通过有意触发 Persistence: project SSH key added 检测器并检查发现结果,验证敏感操作服务是否正常运行。
如需详细了解敏感操作服务,请参阅敏感操作服务概览。
准备工作
为完成本指南,您必须拥有 Identity and Access Management (IAM) 角色以及要执行测试的项目中的 compute.projects.setCommonInstanceMetadata 和 iam.serviceAccounts.actAs 权限,例如 Compute Admin 角色 (roles/compute.admin)。
测试 Sensitive Actions Service
如需测试敏感操作服务,您可以添加项目级 SSH 密钥,这可能会授予对项目中所有实例的 SSH 密钥访问权限。
如果项目上已设置项目级 SSH 密钥,此检测器不会生成发现结果。选择一个尚无任何项目级 SSH 密钥的项目。
第 1 步:触发敏感操作服务检测器
如需触发检测器,您需要一个测试用户账号。您可以创建具有 gmail.com 电子邮件地址的测试用户账号,也可以使用组织中的现有用户账号。您将测试用户账号添加到组织,并向其授予过多的权限。
如需详细了解如何添加项目级 SSH 密钥,请参阅将 SSH 密钥添加到项目元数据中。 如需了解如何生成 SSH 密钥,请参阅创建 SSH 密钥。
在 Google Cloud 控制台中,前往 Compute Engine 元数据页面。
点击 SSH 密钥标签页。
验证项目上当前未设置任何 SSH 密钥。如果已设置 SSH 密钥,您将在表格中看到现有密钥,并且测试将无法正常运行。 选择一个没有现有项目级 SSH 密钥的项目进行测试。
点击添加 SSH 密钥。
将公钥添加到文本框中。如需详细了解如何生成 SSH 密钥,请参阅创建 SSH 密钥。
点击保存。
接下来,验证 Persistence: project SSH key added 检测器是否已写入发现结果。
第 2 步:在 Security Command Center 中查看发现结果
如需在控制台中查看敏感操作服务发现结果,请按照以下步骤操作:
标准或优质
- 在 Google Cloud 控制台中,前往 Security Command Center 的发现结果页面。
- 选择您的 Google Cloud 项目或组织。
- 在快速过滤条件部分的来源显示名称子部分中,选择敏感操作服务。发现结果查询结果已更新,仅显示来自此来源的发现结果。
- 如需查看特定发现结果的详细信息,请点击类别列中的发现结果名称。 系统会打开发现结果的详细信息面板,并显示摘要标签页。
- 在摘要标签页上,查看发现结果的详细信息,包括有关检测到的内容、受影响的资源的信息,以及您可以采取的修复该发现结果的步骤(如果有)。
- 可选:如需查看发现结果的完整 JSON 定义,请点击 JSON 标签页。
企业
- 在 Google Cloud 控制台中,前往 Security Command Center 的发现结果页面。
- 选择您的 Google Cloud 组织。
- 在汇总部分中,点击以展开来源显示名称子部分。
- 选择敏感操作服务。发现结果查询结果已更新,仅显示来自此来源的发现结果。
- 如需查看特定发现结果的详情,请点击类别列中的发现结果名称。 系统会打开发现结果的详细信息面板,并显示摘要标签页。
- 在摘要标签页上,查看发现结果的详细信息,包括有关检测到的内容、受影响的资源的信息,以及您可以采取的修复该发现结果的步骤(如果有)。
- 可选:如需查看发现结果的完整 JSON 定义,请点击 JSON 标签页。
第 3 步:在 Cloud Logging 中查看发现结果
您可以使用 Cloud Logging 查看敏感操作日志条目。
在 Google Cloud 控制台中前往 Logs Explorer。
如有需要,请使用页面顶部的组织选择器切换到组织视图。
使用查询窗格构建查询:
- 在所有资源列表中,选择 sensitiveaction.googleapis.com/Location。
- 点击应用。查询结果表将根据您选择的日志进行更新。
要查看日志,请点击表行,然后点击展开嵌套字段。
清理
完成测试后,移除项目级 SSH 密钥。
在 Google Cloud 控制台中,前往 Compute Engine 元数据页面。
点击修改。
点击 SSH 密钥旁边的删除项目。
点击保存。
后续步骤
- 详细了解如何使用敏感操作服务。
- 阅读敏感操作服务概念的简要概览。
- 了解如何调查和制定威胁响应方案。