IMPORTANTE:

Conclua este laboratório prático usando um computador ou notebook.

Só 5 tentativas são permitidas por laboratório.

É comum não acertar todas as questões na primeira tentativa e precisar refazer uma tarefa. Isso faz parte do processo de aprendizado.

Depois que o laboratório é iniciado, não é possível pausar o tempo. Depois de 1h30, o laboratório será finalizado, e você vai precisar recomeçar.

Para saber mais, confira as Dicas técnicas do laboratório.

Informações gerais da atividade

O Event Threat Detection, um dos serviços do Security Command Center (SCC), é uma ferramenta de análise que procura continuamente possíveis ameaças nos registros do Google Cloud. Quando identifica alguma atividade suspeita, ele gera uma descoberta para você investigar.

Neste laboratório, você vai analisar descobertas no Google Cloud Security Command Center e conferir os eventos relacionados no Cloud Logging.

Cenário

Recentemente a equipe de segurança detectou duas descobertas de ameaças, relacionadas a atividades suspeitas em contas de usuário. As descobertas foram prontamente investigadas e corrigidas. A equipe concluiu que uma das descobertas era uma atividade comum de usuário, enquanto a outra era de fato maliciosa. Chloe, a líder da sua equipe, encarregou você de analisar os detalhes das descobertas para entender a diferença entre atividade normal e atividade maliciosa. Para isso, você vai recriar a atividade maliciosa para acionar os detectores do IAM, analisar os registros das descobertas de ameaça e corrigir o problema.

Confira como fazer a tarefa: primeiro você vai dar permissões a uma conta externa para acionar uma descoberta do IAM no Event Threat Detection. Depois vai usar o Security Command Center para acessar as duas descobertas do IAM. Em seguida, vai utilizar o Security Command Center e o Cloud Logging para conferir os detalhes das descobertas e identificar qual é a atividade comum e qual é a anomalia e, por último, você vai ajustar as configurações do IAM para corrigir a descoberta relacionada à atividade maliciosa.

Configuração

Antes de clicar em "Começar o laboratório"

Leia as instruções a seguir. Os laboratórios são cronometrados e não podem ser pausados. O timer é iniciado quando você clica em Começar o laboratório e mostra por quanto tempo os recursos do Google Cloud vão ficar disponíveis.

Neste laboratório prático, você pode fazer as atividades por conta própria em um ambiente cloud de verdade, não em uma simulação ou demonstração. Você vai receber novas credenciais temporárias para fazer login e acessar o Google Cloud durante o laboratório.

Confira os requisitos para concluir o laboratório:

• Acesso a um navegador de Internet padrão (recomendamos o Chrome).

Observação: para executar este laboratório, use o modo de navegação anônima ou uma janela anônima do navegador. Isso evita conflitos entre sua conta pessoal e a conta de estudante, o que poderia causar cobranças extras na sua conta pessoal.

• Tempo para concluir o laboratório---não se esqueça: depois de começar, não será possível pausar o laboratório.

Observação: não use seu projeto ou conta do Google Cloud neste laboratório para evitar cobranças extras na sua conta.

Como iniciar seu laboratório e fazer login no console do Google Cloud

1. Clique no botão Começar o laboratório. No painel Detalhes do laboratório à esquerda, você verá o seguinte:

   • Tempo restante
   • O botão Abrir console do Google Cloud
   • As credenciais temporárias que você vai usar neste laboratório
   • Outras informações, se forem necessárias
   Observação: se for preciso pagar pelo laboratório, um pop-up vai aparecer para você escolher a forma de pagamento.

2. Se você estiver usando o navegador Chrome, clique em Abrir console do Google Cloud (ou clique com o botão direito do mouse e selecione Abrir link em uma janela anônima). A página de login será aberta em uma nova guia do navegador.

   Dica: é possível organizar as guias em janelas separadas, lado a lado, para alternar facilmente entre elas.

   Observação: se a caixa de diálogo Escolha uma conta aparecer, clique em Usar outra conta.

3. Se necessário, copie o Nome de usuário do Google Cloud abaixo e cole na caixa de diálogo de login. Clique em Próximo.

{{{user_0.username | "Nome de usuário do Google Cloud"}}}

Você também encontra o Nome de usuário do Google Cloud no painel Detalhes do laboratório.

4. Copie a Senha do Google Cloud abaixo e cole na caixa de diálogo seguinte. Clique em Próximo.

{{{user_0.password | "Senha do Google Cloud"}}}

Você também encontra a Senha do Google Cloud no painel Detalhes do laboratório.

Importante: você precisa usar as credenciais fornecidas no laboratório, e não as da sua conta do Google Cloud. Observação: usar sua própria conta do Google Cloud neste laboratório pode gerar cobranças extras.

5. Nas próximas páginas:
   • Aceite os Termos e Condições
   • Não adicione opções de recuperação nem autenticação de dois fatores nesta conta temporária
   • Não se inscreva em testes gratuitos

Depois de alguns instantes, o console será aberto nesta guia.

Observação: para acessar a lista dos produtos e serviços do Google Cloud, clique no Menu de navegação no canto superior esquerdo.

Tarefa 1: dar permissões a uma conta externa

Nesta tarefa, você vai dar direitos de proprietário do projeto a uma conta externa do Gmail, o que vai acionar os detectores do IAM do Event Threat Detection. Dar esses direitos a uma conta externa é considerado um comportamento anômalo ou possivelmente malicioso. O Event Threat Detection vai identificar essa atividade como uma ameaça e gerar descobertas, que você vai analisar nas próximas tarefas.

1. No console do Google Cloud, no menu de navegação (), clique em IAM e administrador > IAM. A página IAM será aberta.

Na guia Visualizar por principais, confira os dois usuários estudantes que foram configurados automaticamente na organização qwiklabs.net. São os mesmos usuários que aparecem no painel Detalhes do laboratório como Nome de usuário 1 do Google Cloud e Nome de usuário 2 do Google Cloud.

No processo normal de provisionamento, uma conta de serviço concedeu aos dois usuários automaticamente os papéis de proprietário no projeto do laboratório. Isso vai acionar uma descoberta de alerta ou um incidente porque um principal externo tem o papel de proprietário. Mas, dado que os usuários fazem parte da organização qwiklabs.net, o alerta é considerado uma atividade normal. Você vai analisar a descoberta de alerta depois.

2. Na guia Visualizar por principais, clique em Permitir acesso. A caixa de diálogo Permitir acesso será aberta.
3. Na seção Adicionar participantes, no campo Novos principais, digite bad.actor.demo@gmail.com.
4. Expanda o menu suspenso Selecionar papel e selecione Básico e depois Proprietário.
5. Clique em Salvar.

Você atribuiu o papel de proprietário ao usuário externo bad.actor.demo@gmail.com. Isso vai acionar uma descoberta no SCC porque o usuário está fora da organização qwiklabs.net.

Clique em Verificar meu progresso para confirmar que você concluiu a tarefa corretamente.

Dar permissões a uma conta externa

Tarefa 2: acessar as descobertas do Event Threat Detection

Nesta tarefa, você vai acessar as descobertas do Event Threat Detection no Security Command Center

1. No console do Google Cloud, no menu de navegação (), clique em Segurança > Descobertas. A página Descobertas será aberta.

O painel Resultados da consulta de descobertas vai mostrar três descobertas com alta gravidade. Neste laboratório, você vai analisar duas descobertas do tipo Persistência: concessão anômala de IAM para determinar se são atividades normais ou maliciosas.

Observação: se as descobertas Persistência: concessão anômala de IAM não aparecerem, aguarde alguns minutos e atualize a página. Continue a atividade quando as duas descobertas ativas aparecerem.

A descoberta Persistência: concessão anômala de IAM indica que uma concessão anômala do IAM foi detectada. Isso significa que um usuário ou uma conta de serviço recebeu acesso a um recurso que eles não deveriam acessar. É um possível sinal de que um usuário malicioso está tentando acessar o ambiente sem autorização.

Em seguida, filtre as descobertas para mostrar uma lista da categoria Persistência: concessão anômala de IAM.

2. No painel Filtros rápidos, na seção Categoria, marque a caixa de seleção da categoria Persistência: concessão anômala de IAM.

Observação: quando você seleciona atributos com os filtros rápidos, eles são adicionados automaticamente à consulta. A prévia da consulta será atualizada com a categoria selecionada, Persistência: concessão anômala de IAM. Se quiser encontrar determinadas descobertas ou grupos de descobertas, edite a consulta.

O filtro retornou duas descobertas do tipo Persistência: concessão anômala de IAM.

3. Clique no cabeçalho da coluna Horário do evento para colocar as descobertas em ordem decrescente, com as mais recentes acima.

Tarefa 3: analisar as descobertas

Nesta tarefa, você vai analisar as descobertas e determinar qual representa uma atividade normal e qual é um incidente verdadeiro.

1. No painel Resultados da consulta de descobertas, na coluna Categoria, clique na descoberta Persistência: concessão anômala de IAM com o horário mais antigo. A caixa de diálogo Persistência: concessão anômala de IAM será aberta com a guia Resumo, que mostra um resumo da descoberta.

2. Ache a linha E-mail principal. Essa é a conta de serviço que deu o papel de proprietário ao usuário. Ela faz parte da organização qwiklabs.net. Com essas informações, é possível definir que essa descoberta representa uma atividade normal e esperada.

3. Clique na guia Propriedades de origem e expanda properties > sensitiveRoleGrant > members. O endereço de e-mail em principalEmail é o usuário que deu o papel de proprietário, enquanto o endereço em members é o usuário que o recebeu.

A seguir, você vai achar a atividade maliciosa relacionada à conta externa de usuário que você autorizou, bad.actor.demo@gmail.com.

4. Clique no botão de fechar (X) para voltar à página Descobertas.
5. No painel Resultados da consulta de descobertas, na coluna Categoria, clique na descoberta Persistência: concessão anômala de IAM com o horário mais recente.
6. Confira o valor da linha E-mail principal. Esse é o endereço de e-mail da conta que deu o papel de proprietário ao usuário.
7. Clique na guia Propriedades de origem e expanda properties > sensitiveRoleGrant > members. A conta indicada é bad.actor.demo@gmail.com, uma conta de usuário externa. Com essas informações, é possível concluir que essa descoberta está associada a um usuário malicioso sem autorização.

Tarefa 4: acessar as descobertas no Cloud Logging

Nesta tarefa, você vai acessar no Cloud Logging os eventos relacionados às descobertas do Security Command Center.

1. No console do Google Cloud, no menu de navegação (), clique em Geração de registros > Análise de registros. A página Análise de registros será aberta. Pode ser necessário clicar em Mais produtos para expandir as opções do menu de navegação e localizar Geração de registros em Operações.
2. Copie esta consulta no editor de Consulta, na parte de cima da página:

protoPayload.authorizationInfo.permission="resourcemanager.projects.setIamPolicy" protoPayload.methodName="InsertProjectOwnershipInvite"

A consulta vai filtrar os registros do IAM.

3. Clique em Executar consulta. Os resultados da consulta serão exibidos no painel Resultados da consulta.
4. No painel Resultados da consulta, expanda o registro de auditoria dos seus projetos.
5. Clique em Expandir campos aninhados. Todos os campos aninhados do registro vão ficar visíveis.

Agora é possível analisar os detalhes do evento de pedido anômalo, incluindo estas informações:

• authenticationInfo: o e-mail do usuário que fez o pedido.
• request: a identidade de e-mail do usuário que recebeu a concessão anômala.
• request Metadata: o endereço IP do sistema em que o pedido foi feito e o agente de usuário do navegador da Web usado.

Essas informações podem ser essenciais ao investigar se um evento é uma atividade normal ou uma ameaça real.

Tarefa 5: corrigir a descoberta

Nesta tarefa, você vai remover o papel de proprietário de projeto concedido ao usuário externo, o que vai corrigir a descoberta maliciosa do tipo Persistência: concessão anômala de IAM.

1. No console do Google Cloud, no menu de navegação (), clique em IAM e administrador > IAM. A página IAM será aberta.
2. Ao lado do usuário bad.actor.demo@gmail.com, clique no ícone Editar principal (). A página Editar permissões será aberta.
3. Clique no ícone Excluir () para excluir o papel de proprietário.
4. Clique em Salvar.

A política será atualizada, e o papel de proprietário será removido do usuário bad.actor.demo@gmail.com.

Clique em Verificar meu progresso para confirmar que você concluiu a tarefa corretamente.

Corrigir a descoberta

Conclusão

Bom trabalho! Neste laboratório, você aprendeu na prática a analisar um alerta de segurança para saber se é uma atividade maliciosa real.

Para isso, você deu permissões a um usuário externo, conferiu as descobertas do Event Threat Detection no Security Command Center e acessou as descobertas no Cloud Logging. Por último, você retirou do usuário externo o papel de proprietário de projeto, o que corrigiu a descoberta.

Como analista de segurança, use essas habilidades para conter, mitigar e corrigir ameaças rapidamente.

Termine o laboratório

Antes de encerrar o laboratório, certifique-se de que você concluiu todas as tarefas. Quando tudo estiver pronto, clique em Terminar o laboratório e depois em Enviar.

Depois que você finalizar um laboratório, não será mais possível acessar o ambiente do laboratório nem o trabalho que você concluiu nele.

Copyright 2024 Google LLC. Todos os direitos reservados. Google e o logotipo do Google são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos podem ser marcas registradas das empresas a que estão associados.