Questa pagina è stata tradotta dall'API Cloud Translation.

Verificare l'importazione dei dati utilizzando le regole di test

Supportato in:

Google SecOps SIEM

I rilevamenti selezionati di Google Security Operations includono un insieme di insiemi di regole di test che ti aiutano a verificare che i dati richiesti per ogni insieme di regole siano nel formato corretto.

Queste regole di test rientrano nella categoria Test di rilevamento gestito. Ogni insieme di regole verifica che i dati ricevuti dal dispositivo di test siano in un formato previsto dalle regole per la categoria specificata.

Nome del set di regole	Descrizione
Google Cloud Test di rilevamento gestito	Verifica che i dati vengano importati correttamente dai dispositivi supportati dalla categoria Cloud Threats. Google Cloud Per ulteriori informazioni, consulta Verificare l'importazione dei dati per la categoria Cloud Threats. Google Cloud
Test di rilevamento gestito AWS	Verifica che i dati AWS vengano importati correttamente dai dispositivi supportati dalla categoria Cloud Threats. Per ulteriori informazioni, consulta Verificare l'importazione dei dati AWS per la categoria Cloud Threats.
Test di rilevamento gestito per Linux	Verifica che i dati vengano importati correttamente dai dispositivi supportati dalla categoria Minacce Linux. Per ulteriori informazioni, consulta Verificare l'importazione dei dati per la categoria Minacce Linux.
Test di Managed Detection per Windows	Verifica che i dati vengano importati correttamente dai dispositivi supportati dalla categoria Minacce di Windows. Per ulteriori informazioni, consulta Verificare l'importazione dei dati per la categoria Minacce Windows.

Segui i passaggi descritti in questo documento per testare e verificare che i dati in entrata vengano importati correttamente e nel formato corretto.

Verifica Google Cloud l'importazione dei dati per la categoria Cloud Threats

Queste regole consentono di verificare se i dati dei log vengono importati come previsto per i rilevamenti selezionati di Google SecOps.

Utilizza le seguenti regole per testare i dati con i passaggi che seguono:

Regola Test dei metadati di controllo cloud: per attivare questa regola, aggiungi una chiave di metadati personalizzati univoca e prevista a qualsiasi macchina virtuale Compute Engine che invia dati a Google SecOps.
Regola Test di Cloud DNS: per attivare questa regola, esegui una ricerca DNS del dominio (chronicle.security) all'interno di qualsiasi macchina virtuale che abbia accesso a internet e stia inviando dati dei log a Google SecOps.
Regole di test di rilevamento gestito di SCC: per attivare queste regole, esegui più azioni nella console Google Cloud.
Regola Test dei nodi Cloud Kubernetes: per attivare questa regola, crea un progetto di test che invii i dati dei log a Google SecOps e un pool di nodi univoco in un cluster Google Kubernetes Engine esistente.

Passaggio 1: Attiva le regole di test

Accedi a Google SecOps.
Apri la pagina Rilevamento selezionati.
Fai clic su Regole e rilevamenti > Insiemi di regole.
Espandi la sezione Test di rilevamento gestito. Potresti dover scorrere la pagina.
Fai clic su Google Cloud Test di rilevamento gestito nell'elenco per aprire la pagina dei dettagli.
Attiva sia Stato che Avvisi per le regole Test di rilevamento gestito da Cloud.

Passaggio 2: Invia i dati per la regola di test dei metadati di controllo cloud

Per attivare il test, completa i seguenti passaggi:

Scegli un progetto all'interno della tua organizzazione.
Vai a Compute Engine e scegli una macchina virtuale all'interno del progetto.
Nella macchina virtuale, fai clic su Modifica e poi segui questi passaggi nella sezione Metadati personalizzati:
1. Fai clic su Aggiungi elemento.
2. Inserisci le seguenti informazioni:
  - Chiave: GCTI_ALERT_VALIDATION_TEST_KEY
  - Valore: works
3. Fai clic su Salva.
Per verificare che l'avviso sia stato attivato, svolgi i seguenti passaggi:
1. Accedi a Google SecOps.
2. Apri la pagina Rilevamento selezionati e poi fai clic su Dashboard.
3. Verifica che la regola ur_tst_Google Cloud_Cloud_Audit_Metadata sia stata attivata nell'elenco di rilevamento.

Passaggio 3: Invia dati per la regola Test di Cloud DNS

Importante: i passaggi che seguono devono essere eseguiti come utente IAM nel progetto scelto che ha accesso a una macchina virtuale Compute Engine.

Per attivare il test, completa i seguenti passaggi:

Scegli un progetto all'interno della tua organizzazione.
Vai a Compute Engine e scegli una macchina virtuale all'interno del progetto.
- Se si tratta di una macchina virtuale Linux, assicurati di disporre dell'accesso Secure Shell (SSH).
- Se si tratta di una macchina virtuale Windows, assicurati di disporre dell'accesso tramite Remote Desktop Protocol (RDP).
Fai clic su SSH (Linux) o RDP (Microsoft Windows) per accedere alla macchina virtuale.
Invia i dati di test utilizzando uno dei seguenti passaggi:
- Macchina virtuale Linux: dopo aver eseguito l'accesso alla macchina virtuale tramite SSH, esegui uno di questi comandi:nslookup chronicle.security o host chronicle.security
  
  Se il comando non va a buon fine, installa dnsutils sulla macchina virtuale utilizzando uno dei seguenti comandi:
  - sudo apt-get install dnsutils (per Debian/Ubuntu)
  - dnf install bind-utils (per RedHat/CentOS)
  - yum install bind-utils
- Macchina virtuale Microsoft Windows: dopo aver eseguito l'accesso alla macchina virtuale tramite RDP, vai a qualsiasi browser installato e visita la pagina https://chronicle.security.
Per verificare che l'avviso sia stato attivato, svolgi i seguenti passaggi:
1. Accedi a Google SecOps.
2. Apri la pagina Rilevamento selezionati e poi fai clic su Dashboard.
3. Verifica che la regola ur_tst_Google Cloud_Cloud_DNS_Test_Rule sia stata attivata nell'elenco di rilevamento.

Passaggio 4: Invia i dati per le regole di test dei nodi Kubernetes di Cloud

Importante: i passaggi che seguono devono essere eseguiti come utente IAM nel progetto scelto che ha accesso alle risorse di Google Kubernetes Engine. Per informazioni più dettagliate sulla creazione di cluster regionali e pool di nodi, consulta Creare un cluster regionale con un pool di nodi a zona singola. Queste regole di test hanno lo scopo di verificare l'importazione dei dati dal tipo di log KUBERNETES_NODE.

Per attivare le regole di test, completa i seguenti passaggi:

Crea un progetto all'interno della tua organizzazione denominato chronicle-kube-test-project. Questo progetto viene utilizzato solo per i test.
Vai alla pagina Google Kubernetes Engine nella Google Cloud console.
Vai alla pagina di Google Kubernetes Engine
Fai clic su Crea per creare un nuovo cluster regionale nel progetto.
Configura il cluster in base ai requisiti della tua organizzazione.
Fai clic su Aggiungi pool di nodi.
Assegna al pool di nodi il nome kube-node-validation, quindi modifica le dimensioni del pool in 1 nodo per zona.
Elimina le risorse di test:
1. Dopo aver creato il pool di nodi kube-node-validation, eliminalo.
2. Elimina il progetto di test chronicle-kube-test-project.
Accedi a Google SecOps.
Apri la pagina Rilevamento selezionati e poi fai clic su Dashboard.
Verifica che la regola tst_Google Cloud_Kubernetes_Node sia stata attivata nell'elenco di rilevamento.
Verifica che la regola tst_Google Cloud_Kubernetes_CreateNodePool sia stata attivata nell'elenco di rilevamento.

Passaggio 5: Invia i dati per le regole di test di rilevamento gestito di SCC

I passaggi secondari di questo passaggio verificano che i risultati di Security Command Center e i dati correlati vengano importati correttamente e nel formato previsto.

I set di regole SCC Managed Detection Testing nella categoria Managed Detection Testing ti consentono di verificare che i dati richiesti per i set di regole CDIR SCC Enhanced vengano inviati a Google SecOps e siano nel formato corretto.

Ogni regola di test convalida che i dati vengano ricevuti in un formato previsto dalle regole. Esegui azioni nel tuo Google Cloud ambiente per inviare dati che genereranno un avviso Google SecOps.

Assicurati di completare le seguenti sezioni di questo documento necessarie per configurare il logging nei servizi Google Cloud , raccogliere i risultati di Security Command Center Premium e inviare i risultati di Security Command Center a Google SecOps:

Per scoprire di più sugli avvisi di Security Command Center descritti in questa sezione, consulta il documento di Security Command Center Investigating and Responding to Threats (Indagini e risposta alle minacce).

Attiva la regola di test della persistenza SCC CDIR

Per inviare i dati che attivano questo avviso in Google SecOps, svolgi i seguenti passaggi:

Nella console Google Cloud, crea una nuova istanza VM e assegna temporaneamente l'account di servizio predefinito di Compute Engine con i privilegi Editor. Lo rimuoverai al termine del test.
Quando la nuova istanza è disponibile, assegna l'ambito di accesso a Consenti accesso completo a tutte le API.
Crea un nuovo account di servizio con le seguenti informazioni:
- Imposta Nome account di servizio su scc-test.
- Imposta ID account di servizio su scc-test.
- (Facoltativo) Inserisci una descrizione per l'account di servizio.
Per informazioni su come creare account di servizio, consulta il documento Creare account di servizio.
Connettiti tramite SSH all'istanza di test creata nel passaggio precedente, quindi esegui il seguente comando gcloud:
```
gcloud projects add-iam-policy-binding PROJECT_NAME
--member="serviceAccount:scc-test@PROJECT_NAME.iam.gserviceaccount.com"
--role="roles/owner`"
```
Sostituisci PROJECT_NAME con il nome del progetto in cui è in esecuzione l'istanza Compute Engine e in cui è stato creato l'account scc-test.

Dovrebbe essere attivato l'avviso di Security Command Center Persistenza: concessione anomala IAM.
Accedi a Google SecOps e apri la pagina Avvisi e indicatori di compromissione.
Dovresti vedere un avviso Google SecOps denominato Test SCC Alert: IAM Anomalous Grant given to test account (Avviso SCC di test: concessione IAM anomala assegnata all'account di test).
Apri la console Google Cloud e segui questi passaggi:
- Rimuovi l'accesso all'account di prova scc-test da IAM e dalla Console di amministrazione.
- Elimina l'account di servizio utilizzando il portale Account di servizio.
- Elimina l'istanza VM appena creata.

Attiva la regola di test del malware CDIR SCC

Per inviare i dati che attivano questo avviso in Google SecOps, svolgi i seguenti passaggi:

Nella console Google Cloud, connettiti tramite SSH a qualsiasi istanza VM in cui è installato il comando curl.
Esegui questo comando:
```
  curl etd-malware-trigger.goog
```
Dopo aver eseguito questo comando, dovrebbe essere attivato l'avviso Malware: Bad Domain (Malware: dominio non valido) di Security Command Center.
Accedi a Google SecOps e apri la pagina Avvisi e indicatori di compromissione.
Verifica di visualizzare un avviso Google SecOps denominato Test SCC Alert: Malware Bad Domain.

Attiva la regola di test di evasione della difesa SCC CDIR

Per inviare i dati che attivano questo avviso in Google SecOps, svolgi i seguenti passaggi:

Accedi alla console Google Cloud utilizzando un account che abbia accesso a livello di organizzazione per modificare i perimetri dei Controlli di servizio VPC.
Nella console Google Cloud, vai alla pagina Controlli di servizio VPC.

Vai a Controlli di servizio VPC
Fai clic su +Nuovo perimetro e configura i seguenti campi nella pagina Dettagli:
- Titolo del perimetro: scc_test_perimeter.
- Tipo di perimetro su Perimetro regolare (predefinito).
- Tipo configurazione su Applicato.
Nel menu di navigazione a sinistra, seleziona 3 servizi con limitazioni.
Nella finestra di dialogo Specifica i servizi da limitare, seleziona API Google Compute Engine e poi fai clic su Aggiungi API Google Compute Engine.
Nel menu di navigazione a sinistra, fai clic su Crea perimetro.
Per modificare il perimetro, vai alla pagina Perimetri di servizio VPC. Per informazioni più dettagliate su come accedere a questa pagina, vedi Elenca e descrivi i perimetri di servizio.
Seleziona scc_test_perimeter, quindi Modifica perimetro.
In Servizi con limitazioni, fai clic sull'icona Elimina per rimuovere il servizio API Google Compute Engine. Dovrebbe essere attivato l'avviso Defense Evasion: Modify VPC Service Control Perimeter (Evasione difensiva: modifica del perimetro dei Controlli di servizio VPC) in SCC.
Accedi a Google SecOps e apri la pagina Avvisi e indicatori di compromissione.
Verifica di visualizzare un avviso SecOps di Google denominato Test SCC Alert: Modify VPC Service Control Test Alert.

Attiva la regola di test di esfiltrazione SCC CDIR

Per inviare i dati che attivano questo avviso in Google SecOps, svolgi i seguenti passaggi:

Nella console Google Cloud, vai a un Google Cloud progetto, quindi apri BigQuery.

Vai a BigQuery

Crea un file CSV con i seguenti dati e salvalo nella tua home directory:

column1, column2, column3
data1, data2, data3
data4, data5, data6
data7, data8, data9

Nel menu di navigazione a sinistra, scegli Crea set di dati.
Imposta la seguente configurazione e fai clic su Crea set di dati:
- ID set di dati impostato su scc_test_dataset.
- Tipo di località impostato su Più regioni.
- Abilita scadenza della tabella: non selezionare questa opzione.
Per informazioni più dettagliate sulla creazione di un set di dati, consulta il documento BigQuery Creazione di set di dati.
Nel menu di navigazione a sinistra, a destra di scc_test_dataset, fai clic sull'icona e poi seleziona Crea tabella.
Crea una tabella e imposta la seguente configurazione:
- Crea tabella da: impostato su Caricamento.
- Seleziona file: vai alla home directory e seleziona il file CSV creato in precedenza.
- Formato file: impostato su CSV.
- Dataset: impostato su css_test_dataset.
- Tipo di tabella: impostato su Tabella nativa.
Accetta la configurazione predefinita per tutti gli altri campi e fai clic su Crea tabella.

Per informazioni più dettagliate sulla creazione di una tabella, vedi Creare e utilizzare le tabelle.
Nell'elenco delle risorse, seleziona la tabella css_test_dataset, poi fai clic su Query e scegli In una nuova scheda.
Esegui questa query:
```
SELECT * FROM TABLE_NAME LIMIT 1000`
```
Sostituisci TABLE_NAME con il nome completo della tabella.
Dopo l'esecuzione della query, fai clic su Salva risultati e poi scegli CSV in Google Drive. Dovrebbe essere attivato l'avviso Security Command Center Esfiltrazione: esfiltrazione di BigQuery in Google Drive. Il risultato di Security Command Center deve essere inviato a Google SecOps e attivare un avviso di Google SecOps.
Accedi a Google SecOps e apri la pagina Avvisi e indicatori di compromissione.
Verifica di visualizzare un avviso Google SecOps denominato Test SCC Alert: BigQuery Exfiltration to Google Drive.

Passaggio 6: Disattiva le regole di test

Al termine, disattiva le regole Google Cloud Test di rilevamento gestito.

Accedi a Google SecOps.
Apri la pagina Rilevamento selezionati.
Disattiva sia Stato sia Avvisi per le Google Cloud regole di test di rilevamento gestito.

Verificare l'importazione dei dati AWS per la categoria Cloud Threats

Puoi utilizzare le regole di test AWS Managed Detection Testing per verificare che i dati AWS siano importati in Google SecOps. Queste regole di test consentono di verificare che i dati AWS siano stati importati e siano nel formato previsto. Dopo aver configurato l'importazione dei dati AWS, esegui azioni in AWS che dovrebbero attivare le regole di test.

L'utente che attiva queste regole nel Detection Engine deve disporre dell'autorizzazione IAM curatedRuleSetDeployments.batchUpdate.
L'utente che esegue i passaggi per inviare i dati AWS deve disporre delle autorizzazioni IAM di AWS per modificare i tag di un'istanza EC2 nell'account scelto. Per maggiori informazioni sul tagging delle istanze EC2, consulta la documentazione AWS Taggare le risorse Amazon EC2.

Attiva le regole di test di AWS Managed Detection Testing

In Google SecOps, fai clic su Rilevamenti > Regole e rilevamenti per aprire la pagina Rilevamenti selezionati.
Seleziona Test di rilevamento gestito > Test di rilevamento gestito AWS.
Sono stati attivati sia lo stato Attivo sia l'avviso Per le regole Generali e Precise.

Verifica che le azioni dei tag in AWS attivino la regola di test

Per verificare che le azioni dei tag in AWS attivino l'insieme di regole, svolgi i passaggi che seguono.

Passaggio 1: Genera un evento di log in AWS.

Scegli un account nel tuo ambiente AWS.
Vai alla dashboard di EC2 e scegli un'istanza all'interno dell'account.
Nell'istanza EC2, fai clic su Azioni > Impostazioni istanza e svolgi le seguenti operazioni nella sezione Gestisci tag:
1. Fai clic su Aggiungi nuovo tag.
2. Inserisci le seguenti informazioni:
3. Chiave: GCTI_ALERT_VALIDATION_TEST_KEY
4. Valore: works
5. Fai clic su Salva.

Per informazioni più dettagliate, vedi Aggiungere o rimuovere i tag delle istanze EC2.

Passaggio 2: Verifica che gli avvisi di test vengano attivati.

Dopo aver eseguito l'attività nel passaggio precedente, verifica che la regola Regola di test AWS CloudTrail sia attivata. Ciò indica che i log di CloudTrail sono stati registrati e inviati a Google SecOps come previsto. Per verificare l'avviso:

In Google SecOps, fai clic su Rilevamenti > Regole e rilevamenti per aprire la pagina Rilevamenti selezionati.
Fai clic su Dashboard.
Nell'elenco dei rilevamenti, controlla che la regola tst_AWS_Cloud_Trail_Tag sia stata attivata.

Verifica che i risultati di esempio di AWS GuardDuty attivino le regole di test

Per assicurarti che gli avvisi di GuardDuty funzionino come previsto nel tuo ambiente, puoi inviare i risultati di esempio di GuardDuty a Google SecOps.

Passaggio 1: Genera i dati dei risultati di esempio di GuardDuty.

Vai alla home page della console AWS.
In Sicurezza, identità e conformità, apri GuardDuty.
Vai a Impostazioni di GuardDuty.
Fai clic su Genera risultati di esempio.

Per ulteriori informazioni su come generare risultati di esempio di GuardDuty, consulta Generare risultati di esempio in GuardDuty.

Passaggio 2: Verifica che gli avvisi di prova siano stati attivati.

In Google SecOps, fai clic su Rilevamento > Regole e rilevamenti per aprire la pagina Rilevamento selezionati.
Fai clic su Dashboard.
Verifica che la regola di test AWS CloudTrail sia stata attivata nell'elenco di rilevamento.

Disattiva gli insiemi di regole di test di rilevamento gestito da AWS

In Google SecOps, fai clic su Rilevamento > Regole e rilevamenti per aprire la pagina Rilevamento selezionati.
Seleziona le regole Test di rilevamento gestito > Test di rilevamento gestito AWS.
Disattiva sia Stato sia Avvisi per le regole Generali e Precise.

Verificare l'importazione dei dati per la categoria Minacce Linux

Le regole di test dei rilevamenti gestiti di Linux verificano che la registrazione su un sistema Linux funzioni correttamente per i rilevamenti selezionati da Google SecOps. I test prevedono l'utilizzo del prompt Bash in un ambiente Linux per eseguire vari comandi e possono essere effettuati da qualsiasi utente che abbia accesso al prompt Bash di Linux.

Passaggio 1: Attiva le regole di test

Accedi a Google SecOps.
Apri la pagina Rilevamento selezionati.
Fai clic su Regole e rilevamenti > Set di regole.
Espandi la sezione Test di rilevamento gestito. Potresti dover scorrere la pagina.
Fai clic su Test di rilevamento gestito Linux nell'elenco per aprire la pagina dei dettagli.
Attiva sia Stato che Avvisi per le regole di test di rilevamento gestito Linux.

Passaggio 2: Inviare dati di test da un dispositivo Linux

Per attivare le regole di test Linux Managed Detection Testing, svolgi i seguenti passaggi:

Accedi a qualsiasi dispositivo Linux su cui i dati vengono inviati a Google SecOps.
Apri una nuova interfaccia a riga di comando del prompt Bash di Linux come qualsiasi utente.
Inserisci il seguente comando e premi Invio:

/bin/echo hello_chronicle_world!

Nota:devi utilizzare il file binario echo anziché il comando echo integrato della shell Linux.

Inserisci il seguente comando e premi Invio:

sudo useradd test_chronicle_account
Rimuovi l'account di test creato nel passaggio precedente. Esegui questo comando:

sudo userdel test_chronicle_account
Inserisci il seguente comando e premi Invio:

su
Quando ti viene chiesta la password, inserisci una stringa casuale. Nota che viene visualizzato il messaggio su: Authentication failure.
Chiudi la finestra Bash.

Passaggio 3: Verificare che gli avvisi siano stati attivati in Google SecOps

Verifica che il comando abbia attivato le regole tst_linux_echo, tst_linux_failed_su_login e tst_linux_test_account_creation in Google SecOps. Ciò indica che i log di Linux vengono scritti e inviati come previsto. Per verificare l'avviso in Google SecOps, svolgi i seguenti passaggi:

Accedi a Google SecOps.
Apri la pagina Rilevamento selezionati.
Fai clic su Dashboard.
Verifica che le regole tst_linux_echo, tst_linux_failed_su_login e tst_linux_test_account_creation siano state attivate nell'elenco di rilevamento.

Nota: potrebbe verificarsi un leggero ritardo prima che l'avviso venga visualizzato in Google SecOps.

Passaggio 4: Disattiva le regole di test

Al termine, disattiva le regole Linux Managed Detection Testing.

Accedi a Google SecOps.
Apri la pagina Rilevamento selezionati.
Disattiva sia Stato che Avvisi per le regole di test di rilevamento gestito di Linux.

Verificare l'importazione dei dati per la categoria Minacce Windows

La regola di test di eco di Windows verifica che la registrazione di Microsoft Windows funzioni correttamente per i rilevamenti selezionati da Google SecOps. Il test prevede l'utilizzo della riga di comando in un ambiente Microsoft Windows per eseguire il comando echo con una stringa prevista e univoca.

Puoi eseguire il test dopo aver eseguito l'accesso come qualsiasi utente che abbia accesso al prompt dei comandi di Windows.

Passaggio 1: Attiva le regole di test

Accedi a Google SecOps.
Apri la pagina Rilevamento selezionati.
Espandi la sezione Test di rilevamento gestito. Potresti dover scorrere la pagina.
Fai clic su Test di rilevamento gestito di Windows nell'elenco per aprire la pagina dei dettagli.
Attiva sia Stato che Avvisi per le regole di test di rilevamento gestito di Windows.

Passaggio 2: Inviare dati di test da un dispositivo Windows

Per attivare la regola del test di eco di Windows, segui questi passaggi:

Accedi a qualsiasi dispositivo che genera dati da inviare a Google SecOps.
Apri una nuova finestra del prompt dei comandi di Microsoft Windows come qualsiasi utente.
Inserisci il seguente comando senza distinzione tra maiuscole e minuscole e premi Invio:
```
cmd.exe /c "echo hello_chronicle_world!"
```
Chiudi la finestra del prompt dei comandi.

Passaggio 3: Verificare che sia stato attivato un avviso

Verifica che il comando abbia attivato la regola tst_Windows_Echo in Google SecOps. Ciò indica che la registrazione di Microsoft Windows invia i dati come previsto. Per verificare l'avviso in Google SecOps, svolgi i seguenti passaggi:

Accedi a Google SecOps.
Apri la pagina Rilevamento selezionati.
Fai clic su Dashboard.
Verifica che la regola tst_Windows_Echo sia stata attivata nell'elenco dei rilevamenti.

Nota:ci sarà un leggero ritardo prima che l'avviso venga visualizzato in Google SecOps.

Passaggio 4: Disattiva le regole di test

Al termine, disattiva le regole Test di rilevamento gestito di Windows.

Accedi a Google SecOps.
Apri la pagina Rilevamento selezionati.
Disattiva sia Stato che Avvisi per le regole di test di rilevamento gestito di Windows.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.