使用测试规则验证数据提取
Google Security Operations 精选的检测包含一组测试规则集,可帮助您验证每个规则集所需的数据格式是否正确。
这些测试规则位于受管理的检测测试类别下。每个规则集都会验证测试设备收到的数据是否采用了相应类别规则所预期的格式。
| 规则集名称 | 说明 |
|---|---|
| Google Cloud 托管式检测测试 | 验证 Google Cloud 系统是否已成功从 Cloud Threats 类别支持的设备提取数据。 如需了解详情,请参阅验证 Google Cloud “云端威胁”类别的数据提取。 |
| AWS 托管的检测测试 | 验证是否已成功从 Cloud Threats 类别支持的设备提取 AWS 数据。 如需了解详情,请参阅验证“云端威胁”类别的 AWS 数据提取。 |
| Linux 托管式检测测试 | 验证是否已成功从 Linux 威胁类别支持的设备提取数据。 如需了解详情,请参阅验证 Linux 威胁类别的数据提取。 |
| Windows 托管检测测试 | 验证是否已成功从 Windows 威胁类别支持的设备提取数据。 如需了解详情,请参阅验证 Windows 威胁类别的数据提取。 |
请按照本文档中的步骤测试并验证传入数据是否已正确提取且格式正确无误。
验证 Google Cloud “云端威胁”类别的数据提取
这些规则有助于验证日志数据是否按预期提取到 Google SecOps 精选检测中。
请按照以下步骤使用以下规则测试数据:
Cloud Audit Metadata Testing 规则:如需触发此规则,请向向 Google SecOps 发送数据的任何 Compute Engine 虚拟机添加唯一且预期的自定义元数据键。
Cloud DNS 测试规则:如需触发此规则,请对有权访问互联网且正在向 Google SecOps 发送日志数据的任何虚拟机中的网域 (
chronicle.security) 执行 DNS 查找。SCC 管理的检测测试规则:如需触发这些规则,请在 Google Cloud 控制台中执行多项操作。
Cloud Kubernetes 节点测试规则:如需触发此规则,请创建一个将日志数据发送到 Google SecOps 的测试项目,并在现有的 Google Kubernetes Engine 集群中创建一个唯一的节点池。
第 1 步:启用测试规则
- 登录 Google SecOps。
- 打开“精选检测”页面。
- 依次点击规则和检测 > 规则集。
- 展开受管理检测测试部分。您可能需要滚动页面。
- 点击列表中的 Google Cloud 受管检测测试,以打开详情页面。
- 为 Cloud 托管式检测测试规则同时启用状态和提醒。
第 2 步:为 Cloud Audit Metadata Testing 规则发送数据
如需触发测试,请完成以下步骤:
- 选择贵组织内的项目。
- 前往 Compute Engine,然后选择项目中的虚拟机。
- 在虚拟机中,点击修改,然后在自定义元数据部分下执行以下步骤:
- 点击添加一项。
- 请输入以下信息:
- 键:
GCTI_ALERT_VALIDATION_TEST_KEY - 值:
works
- 键:
- 点击保存。
请执行以下步骤来验证是否触发了提醒:
- 登录 Google SecOps。
- 打开“精选检测”页面,然后点击信息中心。
- 检查检测列表中是否触发了 ur_tst_Google Cloud_Cloud_Audit_Metadata 规则。
第 3 步:发送 Cloud DNS 测试规则的数据
重要提示:必须以所选项目中具有对 Compute Engine 虚拟机访问权限的 IAM 用户身份执行以下步骤。
如需触发测试,请完成以下步骤:
- 选择贵组织内的项目。
- 前往 Compute Engine,然后选择项目中的虚拟机。
- 如果是 Linux 虚拟机,请确保您拥有 Secure Shell (SSH) 访问权限。
- 如果是 Windows 虚拟机,请确保您有远程桌面协议 (RDP) 访问权限。
- 点击 SSH (Linux) 或 RDP (Microsoft Windows) 以访问虚拟机。
请按照以下任一步骤发送测试数据:
Linux 虚拟机:使用 SSH 访问虚拟机后,运行以下命令之一:
nslookup chronicle.security或host chronicle.security如果该命令失败,请使用以下命令之一在虚拟机上安装
dnsutils:sudo apt-get install dnsutils(适用于 Debian/Ubuntu)dnf install bind-utils(适用于 RedHat/CentOS)yum install bind-utils
Microsoft Windows 虚拟机:使用 RDP 访问虚拟机后,打开任何已安装的浏览器,然后浏览到 https://chronicle.security。
请执行以下步骤来验证是否触发了提醒:
- 登录 Google SecOps。
- 打开“精选检测”页面,然后点击信息中心。
- 检查检测列表中是否触发了 ur_tst_Google Cloud_Cloud_DNS_Test_Rule 规则。
第 4 步:发送 Cloud Kubernetes 节点测试规则的数据
重要提示:必须以所选项目中拥有 Google Kubernetes Engine 资源访问权限的 IAM 用户身份执行以下步骤。如需详细了解如何创建区域级集群和节点池,请参阅创建具有单可用区节点池的区域级集群。这些测试规则旨在验证从 KUBERNETES_NODE 日志类型提取数据。
如需触发测试规则,请完成以下步骤:
- 在您的组织中创建一个名为
chronicle-kube-test-project的项目。此项目仅用于测试。 - 前往 Google Cloud 控制台中的 Google Kubernetes Engine 页面。
前往 Google Kubernetes Engine 页面 - 点击创建,在项目中创建新的地区性集群。
- 根据贵组织的要求配置集群。
- 点击 add_box 添加节点池。
- 将节点池命名为
kube-node-validation,然后将池大小调整为每个可用区 1 个节点。 - 删除测试资源:
- 创建
kube-node-validation节点池后,删除该节点池。 - 删除
chronicle-kube-test-project测试项目。
- 创建
打开“精选检测”页面,然后点击信息中心。
检查检测列表中是否触发了 tst_Google Cloud_Kubernetes_Node 规则。
检查检测列表中是否触发了 tst_Google Cloud_Kubernetes_CreateNodePool 规则。
第 5 步:发送SCC 管理的检测测试规则的数据
此步骤中的子步骤用于验证 Security Command Center 发现结果和相关数据是否已正确提取且采用预期格式。
借助受管检测测试类别下的 SCC 受管检测测试规则集,您可以验证 CDIR SCC 增强型规则集所需的数据是否已发送到 Google SecOps 且格式是否正确。
每条测试规则都会验证收到的数据是否采用规则预期的格式。您在 Google Cloud 环境中执行操作,以发送会生成 Google SecOps 提醒的数据。
请务必完成本文档中配置 Google Cloud 服务日志记录、收集 Security Command Center Premium 发现结果以及将 Security Command Center 发现结果发送到 Google SecOps 所需的部分:
如需详细了解本部分介绍的 Security Command Center 提醒,请参阅 Security Command Center 文档调查和响应威胁。
触发 CDIR SCC 持久性测试规则
如需发送在 Google SecOps 中触发此提醒的数据,请执行以下步骤:
在 Google Cloud 控制台中,创建一个新的虚拟机实例,并暂时向 Compute Engine 默认服务账号分配编辑者权限。您可以在测试完成后移除此信息。
新实例可用后,将访问权限范围分配为允许对所有 API 的全面访问权限。
使用以下信息创建新的服务账号:
- 将服务账号名称设置为
scc-test。 - 将服务账号 ID 设置为
scc-test。 - 您可以选择为服务账号输入说明。
如需了解如何创建服务账号,请参阅创建服务账号文档。
- 将服务账号名称设置为
使用 SSH 连接到在上一步中创建的测试实例,然后执行以下
gcloud命令:gcloud projects add-iam-policy-binding PROJECT_NAME --member="serviceAccount:scc-test@PROJECT_NAME.iam.gserviceaccount.com" --role="roles/owner`"将
PROJECT_NAME替换为运行 Compute Engine 实例且创建了scc-test账号的项目的名称。系统应触发 Persistence: IAM Anomalous Grant Security Command Center 提醒。
登录 Google SecOps,然后打开提醒和 IOC 页面。
您应该会看到标题为 Test SCC Alert: IAM Anomalous Grant given to test account 的 Google SecOps 提醒。
打开 Google Cloud 控制台,然后执行以下操作:
- 从 IAM 和管理控制台中移除
scc-test测试账号的访问权限。 - 使用服务账号门户删除服务账号。
- 删除您刚刚创建的虚拟机实例。
- 从 IAM 和管理控制台中移除
触发 CDIR SCC 恶意软件测试规则
如需发送在 Google SecOps 中触发此提醒的数据,请执行以下步骤:
在 Google Cloud 控制台中,使用 SSH 连接到安装了
curl命令的任何虚拟机实例。执行以下命令:
curl etd-malware-trigger.goog执行此命令后,Security Command Center 应会触发恶意软件:不良网域提醒。
登录 Google SecOps,然后打开提醒和入侵检测对象页面。
验证您是否看到标题为 Test SCC Alert: Malware Bad Domain 的 Google SecOps 提醒。
触发 CDIR SCC 防护规避测试规则
如需发送在 Google SecOps 中触发此提醒的数据,请执行以下步骤:
使用具有组织级访问权限的账号登录 Google Cloud 控制台,以修改 VPC Service Control 边界。
在 Google Cloud 控制台中,转到 VPC Service Controls 页面。
点击 +New Perimeter(新建边界),然后在详细信息页面中配置以下字段:
- 边界标题:
scc_test_perimeter。 - 边界类型为常规边界(默认)。
- Config Type(配置类型)更改为 Enforced(强制执行)。
- 边界标题:
在左侧导航栏中,选择3 项受限服务。
在指定要限制的服务对话框中,选择 Google Compute Engine API,然后点击 Add Google Compute Engine API(添加 Google Compute Engine API)。
在左侧导航栏中,点击创建边界。
如需修改边界,请前往 VPC 服务边界页面。如需详细了解如何访问此页面,请参阅列出和描述服务边界。
选择
scc_test_perimeter,然后选择修改边界。在受限服务下,点击删除图标以移除 Google Compute Engine API 服务。这应会触发 SCC 中的 Defense Evasion: Modify VPC Service Control Perimeter 提醒。
登录 Google SecOps,然后打开提醒和 IOC 页面。
确认您看到标题为 Test SCC Alert: Modify VPC Service Control Test Alert 的 Google SecOps 提醒。
触发 CDIR SCC 渗漏测试规则
如需发送在 Google SecOps 中触发此提醒的数据,请执行以下步骤:
在 Google Cloud 控制台中,前往 Google Cloud 项目,然后打开 BigQuery。
创建一个包含以下数据的 CSV 文件,然后将其保存到您的主目录:
column1, column2, column3 data1, data2, data3 data4, data5, data6 data7, data8, data9在左侧导航栏中,选择创建数据集。
设置以下配置,然后点击创建数据集:
- 数据集 ID 设为
scc_test_dataset。 - 位置类型设置为多区域。
- 启用表过期时间:请勿选择此选项。
如需详细了解如何创建数据集,请参阅 BigQuery 文档中的创建数据集。
- 数据集 ID 设为
在左侧导航栏中,点击
scc_test_dataset右侧的 more_vert 图标,然后选择创建表格。创建一个表并设置以下配置:
- 基于以下数据创建表:设为上传。
- 选择文件:浏览到您的主目录,然后选择您之前创建的 CSV 文件。
- 文件格式:设为 CSV。
- 数据集:设置为
css_test_dataset。 - 表类型:设置为原生表。
接受所有其他字段的默认配置,然后点击创建表。
如需详细了解如何创建表,请参阅创建和使用表。
在资源列表中,选择
css_test_dataset表,然后点击查询并选择在新标签页中。请运行以下查询:
SELECT * FROM TABLE_NAME LIMIT 1000`将
TABLE_NAME替换为完全限定的表名称。查询执行完毕后,点击保存结果,然后选择 Google 云端硬盘中的 CSV 文件。这应该会触发 Exfiltration: BigQuery Exfiltration to Google Drive Security Command Center 提醒。Security Command Center 发现结果应发送到 Google SecOps 并触发 Google SecOps 提醒。
登录 Google SecOps,然后打开提醒和 IOC 页面。
确认您看到标题为 Test SCC Alert: BigQuery Exfiltration to Google Drive 的 Google SecOps 提醒。
第 6 步:停用测试规则
完成后,停用 Google Cloud Managed Detection Testing 规则。
- 登录 Google SecOps。
- 打开“精选检测”页面。
- 为 Google Cloud “受管检测测试”规则停用状态和提醒。
验证“云端威胁”类别的 AWS 数据提取
您可以使用 AWS 托管式检测测试规则来验证 AWS 数据是否已提取到 Google SecOps。这些测试规则有助于验证 AWS 数据是否已提取且采用预期格式。设置 AWS 数据提取后,您可以在 AWS 中执行应触发测试规则的操作。
- 在检测引擎中启用这些规则的用户必须拥有
curatedRuleSetDeployments.batchUpdateIAM 权限。 - 执行发送 AWS 数据步骤的用户必须拥有 AWS IAM 权限,才能修改所选账号中 EC2 实例的标记。如需详细了解如何标记 EC2 实例,请参阅 AWS 文档为 Amazon EC2 资源添加标记。
启用 AWS 托管式检测测试规则
- 在 Google SecOps 中,依次点击检测 > 规则和检测,打开“精选检测”页面。
- 依次选择托管式检测测试 > AWS 托管式检测测试。
- 为宽泛和精确规则启用了状态和提醒。
验证 AWS 中的代码操作是否触发了测试规则
请执行以下步骤,验证 AWS 中的代码段操作是否触发了规则集。
第 1 步:在 AWS 中生成日志事件。
- 选择 AWS 环境中的某个账号。
- 前往 EC2 信息中心,然后选择账号中的实例。
- 在 EC2 实例中,依次点击操作 > 实例设置,然后在管理标记部分下执行以下操作:
- 点击添加新代码。
- 请输入以下信息:
- 键:
GCTI_ALERT_VALIDATION_TEST_KEY - 值:
works - 点击保存。
如需了解更多详情,请参阅添加或移除 EC2 实例标记。
第 2 步:验证是否触发了测试提醒。
执行上一步中的任务后,验证是否触发了 AWS CloudTrail Test Rule 规则。这表示 CloudTrail 日志已按预期记录并发送到 Google SecOps。请执行以下步骤验证提醒:
- 在 Google SecOps 中,依次点击检测 > 规则和检测,打开“精选检测”页面。
- 点击信息中心。
- 在检测列表中,检查是否触发了 tst_AWS_Cloud_Trail_Tag 规则。
验证 AWS GuardDuty 示例发现结果是否触发了测试规则
为确保 GuardDuty 提醒在您的环境中按预期运行,您可以将 GuardDuty 示例发现结果发送给 Google SecOps。
第 1 步:生成 GuardDuty 示例发现数据。
- 前往 AWS 控制台首页。
- 在安全性、身份和合规性下,打开 GuardDuty。
- 前往 GuardDuty 的设置。
- 点击生成示例分析结果。
如需详细了解如何生成 GuardDuty 示例发现结果,请参阅在 GuardDuty 中生成示例发现结果。
第 2 步:验证是否触发了测试提醒。
- 在 Google SecOps 中,依次点击检测 > 规则和检测,打开“精选检测”页面。
- 点击信息中心。
- 检查检测列表中是否触发了 AWS CloudTrail Test Rule。
停用 AWS 托管式检测测试规则集
- 在 Google SecOps 中,依次点击检测 > 规则和检测,打开“精选检测”页面。
- 依次选择托管式检测测试 > AWS 托管式检测测试规则。
- 为宽泛和精确规则停用状态和提醒。
验证 Linux 威胁类别的数据提取
Linux 托管式检测测试规则用于验证 Linux 系统上的日志记录是否针对 Google SecOps 精选检测正常运行。这些测试涉及在 Linux 环境中使用 Bash 提示符运行各种命令,并且可以由有权访问 Linux Bash 提示符的任何用户执行。
第 1 步:启用测试规则
- 登录 Google SecOps。
- 打开“精选检测”页面。
- 依次点击规则和检测 > 规则集。
- 展开受管理检测测试部分。您可能需要滚动页面。
- 点击列表中的 Linux 托管式检测测试,以打开详情页面。
- 为 Linux 托管式检测测试规则同时启用状态和提醒。
第 2 步:从 Linux 设备发送测试数据
如需触发 Linux 托管式检测测试测试规则,请执行以下步骤:
- 访问正在将数据发送到 Google SecOps 的任何 Linux 设备。
- 以任何用户身份打开新的 Linux Bash 提示符命令行界面。
输入以下命令,然后按 Enter 键:
/bin/echo hello_chronicle_world!
注意:您必须使用 echo 二进制文件,而不是 Linux shell 内置的 echo 命令。
输入以下命令,然后按 Enter 键:
sudo useradd test_chronicle_account移除在上一步中创建的测试账号。执行以下命令:
sudo userdel test_chronicle_account输入以下命令,然后按 Enter 键:
su当系统提示输入密码时,输入任意随机字符串。请注意,系统会显示
su: Authentication failure消息。关闭 Bash 窗口。
第 3 步:验证 Google SecOps 中是否触发了提醒
验证该命令是否触发了 Google SecOps 中的 tst_linux_echo、tst_linux_failed_su_login 和 tst_linux_test_account_creation 规则。这表示 Linux 日志已按预期写入和发送。如需在 Google SecOps 中验证提醒,请执行以下步骤:
- 登录 Google SecOps。
- 打开“精选检测”页面。
- 点击信息中心。
验证检测列表中是否触发了 tst_linux_echo、tst_linux_failed_su_login 和 tst_linux_test_account_creation 规则。
第 4 步:停用测试规则
完成后,停用 Linux 受管检测测试规则。
- 登录 Google SecOps。
- 打开“精选检测”页面。
- 为 Linux 托管式检测测试规则停用状态和提醒。
验证 Windows 威胁类别的数据提取
Windows Echo 测试规则用于验证 Microsoft Windows 日志记录功能是否适用于 Google SecOps 精选检测。该测试涉及在 Microsoft Windows 环境中使用命令提示符,通过预期且唯一的字符串运行 echo 命令。
您可以登录为有权访问 Windows 命令提示符的任何用户,然后运行测试。
第 1 步:启用测试规则
- 登录 Google SecOps。
- 打开“精选检测”页面。
- 展开受管理检测测试部分。您可能需要滚动页面。
- 点击列表中的 Windows 托管式检测测试,以打开详情页面。
- 为 Windows 托管式检测测试规则同时启用状态和提醒。
第 2 步:从 Windows 设备发送测试数据
如需触发 Windows Echo 测试规则,请执行以下步骤:
- 访问会生成要发送到 Google SecOps 的数据的任何设备。
- 以任何用户身份打开新的 Microsoft Windows 命令提示符窗口。
输入不区分大小写的以下命令,然后按 Enter 键:
cmd.exe /c "echo hello_chronicle_world!"关闭命令提示符窗口。
第 3 步:验证是否触发了提醒
验证该命令是否触发了 Google SecOps 中的 tst_Windows_Echo 规则。这表示 Microsoft Windows 日志记录正在按预期发送数据。如需在 Google SecOps 中验证提醒,请执行以下步骤:
- 登录 Google SecOps。
- 打开“精选检测”页面。
- 点击信息中心。
验证检测列表中是否触发了 tst_Windows_Echo 规则。
注意:提醒会在 Google SecOps 中显示,但会稍有延迟。
第 4 步:停用测试规则
完成后,停用 Windows 管理检测测试规则。
- 登录 Google SecOps。
- 打开“精选检测”页面。
- 为 Windows 托管式检测测试规则停用状态和提醒。
需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。