테스트 규칙을 사용하여 데이터 수집 확인

Google Security Operations 선별된 감지에는 각 규칙 집합에 필요한 데이터가 올바른 형식인지 확인하는 데 도움이 되는 테스트 규칙 집합이 포함되어 있습니다.

이러한 테스트 규칙은 관리형 감지 테스트 카테고리에 속합니다. 각 규칙 집합은 테스트 기기에서 수신한 데이터가 지정된 카테고리에 대한 규칙에서 예상하는 형식인지 검증합니다.

규칙 모음 이름 설명
GCP 관리형 감지 테스트 클라우드 위협 카테고리에서 지원하는 기기에서 Google Cloud 데이터가 성공적으로 수집되었는지 확인합니다.
자세한 내용은 클라우드 위협 카테고리의 Google Cloud 데이터 수집 확인을 참조하세요.
AWS 관리형 감지 테스트 클라우드 위협 카테고리에서 지원하는 기기에서 AWS 데이터가 성공적으로 수집되었는지 확인합니다.
자세한 내용은 클라우드 위협 카테고리의 AWS 데이터 수집 확인을 참조하세요.
Linux 관리형 감지 테스트 Linux 위협 카테고리에서 지원하는 기기에서 데이터가 성공적으로 수집되었는지 확인합니다.
자세한 내용은 Linux 위협 카테고리의 데이터 수집 확인을 참조하세요.
Windows 관리형 감지 테스트 Windows 위협 카테고리에서 지원하는 기기에서 데이터가 성공적으로 수집되었는지 확인합니다.
자세한 내용은 Windows 위협 카테고리의 데이터 수집 확인을 참조하세요.

이 문서의 단계를 수행하여 수신 데이터가 올바르게 수집되고 올바른 형식인지 테스트하여 확인합니다.

클라우드 위협 카테고리의 Google Cloud 데이터 수집 확인

이러한 규칙은 Google Security Operations 선별된 감지에 대해 로그 데이터가 예상대로 수집되는지 확인하는 데 도움이 됩니다.

아래 단계에서는 다음을 사용하여 테스트 데이터를 수행하는 방법을 설명합니다.

  • Cloud 감사 메타데이터 테스트 규칙: 이 규칙을 트리거하려면 Google Security Operations로 데이터를 전송하는 모든 Compute Engine 가상 머신에 고유하고 예상되는 커스텀 메타데이터 키를 추가합니다.

  • Cloud DNS 테스트 규칙: 이 규칙을 트리거하려면 인터넷에 액세스할 수 있고 Google Security Operations로 로그를 전송하는 가상 머신 내에서 도메인(chronicle.security)에 대한 DNS 조회를 수행합니다.

  • SCC 관리형 감지 테스트 규칙: 이러한 규칙을 트리거하려면 Google Cloud 콘솔에서 여러 작업을 수행합니다.

  • Cloud Kubernetes 노드 테스트 규칙: 이 규칙을 트리거하려면 Google Security Operations로 로그 데이터를 보내는 테스트 프로젝트를 만들고 기존 Google Kubernetes Engine 클러스터에 고유한 노드 풀을 만듭니다.

1단계: 테스트 규칙 사용 설정

  1. Google Security Operations에 로그인합니다.
  2. 선별된 감지 페이지를 엽니다.
  3. 규칙 및 감지 > 규칙 집합을 클릭합니다.
  4. 관리형 감지 테스트 섹션을 펼칩니다. 페이지를 스크롤해야 할 수 있습니다.
  5. 목록에서 GCP 관리형 감지 테스트를 클릭하여 세부정보 페이지를 엽니다.
  6. Cloud 관리형 감지 테스트 규칙에 대한 상태알림을 모두 사용 설정합니다.

2단계: Cloud 감사 메타데이터 테스트 규칙의 데이터 전송

테스트를 트리거하려면 다음 단계를 완료합니다.

  1. 조직 내에서 프로젝트를 선택합니다.
  2. Compute Engine으로 이동한 후 프로젝트 내 가상 머신을 선택합니다.
  3. 가상 머신 내에서 수정을 클릭한 후 커스텀 메타데이터 섹션에서 다음을 수행합니다.
    • 항목 추가를 클릭합니다.
    • 다음 정보를 입력합니다.
      • 키: GCTI_ALERT_VALIDATION_TEST_KEY
      • 값: works
    • 저장을 클릭합니다.

  4. 다음 단계를 수행하여 알림이 트리거되었는지 확인합니다.

    1. Google Security Operations에 로그인
    2. 선별된 감지 페이지를 연 다음 대시보드를 클릭합니다.
    3. 감지 목록에서 tst_GCP_Cloud_Audit_Metadata 규칙이 트리거되었는지 확인합니다.

3단계: Cloud DNS 테스트 규칙의 데이터 전송

다음 단계는 Compute Engine 가상 머신에 액세스할 수 있는 선택한 프로젝트에서 IAM 사용자로 수행되어야 합니다.

테스트를 트리거하려면 다음 단계를 완료합니다.

  1. 조직 내에서 프로젝트를 선택합니다.
  2. Compute Engine으로 이동한 후 프로젝트 내 가상 머신을 선택합니다.
    • Linux 가상 머신인 경우 SSH 액세스 권한이 있어야 합니다.
    • Windows 가상 머신인 경우 RDP 액세스 권한이 있어야 합니다.
  3. SSH(Linux) 또는 RDP(Microsoft Windows)를 클릭하여 가상 머신에 액세스합니다.

  4. 다음 단계 중 하나를 수행하여 테스트 데이터를 전송합니다.

    • Linux 가상 머신: SSH를 사용하여 가상 머신에 액세스한 후 nslookup chronicle.security 또는 host chronicle.security 명령어 중 하나를 실행합니다.

      이 명령어가 실패하면 다음 명령어 중 하나를 사용하여 가상 머신에 dnsutils를 설치합니다.

      • sudo apt-get install dnsutils(Debian/Ubuntu의 경우)
      • dnf install bind-utils(RedHat/CentOS의 경우)
      • yum install bind-utils

    • Microsoft Windows 가상 머신: RDP를 사용하여 가상 머신에 액세스한 후 설치된 브라우저로 이동하고 https://chronicle.security URL로 이동합니다.

  5. 다음 단계를 수행하여 알림이 트리거되었는지 확인합니다.

    1. Google Security Operations에 로그인
    2. 선별된 감지 페이지를 연 다음 대시보드를 클릭합니다.
    3. 감지 목록에서 tst_GCP_Cloud_DNS_Test_Rule 규칙이 트리거되었는지 확인합니다.

4단계: Cloud Kubernetes Node 테스트 규칙의 데이터 전송

다음 단계는 Google Kubernetes Engine 리소스에 액세스할 수 있는 선택한 프로젝트에서 IAM 사용자로 수행되어야 합니다. 리전 클러스터 및 노드 풀 만들기에 대한 자세한 내용은 단일 영역 노드 풀로 리전 클러스터 만들기를 참조하세요. 이러한 테스트 규칙은 KUBERNETES_NODE 로그 유형에 데이터 수집을 확인하기 위한 것입니다.

테스트 규칙을 트리거하려면 다음 단계를 완료합니다.

  1. 조직 내에 chronicle-kube-test-project라는 프로젝트를 만듭니다. 이 프로젝트는 테스트용으로만 사용됩니다.
  2. Google Cloud 콘솔에서 Google Kubernetes Engine 페이지로 이동합니다.
    Google Kubernetes Engine 페이지로 이동
  3. 만들기를 클릭하여 프로젝트에 새 리전 클러스터를 만듭니다. 조직 요구사항에 따라 클러스터를 구성합니다.
  4. 노드 풀 추가를 클릭합니다.
  5. 노드 풀 이름을 kube-node-validation으로 지정한 후 풀 크기를 영역당 노드 1개로 조정합니다.
  6. 테스트 리소스를 삭제합니다.
    1. kube-node-validation 노드 풀이 생성되면 노드 풀을 삭제합니다.
    2. chronicle-kube-test-project 테스트 프로젝트를 삭제합니다.

  7. Google Security Operations에 로그인합니다.

  8. 선별된 감지 페이지를 연 다음 대시보드를 클릭합니다.

  9. 감지 목록에서 tst_GCP_Kubernetes_Node 규칙이 트리거되었는지 확인합니다.

  10. 감지 목록에서 tst_GCP_Kubernetes_CreateNodePool 규칙이 트리거되었는지 확인합니다.

5단계: SCC 관리형 감지 테스트 규칙의 데이터 전송

다음 섹션의 단계에서는 Security Command Center 발견 항목 및 관련 데이터가 예상되는 형식으로 올바르게 수집되었는지 확인합니다.

관리형 감지 테스트 카테고리에 설정된 SCC 관리형 감지 테스트 규칙을 이용하면 CDIR SCC 향상된 규칙에 필요한 데이터 세트를 Google Security Operations로 전송하고, 올바른 형식을 가지게 할 수 있습니다.

각 테스트 규칙은 데이터가 규칙에 예상된 형식으로 수신되는지 확인합니다. Google Cloud 환경에서 작업을 수행하여 Google Security Operations 알림을 생성할 데이터를 전송합니다.

Google Cloud 서비스에서 로그인을 구성하고, Security Command Center 프리미엄 발견 항목을 수집하고, Security Command Center 발견 항목을 Google Security Operations로 전송하기 위해 필요한 이 문서의 다음 섹션을 완료합니다.

이 섹션에 설명된 Security Command Center 알림에 대해 자세히 알아보려면 Security Command Center 문서 위협 조사 및 대응을 참조하세요.

CDIR SCC 지속성 테스트 규칙 트리거

Google Security Operations에서 이 알림을 트리거하는 데이터를 전송하려면 다음 단계를 수행합니다.

  1. Google Cloud 콘솔에서 새 VM 인스턴스를 만들고 편집자 권한이 있는 Compute Engine 기본 서비스 계정을 일시적으로 할당하세요. 테스트가 완료되면 이를 삭제합니다.

  2. 새 인스턴스를 사용할 수 있으면 액세스 범위모든 API에 대한 전체 액세스 허용에 할당합니다.

  3. 다음과 같은 정보로 새 서비스 계정을 만듭니다.

    • 서비스 계정 이름: scc-test로 설정
    • 서비스 계정 ID: scc-test로 설정
    • (선택사항) 서비스 계정의 설명을 입력하세요.

    서비스 계정을 만드는 방법에 대한 자세한 내용은 서비스 계정 만들기 문서를 참조하세요.

  4. SSH를 사용하여 이전 단계에서 만든 테스트 인스턴스에 연결하고 다음 gcloud 명령어를 실행합니다.

    gcloud projects add-iam-policy-binding PROJECT_NAME
--member="serviceAccount:scc-test@PROJECT_NAME.iam.gserviceaccount.com"
--role="roles/owner`"

    Compute Engine 인스턴스가 실행 중이며 프로젝트와 scc-test 계정이 생성된 프로젝트의 이름으로 PROJECT_NAME를 바꿉니다.

    지속성: IAM 비정상적인 권한 부여 Security Command Center 알림이 실행되어야 합니다.

  5. Google Security Operations에 로그인한 후 알림 및 IOC 페이지를 엽니다.

  6. SCC 알림 테스트: 테스트 계정에 제공된 IAM 비정상적인 권한 부여라는 제목의 Google Security Operations 알림이 표시됩니다.

  7. Google Cloud 콘솔을 열고 다음을 수행합니다.

    • IAM 및 관리 콘솔에서 scc-test 테스트 계정 액세스 권한을 삭제합니다.
    • 서비스 계정 포털을 사용하여 서비스 계정을 삭제합니다.
    • 방금 만든 VM 인스턴스를 삭제합니다.

CDIR SCC 멀웨어 테스트 규칙 트리거

Google Security Operations에서 이 알림을 트리거하는 데이터를 전송하려면 다음 단계를 수행합니다.

  1. Google Cloud 콘솔에서 SSH를 사용하여 curl 명령어가 설치된 VM 인스턴스에 SSH를 사용하여 연결합니다.

  2. 다음 명령어를 실행합니다.

      curl etd-malware-trigger.goog

    이 명령어를 실행한 후 멀웨어: 잘못된 도메인 Security Command Center 알림이 발생합니다.

  3. Google Security Operations에 로그인한 후 알림 및 IOC 페이지를 엽니다.

  4. SCC 알림 테스트: 멀웨어 잘못된 도메인이라는 제목의 Google Security Operations 알림이 표시됩니다.

CDIR SCC 방어 회피 테스트 규칙 트리거

Google Security Operations에서 이 알림을 트리거하는 데이터를 전송하려면 다음 단계를 수행합니다.

  1. 조직 수준에서 VPC 서비스 제어 경계를 수정할 수 있는 액세스 권한이 있는 계정을 사용하여 Google Cloud 콘솔에 로그인합니다.

  2. Google Cloud 콘솔에서 VPC 서비스 제어 페이지로 이동합니다.

    VPC 서비스 제어로 이동

  3. +새 경계를 클릭하고 세부정보 페이지에서 다음과 같이 필드를 구성하세요.

    • 경계 제목: scc_test_perimeter.
    • 경계 유형일반 경계 (기본값)로 설정
    • 구성 유형적용됨으로 설정

  4. 왼쪽 탐색에서 3가지 제한된 서비스를 선택합니다.

  5. 제한할 서비스 지정 대화상자에서 Google Compute Engine API를 선택한 다음 Google Compute Engine API 추가를 클릭합니다.

  6. 왼쪽 탐색에서 경계 만들기를 클릭합니다.

  7. 경계를 수정하려면 VPC 서비스 경계 페이지로 이동합니다. 이 페이지에 액세스하는 방법에 대한 자세한 내용은 서비스 경계 나열 및 설명을 참조하세요.

  8. scc_test_perimeter를 선택한 다음 경계 수정을 선택합니다.

  9. 제한된 서비스에서 삭제 아이콘을 클릭하여 Google Compute Engine API 서비스를 삭제합니다. 이렇게 하면 SCC에서 방어 회피: VPC 서비스 제어 경계 수정 알림이 트리거됩니다.

  10. Google Security Operations에 로그인한 후 알림 및 IOC 페이지를 엽니다.

  11. SCC 알림 테스트: VPC 서비스 제어 테스트 알림 수정이라는 제목의 Google Security Operations 알림이 표시되는지 확인합니다.

CDIR SCC 무단 반출 테스트 규칙 트리거

Google Security Operations에서 이 알림을 트리거하는 데이터를 전송하려면 다음 단계를 수행합니다.

  1. Google Cloud 콘솔에서 Google Cloud 프로젝트로 이동한 다음 BigQuery를 엽니다.

    BigQuery로 이동

  2. 다음 데이터로 CSV 파일을 만든 다음 홈 디렉터리에 저장합니다.

    column1, column2, column3
data1, data2, data3
data4, data5, data6
data7, data8, data9

  3. 왼쪽 탐색 메뉴에서 데이터 세트 만들기를 선택합니다.

  4. 다음 구성을 설정한 다음 데이터 세트 만들기를 클릭합니다.

    • 데이터 세트 IDscc_test_dataset로 설정
    • 위치 유형멀티 리전으로 설정
    • 테이블 만료 시간 사용 설정: 이 옵션은 선택하지 않음

    새 데이터 세트 매개변수

    데이터 세트 만들기에 대한 자세한 내용은 BigQuery 문서 데이터 세트 만들기를 참조하세요.

  5. 왼쪽 탐색 메뉴에서scc_test_dataset , 아이콘을 선택한 다음 테이블 만들기 값을 반환합니다.

  6. 테이블을 만들고 구성을 다음과 같이 설정합니다.

    • 다음 항목으로 테이블 만들기: 업로드로 설정
    • 파일 선택: 홈 디렉터리로 이동하여 앞에서 만든 CSV 파일 선택
    • 파일 형식: CSV로 설정
    • 데이터 세트: css_test_dataset로 설정
    • 테이블 유형: 기본 테이블로 설정

  7. 다른 모든 필드에 대해 기본 구성을 수락한 후 테이블 만들기를 클릭합니다.

    테이블 매개변수

    테이블 만들기에 대한 자세한 내용은 BigQuery 문서 테이블 만들기 및 사용을 참조하세요.

  8. 리소스 목록에서 css_test_dataset 테이블을 선택한 후 쿼리를 클릭하고 새 탭에서를 선택합니다.

    새 쿼리 만들기

  9. 다음 쿼리를 실행합니다.

    SELECT * FROM TABLE_NAME LIMIT 1000`

    TABLE_NAME을 정규화된 테이블 이름으로 바꿉니다.

  10. 쿼리가 실행되면 결과 저장을 클릭한 후 Google Drive의 CSV를 선택합니다. 이렇게 하면 유출: Google 드라이브로의 BigQuery 유출 Security Command Center 알림이 트리거됩니다. Security Command Center 발견 항목은 Google Security Operations로 전송되고 이것이 Google Security Operations 알림을 트리거해야 합니다.

    쿼리 결과 저장

  11. Google Security Operations에 로그인한 후 알림 및 IOC 페이지를 엽니다.

  12. SCC 알림 테스트: Google Drive로의 BigQuery 유출이라는 제목의 Google Security Operations 알림이 표시되는지 확인합니다.

6단계: 테스트 규칙 중지

완료되었으면 GCP 관리형 감지 테스트 규칙을 중지합니다.

  1. Google Security Operations에 로그인합니다.
  2. 선별된 감지 페이지를 엽니다.
  3. GCP 관리형 감지 테스트 규칙에 대한 상태알림을 모두 중지합니다.

클라우드 위협 카테고리의 AWS 데이터 수집 확인

AWS 관리형 감지 테스트 테스트 규칙을 사용하여 AWS 데이터가 Google Security Operations로 수집되는지 확인할 수 있습니다. 이러한 테스트 규칙은 AWS 데이터가 수집되었고 예상한 형식인지 확인하는 데 도움이 됩니다. AWS 데이터 수집을 설정한 후 AWS에서 테스트 규칙을 트리거하는 작업을 수행합니다.

  • Detection Engine에서 이러한 규칙을 사용 설정하는 사용자에게는 curatedRuleSetDeployments.batchUpdate IAM 권한이 있어야 합니다.
  • AWS 데이터 전송 단계를 수행하는 사용자는 선택한 계정에서 EC2 인스턴스의 태그를 편집할 수 있는 AWS IAM 권한이 있어야 합니다. EC2 인스턴스 태그 지정에 대한 자세한 내용은 AWS 문서 Amazon EC2 리소스에 태그 지정을 참조하세요.

AWS 관리형 감지 테스트 규칙 사용 설정

  1. Google Security Operations에서 감지 > 규칙 및 감지를 클릭하여 선별된 감지 페이지를 엽니다.
  2. 관리형 감지 테스트 > AWS 관리형 감지 테스트를 선택합니다.
  3. 광범위한 규칙과 정확한 규칙에 대한 상태알림을 모두 사용 설정했습니다.

AWS의 태그 작업이 테스트 규칙을 트리거하는지 확인

다음 단계를 수행하여 AWS의 태그 작업이 규칙 집합을 트리거하는지 확인합니다.

1단계: AWS에서 로그 이벤트를 생성합니다.

  1. AWS 환경 내의 계정을 선택합니다.
  2. EC2 대시보드로 이동한 후 계정 내 인스턴스를 선택합니다.
  3. EC2 인스턴스 내에서 작업을 클릭한 다음 인스턴스 설정을 클릭하고 태그 관리 섹션에서 다음을 수행합니다.
    1. 새 태그 추가를 클릭합니다.
    2. 다음 정보를 입력합니다.
    3. : GCTI_ALERT_VALIDATION_TEST_KEY
    4. : works
    5. 저장을 클릭합니다.

자세한 내용은 EC2 인스턴스 태그 추가 또는 삭제를 참조하세요.

2단계: 테스트 알림이 트리거되는지 확인합니다.

이전 단계의 태스크를 수행한 후 AWS CloudTrail 테스트 규칙이 트리거되었는지 확인합니다. 이는 CloudTrail 로그가 기록되었고 Google Security Operations에 예상대로 전송되었음을 나타냅니다. 다음 단계를 수행하여 알림을 확인합니다.

  1. Google Security Operations에서 감지 > 규칙 및 감지를 클릭하여 선별된 감지 페이지를 엽니다.
  2. 대시보드를 클릭합니다.
  3. 감지 목록에서 tst_AWS_Cloud_Trail_Tag 규칙이 트리거되었는지 확인합니다.

AWS GuardDuty 샘플 발견 항목으로 테스트 규칙이 트리거되는지 확인

GuardDuty 알림이 사용자 환경에서 의도한 대로 작동하게 하려면 GuardDuty 샘플 발견 항목을 Google Security Operations로 보내야 합니다.

1단계: GuardDuty 샘플 발견 항목 데이터를 생성합니다.

  1. AWS 콘솔 홈으로 이동합니다.
  2. 보안, ID, 규정 준수에서 GuardDuty를 엽니다.
  3. GuardDuty의 설정으로 이동합니다.
  4. 샘플 발견 항목 생성을 클릭합니다.

샘플 GuardDuty 발견 항목을 생성하는 방법에 대한 자세한 내용은 GuardDuty에서 샘플 발견 항목 생성을 참조하세요.

2단계: 테스트 알림이 트리거되었는지 확인합니다.

  1. Google Security Operations에서 감지 > 규칙 및 감지를 클릭하여 선별된 감지 페이지를 엽니다.
  2. 대시보드를 클릭합니다.
  3. 감지 목록에서 AWS CloudTrail 테스트 규칙이 트리거되었는지 확인합니다.

AWS 관리형 감지 테스트 규칙 집합 사용 중지

  1. Google Security Operations에서 감지 > 규칙 및 감지를 클릭하여 선별된 감지 페이지를 엽니다.
  2. 관리형 감지 테스트 > AWS 관리형 감지 테스트 규칙을 선택합니다.
  3. 광범위한 규칙 및 정확한 규칙에 대한 상태알림을 모두 사용 중지합니다.

Linux 위협 카테고리의 데이터 수집 확인

Linux 관리형 감지 테스트 규칙은 Google Security Operations 선별된 감지에 대해 Linux 시스템의 로깅이 올바르게 작동하는지 확인합니다. 테스트 과정에서 Linux 환경의 Bash 프롬프트를 사용하여 다양한 명령어를 실행하며, Linux Bash 프롬프트에 액세스할 수 있는 모든 사용자가 테스트를 수행할 수 있습니다.

1단계: 테스트 규칙 사용 설정

  1. Google Security Operations에 로그인합니다.
  2. 선별된 감지 페이지를 엽니다.
  3. 규칙 및 감지 > 규칙 집합을 클릭합니다.
  4. 관리형 감지 테스트 섹션을 펼칩니다. 페이지를 스크롤해야 할 수 있습니다.
  5. 목록에서 Linux 관리형 감지 테스트를 클릭하여 세부정보 페이지를 엽니다.
  6. Linux 관리형 감지 테스트 규칙에 대한 상태알림을 모두 사용 설정합니다.

2단계: Linux 기기에서 테스트 데이터 보내기

Linux 관리형 감지 테스트 테스트 규칙을 트리거하려면 다음 단계를 수행합니다.

  1. 데이터가 Google Security Operations로 전송되는 모든 Linux 기기에 액세스합니다.
  2. 일반적인 사용자로 새 Linux Bash 프롬프트 명령줄 인터페이스를 엽니다.

  3. 다음 명령어를 입력하고 Enter 키를 누릅니다.

    /bin/echo hello_chronicle_world!

Linux 셸에 내장된 echo 명령어 대신 echo 바이너리를 사용해야 합니다.

  1. 다음 명령어를 입력하고 Enter 키를 누릅니다.

    sudo useradd test_chronicle_account

  2. 이전 단계에서 만든 테스트 계정을 삭제합니다. 다음 명령어를 실행합니다.

    sudo userdel test_chronicle_account

  3. 다음 명령어를 입력하고 Enter 키를 누릅니다.

    su

  4. 비밀번호를 묻는 메시지가 표시되면 무작위 문자열을 입력합니다. su: Authentication failure 메시지가 표시되는지 확인합니다.

  5. Bash 창을 닫습니다.

3단계: Google Security Operations에서 알림이 트리거되었는지 확인

명령어로 Google Security Operations에서 *tst_linux_echo, tst_linux_echo, tst_linux_echo 규칙이 트리거되었는지 확인합니다. 이는 Linux 로그가 기록되었고 예상한 대로 전송되었음을 나타냅니다. Google Security Operations에서 알림을 확인하려면 다음 단계를 수행합니다.

  1. Google Security Operations에 로그인합니다.
  2. 선별된 감지 페이지를 엽니다.
  3. 대시보드를 클릭합니다.

  4. 감지 목록에서 tst_linux_echo, tst_linux_echo, tst_linux_echo 규칙이 트리거되었는지 확인합니다.

4단계: 테스트 규칙 중지

완료되었으면 Linux 관리형 감지 테스트 규칙을 중지합니다.

  1. Google Security Operations에 로그인합니다.
  2. 선별된 감지 페이지를 엽니다.
  3. Linux 관리형 감지 테스트 규칙에 대한 상태알림을 모두 중지합니다.

Windows 위협 카테고리의 데이터 수집 확인

Windows Echo 테스트 규칙은 Google Security Operations 선별된 감지에 대해 Microsoft Windows 로깅이 올바르게 작동하는지 확인합니다. 이 테스트는 Microsoft Windows 환경에서 명령어 프롬프트를 사용하여 예상되고 고유한 문자열로 echo 명령어를 실행합니다.

Windows 명령 프롬프트에 액세스할 수 있는 사용자로 로그인한 상태에서 테스트를 실행할 수 있습니다.

1단계: 테스트 규칙 사용 설정

  1. Google Security Operations에 로그인합니다.
  2. 선별된 감지 페이지를 엽니다.
  3. 관리형 감지 테스트 섹션을 펼칩니다. 페이지를 스크롤해야 할 수 있습니다.
  4. 목록에서 Windows 관리형 감지 테스트를 클릭하여 세부정보 페이지를 엽니다.
  5. Windows 관리형 감지 테스트 규칙에 대한 상태알림을 모두 사용 설정합니다.

2단계: Windows 기기에서 테스트 데이터 보내기

Windows Echo 테스트 규칙을 트리거하려면 다음 단계를 수행합니다.

  1. Google Security Operations로 전송할 데이터를 생성하는 기기에 액세스합니다.
  2. 일반적인 사용자 권한으로 새 Microsoft Windows 명령 프롬프트 창을 엽니다.

  3. 대소문자를 구분하지 않고 다음 명령어를 입력한 후 Enter 키를 누릅니다.

    cmd.exe /c "echo hello_chronicle_world!"

  4. 명령 프롬프트 창을 닫습니다.

3단계: 알림이 트리거되었는지 확인

명령어가 Google Security Operations에서 tst_Windows_Echo 규칙을 트리거했는지 확인합니다. 이는 Microsoft Windows 로깅이 예상대로 데이터를 전송하고 있다는 의미입니다. Google Security Operations에서 알림을 확인하려면 다음 단계를 수행합니다.

  1. Google Security Operations에 로그인합니다.
  2. 선별된 감지 페이지를 엽니다.
  3. 대시보드를 클릭합니다.

  4. 감지 목록에서 tst_Windows_Echo 규칙이 트리거되었는지 확인합니다.

4단계: 테스트 규칙 중지

완료되었으면 Windows 관리형 감지 테스트 규칙을 중지합니다.

  1. Google Security Operations에 로그인합니다.
  2. 선별된 감지 페이지를 엽니다.
  3. Windows 관리형 감지 테스트 규칙에 대한 상태알림을 모두 중지합니다.