Datenaufnahme mit Testregeln prüfen

Die von Google Security Operations ausgewählten Erkennungen enthalten eine Reihe von Testregelsätzen, mit denen Sie prüfen können, ob die für jeden Regelsatz erforderlichen Daten im richtigen Format vorliegen.

Diese Testregeln befinden sich in der Kategorie Managed Detection Testing. Mit jedem Regelsatz wird überprüft, ob die vom Testgerät empfangenen Daten in einem Format vorliegen, das von den Regeln für die jeweilige Kategorie erwartet wird.

Name des Regelsatzes Beschreibung
Tests zur verwalteten Erkennung durch die GCP Prüft, ob Google Cloud-Daten erfolgreich von Geräten aufgenommen wurden, die von der Kategorie „Cloud Threats“ unterstützt werden.
Weitere Informationen finden Sie unter Google Cloud-Datenaufnahme für die Cloud Threats-Kategorie prüfen.
Tests mit verwalteter AWS-Erkennung Prüft, ob AWS-Daten erfolgreich von Geräten aufgenommen wurden, die von der Cloud Threats-Kategorie unterstützt werden.
Weitere Informationen finden Sie unter AWS-Datenaufnahme für die Cloud Threats-Kategorie prüfen.
Linux-verwaltete Erkennungstests Überprüft, ob Daten erfolgreich von Geräten aufgenommen wurden, die von der Linux Threats-Kategorie unterstützt werden.
Weitere Informationen finden Sie unter Datenaufnahme für Linux-Bedrohungen prüfen.
Windows-verwaltete Erkennungstests Überprüft, ob Daten erfolgreich von Geräten aufgenommen wurden, die von der Kategorie „Windows-Bedrohungen“ unterstützt werden.
Weitere Informationen finden Sie unter Datenaufnahme für die Kategorie „Windows-Bedrohungen“ überprüfen.

Führen Sie die Schritte in diesem Dokument aus, um zu testen und zu prüfen, ob eingehende Daten korrekt aufgenommen wurden und im richtigen Format vorliegen.

Google Cloud-Datenaufnahme für die Cloud Threats-Kategorie prüfen

Mit diesen Regeln lässt sich überprüfen, ob Logdaten wie erwartet für von Google Security Operations ausgewählte Erkennungen aufgenommen werden.

In den folgenden Schritten wird beschrieben, wie Sie Daten testen mit:

  • Regel für Cloud-Audit-Metadatentests: Zum Auslösen dieser Regel fügen Sie jeder virtuellen Compute Engine-Maschine, die Daten an Google Security Operations sendet, einen eindeutigen und erwarteten benutzerdefinierten Metadatenschlüssel hinzu.

  • Cloud DNS-Testregel: Führen Sie zum Auslösen dieser Regel einen DNS-Lookup für die Domain (chronicle.security) innerhalb einer beliebigen virtuellen Maschine durch, die Zugriff auf das Internet hat und Logdaten an Google Security Operations sendet.

  • Regeln für SCC Managed Detection Testing: Führen Sie mehrere Aktionen in der Google Cloud Console aus, um diese Regeln auszulösen.

  • Regel für Cloud Kubernetes-Knotentests: Erstellen Sie zum Auslösen dieser Regel ein Testprojekt, das Logdaten an Google Security Operations sendet, und erstellen Sie einen eindeutigen Knotenpool in einem vorhandenen Google Kubernetes Engine-Cluster.

Schritt 1: Testregeln aktivieren

  1. Melden Sie sich in Google Security Operations an.
  2. Öffnen Sie die Seite „Ausgewählte Erkennungen“.
  3. Klicken Sie auf Regeln und Erkennungen > Regelsätze.
  4. Maximieren Sie den Bereich Managed Detection Testing. Möglicherweise müssen Sie auf der Seite scrollen.
  5. Klicken Sie in der Liste auf GCP Managed Detection Testing, um die Detailseite zu öffnen.
  6. Aktivieren Sie sowohl Status als auch Benachrichtigungen für die Cloud Managed Detection-Testregeln.

Schritt 2: Daten für die Regel Cloud Audit Metadata Testing senden

Führen Sie die folgenden Schritte aus, um den Test auszulösen:

  1. Wählen Sie ein Projekt in Ihrer Organisation aus.
  2. Rufen Sie Compute Engine auf und wählen Sie eine virtuelle Maschine im Projekt aus.
  3. Klicken Sie in der virtuellen Maschine auf Edit (Bearbeiten) und führen Sie dann im Abschnitt Custom Metadaten (Benutzerdefinierte Metadaten) die folgenden Schritte aus:
    • Klicken Sie auf Zeile hinzufügen.
    • Geben Sie die folgenden Informationen ein:
      • Schlüssel: GCTI_ALERT_VALIDATION_TEST_KEY
      • Wert: works
    • Klicken Sie auf Speichern.
  4. So überprüfen Sie, ob die Benachrichtigung ausgelöst wurde:

    1. In Google Security Operations anmelden
    2. Öffnen Sie die Seite „Ausgewählte Erkennungen“ und klicken Sie dann auf Dashboard.
    3. Prüfen Sie, ob die Regel tst_GCP_Cloud_Audit_Metadata in der Erkennungsliste ausgelöst wurde.

Schritt 3: Daten für die Regel Cloud DNS Testing senden

Die folgenden Schritte müssen als IAM-Nutzer im ausgewählten Projekt ausgeführt werden, das Zugriff auf eine virtuelle Maschine der Compute Engine hat.

Führen Sie die folgenden Schritte aus, um den Test auszulösen:

  1. Wählen Sie ein Projekt in Ihrer Organisation aus.
  2. Rufen Sie Compute Engine auf und wählen Sie eine virtuelle Maschine im Projekt aus.
    • Wenn es sich um eine virtuelle Linux-Maschine handelt, benötigen Sie SSH-Zugriff.
    • Wenn es sich um eine virtuelle Windows-Maschine handelt, benötigen Sie RDP-Zugriff.
  3. Klicken Sie auf SSH (Linux) oder RDP (Microsoft Windows), um auf die virtuelle Maschine zuzugreifen.
  4. So senden Sie Testdaten:

    • Virtuelle Linux-Maschine: Nachdem Sie mit SSH auf die virtuelle Maschine zugegriffen haben, führen Sie einen der folgenden Befehle aus: nslookup chronicle.security oder host chronicle.security.

      Wenn der Befehl fehlschlägt, installieren Sie dnsutils mit einem der folgenden Befehle auf der virtuellen Maschine:

      • sudo apt-get install dnsutils (für Debian/Ubuntu)
      • dnf install bind-utils (für RedHat/CentOS)
      • yum install bind-utils
    • Virtuelle Microsoft Windows-Maschine: Nachdem Sie über RDP auf die virtuelle Maschine zugegriffen haben, rufen Sie einen installierten Browser auf und rufen Sie die folgende URL auf: https://chronicle.security

  5. So überprüfen Sie, ob die Benachrichtigung ausgelöst wurde:

    1. In Google Security Operations anmelden
    2. Öffnen Sie die Seite „Ausgewählte Erkennungen“ und klicken Sie dann auf Dashboard.
    3. Prüfen Sie, ob die Regel tst_GCP_Cloud_DNS_Test_Rule in der Erkennungsliste ausgelöst wurde.

Schritt 4: Daten für Cloud Kubernetes Node Testing-Regeln senden

Die folgenden Schritte müssen als IAM-Nutzer im ausgewählten Projekt ausgeführt werden, das Zugriff auf Google Kubernetes Engine-Ressourcen hat. Weitere Informationen zum Erstellen regionaler Cluster und Knotenpools finden Sie unter Regionalen Cluster mit einem Knotenpool mit einer einzelnen Zone erstellen. Diese Testregeln dienen dazu, die Datenaufnahme aus dem Logtyp KUBERNETES_NODE zu prüfen.

Führen Sie die folgenden Schritte aus, um die Testregeln auszulösen:

  1. Erstellen Sie in Ihrer Organisation ein Projekt mit dem Namen chronicle-kube-test-project. Dieses Projekt wird nur für Tests verwendet.
  2. Rufen Sie in der Google Cloud Console die Seite „Google Kubernetes Engine“ auf.
    Zur Seite „Google Kubernetes Engine“
  3. Klicken Sie auf Erstellen, um einen neuen regionalen Cluster im Projekt zu erstellen. Konfigurieren Sie den Cluster gemäß den Anforderungen Ihrer Organisation.
  4. Klicken Sie auf Knotenpool hinzufügen .
  5. Geben Sie dem Knotenpool den Namen kube-node-validation und passen Sie die Poolgröße dann auf einen Knoten pro Zone an.
  6. Löschen Sie die Testressourcen:
    1. Nachdem der Knotenpool kube-node-validation erstellt wurde, löschen Sie den Knotenpool.
    2. Löschen Sie das Testprojekt chronicle-kube-test-project.
  7. Melden Sie sich in Google Security Operations an.

  8. Öffnen Sie die Seite „Ausgewählte Erkennungen“ und klicken Sie dann auf Dashboard.

  9. Prüfen Sie, ob die Regel tst_GCP_Kubernetes_Node in der Erkennungsliste ausgelöst wurde.

  10. Prüfen Sie, ob die Regel tst_GCP_Kubernetes_CreateNodePool in der Erkennungsliste ausgelöst wurde.

Schritt 5: Daten für Regeln für SCC Managed Detection Testing senden

Mit den Schritten im folgenden Abschnitt wird geprüft, ob Security Command Center-Ergebnisse und zugehörige Daten korrekt und im erwarteten Format aufgenommen werden.

Mit den Regelsätzen SCC Managed Detection Testing unter der Kategorie Managed Detection Testing können Sie prüfen, ob Daten, die für die erweiterten CDIR-SCC-Regelsätze erforderlich sind, an Google Security Operations gesendet werden und das richtige Format haben.

Mit jeder Testregel wird überprüft, ob die Daten in einem von den Regeln erwarteten Format empfangen werden. Sie führen Aktionen in Ihrer Google Cloud-Umgebung aus, um Daten zu senden, die eine Google Security Operations-Benachrichtigung generieren.

Füllen Sie die folgenden Abschnitte dieses Dokuments aus, die erforderlich sind, um das Logging in Google Cloud-Diensten zu konfigurieren, Security Command Center Premium-Ergebnisse zu erfassen und Security Command Center-Ergebnisse an Google Security Operations zu senden:

Weitere Informationen zu den in diesem Abschnitt beschriebenen Security Command Center-Benachrichtigungen finden Sie im Security Command Center-Dokument Bedrohungen untersuchen und darauf reagieren.

CDIR-SCC-Persistenztestregel auslösen

Führen Sie die folgenden Schritte aus, um Daten zu senden, die diese Benachrichtigung in Google Security Operations auslösen:

  1. Erstellen Sie in der Google Cloud Console eine neue VM-Instanz und weisen Sie dem Compute Engine-Standarddienstkonto vorübergehend Bearbeiter-Berechtigungen zu. Sie entfernen diese nach Abschluss des Tests.

  2. Sobald die neue Instanz verfügbar ist, weisen Sie als Zugriffsbereich die Option Uneingeschränkten Zugriff auf alle APIs zulassen zu.

  3. Erstellen Sie ein neues Dienstkonto mit den folgenden Informationen:

    • Legen Sie Name des Dienstkontos auf scc-test fest.
    • Legen Sie die Dienstkonto-ID auf scc-test fest.
    • Geben Sie optional eine Beschreibung für das Dienstkonto ein.

    Informationen zum Erstellen von Dienstkonten finden Sie im Dokument Dienstkonten erstellen.

  4. Stellen Sie über SSH eine Verbindung zur Testinstanz her, die im vorherigen Schritt erstellt wurde, und führen Sie dann den folgenden gcloud-Befehl aus:

    gcloud projects add-iam-policy-binding PROJECT_NAME
    --member="serviceAccount:scc-test@PROJECT_NAME.iam.gserviceaccount.com"
    --role="roles/owner`"
    

    Ersetzen Sie PROJECT_NAME durch den Namen des Projekts, in dem die Compute Engine-Instanz ausgeführt wird und in dem das Konto scc-test erstellt wurde.

    Die Security Command Center-Benachrichtigung Persistenz: Anomale IAM-Erteilung sollte ausgelöst werden.

  5. Melden Sie sich in Google Security Operations an und öffnen Sie die Seite Alerts & IOCs.

  6. Es sollte eine Google Security Operations-Benachrichtigung mit dem Titel Test-SCC-Benachrichtigung: Anomale IAM-Erteilung für Testkonto angezeigt werden.

  7. Öffnen Sie die Google Cloud Console und führen Sie die folgenden Schritte aus:

    • Entfernen Sie den Zugriff des scc-test-Testkontos aus IAM und der Admin-Konsole.
    • Löschen Sie das Dienstkonto über das Portal Dienstkonten.
    • Löschen Sie die VM-Instanz, die Sie gerade erstellt haben.

CDIR-SCC-Malware-Testregel auslösen

Führen Sie die folgenden Schritte aus, um Daten zu senden, die diese Benachrichtigung in Google Security Operations auslösen:

  1. Stellen Sie in der Google Cloud Console über SSH eine Verbindung zu jeder VM-Instanz her, auf der der Befehl curl installiert ist.

  2. Führen Sie folgenden Befehl aus:

      curl etd-malware-trigger.goog
    

    Nachdem Sie diesen Befehl ausgeführt haben, sollte die Security Command Center-Benachrichtigung Malware: Bad Domain ausgelöst werden.

  3. Melden Sie sich in Google Security Operations an und öffnen Sie die Seite Alerts & IOCs.

  4. Überprüfen Sie, ob Sie eine Google Security Operations-Warnung mit dem Titel Test SCC Alert: Malware Bad Domain sehen.

Testregel für die Umgehung von CDIR-SCC-Abwehrmaßnahmen auslösen

Führen Sie die folgenden Schritte aus, um Daten zu senden, die diese Benachrichtigung in Google Security Operations auslösen:

  1. Melden Sie sich in der Google Cloud Console mit einem Konto an, das Zugriff auf Organisationsebene hat, um VPC Service Control-Perimeter zu ändern.

  2. Rufen Sie in der Google Cloud Console die Seite VPC Service Controls auf.

    Zu „VPC Service Controls“

  3. Klicken Sie auf +Neuer Perimeter und konfigurieren Sie die folgenden Felder auf der Seite Details:

    • Perimetertitel: scc_test_perimeter.
    • Perimetertyp auf Regulärer Perimeter (Standardeinstellung).
    • Config Type (Konfigurationstyp) auf Enforced (Erzwungen).
  4. Wähle im linken Navigationsbereich 3 eingeschränkte Dienste aus.

  5. Wählen Sie im Dialogfeld Geben Sie Dienste an, die eingeschränkt werden sollen die Google Compute Engine API aus und klicken Sie dann auf Google Compute Engine API hinzufügen.

  6. Klicken Sie im linken Navigationsmenü auf Perimeter erstellen.

  7. Rufen Sie die Seite VPC-Dienstperimeter auf, um den Perimeter zu ändern. Weitere Informationen zum Zugriff auf diese Seite finden Sie unter Dienstperimeter auflisten und beschreiben.

  8. Wählen Sie scc_test_perimeter und dann Perimeter bearbeiten aus.

  9. Klicken Sie unter Eingeschränkte Dienste auf das Symbol Löschen, um den Dienst Google Compute Engine API zu entfernen. Dadurch sollte in SCC die Benachrichtigung Defense Evasion: Modify VPC Service Control Perimeter ausgelöst werden.

  10. Melden Sie sich in Google Security Operations an und öffnen Sie die Seite Alerts & IOCs.

  11. Prüfen Sie, ob eine Google Security Operations-Warnung mit dem Titel Test SCC Alert: Modify VPC Service Control Test Alert angezeigt wird.

Testregel für die CDIR-SCC-Exfiltration auslösen

Führen Sie die folgenden Schritte aus, um Daten zu senden, die diese Benachrichtigung in Google Security Operations auslösen:

  1. Rufen Sie in der Google Cloud Console ein Google Cloud-Projekt auf und öffnen Sie BigQuery.

    BigQuery aufrufen

  2. Erstellen Sie eine CSV-Datei mit den folgenden Daten und speichern Sie sie in Ihrem Basisverzeichnis.

    column1, column2, column3
    data1, data2, data3
    data4, data5, data6
    data7, data8, data9
    
  3. Wählen Sie im linken Navigationsbereich Dataset erstellen aus.

  4. Legen Sie die folgende Konfiguration fest und klicken Sie dann auf Dataset erstellen:

    • Dataset-ID wurde auf scc_test_dataset festgelegt.
    • Standorttyp auf Mehrfachregion festgelegt.
    • Tabellenablauf aktivieren: Wählen Sie diese Option nicht aus.

    Neue Dataset-Parameter

    Ausführliche Informationen zum Erstellen eines Datasets finden Sie im BigQuery-Dokument Datasets erstellen.

  5. Klicken Sie im linken Navigationsbereich rechts neben scc_test_dataset auf das Symbol und wählen Sie Tabelle erstellen aus.

  6. Erstellen Sie eine Tabelle und legen Sie die folgende Konfiguration fest:

    • Create table from (Tabelle erstellen aus): Wählen Sie Upload (Hochladen) aus.
    • Datei auswählen: Gehen Sie zu Ihrem Basisverzeichnis und wählen Sie die CSV-Datei aus, die Sie zuvor erstellt haben.
    • Dateiformat: Wählen Sie CSV aus.
    • Dataset: Legen Sie css_test_dataset fest.
    • Tabellentyp: Wählen Sie Native Tabelle aus.
  7. Übernehmen Sie die Standardkonfiguration für alle anderen Felder und klicken Sie dann auf Tabelle erstellen.

    Tabellenparameter

    Weitere Informationen zum Erstellen einer Tabelle finden Sie im BigQuery-Dokument Tabellen erstellen und verwenden.

  8. Wählen Sie in der Ressourcenliste die Tabelle css_test_dataset aus, klicken Sie auf Abfrage und wählen Sie in Neuer Tab aus.

    Neue Abfrage erstellen

  9. Führen Sie die folgende Abfrage aus:

    SELECT * FROM TABLE_NAME LIMIT 1000`
    

    Ersetzen Sie TABLE_NAME durch den voll qualifizierten Tabellennamen.

  10. Klicken Sie nach Ausführung der Abfrage auf Ergebnisse speichern und wählen Sie dann CSV in Google Drive aus. Dadurch sollte die Security Command Center-Benachrichtigung Exfiltration: BigQuery-Exfiltration zu Google Drive ausgelöst werden. Das Security Command Center-Ergebnis sollte an Google Security Operations gesendet werden und eine Google Security Operations-Benachrichtigung auslösen.

    Abfrageergebnisse speichern

  11. Melden Sie sich in Google Security Operations an und öffnen Sie die Seite Alerts & IOCs.

  12. Prüfen Sie, ob eine Google Security Operations-Warnung mit dem Titel Test SCC Alert: BigQuery Exfiltration to Google Drive angezeigt wird.

Schritt 6: Testregeln deaktivieren

Wenn Sie fertig sind, deaktivieren Sie die Regeln für GCP Managed Detection Testing.

  1. Melden Sie sich in Google Security Operations an.
  2. Öffnen Sie die Seite „Ausgewählte Erkennungen“.
  3. Deaktivieren Sie sowohl den Status als auch die Benachrichtigungen für die Regeln für GCP Managed Detection Testing.

AWS-Datenaufnahme für die Cloud Threats-Kategorie prüfen

Mit Testregeln für AWS Managed Detection Testing können Sie prüfen, ob AWS-Daten in Google Security Operations aufgenommen werden. Mit diesen Testregeln lässt sich überprüfen, ob AWS-Daten aufgenommen wurden und im erwarteten Format vorliegen. Nachdem Sie die Aufnahme von AWS-Daten eingerichtet haben, führen Sie Aktionen in AWS aus, die die Testregeln auslösen sollen.

  • Der Nutzer, der diese Regeln in Detection Engine aktiviert, muss die IAM-Berechtigung curatedRuleSetDeployments.batchUpdate haben.
  • Der Nutzer, der die Schritte zum Senden von AWS-Daten ausführt, muss die AWS IAM-Berechtigungen haben, um die Tags einer EC2-Instanz im ausgewählten Konto zu bearbeiten. Weitere Informationen zum Taggen von EC2-Instanzen finden Sie im AWS-Dokument Amazon EC2-Ressourcen taggen.

Testregeln für AWS Managed Detection-Tests aktivieren

  1. Klicken Sie in Google Security Operations auf Erkennungen > Regeln und Erkennungen, um die Seite „Ausgewählte Erkennungen“ zu öffnen.
  2. Wählen Sie Managed Detection Testing > AWS Managed Detection Testing.
  3. Es wurden sowohl Status als auch Benachrichtigungen für die Regeln Weitgehend passend und Genau aktiviert.

Prüfen, ob Tag-Aktionen in AWS die Testregel auslösen

Führen Sie die folgenden Schritte aus, um zu prüfen, ob die Tag-Aktionen in AWS den Regelsatz auslösen.

Schritt 1: Generieren Sie ein Logereignis in AWS.

  1. Wählen Sie ein Konto in Ihrer AWS-Umgebung aus.
  2. Wechseln Sie zum EC2-Dashboard und wählen Sie eine Instanz innerhalb des Kontos aus.
  3. Klicken Sie in der EC2-Instanz auf Aktionen und dann auf Instanzeinstellungen und führen Sie im Abschnitt Tags verwalten die folgenden Schritte aus:
    1. Klicken Sie auf Neues Tag hinzufügen.
    2. Geben Sie die folgenden Informationen ein:
    3. Key: GCTI_ALERT_VALIDATION_TEST_KEY
    4. Wert: works
    5. Klicken Sie auf Speichern.

Weitere Informationen finden Sie unter EC2-Instanz-Tags hinzufügen oder entfernen.

Schritt 2: Prüfen Sie, ob die Testbenachrichtigungen ausgelöst werden.

Nachdem Sie die Aufgabe im vorherigen Schritt ausgeführt haben, prüfen Sie, ob die Regel für die AWS CloudTrail-Testregel ausgelöst wurde. Dies bedeutet, dass CloudTrail-Logs aufgezeichnet und wie erwartet an Google Security Operations gesendet wurden. So überprüfen Sie die Benachrichtigung:

  1. Klicken Sie in Google Security Operations auf Erkennungen > Regeln und Erkennungen, um die Seite „Ausgewählte Erkennungen“ zu öffnen.
  2. Klicken Sie auf Dashboard.
  3. Prüfen Sie in der Liste der Erkennungen, ob die Regel tst_AWS_Cloud_Trail_Tag ausgelöst wurde.

Prüfen, ob AWS GuardDuty-Beispielergebnisse Testregeln auslösen

Damit GuardDuty-Benachrichtigungen in Ihrer Umgebung wie vorgesehen funktionieren, können Sie GuardDuty-Beispielergebnisse an Google Security Operations senden.

Schritt 1: Generieren Sie GuardDuty-Beispielergebnisdaten.

  1. Rufen Sie die Startseite der AWS Console auf.
  2. Öffnen Sie unter Security, Identity and Compliance (Sicherheit, Identität und Compliance) GuardDuty.
  3. Gehen Sie zu den Einstellungen von GuardDuty.
  4. Klicken Sie auf Generate Sample results (Beispielergebnisse generieren).

Weitere Informationen zum Generieren von GuardDuty-Beispielergebnissen finden Sie unter Beispielergebnisse in GuardDuty generieren.

Schritt 2: Prüfen Sie, ob die Testbenachrichtigungen ausgelöst wurden.

  1. Klicken Sie in Google Security Operations auf Erkennung > Regeln und Erkennungen, um die Seite „Ausgewählte Erkennungen“ zu öffnen.
  2. Klicken Sie auf Dashboard.
  3. Prüfen Sie, ob die AWS CloudTrail-Testregel in der Erkennungsliste ausgelöst wurde.

Regelsätze für AWS Managed Detection deaktivieren

  1. Klicken Sie in Google Security Operations auf Erkennung > Regeln und Erkennungen, um die Seite „Ausgewählte Erkennungen“ zu öffnen.
  2. Wählen Sie Test für verwaltete Erkennung > AWS-Test für verwaltete Erkennung aus.
  3. Deaktivieren Sie sowohl Status als auch Benachrichtigungen für die Regeln Weitgehend passend und Genau.

Datenaufnahme für Linux-Bedrohungskategorie prüfen

Mit den Regeln für Linux Managed Detection Testing wird geprüft, ob das Logging auf einem Linux-System für von Google Security Operations ausgewählte Erkennungen ordnungsgemäß funktioniert. Bei den Tests wird die Bash-Eingabeaufforderung in einer Linux-Umgebung verwendet, um verschiedene Befehle auszuführen. Sie können von jedem Nutzer ausgeführt werden, der Zugriff auf die Linux Bash-Eingabeaufforderung hat.

Schritt 1: Testregeln aktivieren

  1. Melden Sie sich in Google Security Operations an.
  2. Öffnen Sie die Seite „Ausgewählte Erkennungen“.
  3. Klicken Sie auf Regeln und Erkennungen > Regelsätze.
  4. Maximieren Sie den Bereich Managed Detection Testing. Möglicherweise müssen Sie auf der Seite scrollen.
  5. Klicken Sie in der Liste auf Linux Managed Detection Testing, um die Detailseite zu öffnen.
  6. Aktivieren Sie sowohl Status als auch Benachrichtigungen für die Regeln für Linux Managed Detection Testing.

Schritt 2: Testdaten von einem Linux-Gerät senden

So lösen Sie die Testregeln für Linux Managed Detection Testing aus:

  1. Sie können auf jedes Linux-Gerät zugreifen, von dem Daten an Google Security Operations gesendet werden.
  2. Öffnen Sie als beliebiger Nutzer eine neue Linux Bash-Eingabeaufforderung in der Befehlszeile.
  3. Geben Sie den folgenden Befehl ein und drücken Sie dann die Eingabetaste:

    /bin/echo hello_chronicle_world!

Sie müssen die Binärdatei echo verwenden und nicht den in Linux Shell integrierten Befehl echo.

  1. Geben Sie den folgenden Befehl ein und drücken Sie dann die Eingabetaste:

    sudo useradd test_chronicle_account

  2. Entfernen Sie das im vorherigen Schritt erstellte Testkonto. Führen Sie den folgenden Befehl aus:

    sudo userdel test_chronicle_account

  3. Geben Sie den folgenden Befehl ein und drücken Sie dann die Eingabetaste:

    su

  4. Wenn Sie zur Eingabe des Passworts aufgefordert werden, geben Sie einen beliebigen String ein. Die Meldung su: Authentication failure wird angezeigt.

  5. Schließen Sie das Bash-Fenster.

Schritt 3: Prüfen, ob Benachrichtigungen in Google Security Operations ausgelöst wurden

Überprüfen Sie, ob der Befehl die Regeln *tst_linux_echo, tst_linux_failed_su_login und tst_linux_test_account_creation in Google Security Operations ausgelöst hat. Dies bedeutet, dass die Linux-Logs wie erwartet geschrieben und gesendet werden. Führen Sie die folgenden Schritte aus, um die Benachrichtigung in Google Security Operations zu prüfen:

  1. Melden Sie sich in Google Security Operations an.
  2. Öffnen Sie die Seite „Ausgewählte Erkennungen“.
  3. Klicken Sie auf Dashboard.
  4. Prüfen Sie, ob die Regeln tst_linux_echo, tst_linux_failed_su_login und tst_linux_test_account_creation in der Erkennungsliste ausgelöst wurden.

Schritt 4: Testregeln deaktivieren

Wenn Sie fertig sind, deaktivieren Sie die Regeln für Linux Managed Detection Testing.

  1. Melden Sie sich in Google Security Operations an.
  2. Öffnen Sie die Seite „Ausgewählte Erkennungen“.
  3. Deaktivieren Sie sowohl den Status als auch die Benachrichtigungen für die Regeln für Linux Managed Detection Testing.

Datenaufnahme für die Windows-Bedrohungskategorie prüfen

Mit der Windows-Echo-Testregel wird bestätigt, dass das Microsoft Windows-Logging für von Google Security Operations ausgewählte Erkennungen korrekt funktioniert. Bei diesem Test wird über die Eingabeaufforderung in einer Microsoft Windows-Umgebung der Befehl echo mit einem erwarteten und eindeutigen String ausgeführt.

Sie können den Test ausführen, während Sie als jeder Nutzer angemeldet sind, der Zugriff auf die Windows-Eingabeaufforderung hat.

Schritt 1: Testregeln aktivieren

  1. Melden Sie sich in Google Security Operations an.
  2. Öffnen Sie die Seite „Ausgewählte Erkennungen“.
  3. Maximieren Sie den Bereich Managed Detection Testing. Möglicherweise müssen Sie auf der Seite scrollen.
  4. Klicken Sie in der Liste auf Windows Managed Detection Testing, um die Detailseite zu öffnen.
  5. Aktivieren Sie sowohl Status als auch Benachrichtigungen für die Regeln für Windows Managed Detection-Test.

Schritt 2: Testdaten von einem Windows-Gerät senden

So lösen Sie die Windows-Echo-Testregel aus:

  1. Zugriff auf alle Geräte, die Daten generieren, die an Google Security Operations gesendet werden sollen.
  2. Öffnen Sie als beliebiger Nutzer ein neues Microsoft Windows-Eingabeaufforderungsfenster.
  3. Geben Sie den folgenden Befehl ein, bei dem die Groß- und Kleinschreibung nicht berücksichtigt wird, und drücken Sie dann die Eingabetaste:

    cmd.exe /c "echo hello_chronicle_world!"
    
  4. Schließen Sie das Fenster "Eingabeaufforderung".

Schritt 3: Prüfen, ob eine Benachrichtigung ausgelöst wurde

Überprüfen Sie, ob der Befehl die Regel tst_Windows_Echo in Google Security Operations ausgelöst hat. Das bedeutet, dass die Microsoft Windows-Protokollierung Daten wie erwartet sendet. Führen Sie die folgenden Schritte aus, um die Benachrichtigung in Google Security Operations zu prüfen:

  1. Melden Sie sich in Google Security Operations an.
  2. Öffnen Sie die Seite „Ausgewählte Erkennungen“.
  3. Klicken Sie auf Dashboard.
  4. Prüfen Sie, ob die Regel tst_Windows_Echo in der Erkennungsliste ausgelöst wurde.

Schritt 4: Testregeln deaktivieren

Wenn Sie fertig sind, deaktivieren Sie die Regeln für Windows-verwaltete Erkennungstests.

  1. Melden Sie sich in Google Security Operations an.
  2. Öffnen Sie die Seite „Ausgewählte Erkennungen“.
  3. Deaktivieren Sie sowohl den Status als auch die Benachrichtigungen für die Regeln für Windows-verwaltete Erkennungstests.