Persistence: project SSH key added
감지기를 의도적으로 트리거하고 발견 항목을 확인하여 민감한 작업 서비스가 작동하는지 확인합니다.
민감한 작업 서비스에 대한 자세한 내용은 민감한 작업 서비스 개요를 참조하세요.
시작하기 전에
이 가이드를 완료하려면 테스트를 수행할 프로젝트에서 compute.projects.setCommonInstanceMetadata
및 iam.serviceAccounts.actAs
권한이 있는 Identity and Access Management(IAM) 역할이 있어야 합니다(예: Compute 관리자 역할(roles/compute.admin
)).
민감한 작업 서비스 테스트
민감한 작업 서비스를 테스트하려면 프로젝트의 모든 인스턴스에 SSH 키 액세스 권한을 부여할 수 있는 프로젝트 수준 SSH 키를 추가합니다.
이 감지기는 프로젝트에 프로젝트 수준 SSH 키가 이미 설정된 경우 발견 항목을 생성하지 않습니다. 프로젝트 수준 SSH 키가 아직 없는 프로젝트를 선택합니다.
1단계: 민감한 작업 서비스 감지기 트리거
감지기를 트리거하려면 테스트 사용자 계정이 필요합니다. gmail.com 이메일 주소를 사용하여 테스트 사용자 계정을 만들거나 조직의 기존 사용자 계정을 사용할 수 있습니다. 테스트 사용자 계정을 조직에 추가하고 여기에 과도한 권한을 부여합니다.
프로젝트 수준 SSH 키를 추가하는 방법에 대한 안내는 프로젝트 메타데이터에 SSH 키 추가를 참조하세요. SSH 키를 생성하는 방법에 대한 안내는 SSH 키 만들기를 참조하세요.
Google Cloud 콘솔에서 Compute Engine 메타데이터 페이지로 이동합니다.
SSH 키 탭을 클릭합니다.
현재 프로젝트에 설정된 SSH 키가 없는지 확인합니다. SSH 키가 설정되면 테이블에 기존 키가 표시되며 테스트는 작동하지 않습니다. 테스트에 기존 프로젝트 수준 SSH 키가 없는 프로젝트를 선택합니다.
SSH 키 추가를 클릭합니다.
텍스트 상자에 공개 키를 추가합니다. SSH 키를 생성하는 방법에 대한 자세한 내용은 SSH 키 만들기를 참조하세요.
저장을 클릭합니다.
다음으로 Persistence: project SSH key added
감지기로 발견 항목이 기록되었는지 확인합니다.
2단계: Security Command Center에서 발견 항목 보기
콘솔에서 민감한 작업 서비스 발견 항목을 검토하려면 다음 단계를 수행합니다.
Google Cloud 콘솔
- Google Cloud 콘솔에서 Security Command Center의 발견 항목 페이지로 이동합니다.
- Google Cloud 프로젝트 또는 조직을 선택합니다.
- 빠른 필터 섹션의 소스 표시 이름 하위 섹션에서 민감한 작업 서비스를 선택합니다. 이 소스의 발견 항목만 표시되도록 발견 항목 쿼리 결과가 업데이트됩니다.
- 특정 발견 항목의 세부정보를 보려면 카테고리 열에서 발견 항목 이름을 클릭합니다. 발견 항목의 세부정보 패널이 열리고 요약 탭이 표시됩니다.
- 요약 탭에서 감지된 항목, 영향을 받은 리소스, 발견 항목을 해결하기 위해 취할 수 있는 단계(있는 경우)에 관한 정보를 포함하여 발견 항목의 세부정보를 검토합니다.
- 선택사항: 발견 항목의 전체 JSON 정의를 보려면 JSON 탭을 클릭합니다.
Security Operations 콘솔
-
Security Operations 콘솔에서 발견 항목 페이지로 이동합니다.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
CUSTOMER_SUBDOMAIN
을 고객별 식별자로 바꿉니다. - 집계 섹션에서 소스 표시 이름 하위 섹션을 클릭하여 펼칩니다.
- 민감한 작업 서비스를 선택합니다. 이 소스의 발견 항목만 표시되도록 발견 항목 쿼리 결과가 업데이트됩니다.
- 특정 발견 항목의 세부정보를 보려면 카테고리 열에서 발견 항목 이름을 클릭합니다. 발견 항목의 세부정보 패널이 열리고 요약 탭이 표시됩니다.
- 요약 탭에서 감지된 항목, 영향을 받은 리소스, 발견 항목을 해결하기 위해 취할 수 있는 단계(있는 경우)에 관한 정보를 포함하여 발견 항목의 세부정보를 검토합니다.
- 선택사항: 발견 항목의 전체 JSON 정의를 보려면 JSON 탭을 클릭합니다.
3단계: Cloud Logging에서 발견 항목 보기
Cloud Logging을 사용하여 민감한 작업 로그 항목을 볼 수 있습니다.
Google Cloud 콘솔의 로그 탐색기로 이동합니다.
필요한 경우 페이지 상단에서 조직 선택기를 사용하여 조직 보기로 변경합니다.
쿼리 창을 사용하여 쿼리를 빌드합니다.
- 모든 리소스 목록에서 sensitiveaction.googleapis.com/Location을 선택합니다.
- 적용을 클릭합니다. 쿼리 결과 테이블이 선택한 로그로 업데이트됩니다.
로그를 보려면 표 행을 클릭한 다음 중첩된 필드 확장을 클릭합니다.
삭제
테스트를 마치면 프로젝트 수준 SSH 키를 삭제합니다.
Google Cloud 콘솔에서 Compute Engine 메타데이터 페이지로 이동합니다.
수정을 클릭합니다.
SSH 키 옆에 있는
항목 삭제를 클릭합니다.저장을 클릭합니다.
다음 단계
- 민감한 작업 서비스 사용 자세히 알아보기
- 민감한 작업 서비스 개념의 대략적인 개요 읽기
- 위협에 대한 대응 계획을 조사하고 개발하는 방법 알아보기