GSP1125

總覽

Event Threat Detection 是 Security Command Center (SCC) 的整合服務，可監控 Google Cloud 記錄檔，找出可疑活動的模式。

Container Threat Detection 是 SCC 的另一項整合式服務。這項服務可持續監控 GKE 工作節點。偵測到可疑事件時，會進行分析，確認是否應視為事件。

在本實驗室中，您將實際演練 SCC 的威脅偵測功能，並瞭解如何調查及分類與事件和虛擬機器相關的常見安全漏洞。您將瞭解如何運用 SCC 的 Event Threat Detection 功能，找出及管理發現項目。

目標

在本實驗室中，您將瞭解如何執行下列工作：

• 使用 Event Threat Detection 發起及緩解威脅。
• 設定雲端環境來偵測威脅。
• 使用 Event Threat Detection 管理 SCC 發現項目。

事前準備

開始本實驗室前，建議您先熟悉下列項目：

• 雲端運算概念。
• Google Cloud 控制台。
• Security Command Center 介面。
• 容器和 Google Kubernetes Engine (建議使用，但非必要)。

設定和需求

瞭解以下事項後，再點選「Start Lab」按鈕

請詳閱以下操作說明。實驗室活動會計時，且中途無法暫停。點選「Start Lab」後就會開始計時，顯示可使用 Google Cloud 資源的時間。

您將在真正的雲端環境完成實作實驗室活動，而不是模擬或示範環境。為此，我們會提供新的暫時憑證，供您在實驗室活動期間登入及存取 Google Cloud。

為了順利完成這個實驗室，請先確認：

• 可以使用標準的網際網路瀏覽器 (Chrome 瀏覽器為佳)。

注意事項：請使用無痕模式 (建議選項) 或私密瀏覽視窗執行此實驗室，這可以防止個人帳戶和學員帳戶之間的衝突，避免個人帳戶產生額外費用。

• 是時候完成實驗室活動了！別忘了，活動一旦開始將無法暫停。

注意事項：務必使用實驗室專用的學員帳戶。如果使用其他 Google Cloud 帳戶，可能會產生額外費用。

如何開始研究室及登入 Google Cloud 控制台

1. 點選「Start Lab」按鈕。如果實驗室會產生費用，畫面上會出現選擇付款方式的對話方塊。左側的「Lab Details」窗格會顯示下列項目：

   • 「Open Google Cloud console」按鈕
   • 剩餘時間
   • 必須在這個研究室中使用的臨時憑證
   • 完成這個實驗室所需的其他資訊 (如有)

2. 點選「Open Google Cloud console」；如果使用 Chrome 瀏覽器，也能按一下滑鼠右鍵，選取「在無痕視窗中開啟連結」。

   接著，實驗室會啟動相關資源，並開啟另一個分頁，顯示「登入」頁面。

   提示：您可以在不同的視窗中並排開啟分頁。

   注意：如果頁面中顯示「選擇帳戶」對話方塊，請點選「使用其他帳戶」。

3. 如有必要，請將下方的 Username 貼到「登入」對話方塊。

   {{{user_0.username | "Username"}}}

   您也可以在「Lab Details」窗格找到 Username。

4. 點選「下一步」。

5. 複製下方的 Password，並貼到「歡迎使用」對話方塊。

   {{{user_0.password | "Password"}}}

   您也可以在「Lab Details」窗格找到 Password。

6. 點選「下一步」。

   重要事項：請務必使用實驗室提供的憑證，而非自己的 Google Cloud 帳戶憑證。 注意：如果使用自己的 Google Cloud 帳戶來進行這個實驗室，可能會產生額外費用。

7. 按過後續的所有頁面：

   • 接受條款及細則。
   • 由於這是臨時帳戶，請勿新增救援選項或雙重驗證機制。
   • 請勿申請免費試用。

Google Cloud 控制台稍後會在這個分頁開啟。

注意：如要使用 Google Cloud 產品和服務，請點選「導覽選單」，或在「搜尋」欄位輸入服務或產品名稱。

情境

Cymbal Bank 是美國的零售銀行，在全美 50 州共有超過 2,000 家分行。該銀行提供全方位的金融卡與信用卡服務，且服務建構於完善的付款平台上。Cymbal Bank 正在對舊式的金融服務機構進行數位轉型。

Cymbal Bank 於 1920 年以 Troxler 之名成立。Cymbal Group 持續投注大量資源打造專屬 ATM，隨後於 1975 年收購 Troxler 公司。隨著該銀行躍身為全國業界龍頭，他們將策略重點放在翻新各分行的現場客戶體驗，以及 2014 年推出的應用程式數位體驗。Cymbal Bank 在全國各地有 42,000 名員工，2019 年營收為 $240 億美元。

身為 Cymbal Bank 的 Cloud Security Engineer，您的工作是探索並實作完善的安全性措施，運用 Security Command Center 的 Event and Container Threat Detection 功能，保護 Google Cloud 資源。整合這些服務後，就能確保事件導向架構和容器化應用程式獲得即時監控、迅速找出異常狀況，並主動管理安全漏洞。

啟用 Security Command Center API

1. 點按 Google Cloud 控制台左上角的「導覽選單」。

2. 從下拉式選單中選取「API 和服務」，然後按一下「已啟用的 API 和服務」。

3. 點按「+ 啟用 API 和服務」

4. 在搜尋框中搜尋 Security Command Center API。

5. 依序點按「Security Command Center API」和「啟用」

工作 1：使用 Event Threat Detection 發起及緩解威脅

您在 Cymbal Bank 擔任 Cloud Security Engineer 的第一項工作，是使用 Event Threat Detection 找出不符規定的帳戶威脅並加以緩解。

SCC 的 Event Threat Detection 服務會監控 Google Cloud 記錄檔中回報的可疑活動，偵測出許多威脅。其中一項活動可能是將機密角色委派給外部使用者，例如擁有與公司網域無關的 gmail.com 帳戶的不知名使用者。

如果入侵者成功存取 GCP 組織並想建立持續性，就可能發生這種情況。為此，駭客會將機密角色授予自己的 @gmail.com 帳戶。

這項委派作業會模擬建立持續性。如果駭客不小心取得系統的暫時存取權，他們需要建立持續性，並取得更穩定的帳戶存取權。

1. 前往 Google Cloud 控制台的「導覽選單」()，依序選取「IAM 與管理」>「身分與存取權管理」。

2. 按下「授予存取權」按鈕。

3. 在「新增主體」欄位中，輸入示範電子郵件地址 demouser1@gmail.com。

4. 在「角色」欄位中，選取「BigQuery」>「BigQuery 管理員」，然後點按「儲存」。

5. 開啟「導覽選單」()，依序選取「安全性」>「Security Command Center」>「發現項目」。

6. 將「時間範圍」下拉式選單變更為「過去 6 小時」。

您應該會看到三個發現項目，其中兩個與您剛授予的存取權有關：

• 「非組織身分與存取權管理成員」
• 「持續性：身分與存取權管理異常授權」

7. 點按「非組織身分與存取權管理成員」發現項目，然後向下捲動，查看該發現項目說明中的「來源顯示名稱」。

8. 確認顯示名稱設為 Security Health Analytics，這是 SCC 服務，用於偵測 Google Cloud 專案中的錯誤設定。

9. 關閉含有發現項目的視窗。

10. 點按另一個發現項目「持續性：身分與存取權管理異常授權」，然後向下捲動，查看該發現項目說明中的「來源顯示名稱」。

11. 請確認顯示名稱設為 Event Threat Detection，這是 SCC 服務，用於偵測 Google Cloud 專案中的錯誤設定。

12. 捲動至視窗頂端，然後選取「來源屬性」分頁標籤。

13. 在這個分頁中，展開「Properties」>「sensitiveRoleGrant」欄位。

14. 以下是這個發現項目最重要的特性：

• principalEmail：執行可疑動作的使用者
• bindingDetails：角色資訊，以及被授予此角色的使用者
• members：獲得權限的使用者

15. 關閉「發現項目」視窗。

16. 前往「導覽選單」()，依序選取「IAM 與管理」>「身分與存取權管理」。

17. 選取 demouser1@gmail.com 主體旁的核取方塊，然後按一下「移除存取權」按鈕。

18. 按一下「確認」。

19. 開啟「導覽選單」()，依序選取「安全性」>「Security Command Center」>「發現項目」。

請注意，「非組織身分與存取權管理成員」發現項目已從發現項目清單中消失。這是因為安全狀態分析服務已檢查 IAM 政策的更新設定，並停用這個發現項目。

注意：如果清單中仍顯示這個發現項目，請重新整理瀏覽器分頁。

「持續性：身分與存取權管理異常授權」發現項目的狀態未變更。這個狀態是由 ETD 服務啟用，無法自動停用。您已調查這個發現項目，並確定 gmail.com 網域的使用者無法存取您的專案。

點按「Check my progress」，確認目標已達成。 使用 Event Threat Detection 發起及緩解威脅

注意：如果這項工作的得分低於 20 分，請在右側的「查核點」欄中，點按幾次「Check my progress」按鈕。

工作 2：設定雲端環境來偵測威脅

您已調查並檢查不符規定的帳戶，現在需要設定 Cymbal 的環境，即可透過記錄功能偵測服務帳戶威脅。

Google Cloud 中許多記錄檔預設為啟用狀態，但如要偵測特定威脅，則需啟用額外的資料存取權記錄檔。在本練習中，您將調查服務帳戶自我調查威脅。

在這個情境中，惡意行為人利用虛擬機器上的軟體漏洞，取得預設服務帳戶的存取權 (該帳戶用於建立執行個體)。行為人想瞭解在 Google Cloud 環境中可以採取哪些行動。為了檢查權限，行為人會呼叫 projects.getIamPolicy 方法。SCC 應能偵測到記錄檔中的可疑活動並回報。

如要讓 SCC 偵測到這類活動，您需要啟用 Resource Manager 管理員讀取記錄。

1. 在 Cloud 控制台中，開啟「導覽選單」 ()，然後依序選取「IAM 與管理」>「稽核記錄」。

注意：您可以忽略「權限不足，無法查看一或多項上層資源的繼承稽核記錄設定資料」訊息。

2. 在服務清單中找出 Cloud Resource Manager API，然後勾選相關聯的核取方塊。

注意：如果找不到，請向下捲動至「每頁列數」參數，並將值設為 200。

3. 在分頁的右側，找到設定框架：Cloud Resource Manager API - 權限類型。

4. 勾選「管理員讀取」核取方塊，然後點按「儲存」。

現在，Event Threat Detection 可以收集及分析 Resource Manager 資料讀取稽核記錄。

建立虛擬機器並使用預設服務帳戶存取權

如要重現這個情境，您需要建立新的虛擬機器，並使用預設服務帳戶和 cloud-platform 存取權範圍。

1. 開啟「導覽選單」()，依序選取「Compute Engine」>「VM 執行個體」。

2. 按一下「建立執行個體」按鈕。

3. 前往「機器設定」專區：

   • 將區域設為 ，可用區設為 。

4. 點按「安全性」。

   • 在「存取權範圍」部分，選取「允許所有 Cloud API 的完整存取權」。

5. 其餘參數則保留預設值。

6. 點按「建立」，啟動新的 VM 執行個體。

7. 執行個體建立完成後，按一下「SSH」按鈕。

8. 新的 SSH 視窗開啟後，請接受授權提示詞。

9. 請在 SSH 工作階段輸入下列指令：

gcloud projects get-iam-policy $(gcloud config get project)

您應該會看到授予 Google Cloud 專案使用者的 IAM 權限清單。

10. 開啟「導覽選單」()，依序選取「安全性」>「Security Command Center」>「發現項目」。

11. 將時間範圍選取器設為「過去 1 小時」。

您應該會看到 5 項與剛建立的執行個體相關的安全性發現項目：

• 「探索：服務帳戶自我調查」
• 「完整的 API 存取權」
• 「已使用預設服務帳戶」
• 「已停用 Compute 安全啟動功能」
• 「公開 IP 位址」

「探索：服務帳戶自我調查」發現項目是由 Event Threat Detection (ETD) 啟動，該服務會將發現項目歸類為「威脅」發現項目類別。

其他發現項目則由安全狀態分析元件啟動，並依「設定錯誤」分類。

12. 點按發現項目「探索：服務帳戶自我調查」。

13. 選取視窗頂端的「來源屬性」分頁標籤。

14. 現在展開「屬性」>「serviceAccountGetsOwnIamPolicy」欄位。

15. 檢查下列值：

• principalEmail：正在調查自身權限的服務帳戶電子郵件地址
• callerIp：呼叫 projects.getIamPolicy 方法的 IP 位址。在本案例中，這應該是虛擬機器 instance-1 的外部 IP 位址。

16. 關閉「發現項目」視窗。

如果不是上述情況，這個發現項目可能表示虛擬機器和預設服務帳戶已遭入侵，您需要調查並控制這起事件。

忽略已調查的發現項目

調查完發現項目後，即可忽略該發現項目。

1. 勾選「探索：服務帳戶自我調查」發現項目旁的核取方塊。

2. 展開「忽略選項」下拉式清單。

3. 然後選取「套用忽略覆寫」選項。

4. 確認 SCC 介面不再顯示這個發現項目。

點按「Check my progress」，確認目標已達成。 設定雲端環境來偵測威脅

工作 3：使用 Event Threat Detection 管理 SCC 發現項目

偵測某些威脅時，您可能需要啟用預設未啟用的其他記錄檔。如要偵測某些發現項目，您還需要建立其他設定，例如 DNS 政策。

這項功能可讓您偵測運算資源上執行的惡意軟體，並找出已知的惡意 DNS 位址。

在虛擬機器上發出 DNS 要求時，預設不會記錄這項查詢，因此 SCC 無法偵測與惡意網際網路資源的連線。

在先前的任務中，您使用了身分與存取權管理設定，為 Resource Manager 服務啟用記錄功能。如要記錄所有 DNS 查詢，您需要建立啟用記錄功能的 DNS 政策。

注意：如要進一步瞭解 Cloud DNS 的記錄和監控指標，請參閱使用記錄和監控功能參考指南。

1. 如要啟用完整的 DNS 查詢記錄功能，請開啟「導覽選單」()，向下捲動並依序點按「查看所有產品」>「網路服務」>「Cloud DNS」。

2. 點按「DNS 伺服器政策」分頁標籤，然後按一下「建立政策」按鈕。

3. 輸入 dns-test-policy 做為 DNS 政策名稱。

4. 選取 DNS 記錄的「開啟」圓形按鈕。

5. 在「替代 DNS 伺服器」部分，從網路下拉式選單中選取「預設」，然後點按「確定」。

6. 按一下「建立」按鈕。

7. 現在返回虛擬機器的 SSH 工作階段，執行下列指令嘗試連線至惡意網址：

curl etd-malware-trigger.goog

輸出結果應該會類似下列內容：

輸出內容：

<!DOCTYPE html> <html lang="en-us"> <meta charset="utf-8"> <title>ETD Malware Trigger</title> <p>這個網域可以在 Google Event Threat Detection 中觸發惡意軟體發現項目。如需詳細資訊，請參閱 <a href="https://cloud.google.com/event-threat-detection">https://cloud.google.com/event-threat-detection</a>

8. 返回 Google Cloud 控制台瀏覽器分頁。

9. 開啟「導覽選單」()，依序選取「安全性」>「Security Command Center」>「發現項目」。

10. 現在應該會看到新的威脅「惡意軟體：無效網域」。

注意：如果沒有看到新威脅，請重新整理瀏覽器視窗。

11. 按一下這個發現項目。

12. 在新視窗中，點按「來源屬性」分頁標籤。

13. 展開「屬性」欄位，檢查下列項目：

• 網域：執行個體要求位址解析的網域清單
• InstanceDetails：連線至「惡意」網域的執行個體 ID

14. 關閉「發現項目」視窗。

15. 勾選「惡意軟體：無效網域」發現項目相關的核取方塊。

16. 展開「忽略選項」下拉式清單。

17. 點按「套用忽略覆寫」。這個發現項目已從 SCC 介面移除。

18. 依序選取「導覽選單」()>「Compute Engine」>「VM 執行個體」，

19. 勾選先前建立的虛擬機器執行個體旁的核取方塊，然後點按「刪除」。

20. 確認刪除動作，然後點按「刪除」。

點按「Check my progress」確認目標已達成。

使用 Event Threat Detection 管理 SCC 發現項目

恭喜！

在本實驗室中，您學會了如何使用 Event Threat Detection 發起及緩解威脅、設定雲端環境來偵測威脅，以及使用 Event Threat Detection 管理 SCC 發現項目。

後續步驟/瞭解詳情

• 參加使用 Security Command Center 緩解威脅及修復安全漏洞：挑戰實驗室。

Google Cloud 教育訓練與認證

協助您瞭解如何充分運用 Google Cloud 的技術。我們的課程會介紹專業技能和最佳做法，讓您可以快速掌握要領並持續進修。我們提供從基本到進階等級的訓練課程，並有隨選、線上和虛擬課程等選項，方便您抽空參加。認證可協助您驗證及證明自己在 Google Cloud 技術方面的技能和專業知識。

使用手冊上次更新日期：2024 年 12 月 11 日

實驗室上次測試日期：2024 年 10 月 1 日

Copyright 2025 Google LLC 保留所有權利。Google 和 Google 標誌是 Google LLC 的商標，其他公司和產品名稱則有可能是其關聯公司的商標。