Valide a carregamento de dados através de regras de teste

Compatível com:

As deteções preparadas das Operações de segurança da Google incluem um conjunto de conjuntos de regras de teste que ajudam a validar se os dados necessários para cada conjunto de regras estão no formato correto.

Estas regras de teste encontram-se na categoria Testes de deteção geridos. Cada conjunto de regras valida se os dados recebidos pelo dispositivo de teste estão num formato esperado pelas regras para essa categoria especificada.

Nome da regra definida Descrição
Google Cloud Testes de deteção geridos Verifica se os dados são carregados com êxito a partir de dispositivos suportados pela categoria Ameaças na nuvem. Google Cloud
Consulte o artigo Validar Google Cloud a carregamento de dados para a categoria Ameaças na nuvem para mais informações.
Testes de deteção geridos do Chrome Enterprise Verifica se os dados são carregados com êxito a partir de dispositivos suportados pela categoria Ameaças do Chrome Enterprise.
Consulte o artigo Valide a obtenção de dados para a categoria Ameaças do Chrome Enterprise para mais informações.
Testes de deteção geridos da AWS Verifica se os dados da AWS são carregados com êxito a partir de dispositivos suportados pela categoria Ameaças na nuvem.
Consulte o artigo Validar a ingestão de dados da AWS para a categoria Ameaças na nuvem para mais informações.
Testes de deteção gerida do Linux Verifica se os dados são carregados com êxito a partir de dispositivos suportados pela categoria Ameaças do Linux.
Consulte o artigo Valide o carregamento de dados para a categoria Ameaças do Linux para mais informações.
Testes de deteção gerida do Windows Valida se os dados são carregados com êxito a partir de dispositivos suportados pela categoria Ameaças do Windows.
Consulte o artigo Valide o carregamento de dados para a categoria Ameaças do Windows para mais informações.
Testes de deteção de dados do Office 365 Valida se os dados são carregados corretamente e estão no formato adequado para usar deteções preparadas para dados do Office 365.
Consulte o artigo Valide o carregamento de dados para a categoria do Office 365 para mais informações.
Testes de deteção de dados da Okta Valida se os dados são carregados corretamente e estão no formato adequado para usar deteções preparadas para dados do Okta.
Consulte o artigo Valide o carregamento de dados para a categoria Ameaças do Okta para mais informações.

Siga os passos descritos neste documento para testar e verificar se os dados recebidos são carregados corretamente e estão no formato correto.

Valide Google Cloud a carregamento de dados para a categoria Ameaças na nuvem

Estas regras ajudam a verificar se os dados de registo estão a ser carregados conforme esperado para as deteções preparadas do Google SecOps.

Use as seguintes regras para testar os dados com os passos que se seguem:

  • Regra Cloud Audit Metadata Testing: para acionar esta regra, adicione uma chave de metadados personalizados exclusiva e esperada a qualquer máquina virtual do Compute Engine que esteja a enviar dados para o Google SecOps.

  • Regra de testes de DNS na nuvem: para acionar esta regra, execute uma pesquisa de DNS no domínio (chronicle.security) em qualquer máquina virtual que tenha acesso à Internet e esteja a enviar dados de registo para o Google SecOps.

  • Regras de testes de deteção geridos do SCC: para acionar estas regras, execute várias ações na consola Google Cloud .

  • Regra Cloud Kubernetes Node Testing: para acionar esta regra, crie um projeto de teste que esteja a enviar dados de registo para o Google SecOps e crie um conjunto de nós exclusivo num cluster do Google Kubernetes Engine existente.

Passo 1. Ative as regras de teste

  1. Inicie sessão no Google SecOps.
  2. Abra a página Deteções organizadas.
  3. Clique em Regras e deteções > Conjuntos de regras.
  4. Expanda a secção Testes de deteção geridos. Pode ter de deslocar a página.
  5. Clique em Google Cloud Testes de deteção geridos na lista para abrir a página de detalhes.
  6. Ative o Estado e os Alertas para as regras de Testes de deteção geridos na nuvem.

Passo 2. Envie dados para a regra de teste de metadados do Cloud Audit

Para acionar o teste, conclua os seguintes passos:

  1. Escolha um projeto na sua organização.
  2. Aceda ao Compute Engine e, em seguida, escolha uma máquina virtual no projeto.
  3. Na máquina virtual, clique em Editar e, de seguida, execute os seguintes passos na secção Metadados personalizados:
    1. Clique em Adicionar item.
    2. Introduza as seguintes informações:
      • Tecla: GCTI_ALERT_VALIDATION_TEST_KEY
      • Valor: works
    3. Clique em Guardar.

  4. Siga os passos seguintes para verificar se o alerta foi acionado:

    1. Inicie sessão no Google SecOps.
    2. Abra a página Deteções organizadas e, de seguida, clique em Painel de controlo.
    3. Verifique se a regra ur_tst_Google Cloud_Cloud_Audit_Metadata foi acionada na lista de deteção.

Passo 3. Envie dados para a regra Testes de DNS na nuvem

Importante: os seguintes passos têm de ser realizados como utilizador do IAM no projeto escolhido que tem acesso a uma máquina virtual do Compute Engine.

Para acionar o teste, conclua os seguintes passos:

  1. Escolha um projeto na sua organização.
  2. Aceda ao Compute Engine e, de seguida, escolha uma máquina virtual no projeto.
    • Se for uma máquina virtual Linux, certifique-se de que tem acesso ao Secure Shell (SSH).
    • Se for uma máquina virtual do Windows, certifique-se de que tem acesso ao Protocolo de ambiente de trabalho remoto (RDP).
  3. Clique em SSH (Linux) ou RDP (Microsoft Windows) para aceder à máquina virtual.

  4. Envie dados de teste através de um dos seguintes passos:

    • Máquina virtual Linux: depois de aceder à máquina virtual através de SSH, execute um destes comandos: nslookup chronicle.security ou host chronicle.security

      Se o comando falhar, instale o dnsutils na máquina virtual através de um dos seguintes comandos:

      • sudo apt-get install dnsutils (para Debian/Ubuntu)
      • dnf install bind-utils (para RedHat/CentOS)
      • yum install bind-utils

    • Máquina virtual do Microsoft Windows: depois de aceder à máquina virtual através do RDP, aceda a qualquer navegador instalado e aceda a https://chronicle.security.

  5. Siga os passos seguintes para verificar se o alerta foi acionado:

    1. Inicie sessão no Google SecOps.
    2. Abra a página Deteções organizadas e, de seguida, clique em Painel de controlo.
    3. Verifique se a regra ur_tst_Google Cloud_Cloud_DNS_Test_Rule foi acionada na lista de deteção.

Passo 4. Envie dados para regras de testes de nós do Kubernetes na nuvem

Importante: tem de seguir os passos abaixo como utilizador do IAM no projeto escolhido que tenha acesso aos recursos do Google Kubernetes Engine. Para informações mais detalhadas sobre a criação de clusters regionais e conjuntos de nós, consulte o artigo Crie um cluster regional com um conjunto de nós de zona única. Estas regras de teste destinam-se a validar a carregamento de dados do tipo de registo KUBERNETES_NODE.

Para acionar as regras de teste, conclua os seguintes passos:

  1. Crie um projeto na sua organização com o nome chronicle-kube-test-project. Este projeto é usado apenas para testes.
  2. Navegue para a página do Google Kubernetes Engine na Google Cloud consola.
    Aceda à página do Google Kubernetes Engine
  3. Clique em Criar para criar um novo cluster regional no projeto.
  4. Configure o cluster de acordo com os requisitos da sua organização.
  5. Clique em Adicionar conjunto de nós.
  6. Atribua o nome kube-node-validation ao conjunto de nós e, de seguida, ajuste o tamanho do conjunto para 1 nó por zona.
  7. Elimine os recursos de teste:
    1. Depois de criar o node pool kube-node-validation, elimine-o.
    2. Elimine o projeto de teste chronicle-kube-test-project.

  8. Inicie sessão no Google SecOps.

  9. Abra a página Deteções organizadas e, de seguida, clique em Painel de controlo.

  10. Verifique se a regra tst_Google Cloud_Kubernetes_Node foi acionada na lista de deteção.

  11. Verifique se a regra tst_Google Cloud_Kubernetes_CreateNodePool foi acionada na lista de deteção.

Passo 5. Envie dados para regras de testes de deteção geridos do SCC

Os subpassos neste passo validam se as conclusões do Security Command Center e os dados relacionados são carregados corretamente e no formato esperado.

Os conjuntos de regras de testes de deteção geridos das CCTs na categoria Testes de deteção geridos permitem-lhe verificar se os dados necessários para os conjuntos de regras CDIR CCTs melhoradas são enviados para o Google SecOps e estão no formato correto.

Cada regra de teste valida se os dados são recebidos num formato esperado pelas regras. Executa ações no seu Google Cloud ambiente para enviar dados que vão gerar um alerta do Google SecOps.

Certifique-se de que conclui as seguintes secções deste documento necessárias para configurar serviços de início de sessão, recolher resultados do Security Command Center Premium e enviar resultados do Security Command Center para o Google SecOps: Google Cloud

Para saber mais sobre os alertas do Security Command Center descritos nesta secção, consulte o documento do Security Command Center Investigar e responder a ameaças.

Acionar a regra de teste de persistência da SCC do CDIR

Para enviar dados que acionam este alerta no Google SecOps, siga estes passos:

  1. Na Google Cloud consola, crie uma nova instância de VM e atribua temporariamente a conta de serviço predefinida do Compute Engine com privilégios de editor. Remove esta associação após a conclusão do teste.

  2. Quando a nova instância estiver disponível, atribua o Âmbito de acesso a Permitir acesso total a todas as APIs.

  3. Crie uma nova conta de serviço com as seguintes informações:

    • Defina o Nome da conta de serviço como scc-test.
    • Defina o ID da conta de serviço como scc-test.
    • Opcionalmente, introduza uma Descrição para a conta de serviço.

    Consulte o documento Crie contas de serviço para obter informações sobre como criar contas de serviço.

  4. Ligue-se através de SSH à instância de teste criada no passo anterior e, em seguida, execute o seguinte comando gcloud:

    gcloud projects add-iam-policy-binding PROJECT_NAME
--member="serviceAccount:scc-test@PROJECT_NAME.iam.gserviceaccount.com"
--role="roles/owner`"

    Substitua PROJECT_NAME pelo nome do projeto onde a instância do Compute Engine está a ser executada e onde a conta scc-test foi criada.

    O alerta do Security Command Center Persistência: concessão anómala do IAM deve ser acionado.

  5. Inicie sessão no Google SecOps e, de seguida, abra a página Alertas e IOCs.

  6. Deve ver um alerta do Google SecOps com o título Test SCC Alert: IAM Anomalous Grant given to test account.

  7. Abra a Google Cloud consola e, em seguida, faça o seguinte:

    • Remova o acesso da conta de teste do scc-test da IAM e da consola do administrador.
    • Elimine a conta de serviço através do portal Contas de serviço.
    • Elimine a instância de VM que acabou de criar.

Acione a regra de teste de software malicioso da SCC do CDIR

Para enviar dados que acionam este alerta no Google SecOps, siga estes passos:

  1. Na Google Cloud consola, estabeleça ligação através de SSH a qualquer instância de VM onde o comando curl esteja instalado.

  2. Execute o seguinte comando:

      curl etd-malware-trigger.goog

    Depois de executar este comando, o alerta do Security Command Center Malware: domínio inválido deve ser acionado.

  3. Inicie sessão no Google SecOps e, de seguida, abra a página Alertas e IOCs.

  4. Verifique se vê um alerta do Google SecOps com o título Alerta de SCC de teste: domínio mau de software malicioso.

Acione a regra de teste de evasão de defesa da SCC da CDIR

Para enviar dados que acionam este alerta no Google SecOps, siga estes passos:

  1. Inicie sessão na Google Cloud consola com uma conta que tenha acesso ao nível da organização para modificar os perímetros do VPC Service Controls.

  2. Na Google Cloud consola, aceda à página VPC Service Controls.

    Aceda aos VPC Service Controls

  3. Clique em + Novo perímetro e configure os seguintes campos na página Detalhes:

    • Título do perímetro: scc_test_perimeter.
    • Tipo de perímetro para Perímetro normal (predefinição).
    • Tipo de configuração para Aplicado.

  4. Na navegação do lado esquerdo, selecione 3 serviços restritos.

  5. Na caixa de diálogo Especificar serviços a restringir, selecione API Google Compute Engine e, de seguida, clique em Adicionar API Google Compute Engine.

  6. No painel de navegação do lado esquerdo, clique em Criar perímetro.

  7. Para modificar o perímetro, aceda à página Perímetros de serviço da VPC. Para obter informações mais detalhadas sobre como aceder a esta página, consulte o artigo Liste e descreva os perímetros de serviço.

  8. Selecione scc_test_perimeter e, de seguida, selecione Editar perímetro.

  9. Em Serviços restritos, clique no ícone Eliminar para remover o serviço API Google Compute Engine. Isto deve acionar o alerta Defense Evasion: Modify VPC Service Control Perimeter no SCC.

  10. Inicie sessão no Google SecOps e, de seguida, abra a página Alertas e IOCs.

  11. Verifique se vê um alerta do Google SecOps com o título Alerta de CCT de teste: modifique o alerta de teste do VPC Service Control.

Acione a regra de teste de exfiltração da CDIR SCC

Para enviar dados que acionam este alerta no Google SecOps, siga estes passos:

  1. Na Google Cloud consola, aceda a um Google Cloud projeto e, de seguida, abra o BigQuery.

    Aceda ao BigQuery

  2. Crie um ficheiro CSV com os seguintes dados e, em seguida, guarde-o no diretório principal:

    column1, column2, column3
data1, data2, data3
data4, data5, data6
data7, data8, data9

  3. Na navegação do lado esquerdo, escolha Criar conjunto de dados.

  4. Defina a seguinte configuração e, de seguida, clique em Criar conjunto de dados:

    • ID do conjunto de dados definido como scc_test_dataset.
    • Tipo de localização definido como Várias regiões.
    • Ativar validade da tabela: não selecione esta opção.

    Para obter informações mais detalhadas sobre a criação de um conjunto de dados, consulte o documento do BigQuery Criar conjuntos de dados.

  5. Na navegação do lado esquerdo, à direita de scc_test_dataset, clique no ícone e, de seguida, selecione Criar tabela.

  6. Crie uma tabela e defina a seguinte configuração:

    • Criar tabela a partir de: defina como Carregar.
    • Selecionar ficheiro: navegue até ao diretório principal e selecione o ficheiro CSV que criou anteriormente.
    • Formato do ficheiro: definido como CSV.
    • Conjunto de dados: definido como css_test_dataset.
    • Tipo de tabela: definido como Tabela nativa.

  7. Aceite a configuração predefinida para todos os outros campos e, de seguida, clique em Criar tabela.

    Para obter informações mais detalhadas sobre como criar uma tabela, consulte o artigo Crie e use tabelas.

  8. Na lista de recursos, selecione a tabela css_test_dataset e, de seguida, clique em Consultar e escolha no novo separador.

  9. Execute a seguinte consulta:

    SELECT * FROM TABLE_NAME LIMIT 1000`

    Substitua TABLE_NAME pelo nome da tabela totalmente qualificado.

  10. Depois de executar a consulta, clique em Guardar resultados e, de seguida, escolha CSV no Google Drive. Isto deve acionar o alerta do Security Command Center Exfiltração: exfiltração do BigQuery para o Google Drive. A descoberta do Security Command Center deve ser enviada para o Google SecOps e acionar um alerta do Google SecOps.

  11. Inicie sessão no Google SecOps e, de seguida, abra a página Alertas e IOCs.

  12. Verifique se vê um alerta do Google SecOps com o título Alerta de SCC de teste: roubo de dados do BigQuery para o Google Drive.

Passo 6: Desative as regras de teste

Quando terminar, desative as regras de Google Cloud testes de deteção geridos.

  1. Inicie sessão no Google SecOps.
  2. Abra a página Deteções organizadas.
  3. Desative o Estado e os Alertas para as regras de Google Cloud testes de deteção geridos.

Valide o carregamento de dados para a categoria Ameaças do Chrome Enterprise

A regra de teste do Chrome Enterprise verifica se o registo do Chrome Enterprise está a funcionar corretamente para deteções preparadas do Google SecOps. Este teste usa um URL de teste da Navegação Segura que deve apresentar um aviso de phishing.

Passo 1. Ative as regras de teste

Para ativar as regras de teste, faça o seguinte:

  1. Inicie sessão no Google SecOps.
  2. Abra a página Deteções organizadas.
  3. Expanda a secção Testes de deteção geridos. Pode ter de deslocar a página.
  4. Clique em Testes de deteção geridos do Chrome Enterprise na lista para abrir a página de detalhes.
  5. Ative o Estado e os Alertas para as regras de testes de deteção geridos do Chrome Enterprise.

Passo 2. Envie dados de teste a partir de um navegador Chrome gerido

Para acionar a regra de teste do Chrome Enterprise, faça o seguinte:

  1. Abra um navegador Chrome gerido por uma conta do Chrome Enterprise.
  2. Abra um novo separador e aceda ao URL de teste da Navegação Segura; deve ver uma mensagem de aviso.
  3. Feche o navegador.

Passo 3. Verifique se foi acionado um alerta

Confirme que o acesso ao URL de teste da Navegação Segura acionou a regra tst_chrome_enterprise_phishing_url no Google SecOps. Isto indica que o registo do Chrome Enterprise está a enviar dados, conforme esperado.

Para validar o alerta no Google SecOps, faça o seguinte:

  1. Inicie sessão no Google SecOps.
  2. Abra a página Deteções organizadas.
  3. Clique em Painel de controlo.
  4. Verifique se a regra tst_chrome_enterprise_phishing_url foi acionada na lista de deteção.

Passo 4. Desative as regras de teste

Quando terminar os testes, desative as regras de testes de deteção geridas do Chrome Enterprise:

  1. Inicie sessão no Google SecOps.
  2. Abra a página Deteções organizadas.
  3. Desative o Estado e os Alertas para as regras de testes de deteção geridas do Chrome Enterprise.

Valide o carregamento de dados da AWS para a categoria Ameaças na nuvem

Pode usar regras de teste de testes de deteção geridos pela AWS para verificar se os dados da AWS estão a ser carregados para o Google SecOps. Estas regras de teste ajudam a verificar se os dados da AWS foram carregados e estão no formato esperado. Depois de configurar o carregamento de dados da AWS, realiza ações na AWS que devem acionar as regras de teste.

  • O utilizador que ativa estas regras no motor de deteção tem de ter a autorização de IAM curatedRuleSetDeployments.batchUpdate.
  • O utilizador que executa os passos para enviar dados da AWS tem de ter as autorizações da AWS IAM para editar as etiquetas de uma instância do EC2 na conta escolhida. Para mais informações sobre a etiquetagem de instâncias do EC2, consulte o documento da AWS Etiquete os seus recursos do Amazon EC2.

Ative as regras de teste de testes de deteção geridos pela AWS

  1. No Google SecOps, clique em Deteções > Regras e deteções para abrir a página Deteções preparadas.
  2. Selecione Testes de deteção geridos > Testes de deteção geridos da AWS.
  3. Ativou o Estado e os Alertas para as regras Abrangente e Precisa.

Verifique se as ações de etiquetas na AWS acionam a regra de teste

Efetue os seguintes passos para verificar se as ações de etiquetas na AWS acionam o conjunto de regras.

Passo 1. Gerar um evento de registo na AWS.

  1. Escolha uma conta no seu ambiente da AWS.
  2. Aceda ao painel de controlo do EC2 e, de seguida, escolha uma instância na conta.
  3. Na instância do EC2, clique em Ações > Definições da instância e execute o seguinte na secção Gerir etiquetas:
    1. Clique em Adicionar nova etiqueta.
    2. Introduza as seguintes informações:
    3. Chave: GCTI_ALERT_VALIDATION_TEST_KEY
    4. Valor: works
    5. Clique em Guardar.

Para informações mais detalhadas, consulte o artigo Adicione ou remova etiquetas de instâncias do EC2.

Passo 2. Verifique se os alertas de teste são acionados.

Depois de realizar a tarefa no passo anterior, verifique se a regra AWS CloudTrail Test Rule é acionada. Isto indica que os registos do CloudTrail foram registados e enviados para o Google SecOps como esperado. Siga estes passos para validar o alerta:

  1. No Google SecOps, clique em Deteções > Regras e deteções para abrir a página Deteções preparadas.
  2. Clique em Painel de controlo.
  3. Na lista de deteções, verifique se a regra tst_AWS_Cloud_Trail_Tag foi acionada.

Verifique se as conclusões de exemplo do AWS GuardDuty acionam regras de teste

Para garantir que os alertas do GuardDuty funcionam conforme esperado no seu ambiente, pode enviar resultados de amostra do GuardDuty para o Google SecOps.

Passo 1. Gerar dados de resultados de amostra do GuardDuty.

  1. Navegue para a página inicial da consola da AWS.
  2. Em Segurança, identidade e conformidade, abra o GuardDuty.
  3. Navegue para as Definições do GuardDuty.
  4. Clique em Gerar resultados de amostra.

Para mais informações sobre como gerar resultados de amostra do GuardDuty, consulte o artigo Gerar resultados de amostra no GuardDuty.

Passo 2. Verifique se os alertas de teste foram acionados.

  1. No Google SecOps, clique em Deteção > Regras e deteções para abrir a página Deteções preparadas.
  2. Clique em Painel de controlo.
  3. Verifique se a regra de teste do AWS CloudTrail foi acionada na lista de deteção.

Desative os conjuntos de regras de testes de deteção geridos pela AWS

  1. No Google SecOps, clique em Deteção > Regras e deteções para abrir a página Deteções preparadas.
  2. Selecione Testes de deteção geridos > Regras de testes de deteção geridos da AWS.
  3. Desative o Estado e os Alertas para as regras Abrangente e Precisa.

Valide a obtenção de dados para a categoria Ameaças do Linux

As regras de testes de deteção geridos do Linux validam se o registo num sistema Linux está a funcionar corretamente para as deteções preparadas do Google SecOps. Os testes envolvem a utilização do comando Bash num ambiente Linux para executar vários comandos e podem ser realizados por qualquer utilizador que tenha acesso ao comando Bash do Linux.

Passo 1. Ative as regras de teste

  1. Inicie sessão no Google SecOps.
  2. Abra a página Deteções organizadas.
  3. Clique em Regras e deteções > Conjuntos de regras.
  4. Expanda a secção Testes de deteção geridos. Pode ter de deslocar a página.
  5. Clique em Testes de deteção geridos do Linux na lista para abrir a página de detalhes.
  6. Ative o Estado e os Alertas para as regras de Testes de deteção geridos do Linux.

Passo 2. Envie dados de teste a partir de um dispositivo Linux

Para acionar as regras de teste de testes de deteção geridos do Linux, siga estes passos:

  1. Aceder a qualquer dispositivo Linux onde os dados estão a ser enviados para o Google SecOps.
  2. Abra uma nova interface de linha de comandos do Linux Bash como qualquer utilizador.

  3. Introduza o seguinte comando e, de seguida, prima Enter:

    /bin/echo hello_chronicle_world!

Nota: tem de usar o ficheiro binário echo em vez do comando echo integrado na shell do Linux.

  1. Introduza o seguinte comando e, de seguida, prima Enter:

    sudo useradd test_chronicle_account

  2. Remova a conta de teste criada no passo anterior. Execute o seguinte comando:

    sudo userdel test_chronicle_account

  3. Introduza o seguinte comando e, de seguida, prima Enter:

    su

  4. Quando lhe for pedida a palavra-passe, introduza qualquer string aleatória. Repare que a mensagem su: Authentication failure é apresentada.

  5. Feche a janela do Bash.

Passo 3. Confirme se os alertas foram acionados no Google SecOps

Verifique se o comando acionou as regras tst_linux_echo, tst_linux_failed_su_login e tst_linux_test_account_creation no Google SecOps. Isto indica que os registos do Linux são escritos e enviados conforme esperado. Para validar o alerta no Google SecOps, efetue os seguintes passos:

  1. Inicie sessão no Google SecOps.
  2. Abra a página Deteções organizadas.
  3. Clique em Painel de controlo.

  4. Verifique se as regras tst_linux_echo, tst_linux_failed_su_login e tst_linux_test_account_creation foram acionadas na lista de deteção.

Passo 4. Desative as regras de teste

Quando terminar, desative as regras de testes de deteção geridos pelo Linux.

  1. Inicie sessão no Google SecOps.
  2. Abra a página Deteções organizadas.
  3. Desative o Estado e os Alertas para as regras de testes de deteção geridos do Linux.

Valide a obtenção de dados para a categoria Ameaças do Windows

A regra de teste de eco do Windows verifica se o registo do Microsoft Windows está a funcionar corretamente para deteções preparadas do Google SecOps. O teste envolve a utilização da linha de comandos num ambiente Microsoft Windows para executar o comando echo com uma string esperada e única.

Pode executar o teste enquanto tiver sessão iniciada como qualquer utilizador que tenha acesso à Linha de comandos do Windows.

Passo 1. Ative as regras de teste

  1. Inicie sessão no Google SecOps.
  2. Abra a página Deteções organizadas.
  3. Expanda a secção Testes de deteção geridos. Pode ter de deslocar a página.
  4. Clique em Testes de deteção geridos do Windows na lista para abrir a página de detalhes.
  5. Ative o Estado e os Alertas para as regras de testes de deteção geridos do Windows.

Passo 2. Envie dados de teste a partir de um dispositivo Windows

Para acionar a regra de teste de eco do Windows, siga estes passos:

  1. Aceder a qualquer dispositivo que gere dados a enviar para o Google SecOps.
  2. Abra uma nova janela da Linha de comandos do Microsoft Windows como qualquer utilizador.

  3. Introduza o seguinte comando sem distinção entre maiúsculas e minúsculas e, de seguida, prima Enter:

    cmd.exe /c "echo hello_chronicle_world!"

  4. Feche a janela Linha de comandos.

Passo 3. Verifique se foi acionado um alerta

Confirme se o comando acionou a regra tst_Windows_Echo no Google SecOps. Isto indica que o registo do Microsoft Windows está a enviar dados como esperado. Para validar o alerta no Google SecOps, efetue os seguintes passos:

  1. Inicie sessão no Google SecOps.
  2. Abra a página Deteções organizadas.
  3. Clique em Painel de controlo.

  4. Verifique se a regra tst_Windows_Echo foi acionada na lista de deteção.

    Nota: vai haver um ligeiro atraso na apresentação do alerta no Google SecOps.

Passo 4. Desative as regras de teste

Quando terminar, desative as regras de testes de deteção geridos pelo Windows.

  1. Inicie sessão no Google SecOps.
  2. Abra a página Deteções organizadas.
  3. Desative o Estado e os Alertas para as regras de Testes de deteção geridos do Windows.

Valide o carregamento de dados para a categoria de dados do Office 365

Verifique se os dados são carregados corretamente e estão no formato adequado para usar deteções preparadas para dados do Office 365.

Passo 1. Carregue dados do Office 365

Tem de carregar dados de todas as origens de dados indicadas nas instruções de carregamento do Google SecOps para ter a cobertura máxima de regras. Para mais informações sobre como carregar dados para os serviços do Office 365, consulte o artigo Recolha registos do Microsoft Office 365.

Passo 2. Valide o carregamento de dados do Office 365

O painel de controlo de ingestão de dados e estado do Google SecOps permite-lhe ver informações sobre o tipo, o volume e o estado de todos os dados que estão a ser carregados para o Google SecOps através das funcionalidades de carregamento do SIEM.

Também pode usar regras de teste de deteção gerida do Office 365 para validar o carregamento de dados do Office 365. Assim que a carregamento estiver configurado, acione as regras de teste executando ações no Office 365. Estas regras garantem que os dados são carregados corretamente e estão no formato adequado para usar deteções preparadas para dados do Office 365.

Passo 3. Ative as regras de teste de testes de deteção geridos do Azure

  1. No Google SecOps, clique em Deteções > Regras e deteções para abrir a página Deteções organizadas e conjuntos de regras.

  2. Selecione Testes de deteção geridos > Testes de deteção geridos do Office 365.

  3. Ative o Estado e os Alertas para as regras Abrangente e Precisa.

Passo 4. Envie dados de ações do utilizador para acionar as regras de teste

Para verificar se os dados são carregados conforme esperado, crie uma regra da caixa de entrada com um nome específico para verificar se estas ações acionam as regras de teste. Para ver informações sobre como criar regras da caixa de entrada no Outlook, consulte o artigo Gerir mensagens de email através de regras no Outlook.

Para criar uma regra da caixa de entrada no Outlook 365, pode usar a funcionalidade Regras na secção Mail. Também pode criar uma regra clicando com o botão direito do rato num email.

Passo 5. Crie uma regra da caixa de entrada com a funcionalidade Regras

Seguem-se alguns exemplos de utilização para criar uma regra da caixa de entrada através da funcionalidade Regras:

Regra de teste 1

  1. Clique em Mail e selecione Regras.
  2. Introduza GoogleSecOpsTest para o nome da regra.
  3. Selecione uma condição na lista.
  4. Selecione uma ação na lista.
  5. Clique em Adicionar uma condição ou Adicionar uma ação para adicionar mais condições ou ações, conforme necessário.
  6. Clique em OK.

Regra de teste 2

  1. Aceda ao SharePoint ou ao OneDrive.
  2. Na barra de pesquisa, introduza GoogleSecOpsTest.

Valide os resultados

Faça o seguinte para verificar se os alertas são criados no Google SecOps:

  1. No Google SecOps, clique em Deteções > Regras e deteções para abrir a página Deteções preparadas.
  2. Clique em Painel de controlo.
  3. Na lista de deteções, verifique se as seguintes regras foram acionadas:
    • tst_o365_email.yl2
    • tst_of65_sharepoint_onedrive.yl2
  4. Depois de confirmar que os dados são enviados e as regras são acionadas, desative a regra da caixa de entrada criada em Regra de teste 1.

Valide o carregamento de dados para a categoria de ameaças do Okta

Verifica se os dados são carregados corretamente e estão no formato adequado para usar deteções preparadas para dados do Okta.

Passo 1. Carregue dados da Okta

Para garantir a cobertura máxima das regras, tem de carregar dados de todas as origens de dados indicadas nas instruções de carregamento do Google SecOps. Para mais informações sobre como carregar dados para os serviços Okta, consulte o artigo Recolha registos do Okta.

Passo 2. Valide o carregamento de dados do Okta

O painel de controlo de ingestão de dados e estado do Google SecOps permite-lhe ver informações sobre o tipo, o volume e o estado de todos os dados que estão a ser carregados para o Google SecOps através das funcionalidades de carregamento do SIEM.

Também pode usar regras de teste de deteção gerida do Okta para verificar o carregamento de dados do Office 365. Assim que a carregamento estiver configurado, acione as regras de teste executando ações no Office 365. Estas regras garantem que os dados são carregados corretamente e estão no formato adequado para usar deteções preparadas para dados do Office 365.

Passo 3. Ative as regras de testes de deteção geridos do Okta

  1. No Google SecOps, clique em Deteções > Regras e deteções para abrir a página Deteções organizadas e conjuntos de regras.

  2. Selecione Testes de deteção geridos > Testes de deteção geridos do Office 365.

  3. Ative o Estado e os Alertas para as regras Abrangente e Precisa.

Passo 4. Envie dados de ações do utilizador para acionar as regras de teste

Para verificar se os dados são carregados conforme esperado, crie uma regra da caixa de entrada com um nome específico para verificar se estas ações acionam as regras de teste. Este evento vai acionar um evento de início de sessão do Okta falhado para um utilizador desconhecido.

Regra de teste 1

  1. Aceda ao URL do inquilino do Okta.

  2. No campo Nome de utilizador, introduza GoogleSecOpsTest.

  3. No campo Palavra-passe, introduza qualquer string.

  4. Clique em Iniciar sessão.

Valide os resultados

Faça o seguinte para verificar se os alertas são criados no Google SecOps: 1. No Google SecOps, clique em Deteções > Regras e deteções para abrir a página Deteções preparadas. 1. Clique em Painel de controlo. 1. Na lista de deteções, verifique se as seguintes regras foram acionadas: * Okta Unknown User Login Test (tst_okta_login_by_unknown_user.yl2) Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.