重要提示：

请务必仅在桌面设备/笔记本电脑上完成此实操实验。

每个实验仅允许尝试 5 次。

温馨提示：第一次尝试时，您可能无法答对所有问题，甚至可能需要重做任务，请不必担心，这都是学习过程的一部分。

实验一旦开始，计时器就无法暂停。1 小时 30 分钟后，实验将结束，您需要重新开始。

如需了解详情，请阅读实验技术提示。

活动概览

误报是指系统错误地检测到威胁存在的提醒。误报可能由真实且合法的用户活动触发。安全团队可能会耗费大量时间和资源调查误报提醒，最终却发现并不存在真实威胁。

在本实验中，您将重现生成误报提醒的活动。然后，您将使用 Security Command Center (SCC) 访问并分析误报威胁，并采取措施加以处理。在本实验中，您将使用两个不同的账号：一个账号用于触发误报，另一个账号用于分析和修正该误报。

场景

您的团队负责人 Chloe 收到了一条低严重性的安全提醒。该提醒指出，一个拥有广泛权限的服务账号通过用户管理的密钥使用了不安全的密钥管理方式。经过进一步调查发现，是云架构师 Hank 无意中触发了该提醒。Hank 在测试一个新的服务账号时，不小心为测试用户账号创建了密钥。此提醒最终被确认为误报，并已关闭。

Chloe 认为这是一个非常典型的误报提醒案例。Chloe 已委托您重现触发该误报提醒的活动。您将分析该提醒并进行修正。通过重现该误报，您将获得一次宝贵的学习机会。这将帮助您了解该误报提醒的触发方式和原因，以及如何通过实施有效的安全政策来减少此类误报提醒。

下面是任务的具体步骤：首先，您将创建一个服务账号，分配角色、提供密钥，并激活该服务账号，以重现误报。然后，您将使用 Security Command Center (SCC) 查看与该活动相关的漏洞发现结果。最后，您将对漏洞发现结果和误报分别采取修正措施。

设置

点击“开始实验”之前

请阅读以下说明。实验是计时的，并且您无法暂停实验。计时器在您点击开始实验后即开始计时，显示 Google Cloud 资源可供您使用多长时间。

此实操实验可让您在真实的云环境中开展活动，免受模拟或演示环境的限制。为此，我们会向您提供新的临时凭据，您可以在该实验的规定时间内通过此凭据登录和访问 Google Cloud。

为完成此实验，您需要：

• 能够使用标准的互联网浏览器（建议使用 Chrome 浏览器）。

注意：请使用无痕模式或无痕浏览器窗口运行此实验。这可以避免您的个人账号与学生账号之间发生冲突，这种冲突可能导致您的个人账号产生额外费用。

• 完成实验的时间 - 请注意，实验开始后无法暂停。

注意：如果您已有自己的个人 Google Cloud 账号或项目，请不要在此实验中使用，以避免您的账号产生额外的费用。

如何开始实验并登录 Google Cloud 控制台

1. 点击开始实验按钮。左侧是实验详细信息面板，其中包含以下各项：

   • 剩余时间
   • 打开 Google Cloud 控制台按钮
   • 进行该实验时必须使用的临时凭证
   • 帮助您逐步完成本实验所需的其他信息（如果需要）
   注意：如果该实验需要付费，系统会打开一个弹出式窗口供您选择支付方式。

2. 如果您使用的是 Chrome 浏览器，点击打开 Google Cloud 控制台（或右键点击并选择在无痕式窗口中打开链接）。系统会在新的浏览器标签页中打开登录页面。

   提示：您可以将这些标签页分别放在不同的窗口中，并排显示，以便轻松切换。

   注意：如果您看到选择账号对话框，请点击使用其他账号。

3. 如有必要，请复制下方的 Google Cloud 用户名，然后将其粘贴到登录对话框中。点击下一步。

{{{user_0.username | "Google Cloud 用户名 1"}}}

您也可以在实验详细信息面板中找到 Google Cloud 用户名。

4. 复制下面的 Google Cloud 密码，然后将其粘贴到欢迎对话框中。点击下一步。

{{{user_0.password | "Google Cloud password"}}}

您也可以在实验详细信息面板中找到 Google Cloud 密码。

重要提示：您必须使用左侧面板中的凭证。请勿使用您的 Google Cloud 账号凭证。 注意：在本实验中使用您自己的 Google Cloud 账号可能会产生额外费用。

5. 依次点击后续页面，完成以下步骤：
   • 接受条款及条件
   • 由于这是临时账号，请勿添加账号恢复选项或双重验证
   • 请勿用其注册免费试用服务

片刻之后，系统会在此标签页中打开 Google Cloud 控制台。

注意：您可以点击左上角的导航菜单来查看列有 Google Cloud 产品和服务的菜单。

任务 1.创建服务账号

注意：请确保您当前使用的是用户名 1：Google Cloud 控制台。

在本任务中，您将创建一个服务账号，并为其授予足够的权限，以便在 SCC 中触发异常威胁发现结果。

1. 在 Google Cloud 控制台中的导航菜单 () 中，依次点击 IAM 和管理 > 服务账号。

2. 在操作栏中，点击+ 创建服务账号。

3. 在服务账号详细信息部分：

   • 在服务账号名称字段中输入 test-account。

     注意，服务账号 ID 会自动填充。

   • 点击创建并继续。

     注意，系统将弹出“服务账号已创建”的提示消息。

4. 在为此服务账号授予项目访问权限部分，展开选择角色下拉菜单，选择基本，然后选择所有者。

5. 点击继续，然后点击完成。

注意，在服务账号列表中，确认已列出 test-account 服务账号。

点击检查我的进度，验证您是否正确完成了本任务。 创建服务账号

任务 2.为您的服务账号创建 JSON 身份验证密钥：

注意：请确保您当前使用的是用户名 1：Google Cloud 控制台。

在本任务中，您将为上一个任务中创建的新服务账号生成并下载一个 JSON 身份验证密钥。随后，您将使用 Cloud Shell 将该密钥上传到您的 Google Cloud 账号。这将在 SCC 中触发一个威胁发现结果。

1. 在服务账号页面中，定位到 test-account 服务账号所在行，点击操作 () > 管理密钥。此时将打开 test-account 页面。

2. 在密钥部分，点击添加密钥 > 创建新密钥。

3. 在弹出的创建私钥对话框中，将密钥类型设置为 JSON。

4. 点击创建。

   控制台会提示您将密钥下载到本地设备。下载完成后，您将使用 Cloud Shell 将该密钥上传至您的 Google Cloud（学生）账号。

5. 在本地设备中，找到您刚刚下载的密钥文件，并将其重命名为 test-account。

6. 在 Google Cloud 控制台中，点击“激活 Cloud Shell” () 图标。

7. 点击继续。

   系统将开始预配并连接到 Cloud Shell 环境，通常只需片刻。

8. 在 Cloud Shell 窗口顶部的标题栏中，依次点击更多 () > 上传 > 选择文件。

9. 找到并选择您本地设备上的密钥文件，然后在上传对话框中点击上传。

10. 将以下命令复制到 Cloud Shell 终端中：

    ls

该命令会列出您刚刚上传的密钥文件。

11. 按 Enter 键。

返回 test-account 页面，在密钥列表中，您将看到刚刚创建的密钥，密钥创建日期为当前日期。

点击检查我的进度，验证您是否正确完成了本任务。 为您的服务账号创建一个 JSON 身份验证密钥

任务 3.触发误报发现结果

注意：请确保您当前使用的是用户名 1：Google Cloud 控制台。

在本任务中，您将重新配置 Cloud Shell 环境，以使用在任务 1 中创建的新 test-account 服务账号。这将在 SCC 中触发一次威胁发现结果。随后，您将为实验项目分配过高权限。

1. 将以下命令复制到 Cloud Shell 终端中：

   export PROJECT_ID=$(gcloud info --format='value(config.project)') export SA_NAME="test-account@${PROJECT_ID}.iam.gserviceaccount.com" gcloud auth activate-service-account ${SA_NAME} --key-file=test-account.json

此命令用于激活新的服务账号。

2. 按 Enter 键。

3. 将以下命令复制到 Cloud Shell 终端中：

   gcloud auth list

此命令用于确认您已成功激活服务账号，并且 gcloud 当前正在使用该服务账号。

4. 按 Enter 键。

   输出内容中显示以下信息，表明服务账号已处于活跃状态：

   输出：

   ACTIVE: * ACCOUNT: test-account@{{{project_0.project_id | "Google Cloud project ID"}}}.iam.gserviceaccount.com

5. 将以下命令复制到 Cloud Shell 终端中：

   export STUDENT2={{{user_1.username | "Google Cloud username 2"}}} gcloud projects add-iam-policy-binding $PROJECT_ID --member user:$STUDENT2 --role roles/editor

此命令将为用户 2 授予 Editor 角色，以便您在下一个任务中访问并修正误报发现结果。

6. 按 Enter 键。

点击检查我的进度，验证您是否正确完成了本任务。 分配过高权限以触发威胁检测

任务 4.以第二位用户的身份登录

您需要使用实验详细信息面板中提供的第二个用户账号登录 Google Cloud 控制台，以切换当前 Google Cloud 账号。接下来的所有任务都将通过该用户账号完成。

1. 在 Google Cloud 控制台中，点击屏幕右上角的用户图标，然后点击添加账号。

2. 返回实验详细信息面板，复制 Google Cloud 用户名 2：和密码。然后，将用户名和密码粘贴到 Google Cloud 控制台的登录对话框中。

任务 5.在 SCC 中查看威胁发现结果

注意：请确保您使用的是 username 2: Google Cloud 控制台。

在本任务中，您将找到并查看由 Event Threat Detection 服务生成的 SCC 发现结果。该发现结果是由任务 1–3 中的操作所触发的一个误报。

若要在 SCC 中查看 Event Threat Detection 的发现结果，请执行以下操作：

1. 在导航菜单 () 中，依次点击安全 > 发现结果。

2. 在快速过滤条件窗格中，找到类别部分，然后选择用户管理的服务账号密钥。如有必要，请点击查看更多找到它。

   此操作将刷新发现结果查询结果面板，仅显示已选择的发现结果类别。

3. 在发现结果查询结果面板中，点击类别列中最新的（请参阅事件时间）用户管理的服务账号密钥，以显示发现结果的详细信息。系统将打开该发现结果的详细信息面板，并展示摘要标签页。

请保持用户管理的服务账号密钥页面处于打开状态，便于回答后续问题。

任务 6.修正发现结果

注意：请确保您使用的是 username 2: Google Cloud 控制台。

在本任务中，您将通过删除 test-account 服务账号的 JSON 身份验证密钥，来修正此前触发的误报。

1. 在 Google Cloud 控制台的导航菜单 () 中，依次点击 IAM 和管理 > 服务账号。

2. 在服务账号页面中，点击 test-account 服务账号的电子邮件地址。

3. 点击密钥标签页。

4. 在密钥列表中，点击删除服务账号密钥 () 图标以删除该密钥。一个弹出式窗口将出现，提示您确认该操作。点击删除。

点击检查我的进度，验证您是否正确完成了本任务。 删除密钥

总结

太棒了！

您已完成本实验！您使用 SCC 调查了一个误报，并采取措施修正了误报。作为云安全分析师，您在实际工作中很可能会遇到误报提醒。了解误报提醒的触发方式和原因，以及如何采取措施进行修正，这一点非常重要。

结束实验

在结束实验之前，请确保您已完成所有任务。准备就绪后，点击结束实验，然后点击提交。

结束实验后，您将无法再访问实验环境，也无法再访问您在其中完成的工作成果。

版权所有 2026 Google LLC 保留所有权利。Google 和 Google 徽标是 Google LLC 的商标。其他所有公司名称和产品名称可能是其各自相关公司的商标。