Diese Seite wurde von der Cloud Translation API übersetzt.

Datenaufnahme mit Testregeln prüfen

Die von Google Security Operations ausgewählten Erkennungsmechanismen umfassen eine Reihe von Testregelsätzen, mit denen Sie Überprüfen Sie, ob die für jeden Regelsatz erforderlichen Daten das richtige Format haben.

Diese Testregeln befinden sich in der Kategorie Managed Detection Testing. Jeder Regelsatz überprüft, ob die vom Testgerät empfangenen Daten in einem von den Regeln erwarteten Format vorliegen für die jeweilige Kategorie.

Name des Regelsatzes	Beschreibung
Tests zur verwalteten Erkennung durch die GCP	Prüft, ob Google Cloud-Daten erfolgreich von Geräten aufgenommen wurden, die von der Kategorie „Cloud Threats“ unterstützt werden. Weitere Informationen finden Sie unter Google Cloud-Datenaufnahme für die Kategorie „Cloud Threats“ prüfen.
Tests mit verwalteter AWS-Erkennung	Prüft, ob AWS-Daten erfolgreich von Geräten aufgenommen wurden, die von der Cloud Threats-Kategorie unterstützt werden. Weitere Informationen finden Sie unter AWS-Datenaufnahme für die Cloud Threats-Kategorie prüfen.
Linux-verwaltete Erkennungstests	Überprüft, ob Daten erfolgreich von Geräten aufgenommen wurden, die von der Linux Threats-Kategorie unterstützt werden. Weitere Informationen finden Sie unter Datenaufnahme für Linux-Bedrohungen prüfen.
Windows-verwaltete Erkennungstests	Überprüft, ob Daten erfolgreich von Geräten aufgenommen wurden, die von der Kategorie „Windows-Bedrohungen“ unterstützt werden. Weitere Informationen finden Sie unter Datenaufnahme für die Kategorie „Windows-Bedrohungen“ überprüfen.

Führen Sie die Schritte in diesem Dokument aus, um zu testen und zu prüfen, ob eingehende Daten aufgenommen werden korrekt und im richtigen Format.

Google Cloud-Datenaufnahme für die Cloud Threats-Kategorie prüfen

Mit diesen Regeln lässt sich prüfen, ob Logdaten aufgenommen werden wie bei von Google Security Operations ausgewählten Erkennungen zu erwarten.

In den folgenden Schritten wird beschrieben, wie Sie Daten testen mit:

Cloud Audit Metadata Testing-Regel: Fügen Sie zum Auslösen dieser Regel eine eindeutige und erwarteter benutzerdefinierter Metadatenschlüssel für jede virtuelle Maschine der Compute Engine, die Daten an Google Security Operations senden.
Cloud DNS-Testregel: Führen Sie zum Auslösen dieser Regel eine DNS-Suche nach Domain (chronicle.security) innerhalb einer beliebigen virtuellen Maschine, die Zugriff auf den Internet und sendet Protokolldaten an Google Security Operations.
Regeln für SCC Managed Detection Testing: Führen Sie mehrere Aktionen in der Google Cloud Console ausführen.
Regel für Cloud Kubernetes-Knotentests: Erstellen Sie ein Testprojekt, um diese Regel auszulösen. das Protokolldaten an Google Security Operations sendet und einen eindeutigen Knotenpool erstellt. in einem vorhandenen Google Kubernetes Engine-Cluster.

Schritt 1: Testregeln aktivieren

Melden Sie sich in Google Security Operations an.
Öffnen Sie die Seite „Ausgewählte Erkennungen“.
Klicken Sie auf Regeln und Erkennungen > Regelsätze:
Maximieren Sie den Bereich Managed Detection Testing. Möglicherweise müssen Sie auf der Seite scrollen.
Klicken Sie in der Liste auf GCP Managed Detection Testing, um die Detailseite zu öffnen.
Aktivieren Sie sowohl Status als auch Benachrichtigungen für die Cloud Managed Detection-Testregeln.

Schritt 2: Daten für die Regel Cloud Audit Metadata Testing senden

Führen Sie die folgenden Schritte aus, um den Test auszulösen:

Wählen Sie ein Projekt in Ihrer Organisation aus.
Rufen Sie Compute Engine auf und wählen Sie eine virtuelle Maschine im Projekt aus.
Klicken Sie in der virtuellen Maschine auf Edit (Bearbeiten) und führen Sie dann unter Abschnitt Benutzerdefinierte Metadaten: <ph type="x-smartling-placeholder">
- Klicken Sie auf Zeile hinzufügen.
- Geben Sie die folgenden Informationen ein:
  - Schlüssel: GCTI_ALERT_VALIDATION_TEST_KEY
  - Wert: works
- Klicken Sie auf Speichern.
So überprüfen Sie, ob die Benachrichtigung ausgelöst wurde:
1. In Google Security Operations anmelden
2. Öffnen Sie die Seite „Ausgewählte Erkennungen“ und klicken Sie dann auf Dashboard.
3. Prüfen Sie, ob die Regel tst_GCP_Cloud_Audit_Metadata in der Erkennungsliste ausgelöst wurde.

Schritt 3: Daten für die Regel Cloud DNS Testing senden

Führen Sie die folgenden Schritte als IAM-Nutzer in der ausgewählten das Zugriff auf eine virtuelle Compute Engine-Maschine hat.

Führen Sie die folgenden Schritte aus, um den Test auszulösen:

Wählen Sie ein Projekt in Ihrer Organisation aus.
Rufen Sie Compute Engine auf und wählen Sie eine virtuelle Maschine im Projekt aus.
- Wenn es sich um eine virtuelle Linux-Maschine handelt, benötigen Sie SSH-Zugriff.
- Wenn es sich um eine virtuelle Windows-Maschine handelt, benötigen Sie RDP-Zugriff.
Klicken Sie auf SSH (Linux) oder RDP (Microsoft Windows), um auf die virtuelle Maschine zuzugreifen.
So senden Sie Testdaten:
- Virtuelle Linux-Maschine: Nachdem Sie mit SSH auf die virtuelle Maschine zugegriffen haben, führen Sie einen der folgenden Schritte aus: Befehle: nslookup chronicle.security oder host chronicle.security
  
  Wenn der Befehl fehlschlägt, installieren Sie dnsutils mit einer der folgenden Befehle:
  - sudo apt-get install dnsutils (für Debian/Ubuntu)
  - dnf install bind-utils (für RedHat/CentOS)
  - yum install bind-utils
- Virtuelle Microsoft Windows-Maschine: Öffnen Sie nach dem Zugriff auf die virtuelle Maschine über RDP einen beliebigen installierten Browser und Rufen Sie die folgende URL auf: https://chronicle.security.
So überprüfen Sie, ob die Benachrichtigung ausgelöst wurde:
1. In Google Security Operations anmelden
2. Öffnen Sie die Seite „Ausgewählte Erkennungen“ und klicken Sie dann auf Dashboard.
3. Prüfen Sie, ob die Regel tst_GCP_Cloud_DNS_Test_Rule in der Erkennungsliste ausgelöst wurde.

Schritt 4: Daten für Cloud Kubernetes Node Testing-Regeln senden

Führen Sie die folgenden Schritte als IAM-Nutzer im ausgewählten Projekt aus, das Zugriff auf Google Kubernetes Engine-Ressourcen Weitere Informationen zum Erstellen regionaler Cluster und Knotenpools Siehe Regionalen Cluster mit einem Einzelzonen-Knotenpool erstellen. Diese Testregeln dienen dazu, die Datenaufnahme aus dem Logtyp KUBERNETES_NODE zu prüfen.

Führen Sie die folgenden Schritte aus, um die Testregeln auszulösen:

Erstellen Sie in Ihrer Organisation ein Projekt mit dem Namen chronicle-kube-test-project. Dieses Projekt wird nur für Tests verwendet.
Rufen Sie in der Google Cloud Console die Seite „Google Kubernetes Engine“ auf.
Zur Seite „Google Kubernetes Engine“
Klicken Sie auf Erstellen, um einen neuen regionalen Cluster im Projekt zu erstellen. Konfigurieren Sie den Cluster entsprechend Ihrer zu erfüllen.
Klicken Sie auf Knotenpool hinzufügen .
Geben Sie dem Knotenpool den Namen kube-node-validation und passen Sie die Poolgröße dann auf einen Knoten pro Zone an.
Löschen Sie die Testressourcen: <ph type="x-smartling-placeholder">
1. Nachdem der Knotenpool kube-node-validation erstellt wurde, löschen Sie den Knotenpool.
2. Löschen Sie das Testprojekt chronicle-kube-test-project.
Melden Sie sich in Google Security Operations an.
Öffnen Sie die Seite „Ausgewählte Erkennungen“ und klicken Sie dann auf Dashboard.
Prüfen Sie, ob die Regel tst_GCP_Kubernetes_Node in der Erkennungsliste ausgelöst wurde.
Prüfen Sie, ob die Regel tst_GCP_Kubernetes_CreateNodePool in der Erkennungsliste ausgelöst wurde.

Schritt 5: Daten für Regeln für SCC Managed Detection Testing senden

Mit den Schritten im folgenden Abschnitt prüfen Sie, ob Security Command Center Ergebnisse und zugehörige korrekt und im erwarteten Format aufgenommen werden.

Die Regelsätze für SCC Managed Detection Testing unter Managed Detection Testing Mit der Kategorie können Sie prüfen, ob die für die CDIR-SCC-erweiterten-Regelsätze erforderlichen Daten an Google Security Operations gesendet wird und das richtige Format hat.

Mit jeder Testregel wird überprüft, ob die Daten in einem von den Regeln erwarteten Format empfangen werden. Sie führen Aktionen in Ihrer Google Cloud-Umgebung aus, um Daten zu senden, eine Google Security Operations-Benachrichtigung generieren.

Achten Sie darauf, die folgenden Abschnitte dieses Dokuments auszufüllen, die für die Konfiguration erforderlich sind. Logging in Google Cloud-Diensten, Security Command Center Premium-Ergebnisse und Senden von Security Command Center an Google Security Operations:

Weitere Informationen zu den in diesem Abschnitt beschriebenen Security Command Center-Benachrichtigungen finden Sie im Dokument zu Security Command Center Bedrohungen untersuchen und darauf reagieren.

CDIR-SCC-Persistenztestregel auslösen

Führen Sie die folgenden Schritte aus, um Daten zu senden, die diese Benachrichtigung in Google Security Operations auslösen:

Erstellen Sie in der Google Cloud Console eine neue VM-Instanz und Weisen Sie dem Compute Engine-Standarddienstkonto die Berechtigungen Bearbeiter zu. Sie entfernen diese nach Abschluss des Tests.
Wenn die neue Instanz verfügbar ist, weisen Sie den Zugriffsbereich auf Zulassen Vollständiger Zugriff auf alle APIs.
Erstellen Sie ein neues Dienstkonto mit den folgenden Informationen:
- Legen Sie Name des Dienstkontos auf scc-test fest.
- Legen Sie die Dienstkonto-ID auf scc-test fest.
- Geben Sie optional eine Beschreibung für das Dienstkonto ein.
Weitere Informationen finden Sie im Abschnitt Dienstkonten erstellen. Dokument mit Informationen zum Erstellen von Dienstkonten.
Stellen Sie über SSH eine Verbindung zur Testinstanz her, die im vorherigen Schritt erstellt wurde. führen Sie den folgenden gcloud-Befehl aus:
```
gcloud projects add-iam-policy-binding PROJECT_NAME
--member="serviceAccount:scc-test@PROJECT_NAME.iam.gserviceaccount.com"
--role="roles/owner`"
```
Ersetzen Sie PROJECT_NAME durch den Namen des Projekts, in dem die Compute Engine-Instanz ausgeführt wird und in dem das Konto scc-test erstellt wurde.

Die Security Command Center-Benachrichtigung Persistenz: Anomale IAM-Erteilung sollte ausgelöst werden.
Melden Sie sich in Google Security Operations an und öffnen Sie die Seite Alerts & IOCs.
Es sollte eine Google Security Operations-Benachrichtigung mit dem Titel Test-SCC-Warnung: Anomale IAM-Berechtigung“ angezeigt werden Testkonto zugewiesen werden.
Öffnen Sie die Google Cloud Console und führen Sie die folgenden Schritte aus:
- Entfernen Sie den Zugriff auf das scc-test-Testkonto aus IAM und Admin-Konsole.
- Löschen Sie das Dienstkonto über das Portal Dienstkonten.
- Löschen Sie die VM-Instanz, die Sie gerade erstellt haben.

CDIR-SCC-Malware-Testregel auslösen

Führen Sie die folgenden Schritte aus, um Daten zu senden, die diese Benachrichtigung in Google Security Operations auslösen:

Stellen Sie in der Google Cloud Console über SSH eine Verbindung zu einer beliebigen VM-Instanz her, Der Befehl curl ist installiert.
Führen Sie folgenden Befehl aus:
```
  curl etd-malware-trigger.goog
```
Nachdem Sie diesen Befehl ausgeführt haben, sollte die Security Command Center-Benachrichtigung Malware: Bad Domain ausgelöst werden.
Melden Sie sich in Google Security Operations an und öffnen Sie die Seite Alerts & IOCs.
Prüfen Sie, ob eine Google Security Operations-Warnung mit dem Titel Test SCC-Warnung: Fehlerhafte Malware-Domain angezeigt wird.

Testregel für die Umgehung von CDIR-SCC-Abwehrmaßnahmen auslösen

Führen Sie die folgenden Schritte aus, um Daten zu senden, die diese Benachrichtigung in Google Security Operations auslösen:

Melden Sie sich in der Google Cloud Console mit einem Konto an, das Zugriff auf Organisationsebene, um VPC Service Control-Perimeter zu ändern.
Rufen Sie in der Google Cloud Console die Seite VPC Service Controls auf.

Zu „VPC Service Controls“
Klicken Sie auf +Neuer Perimeter und konfigurieren Sie die folgenden Felder auf der Seite Details:
- Perimetertitel: scc_test_perimeter.
- Perimetertyp auf Regulärer Perimeter (Standardeinstellung).
- Config Type (Konfigurationstyp) auf Enforced (Erzwungen).
Wähle im linken Navigationsbereich 3 eingeschränkte Dienste aus.
Wählen Sie im Dialogfeld Geben Sie Dienste an, die eingeschränkt werden sollen die Google Compute Engine API aus und klicken Sie dann auf Google Compute Engine API hinzufügen.
Klicken Sie im linken Navigationsmenü auf Perimeter erstellen.
Rufen Sie die Seite VPC-Dienstperimeter auf, um den Perimeter zu ändern. Weitere Informationen zum Zugriff auf diese Seite finden Sie unter Dienstperimeter auflisten und beschreiben.
Wählen Sie scc_test_perimeter und dann Perimeter bearbeiten aus.
Klicke unter Eingeschränkte Dienste auf das Symbol Löschen, um die Google Compute Engine API-Dienst. Dadurch sollte die Defense Benachrichtigung „Umgehung: VPC Service Control-Perimeter ändern“ in SCC.
Melden Sie sich in Google Security Operations an und öffnen Sie die Seite Alerts & IOCs.
Überprüfen Sie, ob eine Google Security Operations-Benachrichtigung mit dem Titel Test SCC Alert: Modify VPC Service (VPC-Dienst ändern) angezeigt wird. Kontroll-Testbenachrichtigung.

Testregel für die CDIR-SCC-Exfiltration auslösen

Führen Sie die folgenden Schritte aus, um Daten zu senden, die diese Benachrichtigung in Google Security Operations auslösen:

Rufen Sie in der Google Cloud Console ein Google Cloud-Projekt auf und öffnen Sie BigQuery

BigQuery aufrufen
Erstellen Sie eine CSV-Datei mit den folgenden Daten und speichern Sie sie in Ihrem Basisverzeichnis.
```
column1, column2, column3
data1, data2, data3
data4, data5, data6
data7, data8, data9
```
Wählen Sie im linken Navigationsbereich Dataset erstellen aus.
Legen Sie die folgende Konfiguration fest und klicken Sie dann auf Dataset erstellen:
- Dataset-ID wurde auf scc_test_dataset festgelegt.
- Standorttyp auf Mehrfachregion festgelegt.
- Tabellenablauf aktivieren: Wählen Sie diese Option nicht aus.
Ausführliche Informationen zum Erstellen eines Datasets finden Sie im BigQuery-Dokument Datasets erstellen.
Klicken Sie in der linken Navigationsleiste rechts neben scc_test_dataset auf das Symbol und wählen Sie dann Tabelle erstellen aus.
Erstellen Sie eine Tabelle und legen Sie die folgende Konfiguration fest:
- Create table from (Tabelle erstellen aus): Wählen Sie Upload (Hochladen) aus.
- Datei auswählen: Gehen Sie zu Ihrem Basisverzeichnis und wählen Sie die CSV-Datei aus, die Sie zuvor erstellt haben.
- Dateiformat: Wählen Sie CSV aus.
- Dataset: Legen Sie css_test_dataset fest.
- Tabellentyp: Wählen Sie Native Tabelle aus.
Übernehmen Sie die Standardkonfiguration für alle anderen Felder und klicken Sie dann auf Tabelle erstellen

Weitere Informationen zum Erstellen einer Tabelle finden Sie im BigQuery-Dokument Tabellen erstellen und verwenden.
Wählen Sie in der Ressourcenliste die Tabelle css_test_dataset aus, klicken Sie auf Abfrage und wählen Sie in Neuer Tab aus.
Führen Sie die folgende Abfrage aus:
```
SELECT * FROM TABLE_NAME LIMIT 1000`
```
Ersetzen Sie TABLE_NAME durch den voll qualifizierten Tabellennamen.
Klicken Sie nach der Ausführung der Abfrage auf Save Results (Ergebnisse speichern) und wählen Sie dann CSV in Google Drive Dadurch sollte Daten-Exfiltration: BigQuery-Exfiltration“ ausgelöst werden an Google Drive Security Command Center-Benachrichtigung. Das Security Command Center-Ergebnis sollte an Google Security Operations gesendet werden und eine Google Security Operations-Benachrichtigung auslösen.
Melden Sie sich in Google Security Operations an und öffnen Sie die Seite Alerts & IOCs.
Prüfen Sie, ob eine Google Security Operations-Warnung mit dem Titel Test SCC Alert: BigQuery Exfiltration to Google Drive

Schritt 6: Testregeln deaktivieren

Wenn Sie fertig sind, deaktivieren Sie die Regeln für GCP Managed Detection Testing.

Melden Sie sich in Google Security Operations an.
Öffnen Sie die Seite „Ausgewählte Erkennungen“.
Deaktivieren Sie sowohl den Status als auch die Benachrichtigungen für die Regeln für GCP Managed Detection Testing.

AWS-Datenaufnahme für die Cloud Threats-Kategorie prüfen

Sie können mit AWS Managed Detection Testing Testregeln überprüfen, ob AWS-Daten wird in Google Security Operations aufgenommen. Mit diesen Testregeln können Sie prüfen, wurde aufgenommen und hat das erwartete Format. Nachdem Sie die Datenaufnahme Bei AWS-Daten führen Sie Aktionen in AWS aus, die die Testregeln auslösen sollen.

Der Nutzer, der diese Regeln in der Erkennungs-Engine aktiviert, muss die folgenden Berechtigungen haben: curatedRuleSetDeployments.batchUpdate IAM-Berechtigung
Der Nutzer, der die Schritte zum Senden von AWS-Daten ausführt, muss die AWS IAM-Berechtigungen haben Berechtigungen zum Bearbeiten der Tags einer EC2-Instanz im ausgewählten Konto. Für Weitere Informationen zum Taggen von EC2-Instanzen finden Sie im AWS-Dokument. Amazon EC2-Ressourcen mit Tags versehen

Testregeln für AWS Managed Detection-Tests aktivieren

Klicken Sie in Google Security Operations auf Detections (Erkennungen) > Regeln und Erkennungen für Öffnen Sie die Seite „Ausgewählte Erkennungen“.
Wählen Sie Test der verwalteten Erkennung aus. AWS Managed Detection Testing
Für die Typen Weitgehend passend und Genau wurden sowohl Status als auch Benachrichtigungen aktiviert. Regeln.

Prüfen, ob Tag-Aktionen in AWS die Testregel auslösen

Führen Sie die folgenden Schritte aus, um zu überprüfen, ob die Tag-Aktionen in AWS das Ereignis Regelsatz.

Schritt 1: Generieren Sie ein Logereignis in AWS.

Wählen Sie ein Konto in Ihrer AWS-Umgebung aus.
Wechseln Sie zum EC2-Dashboard und wählen Sie eine Instanz innerhalb des Kontos aus.
Klicken Sie in der EC2-Instanz auf Aktionen, dann auf Instanzeinstellungen und Führen Sie im Bereich Tags verwalten die folgenden Schritte aus: <ph type="x-smartling-placeholder">
1. Klicken Sie auf Neues Tag hinzufügen.
2. Geben Sie die folgenden Informationen ein:
3. Key: GCTI_ALERT_VALIDATION_TEST_KEY
4. Wert: works
5. Klicken Sie auf Speichern.

Weitere Informationen finden Sie unter EC2-Instanz-Tags hinzufügen oder entfernen.

Schritt 2: Prüfen Sie, ob die Testbenachrichtigungen ausgelöst werden.

Nachdem Sie die Aufgabe im vorherigen Schritt ausgeführt haben, überprüfen Sie, ob die AWS CloudTrail-Testregel ausgelöst wird. Dies weist darauf hin, dass CloudTrail-Logs aufgezeichnet wurden und wie erwartet an Google Security Operations gesendet. So überprüfen Sie die Benachrichtigung:

Klicken Sie in Google Security Operations auf Detections (Erkennungen) > Regeln und Erkennungen für Öffnen Sie die Seite „Ausgewählte Erkennungen“.
Klicken Sie auf Dashboard.
Prüfen Sie in der Liste der Erkennungen, ob die Regel tst_AWS_Cloud_Trail_Tag gilt. ausgelöst wurde.

Prüfen, ob AWS GuardDuty-Beispielergebnisse Testregeln auslösen

Damit GuardDuty-Warnungen in Ihrer Umgebung wie vorgesehen funktionieren, können Sie GuardDuty-Beispielergebnisse an Google Security Operations senden.

Schritt 1: Generieren Sie GuardDuty-Beispielergebnisdaten.

Rufen Sie die Startseite der AWS Console auf.
Öffnen Sie unter Security, Identity and Compliance (Sicherheit, Identität und Compliance) GuardDuty.
Gehen Sie zu den Einstellungen von GuardDuty.
Klicken Sie auf Generate Sample results (Beispielergebnisse generieren).

Weitere Informationen zum Generieren von GuardDuty-Beispielergebnissen finden Sie unter Beispielergebnisse in GuardDuty generieren.

Schritt 2: Prüfen Sie, ob die Testbenachrichtigungen ausgelöst wurden.

Klicken Sie in Google Security Operations auf Erkennung > Regeln und Erkennungen für Öffnen Sie die Seite „Ausgewählte Erkennungen“.
Klicken Sie auf Dashboard.
Prüfen Sie, ob bei der Erkennung die AWS CloudTrail-Testregel ausgelöst wurde. Liste.

Regelsätze für AWS Managed Detection deaktivieren

Klicken Sie in Google Security Operations auf Erkennung > Regeln und Erkennungen für Öffnen Sie die Seite „Ausgewählte Erkennungen“.
Wählen Sie Test der verwalteten Erkennung aus. AWS-Regeln für Managed Discovery-Tests
Deaktivieren Sie sowohl Status als auch Benachrichtigungen für die Kategorien Weitgehend passend und Genau. Regeln.

Datenaufnahme für Linux-Bedrohungskategorie prüfen

Mit den Regeln für Linux Managed Detection Testing wird überprüft, ob das Logging auf einem Linux-System für die von Google Security Operations ausgewählten Erkennungen. Die Tests umfassen über die Bash-Eingabeaufforderung in einer Linux-Umgebung verschiedene Befehle auszuführen. die von jedem Nutzer ausgeführt werden, der Zugriff auf die Linux Bash-Eingabeaufforderung hat.

Schritt 1: Testregeln aktivieren

Melden Sie sich in Google Security Operations an.
Öffnen Sie die Seite „Ausgewählte Erkennungen“.
Klicken Sie auf Regeln und Erkennungen > Regelsätze:
Maximieren Sie den Bereich Managed Detection Testing. Möglicherweise müssen Sie auf der Seite scrollen.
Klicken Sie in der Liste auf Linux Managed Detection Testing, um die Detailseite zu öffnen.
Aktivieren Sie sowohl Status als auch Benachrichtigungen für die Regeln für Linux Managed Detection Testing.

Schritt 2: Testdaten von einem Linux-Gerät senden

So lösen Sie die Testregeln für Linux Managed Detection Testing aus:

Sie können auf jedes Linux-Gerät zugreifen, von dem Daten an Google Security Operations gesendet werden.
Öffnen Sie als beliebiger Nutzer eine neue Linux Bash-Eingabeaufforderung in der Befehlszeile.
Geben Sie den folgenden Befehl ein und drücken Sie dann die Eingabetaste:

/bin/echo hello_chronicle_world!

Sie müssen das Binärprogramm echo anstelle des Linux im Shell-Einsatzbefehl echo.

Geben Sie den folgenden Befehl ein und drücken Sie dann die Eingabetaste:

sudo useradd test_chronicle_account
Entfernen Sie das im vorherigen Schritt erstellte Testkonto. Führen Sie den folgenden Befehl aus:

sudo userdel test_chronicle_account
Geben Sie den folgenden Befehl ein und drücken Sie dann die Eingabetaste:

su
Wenn Sie zur Eingabe des Passworts aufgefordert werden, geben Sie einen beliebigen String ein. Beachten Sie, dass der su: Authentication failure Nachricht wird angezeigt.
Schließen Sie das Bash-Fenster.

Schritt 3: Prüfen, ob Benachrichtigungen in Google Security Operations ausgelöst wurden

Überprüfen Sie, ob der Befehl den Befehl *tst_linux_echo ausgelöst hat: die Regeln tst_linux_failed_su_login und tst_linux_test_account_creation im Google Security Operations Dies bedeutet, dass die Linux-Logs wie erwartet geschrieben und gesendet werden. Führen Sie die folgenden Schritte aus, um die Benachrichtigung in Google Security Operations zu prüfen:

Melden Sie sich in Google Security Operations an.
Öffnen Sie die Seite „Ausgewählte Erkennungen“.
Klicken Sie auf Dashboard.
Prüfen Sie, ob tst_linux_echo, tst_linux_failed_su_login und tst_linux_test_account_creation-Regeln wurden in der Erkennungsliste ausgelöst.

Hinweis: Es kann etwas dauern, bis die Benachrichtigung in Google Security Operations angezeigt wird.

Schritt 4: Testregeln deaktivieren

Wenn Sie fertig sind, deaktivieren Sie die Regeln für Linux Managed Detection Testing.

Melden Sie sich in Google Security Operations an.
Öffnen Sie die Seite „Ausgewählte Erkennungen“.
Deaktivieren Sie sowohl den Status als auch die Benachrichtigungen für die Regeln für Linux Managed Detection Testing.

Datenaufnahme für die Windows-Bedrohungskategorie prüfen

Mit der Windows-Echo-Testregel wird überprüft, ob die Microsoft Windows-Protokollierung ordnungsgemäß funktioniert. für von Google Security Operations ausgewählte Erkennungsmechanismen. Der Test beinhaltet die Verwendung der Eingabeaufforderung in einer Microsoft Windows-Umgebung, um den Befehl echo mit einem erwarteten und eindeutigen String auszuführen.

Sie können den Test ausführen, während Sie als jeder Nutzer angemeldet sind, der Zugriff auf die Windows-Eingabeaufforderung hat.

Schritt 1: Testregeln aktivieren

Melden Sie sich in Google Security Operations an.
Öffnen Sie die Seite „Ausgewählte Erkennungen“.
Maximieren Sie den Bereich Managed Detection Testing. Möglicherweise müssen Sie auf der Seite scrollen.
Klicken Sie in der Liste auf Windows Managed Detection Testing, um die Detailseite zu öffnen.
Aktivieren Sie sowohl Status als auch Benachrichtigungen für die Regeln für Windows Managed Detection-Test.

Schritt 2: Testdaten von einem Windows-Gerät senden

So lösen Sie die Windows-Echo-Testregel aus:

Zugriff auf alle Geräte, die Daten generieren, die an Google Security Operations gesendet werden sollen.
Öffnen Sie als beliebiger Nutzer ein neues Fenster für die Microsoft Windows-Eingabeaufforderung.
Geben Sie den folgenden Befehl ein, bei dem die Groß-/Kleinschreibung nicht berücksichtigt wird, und drücken Sie dann die Eingabetaste:
```
cmd.exe /c "echo hello_chronicle_world!"
```
Schließen Sie das Fenster "Eingabeaufforderung".

Schritt 3: Prüfen, ob eine Benachrichtigung ausgelöst wurde

Überprüfen Sie, ob der Befehl die Regel tst_Windows_Echo in Google Security Operations ausgelöst hat. Das bedeutet, dass die Microsoft Windows-Protokollierung Daten wie erwartet sendet. Führen Sie die folgenden Schritte aus, um die Benachrichtigung in Google Security Operations zu prüfen:

Melden Sie sich in Google Security Operations an.
Öffnen Sie die Seite „Ausgewählte Erkennungen“.
Klicken Sie auf Dashboard.
Prüfen Sie, ob die Regel tst_Windows_Echo in der Erkennungsliste ausgelöst wurde.

Hinweis: Es kann etwas dauern, bis die Benachrichtigung in Google Security Operations angezeigt wird.

Schritt 4: Testregeln deaktivieren

Wenn Sie fertig sind, deaktivieren Sie die Regeln für Windows-verwaltete Erkennungstests.

Melden Sie sich in Google Security Operations an.
Öffnen Sie die Seite „Ausgewählte Erkennungen“.
Deaktivieren Sie sowohl den Status als auch die Benachrichtigungen für die Regeln für Windows-verwaltete Erkennungstests.