IMPORTANTE:

Conclua este laboratório prático usando um computador ou notebook.

Só 5 tentativas são permitidas por laboratório.

É comum não acertar todas as questões na primeira tentativa e precisar refazer uma tarefa. Isso faz parte do processo de aprendizado.

Depois que o laboratório é iniciado, não é possível pausar o tempo. Depois de 1h30, o laboratório será finalizado, e você vai precisar recomeçar.

Para saber mais, confira as Dicas técnicas do laboratório.

Informações gerais da atividade

Um falso positivo é um alerta que detecta incorretamente a presença de uma ameaça. Falsos positivos podem ser acionados por atividade do usuário genuína e legítima. Equipes de segurança podem gastar muito tempo e recursos investigando alertas de falsos positivos apenas para descobrir que não existe uma ameaça real.

Neste laboratório, você vai recriar a atividade que gera um alerta de falso positivo. Na sequência, você vai acessar e analisar a ameaça de falso positivo usando o Security Command Center (SCC) e agir para resolver o problema. Você usará duas contas separadas neste laboratório: uma conta para acionar e outra para analisar e corrigir o falso positivo.

Cenário

A líder da sua equipe, Chloe, recebeu um alerta de segurança de gravidade baixa. O alerta identificou uma conta de serviço com permissões amplas utilizando práticas de gerenciamento de chaves não seguras por meio de chaves gerenciadas por usuários. Após uma investigação mais detalhada, foi constatado que Hank, o arquiteto da nuvem, acionou esse alerta sem intenção. Hank estava testando uma nova conta de serviço e criou acidentalmente a chave para a conta de usuário de teste. Esse alerta foi tratado e encerrado como um falso positivo.

Chloe acredita que esse alerta serve como um ótimo exemplo de falso positivo. Chloe encarregou você de recriar a atividade que acionou o alerta de falso positivo. Você vai analisar o alerta e, depois, corrigi-lo. O processo de recriar o falso positivo serve como uma experiência valiosa de aprendizado que ajudará você a entender como e por que o alerta foi acionado, além de como é possível implementar políticas de segurança eficazes para mitigar outros possíveis alertas de falso positivo.

Sua tarefa: primeiro você vai recriar o falso positivo criando uma conta de serviço, atribuindo um papel, fornecendo uma chave e ativando a conta de serviço. Depois você vai usar o Security Command Center (SCC) para acessar a vulnerabilidade descoberta relacionada à atividade que você acionou. Por fim, você ficará responsável por corrigir a vulnerabilidade descoberta e o falso positivo.

Configuração

Antes de clicar em "Começar o laboratório"

Leia as instruções a seguir. Os laboratórios são cronometrados e não podem ser pausados. O timer é iniciado quando você clica em Começar o laboratório e mostra por quanto tempo os recursos do Google Cloud vão ficar disponíveis.

Neste laboratório prático, você pode fazer as atividades por conta própria em um ambiente cloud de verdade, não em uma simulação ou demonstração. Você vai receber novas credenciais temporárias para fazer login e acessar o Google Cloud durante o laboratório.

Confira os requisitos para concluir o laboratório:

• Acesso a um navegador de Internet padrão (recomendamos o Chrome).

Observação: para executar este laboratório, use o modo de navegação anônima ou uma janela anônima do navegador. Isso evita conflitos entre sua conta pessoal e a conta de estudante, o que poderia causar cobranças extras na sua conta pessoal.

• Tempo para concluir o laboratório---não se esqueça: depois de começar, não será possível pausar o laboratório.

Observação: não use seu projeto ou conta do Google Cloud neste laboratório para evitar cobranças extras na sua conta.

Como iniciar seu laboratório e fazer login no console do Google Cloud

1. Clique no botão Começar o laboratório. No painel Detalhes do laboratório à esquerda, você verá o seguinte:

   • Tempo restante
   • O botão Abrir console do Google Cloud
   • As credenciais temporárias que você vai usar neste laboratório
   • Outras informações, se forem necessárias
   Observação: se for preciso pagar pelo laboratório, um pop-up vai aparecer para você escolher a forma de pagamento.

2. Se você estiver usando o navegador Chrome, clique em Abrir console do Cloud (ou clique com o botão direito do mouse e selecione Abrir link em uma janela anônima). A página de login do laboratório será aberta em uma nova guia do navegador.

   Dica: é possível organizar as guias em janelas separadas, lado a lado, para alternar facilmente entre elas.

   Observação: se a caixa de diálogo Escolha uma conta aparecer, clique em Usar outra conta.

3. Se necessário, copie o Nome de usuário 1 do Google Cloud abaixo e cole na caixa de diálogo de login. Clique em Próximo.

{{{user_0.username | "Nome de usuário 1 do Google Cloud"}}}

Você também encontra o Nome de usuário 1 do Google Cloud no painel Detalhes do laboratório.

4. Copie a Senha do Google Cloud abaixo e cole na caixa de diálogo de boas-vindas. Clique em Próximo.

{{{user_0.password | "Senha do Google Cloud"}}}

Você também encontra a Senha do Google Cloud no painel Detalhes do laboratório.

Importante: você precisa usar as credenciais do painel à esquerda, e não as da sua conta do Google Cloud. Observação: usar sua própria conta do Google Cloud neste laboratório pode gerar cobranças extras.

5. Nas próximas páginas:
   • Aceite os Termos e Condições
   • Não adicione opções de recuperação nem autenticação de dois fatores nesta conta temporária
   • Não se inscreva em testes gratuitos

Depois de alguns instantes, o console do Cloud será aberto nesta guia.

Observação: para acessar a lista dos produtos e serviços do Google Cloud, clique no Menu de navegação no canto superior esquerdo.

Tarefa 1: criar uma conta de serviço

Observação: verifique se você está em nome de usuário 1: console do Google Cloud.

Nesta tarefa, você vai criar uma conta de serviço e conceder a ela permissões suficientes para acionar uma descoberta de ameaça anômala no SCC.

1. No console do Google Cloud, no Menu de navegação (), clique em IAM e administrador > Contas de serviço.

2. Na barra de ações, clique em + Criar conta de serviço.

3. Na seção dos Detalhes da conta de serviço:

   • No campo Nome da conta de serviço, digite test-account.

     Observe que o ID da conta de serviço é preenchido automaticamente.

   • Clique em Criar e continuar.

     Observe a mensagem de pop-up "Conta de serviço criada".

4. Na seção Conceda a essa conta de serviço acesso ao projeto, expanda o menu suspenso Selecione uma função, escolha Básica e depois Proprietário.

5. Clique em Continuar e depois em Concluído.

Observe a conta de serviço test-account listada em Contas de serviço.

Clique em Verificar meu progresso para confirmar que você concluiu a tarefa corretamente. Criar uma conta de serviço

Tarefa 2: criar uma chave de autenticação JSON para a conta de serviço

Observação: verifique se você está em nome de usuário 1: console do Google Cloud.

Nesta tarefa, você vai criar e fazer o download de uma chave de autenticação JSON para a nova conta de serviço que você criou na tarefa anterior. Em seguida, você usará o Cloud Shell para fazer upload dessa chave para sua conta do Google Cloud. Isso acionará uma descoberta de ameaça no SCC.

1. Ainda na página Contas de serviço, na conta de serviço test-account, clique em Ações () > Gerenciar chaves. A página test-account é aberta.

2. Na seção Chaves, clique em Adicionar chave > Criar nova chave.

3. Na caixa de diálogo Criar chave privada, defina o Tipo de chave como JSON.

4. Clique em Criar.

   O console solicita que você faça o download da chave para seu dispositivo local. Assim que o download for concluído, você usará o Cloud Shell para fazer upload da chave para sua conta (de estudante) do Google Cloud.

5. No seu dispositivo local, navegue até o arquivo da chave de que acabou de fazer o download e a renomeie como test-account.

6. No console do Google Cloud, clique no ícone Ativar o Cloud Shell ().

7. Clique em Continuar.

   O provisionamento e a conexão ao ambiente do Cloud Shell devem levar só alguns instantes.

8. Na barra de título do Cloud Shell, clique em Mais () > Fazer upload > Escolher arquivos.

9. Navegue até o arquivo e selecione-o na sua máquina local. Em seguida, na caixa de diálogo Fazer upload, clique em Fazer upload.

10. Copie o comando a seguir no terminal do Cloud Shell:

    ls

Esse comando lista o arquivo de chave de que você acabou de fazer upload.

11. Pressione ENTER.

Na página test-account, na lista Chave, observe a chave que você acabou de criar com a Data de criação da chave como a data atual.

Clique em Verificar meu progresso para confirmar que você concluiu a tarefa corretamente. Criar uma chave de autenticação JSON para a conta de serviço

Tarefa 3: acionar a descoberta do falso positivo

Observação: verifique se você está em nome de usuário 1: console do Google Cloud.

Nesta tarefa, você vai reconfigurar o ambiente do Cloud Shell para usar a nova conta de serviço test-account que você criou na Tarefa 1. Isso acionará uma descoberta de ameaça no SCC. Logo depois, você vai atribuir permissões excessivas ao projeto do laboratório.

1. Copie o comando a seguir no terminal do Cloud Shell:

   export PROJECT_ID=$(gcloud info --format='value(config.project)') export SA_NAME="test-account@${PROJECT_ID}.iam.gserviceaccount.com" gcloud auth activate-service-account ${SA_NAME} --key-file=test-account.json

Esse comando ativa a nova conta de serviço.

2. Pressione ENTER.

3. Copie o comando a seguir no terminal do Cloud Shell:

   gcloud auth list

Esse comando confirma que você ativou a conta de serviço e que o gcloud está usando essa conta de serviço.

4. Pressione ENTER.

   Na saída, o comando seguinte confirma que a conta de serviço está ativa:

   Saída:

   ACTIVE: * ACCOUNT: test-account@{{{project_0.project_id | "Google Cloud project ID"}}}.iam.gserviceaccount.com

5. Copie o comando a seguir no terminal do Cloud Shell:

   export STUDENT2={{{user_1.username | "Google Cloud username 2"}}} gcloud projects add-iam-policy-binding $PROJECT_ID --member user:$STUDENT2 --role roles/editor

Esse comando concede o papel de editor ao usuário 2 para que você possa acessar e corrigir o falso positivo na próxima tarefa.

6. Pressione ENTER.

Clique em Verificar meu progresso para confirmar que você concluiu a tarefa corretamente. Atribuir permissões excessivas para acionar a detecção de ameaças

Tarefa 4: fazer login como o segundo usuário

Você vai precisar trocar as contas do Cloud, fazendo login no console do Google Cloud com a segunda conta de usuário fornecida no painel de Detalhes do laboratório. Vamos usá-la para realizar as tarefas restantes.

1. No console do Google Cloud, clique no ícone do usuário no canto superior direito da tela e, depois, clique em Adicionar conta.

2. Navegue de volta para o painel Detalhes do laboratório, copie o nome de usuário 2 do Google Cloud: e a senha. Depois cole o nome de usuário e a senha na caixa de diálogo Fazer login do console do Google Cloud.

Tarefa 5: visualizar a descoberta de ameaça no SCC

Observação: verifique se você está em nome de usuário 2: console do Google Cloud.

Nesta tarefa, você vai localizar e examinar a descoberta do SCC gerada pelo serviço Event Threat Detection. Essa descoberta é um falso positivo que foi acionado pela atividade que você gerou nas Tarefas 1 a 3.

Para ver a descoberta do Event Threat Detection no SCC:

1. No Menu de navegação (), clique em Segurança > Descobertas.

2. No painel Filtros rápidos, encontre a seção Categoria. Depois selecione Chave da conta de serviço gerenciada pelo usuário. Se necessário, clique em Ver mais para encontrá-la.

   O painel Resultados da consulta de descobertas é atualizado para mostrar apenas a categoria de descoberta selecionada.

3. No painel Resultados da consulta de descobertas, acesse os detalhes da descoberta clicando na Chave da conta de serviço gerenciada pelo usuário mais recente na coluna Categoria (confira o Horário do evento). O painel de detalhes da descoberta é aberto e mostra a guia Resumo.

Saia da página Chave da conta de serviço gerenciada pelo usuário para responder às perguntas a seguir.

Tarefa 6: corrigir a descoberta

Observação: verifique se você está em nome de usuário 2: console do Google Cloud.

Nesta tarefa, você vai corrigir o falso positivo excluindo a chave de autenticação JSON da conta de serviço test-account.

1. No console do Google Cloud, no Menu de navegação (), clique em IAM e administrador > Contas de serviço.

2. Na página Contas de serviço, clique no endereço de e-mail da conta de serviço test-account.

3. Clique na guia Chaves.

4. Na lista de chaves, clique no ícone Excluir chave da conta de serviço () para excluir a chave. Um pop-up para você confirmar a ação vai aparecer. Clique em Excluir.

Clique em Verificar meu progresso para confirmar que você concluiu a tarefa corretamente. Excluir a chave

Conclusão

Bom trabalho!

Você concluiu este laboratório! Você usou o SCC para investigar um falso positivo e agiu para corrigi-lo. Trabalhando como analista de segurança na nuvem, você provavelmente vai encontrar alertas de falsos positivos. É importante entender como e por que eles são acionados e como você pode agir para corrigi-los.

Finalizar o laboratório

Antes de encerrar o laboratório, certifique-se de que você concluiu todas as tarefas. Quando tudo estiver pronto, clique em Terminar o laboratório e depois em Enviar.

Depois que você finalizar um laboratório, não será mais possível acessar o ambiente do laboratório nem o trabalho que você concluiu nele.

Copyright 2024 Google LLC. Todos os direitos reservados. Google e o logotipo do Google são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos podem ser marcas registradas das empresas a que estão associados.