélectionnez Service d'actions sensibles. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats provenant de cette source.
- Pour afficher les détails d'un résultat spécifique, cliquez sur son nom dans la colonne Catégorie. Le panneau de détails du résultat s'ouvre et affiche l'onglet Résumé.
- Dans l'onglet Récapitulatif, examinez les détails du résultat, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les étapes à suivre pour corriger le résultat.
- Facultatif : Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.
Étape 3 : Afficher les résultats dans Cloud Logging
Vous pouvez afficher les entrées de journal des actions sensibles à l'aide de Cloud Logging.
Accédez à l'explorateur de journaux dans la console Google Cloud .
Si nécessaire, passez à la vue de l'organisation à l'aide du sélecteur d'organisation en haut de la page.
Utilisez le volet Requête pour créer votre requête :
- Dans la liste Toutes les ressources, sélectionnez sensitiveaction.googleapis.com/Location.
- Cliquez sur Appliquer. La table Résultats de la requête est mise à jour avec les journaux que vous avez sélectionnés.
Pour afficher un journal, cliquez sur une ligne du tableau, puis sur Développer les champs imbriqués.
Effectuer un nettoyage
Une fois les tests terminés, supprimez la clé SSH au niveau du projet.
Accédez à la page Métadonnées Compute Engine dans la console Google Cloud .
Cliquez sur Modifier.
Cliquez sur Supprimer l'élément à côté de la clé SSH.
Cliquez sur Enregistrer.
Étapes suivantes
- En savoir plus sur l'utilisation du service Actions sensibles
- Lisez une présentation générale des concepts du service Actions sensibles.
- Découvrez comment examiner et développer des plans d'intervention sur les menaces.