重要提醒：

請務必使用桌機/筆電完成這個實作實驗室。

每個實驗室都只有 5 次嘗試機會。

提醒：第一次嘗試時，不一定能全部答對，甚至可能需要重做，這是正常的過程。

實驗室活動開始後，計時器無法暫停。實驗室會在 1 小時 30 分鐘後結束，如果您沒做完，就必須重新開始。

您可查看實驗室技術提示瞭解詳情。

活動總覽

誤判是指威脅偵測出錯而誤發警報，有可能是觸發自真實且正當的使用者活動。調查誤判警告會資安團隊花費大量時間和資源，最後卻發現沒有實際威脅。

在本實驗室中，您將重現產生誤判警告的活動。接著，使用 Security Command Center (SCC) 存取及分析誤判的威脅，並採取行動解決問題。在本實驗室中，您將使用兩個不同的帳戶：一個用於觸發誤判，另一個用於分析及修正誤判。

情境

您的團隊主管晨雅收到一則安全警告，嚴重性為低。這項警告指出，某個擁有廣泛權限的服務帳戶，運用使用者自行管理的金鑰，屬於不安全的金鑰管理行為。經進一步調查後，發現是雲端架構師阿漢不小心觸發了這項警告。阿漢正在測試新的服務帳戶，不小心為測試使用者帳戶建立了金鑰。這項警告已處理完畢，並判定為誤判。

晨雅認為這則警告是很好的誤判範例，於是請您再次進行觸發誤判警告的活動，分析警告後採取補救措施。重現誤判的過程是寶貴的學習經驗，可協助您瞭解警告觸發的原因和方式，以及如何實作有效的安全政策，減少後續誤判警告。

以下說明如何完成這項工作：首先，您要建立服務帳戶、指派角色、提供金鑰並啟用服務帳戶，藉此重現誤判當時的情況。接著，您將使用 Security Command Center (SCC) 存取與觸發活動相關的安全漏洞發現項目。最後，您需採取行動，修正安全漏洞發現項目，並修正誤判。

設定

點選「Start Lab」之前

請詳閱下列操作說明。實驗室活動會計時，中途無法暫停。點選「Start Lab」後就會開始計時，顯示可使用 Google Cloud 資源的時間。

您會在實際雲端環境完成實驗室活動，而非模擬或示範環境。因此，我們會提供新的臨時憑證，讓您在實驗室活動期間登入及存取 Google Cloud。

如要順利完成這個實驗室活動，請先確認：

• 可以使用標準的網路瀏覽器 (Chrome 瀏覽器為佳)。

注意：請使用無痕模式或私密瀏覽視窗執行此實驗室，防止個人帳戶和學生帳戶之間的衝突，避免個人帳戶產生額外費用。

• 該來完成實驗室活動了！別忘了，活動開始後就無法暫停。

注意：如有個人 Google Cloud 帳戶或專案，請勿用於本實驗室，以免產生額外費用。

如何開始實驗室及登入 Google Cloud 控制台

1. 點選「Start Lab」按鈕。左側的「Lab Details」面板會顯示下列項目：

   • 剩餘時間
   • 「Open Google Cloud console」按鈕
   • 這個實驗室中應使用的臨時憑證
   • 完成這個實驗室所需的其他資訊 (如有)
   注意：如果實驗室會產生費用，畫面中會出現選擇付款方式的彈出式視窗。

2. 點選「Open Google Cloud console」；如果使用 Chrome 瀏覽器，也可以按一下滑鼠右鍵，選取「在無痕視窗中開啟連結」。實驗室的「登入」頁面會在新的瀏覽器分頁開啟。

   提示：將分頁安排在不同的視窗並排顯示，方便切換。

   注意：如果顯示「選擇帳戶」對話方塊，請點選「選擇其他帳戶」。

3. 如有需要，請複製下方的 Google Cloud 使用者名稱 1，然後貼到「登入」對話方塊。點選「下一步」。

{{{user_0.username | "Google Cloud username 1"}}}

您也可以在「Lab Details」面板找到 Google Cloud 使用者名稱 1。

4. 複製下方的 Google Cloud 密碼，並貼到「歡迎使用」對話方塊。點選「下一步」。

{{{user_0.password | "Google Cloud password"}}}

在「Lab Details」面板也可以找到 Google Cloud 密碼。

重要事項：請務必使用左側面板中的憑證，別用自己的 Google Cloud 憑證。 注意：使用自己的 Google Cloud 帳戶來進行這個實驗室，可能會產生額外費用。

5. 繼續點選後續頁面：
   • 接受條款及細則。
   • 由於這是臨時帳戶，請勿新增救援選項或雙重驗證機制。
   • 請勿申請免費試用。

Cloud 控制台稍後會在這個分頁中開啟。

注意：點選畫面左上方的導覽選單，可查看 Google Cloud 產品與服務清單。

工作 1：建立服務帳戶

注意：請確認您目前位於 username 1 的 Google Cloud 控制台。

在這項工作中，您將建立服務帳戶，並授予足夠的權限，能在 SCC 中觸發異常的威脅發現項目。

1. 前往 Google Cloud 控制台的導覽選單 ()，依序點選「IAM 與管理」>「服務帳戶」。

2. 在動作列中，點選「+ 建立服務帳戶」。

3. 在「服務帳戶詳細資料」部分：

   • 在「服務帳戶名稱」欄位中，輸入 test-account。

     請注意，系統會自動填入服務帳戶 ID。

   • 按一下「建立並繼續」。

     請注意，系統會顯示「已建立服務帳戶」的彈出式訊息。

4. 在「將專案存取權授予這個服務帳戶」部分，展開「選取角色」下拉式選單，依序選取「基本」和「擁有者」。

5. 依序點選「繼續」和「完成」。

請注意「服務帳戶」清單中列出了 test-account 服務帳戶。

點選「Check my progress」，確認工作已正確完成。 建立服務帳戶

工作 2：為服務帳戶建立 JSON 驗證金鑰

注意：請確認您目前位於 username 1 的 Google Cloud 控制台。

在這項工作中，我們將針對前一項工作建立的新服務帳戶，建立並下載 JSON 驗證金鑰。接著，您將使用 Cloud Shell 將該金鑰上傳至 Google Cloud 帳戶。這會在 SCC 中觸發威脅發現項目。

1. 在「服務帳戶」頁面，點選 test-account 服務帳戶旁的動作圖示 ()，然後依序點選「管理金鑰」。test-account 頁面即會開啟。

2. 在「金鑰」部分，依序點選「新增金鑰」>「建立新的金鑰」。

3. 在「建立私密金鑰」對話方塊中，將「金鑰類型」設為「JSON」。

4. 點選「建立」。

   控制台會提示您將金鑰下載到本機裝置。下載後，您將使用 Cloud Shell 將金鑰上傳至 Google Cloud (學生) 帳戶。

5. 在本機裝置上，前往剛下載的金鑰檔案，並將其重新命名為 test-account。

6. 在 Google Cloud 控制台，點選「啟用 Cloud Shell」圖示 ()。

7. 按一下「繼續」。

   佈建並連線至 Cloud Shell 環境的作業需要一些時間才能完成。

8. 在 Cloud Shell 標題列，依序點選「顯示更多項目」 () >「上傳」>「選擇檔案」。

9. 前往本機選取檔案，然後在「上傳」對話方塊中點按「上傳」。

10. 將下列指令複製到 Cloud Shell 終端機：

    ls

這個指令會列出您剛上傳的金鑰檔案。

11. 按下 Enter 鍵。

在 test-account 頁面的金鑰清單中，您會看到剛建立的金鑰，且金鑰建立日期為當天日期。

點選「Check my progress」，確認工作已正確完成。 為服務帳戶建立 JSON 驗證金鑰

工作 3：觸發誤判發現項目

注意：請確認您目前位於 username 1 的 Google Cloud 控制台。

在這項工作中，您將重新設定 Cloud Shell 環境，改用工作 1 建立的 test-account 服務帳戶。這會在 SCC 中觸發威脅發現項目。接著，您要為實驗室專案指派過多的權限。

1. 將下列指令複製到 Cloud Shell 終端機：

   export PROJECT_ID=$(gcloud info --format='value(config.project)') export SA_NAME="test-account@${PROJECT_ID}.iam.gserviceaccount.com" gcloud auth activate-service-account ${SA_NAME} --key-file=test-account.json

這項指令會啟用新的服務帳戶。

2. 按下 Enter 鍵。

3. 將下列指令複製到 Cloud Shell 終端機：

   gcloud auth list

這個指令會確認您已啟用服務帳戶，且 gcloud 正在使用這個服務帳戶。

4. 按下 Enter 鍵。

   輸出內容如顯示下列資訊，即確認服務帳戶已啟用：

   輸出：

   ACTIVE: * ACCOUNT: test-account@{{{project_0.project_id | "Google Cloud project ID"}}}.iam.gserviceaccount.com

5. 將下列指令複製到 Cloud Shell 終端機：

   export STUDENT2={{{user_1.username | "Google Cloud username 2"}}} gcloud projects add-iam-policy-binding $PROJECT_ID --member user:$STUDENT2 --role roles/editor

這項指令會將編輯者角色授予使用者 2，方便您在下一個工作中存取及修正誤判發現項目。

6. 按下 Enter 鍵。

點選「Check my progress」，確認工作已正確完成。 指派過多權限來觸發威脅偵測

工作 4：以第二位使用者的身分登入

您需使用「Lab Details」面板中提供的第二個使用者帳戶登入 Google Cloud 控制台，完成切換 Google Cloud 帳戶。您將使用這個使用者帳戶完成剩餘工作。

1. 在 Google Cloud 控制台，點選畫面右上角的「使用者」圖示，然後按一下「新增帳戶」。

2. 返回「Lab Details」面板，複製 Google Cloud username 2 和密碼。接著將使用者名稱和密碼貼到 Google Cloud 控制台的登入對話方塊。

工作 5：在 SCC 查看威脅發現項目

注意：請確認您目前位於 username 2 的 Google Cloud 控制台。

在這項工作中，您將找出並檢查 Event Threat Detection 服務所生成的 SCC 發現項目。這項發現是誤判，由您在工作 1 至 3 中產生的活動觸發。

如要在 SCC 中查看 Event Threat Detection 發現項目：

1. 前往導覽選單 ()，依序點選「安全性」>「發現項目」。

2. 在「快速篩選器」窗格中找到「類別」部分，然後選取「使用者自行管理的服務帳戶金鑰」。如有需要，請點按「查看更多」來尋找。

   「發現項目查詢結果」面板會更新，只顯示所選的發現項目類別。

3. 在「發現項目查詢結果」面板中，點按「類別」欄中最新的「使用者自行管理的服務帳戶金鑰」 (請參閱「事件時間」)，即可顯示發現項目的詳細資料。系統會開啟發現項目的詳細資料面板，並顯示「摘要」分頁。

請保持「使用者自行管理的服務帳戶金鑰」頁面開啟，以回答下列問題。

工作 6：修正發現項目

注意：請確認您目前位於 username 2 的 Google Cloud 控制台。

在這項工作中，您將刪除 test-account 服務帳戶的 JSON 驗證金鑰，修正誤判問題。

1. 前往 Google Cloud 控制台的導覽選單 ()，依序點選「IAM 與管理」>「服務帳戶」。

2. 在「服務帳戶」頁面中，點選 test-account 服務帳戶的電子郵件地址。

3. 按一下「金鑰」分頁標籤。

4. 在金鑰清單中，點選刪除服務帳戶金鑰圖示 ()，即可刪除金鑰。系統會顯示彈出式視窗，要求您確認這項操作。按一下「刪除」。

點選「Check my progress」，確認工作已正確完成。 刪除金鑰

結論

做得好！

您已完成這個實驗室中的所有工作！您使用 SCC 調查誤判，並採取行動修正問題。身為雲端資安分析師，您很有可能會遇到誤判警告。瞭解誤判警告的觸發方式和原因，以及如何採取行動修正問題，是至關重要的工作。

關閉實驗室

結束實驗室前，請確認已完成所有工作。如果已確定完成，請依序點選「End Lab」和「Submit」。

關閉實驗室後，就無法進入實驗室環境，也無法再次存取在實驗室完成的工作。

Copyright 2026 Google LLC 保留所有權利。Google 和 Google 標誌是 Google LLC 的商標，其他公司和產品名稱則有可能是其關聯公司的商標。