Se usó la API de Cloud Translation para traducir esta página.

Verifica la transferencia de datos con reglas de prueba

Las detecciones seleccionadas de Google Security Operations incluyen un conjunto de conjuntos de reglas de prueba que te ayudan verificar que los datos necesarios para cada conjunto de reglas estén en el formato correcto.

Estas reglas de prueba se encuentran en la categoría Prueba de detección administrada. Cada conjunto de reglas valida que los datos que recibe el dispositivo de prueba tengan el formato que esperan las reglas para esa categoría especificada.

Nombre del conjunto de reglas	Descripción
Pruebas de detección administradas de GCP	Verifica que los datos de Google Cloud se transfieran correctamente desde dispositivos compatibles con la categoría Cloud Threats. Si quieres obtener más información, consulta Verifica la transferencia de datos de Google Cloud para la categoría Cloud Threats.
Pruebas de detección administradas de AWS	Verifica que los datos de AWS se transfieran correctamente desde dispositivos compatibles con la categoría Cloud Threats. Si quieres obtener más información, consulta Verifica la transferencia de datos de AWS para la categoría de amenazas de Cloud.
Prueba de detección administrada de Linux	Verifica que los datos se transfieran correctamente desde dispositivos compatibles con la categoría de amenazas de Linux. Si deseas obtener más información, consulta Verifica la transferencia de datos para la categoría de amenazas de Linux.
Pruebas de detección administrada de Windows	Verifica que los datos se transfieran correctamente desde dispositivos compatibles con la categoría de amenazas de Windows. Si quieres obtener más información, consulta Verifica la transferencia de datos para la categoría de amenazas de Windows.

Sigue los pasos que se indican en este documento para probar y verificar que los datos entrantes se transfieran correctamente y que esté en el formato correcto.

Verifica la transferencia de datos de Google Cloud para la categoría Cloud Threats

Estas reglas ayudan a verificar si los datos de registro se están transfiriendo como se esperaba para las detecciones seleccionadas de Google Security Operations.

En los siguientes pasos, se describe cómo probar los datos con lo siguiente:

Regla de Prueba de metadatos de auditoría de Cloud: Para activar esta regla, agrega una regla la clave de metadatos personalizados esperada para cualquier máquina virtual de Compute Engine que el envío de datos a Google Security Operations.
Regla de prueba de Cloud DNS: para activar esta regla, realiza una búsqueda de DNS al dominio (chronicle.security) en cualquier máquina virtual que tenga acceso al por Internet y envía datos de registro a Google Security Operations.
Reglas de Pruebas de detección administrada de SCC: Para activar estas reglas, realiza varias acciones en la consola de Google Cloud.
Regla de Cloud Kubernetes Node Testing: Para activar esta regla, crea un proyecto de prueba. que envía datos de registro a Google Security Operations y crear un grupo de nodos único en un clúster existente de Google Kubernetes Engine.

Paso 1: Cómo habilitar las reglas de prueba

Accede a Google Security Operations.
Abre la página Detecciones seleccionadas.
Haga clic en Reglas y Detecciones > Conjuntos de reglas.
Expande la sección Prueba de detección administrada. Es posible que debas desplazarte por la página.
Haz clic en Prueba de detección administrada de GCP en la lista para abrir la página de detalles.
Habilita Estado y Alertas para las reglas de Cloud Managed Detection Testing.

Paso 2: Enviar datos para la regla de Prueba de metadatos de auditoría de Cloud

Para activar la prueba, completa los siguientes pasos:

Elige un proyecto dentro de tu organización.
Ve a Compute Engine y, luego, elige una máquina virtual dentro del proyecto.
Dentro de la máquina virtual, haz clic en Editar y, luego, realiza lo siguiente en la sección Custom MetaData:
- Haz clic en Agregar elemento.
- Ingresa la siguiente información:
  - Clave: GCTI_ALERT_VALIDATION_TEST_KEY
  - Valor: works
- Haz clic en Guardar.
Sigue estos pasos para verificar que se activó la alerta:
1. Accede a Google Security Operations
2. Abre la página Curated Detections y, luego, haz clic en Dashboard.
3. Verifica que la regla tst_GCP_Cloud_Audit_Metadata se haya activado en la lista de detección.

Paso 3: Enviar datos para la regla de prueba de Cloud DNS

Los siguientes pasos deben realizarse como usuario de IAM en la proyecto que tiene acceso a una máquina virtual de Compute Engine.

Para activar la prueba, completa los siguientes pasos:

Elige un proyecto dentro de tu organización.
Ve a Compute Engine y, luego, elige una máquina virtual dentro del proyecto.
- Si es una máquina virtual de Linux, asegúrate de tener acceso SSH.
- Si es una máquina virtual de Windows, asegúrate de tener acceso a RDP.
Haz clic en SSH (Linux) o RDP (Microsoft Windows) para acceder a la máquina virtual.
Sigue uno de estos pasos para enviar datos de prueba:
- Máquina virtual de Linux: Después de acceder a la máquina virtual con SSH, ejecuta una de las siguientes opciones comandos: nslookup chronicle.security o host chronicle.security
  
  Si el comando falla, instala dnsutils en la máquina virtual mediante una de las los siguientes comandos:
  - sudo apt-get install dnsutils (para Debian/Ubuntu)
  - dnf install bind-utils (para Red Hat/CentOS)
  - yum install bind-utils
- Máquina virtual de Microsoft Windows: después de acceder a la máquina virtual con RDP, ve a cualquier navegador instalado y Dirígete a la siguiente URL: https://chronicle.security
Sigue estos pasos para verificar que se activó la alerta:
1. Accede a Google Security Operations
2. Abre la página Curated Detections y, luego, haz clic en Dashboard.
3. Verifica que la regla tst_GCP_Cloud_DNS_Test_Rule se haya activado en la lista de detección.

Paso 4: Enviar datos de las reglas de Pruebas de nodos de Cloud Kubernetes

Los siguientes pasos deben realizarse como usuario de IAM en el proyecto elegido que tiene acceso al recursos de Google Kubernetes Engine. Para obtener información más detallada sobre la creación de clústeres y grupos de nodos regionales, Consulta Crea un clúster regional con un grupo de nodos de una sola zona. El objetivo de estas reglas de prueba es verificar la transferencia de datos del tipo de registro KUBERNETES_NODE.

Para activar las reglas de prueba, completa los siguientes pasos:

Crea un proyecto dentro de tu organización que se llame chronicle-kube-test-project. Este proyecto solo se usa para realizar pruebas.
Navega a la página de Google Kubernetes Engine en la consola de Google Cloud.
Ir a la página de Google Kubernetes Engine
Haz clic en Crear para crear un clúster regional nuevo en el proyecto. Configura el clúster según tu los requisitos de la organización.
Haz clic en Agregar grupo de nodos.
Asígnale el nombre kube-node-validation al grupo de nodos y, luego, ajusta el tamaño del grupo a 1 nodo por zona.
Borra los recursos de prueba:
1. Después de crear el grupo de nodos kube-node-validation, borra el grupo de nodos.
2. Borra el proyecto de prueba chronicle-kube-test-project.
Accede a Google Security Operations.
Abre la página Curated Detections y, luego, haz clic en Dashboard.
Verifica que la regla tst_GCP_Kubernetes_Node se haya activado en la lista de detección.
Verifica que la regla tst_GCP_Kubernetes_CreateNodePool se haya activado en la lista de detección.

Paso 5: Enviar datos para las reglas de Pruebas de detección administrada de SCC

En los pasos de la siguiente sección, se verifican los hallazgos de Security Command Center y los se transfieran de forma correcta y en el formato esperado.

El conjunto de reglas de la Prueba de detección administrada de SCC en la Prueba de detección administrada te permiten verificar que los datos requeridos para los conjuntos de reglas CDIR SCC Enhanced estén enviado a Google Security Operations y en el formato correcto.

Cada regla de prueba valida que los datos se reciban en el formato que esperan las reglas. Debes realizar acciones en tu entorno de Google Cloud para enviar datos que generar una alerta de Google Security Operations.

Asegúrate de completar las siguientes secciones de este documento, necesarias para configurar acceder a los servicios de Google Cloud, recopilar resultados de Security Command Center Premium y enviar hallazgos de Google Security Operations:

Para obtener más información sobre las alertas de Security Command Center que se describen en esta sección, consulta el documento de Security Command Center. Investiga y responde a las Amenazas.

Activa la regla de prueba de persistencia de SCC de CDIR

Para enviar datos que activen esta alerta en Google Security Operations, sigue estos pasos:

En la consola de Google Cloud, crea una nueva instancia de VM y asignar la cuenta de servicio predeterminada de Compute Engine con privilegios de Editor. Quitarás este elemento una vez que se complete la prueba.
Cuando la nueva instancia esté disponible, asigna el Permiso de acceso a Permitir Acceso total a todas las APIs.
Crea una cuenta de servicio nueva con la siguiente información:
- Establece el Nombre de la cuenta de servicio como scc-test.
- Establece el ID de cuenta de servicio en scc-test.
- De manera opcional, ingresa una Descripción para la cuenta de servicio.
Consulta la sección sobre cómo crear cuentas de servicio. para obtener información sobre cómo crear cuentas de servicio.
Conéctate a través de SSH a la instancia de prueba creada en el paso anterior y, luego, Ejecuta el siguiente comando gcloud:
```
gcloud projects add-iam-policy-binding PROJECT_NAME
--member="serviceAccount:scc-test@PROJECT_NAME.iam.gserviceaccount.com"
--role="roles/owner`"
```
Reemplaza PROJECT_NAME por el nombre del proyecto en el que se ejecuta la instancia de Compute Engine y en el que se creó la cuenta de scc-test.

Debería activarse la alerta de Persistencia: Otorgamiento anómalo de IAM de Security Command Center.
Accede a Google Security Operations y, a continuación, abre el panel Alertas y IOCs.
Deberías ver una alerta de Google Security Operations con el título Test SCC Alert: IAM Annomalous Grant que se proporciona a la cuenta de prueba.
Abre la consola de Google Cloud y, luego, haz lo siguiente:
- Quita el acceso a la cuenta de prueba scc-test de IAM y Consola del administrador de Google.
- Borra la cuenta de servicio mediante el portal Cuentas de servicio.
- Borra la instancia de VM que acabas de crear.

Activar la regla de prueba de software malicioso del SCC del CDIR

Para enviar datos que activen esta alerta en Google Security Operations, sigue estos pasos:

En la consola de Google Cloud, conéctate a través de SSH a cualquier instancia de VM en la que se instaló el comando curl.
Ejecuta el siguiente comando:
```
  curl etd-malware-trigger.goog
```
Después de que ejecutes este comando, debería activarse la alerta de Malware: Dominio incorrecto de Security Command Center.
Accede a Google Security Operations y, a continuación, abre el panel Alertas y IOCs.
Verifica que veas una alerta de Google Security Operations con el título Test SCC Alert: Malware Bad Domain.

Activar la regla de prueba de evasión de defensa del SCC del CDIR

Para enviar datos que activen esta alerta en Google Security Operations, sigue estos pasos:

Accede a la consola de Google Cloud con una cuenta que tenga acceso a la a nivel de organización para modificar los perímetros de control del servicio de VPC.
En la consola de Google Cloud, ve a la página Controles del servicio de VPC.

Ir a los Controles del servicio de VPC
Haz clic en + Nuevo perímetro y configura los siguientes campos en la página Detalles:
- Título del perímetro: scc_test_perimeter.
- Tipo de perímetro como Perímetro regular (predeterminado).
- Tipo de configuración (Config Type) a Aplicada.
En el panel de navegación izquierdo, selecciona 3 servicios restringidos.
En el diálogo Especificar los servicios que deseas restringir, selecciona API de Google Compute Engine y, luego, haz clic en Agregar API de Google Compute Engine.
En el panel de navegación izquierdo, haz clic en Crear perímetro.
Para modificar el perímetro, ve a la página Perímetros de servicio de VPC. Si deseas obtener información más detallada para acceder a esta página, consulta Enumera y describe perímetros de servicio.
Selecciona scc_test_perimeter y, luego, Editar perímetro.
En Servicios restringidos, haz clic en el ícono Borrar para quitar la Servicio de la API de Google Compute Engine. Esto debería activar la opción Defense Evasión: Modifica el perímetro de control del servicio de VPC en SCC.
Accede a Google Security Operations y, a continuación, abre el panel Alertas y IOCs.
Verifica que veas una alerta de Google Security Operations llamada Test SCC Alert: Modify VPC Service Alerta de prueba de Control.

Activa la regla de prueba de exfiltración del SCC del CDIR

Para enviar datos que activen esta alerta en Google Security Operations, sigue estos pasos:

En la consola de Google Cloud, ve a un proyecto de Google Cloud y, luego, abre en BigQuery.

Ir a BigQuery
Crea un archivo CSV con los siguientes datos y, luego, guárdalo en tu directorio principal.
```
column1, column2, column3
data1, data2, data3
data4, data5, data6
data7, data8, data9
```
En el panel de navegación izquierdo, elige Crear conjunto de datos.
Establece la siguiente configuración y, luego, haz clic en Crear conjunto de datos:
- El ID del conjunto de datos se estableció en scc_test_dataset.
- El Tipo de ubicación debe estar configurado como Multirregional.
- Habilitar vencimiento de la tabla: No selecciones esta opción.
Para obtener información más detallada sobre cómo crear un conjunto de datos, consulta el documento de BigQuery Cómo crear conjuntos de datos.
En el panel de navegación izquierdo, a la derecha de scc_test_dataset, haz clic en el ícono y, luego, selecciona Crear tabla.
Crea una tabla y establece la siguiente configuración:
- Crear tabla desde (Create table from): configura como Subir (Upload).
- Seleccionar archivo: Navega hasta tu directorio principal y selecciona el archivo CSV que creaste anteriormente.
- Formato de archivo: Se establece en CSV.
- Conjunto de datos: Se establece en css_test_dataset.
- Tipo de tabla: Configurado como Tabla nativa.
Acepta la configuración predeterminada de todos los otros campos y, luego, haz clic en Crear tabla.

Para obtener información más detallada sobre cómo crear una tabla, consulta el documento de BigQuery Crea y usa tablas.
En la lista de recursos, selecciona la tabla css_test_dataset, haz clic en Consulta y elige en una pestaña nueva.
Ejecute la siguiente consulta:
```
SELECT * FROM TABLE_NAME LIMIT 1000`
```
Reemplaza TABLE_NAME por el nombre de la tabla completamente calificado.
Después de que se ejecute la consulta, haz clic en Guardar resultados y, luego, elige CSV en Google Drive Esto debería activar el mensaje Exfiltration: BigQuery Exfiltration to Google Drive. El hallazgo de Security Command Center se debe enviar a Google Security Operations y activar una alerta de Google Security Operations.
Accede a Google Security Operations y, a continuación, abre el panel Alertas y IOCs.
Verifica que veas una alerta de Google Security Operations llamada Test SCC Alert: BigQuery Exfiltration to Google Drive

Paso 6. Cómo inhabilitar las reglas de prueba

Cuando termines, inhabilita las reglas de Pruebas de detección administrada de GCP.

Accede a Google Security Operations.
Abre la página Detecciones seleccionadas.
Inhabilita el Estado y las Alertas para las reglas de Pruebas de detección administradas de GCP.

Verifica la transferencia de datos de AWS para la categoría de amenazas en la nube

Puedes usar las reglas de prueba de las Pruebas de detección administrada de AWS para verificar que los datos de AWS se está transfiriendo a Google Security Operations. Estas reglas de prueba ayudan a verificar que los datos de AWS se transfirió y en el formato esperado. Después de configurar la transferencia de Datos de AWS, debes realizar acciones en AWS que deberían activar las reglas de prueba.

El usuario que habilita estas reglas en Detection Engine debe tener las curatedRuleSetDeployments.batchUpdate permiso de IAM.
El usuario que realiza los pasos para enviar datos de AWS debe tener la IAM de AWS permisos para editar las etiquetas de una instancia EC2 en la cuenta elegida. Para para obtener más información sobre el etiquetado de instancias EC2, consulta el documento de AWS Etiqueta tus recursos de Amazon EC2.

Habilita las reglas de prueba de AWS Managed Detection Testing

En Google Security Operations, haz clic en Detections > Reglas y Detecciones a abre la página detecciones seleccionadas.
Selecciona la Prueba de detección administrada > Pruebas de detección administradas de AWS.
Habilitaste el Estado y las Alertas para las opciones Broad y Precise. las reglas de firewall.

Verifica que las acciones de etiquetas en AWS activen la regla de prueba

Realiza los siguientes pasos para verificar que las acciones de etiqueta en AWS activen la de reglas de firewall.

Paso 1: Generar un evento de registro en AWS

Elige una cuenta dentro de tu entorno de AWS.
Ve al panel de EC2 y, luego, elige una instancia dentro de la cuenta.
En la instancia EC2, haz clic en Actions, luego en Instance Settings y realiza lo siguiente en la sección Administrar etiquetas:
1. Haz clic en Agregar etiqueta nueva.
2. Ingresa la siguiente información:
3. Key: GCTI_ALERT_VALIDATION_TEST_KEY
4. Value: works
5. Haz clic en Guardar.

Para obtener información más detallada, consulta Cómo agregar o quitar etiquetas de instancias de EC2.

Paso 2: Verifica que se activen las alertas de prueba.

Luego de realizar la tarea del paso anterior, verifica que la regla de prueba de AWS CloudTrail una regla de firewall. Esto indica que se registraron los registros de CloudTrail y se envían a Google Security Operations según lo previsto. Realiza los siguientes pasos para verificar la alerta:

En Google Security Operations, haz clic en Detections > Reglas y Detecciones a abre la página detecciones seleccionadas.
Haz clic en Panel.
En la lista de detecciones, verifica que la regla tst_AWS_Cloud_Trail_Tag se activó.

Verifica que los resultados de muestra de GuardDuty de AWS activen las reglas de prueba

Para asegurarte de que las alertas de GuardDuty funcionen según lo previsto en tu entorno, puedes y enviar los resultados de muestra de GuardDuty a Google Security Operations.

Paso 1: Generar datos de resultados de muestra de GuardDuty

Navega a la página principal de la consola de AWS.
En Seguridad, identidad y cumplimiento, abre GuardDuty.
Navega a la Configuración de GuardDuty.
Haz clic en Generate Sample results.

Si quieres obtener más información para generar resultados de muestra de GuardDuty, consulta Cómo generar resultados de muestra en GuardDuty.

Paso 2: Verifica que se hayan activado las alertas de prueba.

En Google Security Operations, haz clic en Detección > Reglas y Detecciones a abre la página detecciones seleccionadas.
Haz clic en Panel.
Comprueba que la regla de prueba de AWS CloudTrail se haya activado en la detección lista.

Inhabilita los conjuntos de reglas de AWS Managed Detection Testing

En Google Security Operations, haz clic en Detección > Reglas y Detecciones a abre la página detecciones seleccionadas.
Selecciona la Prueba de detección administrada > Reglas de Pruebas de detección administrada de AW.
Inhabilita Status y Alerting para las opciones Broad y Precise. las reglas de firewall.

Verifica la transferencia de datos para la categoría de amenazas de Linux

Las reglas de Pruebas de detección administrada de Linux verifican que el registro en un sistema Linux esté funciona correctamente para las detecciones seleccionadas de Google Security Operations. Las pruebas implican usando el prompt de Bash en un entorno de Linux para ejecutar varios comandos que realiza cualquier usuario con acceso a la instrucción Bash de Linux.

Paso 1: Cómo habilitar las reglas de prueba

Accede a Google Security Operations.
Abre la página Detecciones seleccionadas.
Haga clic en Reglas y Detecciones > Conjuntos de reglas.
Expande la sección Prueba de detección administrada. Es posible que debas desplazarte por la página.
Haz clic en Prueba de detección administrada de Linux en la lista para abrir la página de detalles.
Habilita Estado y Alertas para las reglas de Pruebas de detección administradas de Linux.

Paso 2: Envía datos de prueba desde un dispositivo Linux

Para activar las reglas de prueba de la prueba de detección administrada de Linux, realiza los siguientes pasos:

Acceder a cualquier dispositivo Linux en el que se envíen datos a Google Security Operations.
Abre una nueva interfaz de línea de comandos de la ventana Bash de Linux como cualquier usuario.
Ingresa el siguiente comando y, luego, presiona Intro:

/bin/echo hello_chronicle_world!

Debes usar el objeto binario echo, en lugar de Linux comando echo integrado de shell.

Ingresa el siguiente comando y, luego, presiona Intro:

sudo useradd test_chronicle_account
Quita la cuenta de prueba creada en el paso anterior. Ejecuta el siguiente comando:

sudo userdel test_chronicle_account
Ingresa el siguiente comando y, luego, presiona Intro:

su
Cuando se te solicite la contraseña, ingresa una cadena aleatoria. Ten en cuenta que el Se muestra su: Authentication failure mensaje.
Cierra la ventana de Bash.

Paso 3: Verifica que se hayan activado las alertas en Google Security Operations

Verifica que el comando haya activado el *tst_linux_echo, reglas tst_linux_failed_su_login y tst_linux_test_account_creation en Google Security Operations. Esto indica que los registros de Linux se escriben y envían como se esperaba. Para verificar la alerta en Google Security Operations, sigue estos pasos:

Accede a Google Security Operations.
Abre la página Detecciones seleccionadas.
Haz clic en Panel.
Verifica que tst_linux_echo, tst_linux_failed_su_login y Se activaron las reglas tst_linux_test_account_creation en la lista de detección.

Nota: Puede haber un ligero retraso antes de que se muestre la alerta en Google Security Operations.

Paso 4: Cómo inhabilitar las reglas de prueba

Cuando termines, inhabilita las reglas de Prueba de detección administrada de Linux.

Accede a Google Security Operations.
Abre la página Detecciones seleccionadas.
Inhabilita el Estado y las Alertas para las reglas de Pruebas de detección administrada de Linux.

Verifica la transferencia de datos para la categoría de amenazas de Windows

La regla de prueba del eco de Windows verifica que el registro de Microsoft Windows funcione correctamente. para las detecciones seleccionadas de Google Security Operations. La prueba implica usar el símbolo del sistema en un entorno de Microsoft Windows para ejecutar el comando echo con una string esperada y única.

Puedes ejecutar la prueba mientras estés conectado con cualquier usuario que tenga acceso al Símbolo del sistema de Windows.

Paso 1: Cómo habilitar las reglas de prueba

Accede a Google Security Operations.
Abre la página Detecciones seleccionadas.
Expande la sección Prueba de detección administrada. Es posible que debas desplazarte por la página.
Haz clic en Prueba de detección administrada de Windows en la lista para abrir la página de detalles.
Habilita el Estado y las Alertas para las reglas de Pruebas de detección administradas de Windows.

Paso 2: Envía datos de prueba desde un dispositivo con Windows

Para activar la regla de prueba del eco de Windows, sigue estos pasos:

Acceder a cualquier dispositivo que genere datos que se enviarán a Google Security Operations.
Abre una nueva ventana del Símbolo del sistema de Microsoft Windows como cualquier usuario.
Ingresa el siguiente comando que no distingue mayúsculas de minúsculas y, luego, presiona Intro:
```
cmd.exe /c "echo hello_chronicle_world!"
```
Cierra la ventana del símbolo del sistema.

Paso 3: Verifica que se haya activado una alerta

Verifica que el comando haya activado la regla tst_Windows_Echo en Google Security Operations. Esto indica que el registro de Microsoft Windows envía datos como se esperaba. Para verificar la alerta en Google Security Operations, sigue estos pasos:

Accede a Google Security Operations.
Abre la página Detecciones seleccionadas.
Haz clic en Panel.
Verifica que la regla tst_Windows_Echo se haya activado en la lista de detección.

Nota: Habrá una leve demora para que la alerta se muestre en Google Security Operations.

Paso 4: Cómo inhabilitar las reglas de prueba

Cuando termines, inhabilita las reglas de Prueba de detección administrada de Windows.

Accede a Google Security Operations.
Abre la página Detecciones seleccionadas.
Inhabilita el Estado y las Alertas para las reglas de Pruebas de detección administrada de Windows.