Verifica la transferencia de datos con reglas de prueba

Compatible con:

Las detecciones seleccionadas de Google Security Operations incluyen un conjunto de conjuntos de reglas de prueba que te ayudan a verificar que los datos requeridos para cada conjunto de reglas tengan el formato correcto.

Estas reglas de prueba se encuentran en la categoría Pruebas de detección administradas. Cada conjunto de reglas valida que los datos recibidos por el dispositivo de prueba tengan el formato esperado por las reglas para esa categoría especificada.

Nombre del conjunto de reglas Descripción
Google Cloud Pruebas de detección administradas Verifica que los datos de Google Cloud se transfieran correctamente desde los dispositivos compatibles con la categoría Amenazas en la nube.
Para obtener más información, consulta Verifica la transferencia de datos para la categoría Amenazas de Cloud Google Cloud .
Pruebas de detección administradas de Chrome Enterprise Verifica que los datos se transfieran correctamente desde los dispositivos compatibles con la categoría Amenazas de Chrome Enterprise.
Consulta Cómo verificar la transferencia de datos para la categoría Amenazas de Chrome Enterprise para obtener más información.
Pruebas de detección administradas por AWS Verifica que los datos de AWS se transfieran correctamente desde los dispositivos compatibles con la categoría Amenazas en la nube.
Consulta Verifica la transferencia de datos de AWS para la categoría Amenazas de Cloud para obtener más información.
Pruebas de detección administrada de Linux Verifica que los datos se hayan transferido correctamente desde los dispositivos compatibles con la categoría Amenazas de Linux.
Consulta Cómo verificar la transferencia de datos para la categoría Amenazas de Linux para obtener más información.
Pruebas de detección administrada de Windows Verifica que los datos se transfieran correctamente desde los dispositivos compatibles con la categoría Amenazas de Windows.
Consulta Cómo verificar la transferencia de datos para la categoría Amenazas de Windows para obtener más información.
Pruebas de detección de datos de Office 365 Verifica que los datos se ingieran correctamente y tengan el formato adecuado para usar las detecciones seleccionadas para los datos de Office 365.
Consulta Cómo verificar la transferencia de datos para la categoría de Office 365 para obtener más información.
Pruebas de detección de datos de Okta Verifica que los datos se ingieran correctamente y tengan el formato adecuado para usar las detecciones seleccionadas para los datos de Okta.
Consulta Verifica la transferencia de datos para la categoría Amenazas de Okta para obtener más información.

Sigue los pasos que se indican en este documento para probar y verificar que los datos entrantes se transfieran correctamente y tengan el formato adecuado.

Verifica la Google Cloud transferencia de datos para la categoría Cloud Threats

Estas reglas ayudan a verificar si los datos de registro se están transfiriendo según lo previsto para las Detecciones Curadas de Google SecOps.

Usa las siguientes reglas para probar los datos con los pasos que se indican a continuación:

  • Regla Cloud Audit Metadata Testing: Para activar esta regla, agrega una clave de metadatos personalizados única y esperada a cualquier máquina virtual de Compute Engine que envíe datos a Google SecOps.

  • Regla Cloud DNS Testing: Para activar esta regla, realiza una búsqueda de DNS en el dominio (chronicle.security) dentro de cualquier máquina virtual que tenga acceso a Internet y envíe datos de registro a Google SecOps.

  • Reglas de SCC Managed Detection Testing: Para activar estas reglas, realiza varias acciones en la consola de Google Cloud .

  • Regla Cloud Kubernetes Node Testing: Para activar esta regla, crea un proyecto de prueba que envíe datos de registro a Google SecOps y crea un grupo de nodos único en un clúster existente de Google Kubernetes Engine.

Paso 1: Habilita las reglas de prueba

  1. Accede a Google SecOps.
  2. Abre la página Detecciones seleccionadas.
  3. Haz clic en Reglas y detecciones > Conjuntos de reglas.
  4. Expande la sección Pruebas de detección administradas. Es posible que debas desplazarte por la página.
  5. Haz clic en Google Cloud Pruebas de detección administradas en la lista para abrir la página de detalles.
  6. Habilita Estado y Alertas para las reglas de Pruebas de detección administradas en la nube.

Paso 2: Envía datos para la regla de prueba de metadatos de Cloud Audit

Para activar la prueba, completa los siguientes pasos:

  1. Elige un proyecto dentro de tu organización.
  2. Ve a Compute Engine y, luego, elige una máquina virtual dentro del proyecto.
  3. En la máquina virtual, haz clic en Editar y, luego, sigue estos pasos en la sección Metadatos personalizados:
    1. Haz clic en Agregar elemento.
    2. Ingresa la siguiente información:
      • Clave: GCTI_ALERT_VALIDATION_TEST_KEY
      • Valor: works
    3. Haz clic en Guardar.

  4. Sigue estos pasos para verificar que se haya activado la alerta:

    1. Accede a Google SecOps.
    2. Abre la página Detecciones seleccionadas y, luego, haz clic en Panel.
    3. Verifica que la regla ur_tst_Google Cloud_Cloud_Audit_Metadata se haya activado en la lista de detección.

Paso 3: Envía datos para la regla Cloud DNS Testing

Importante: Los siguientes pasos se deben realizar como usuario de IAM en el proyecto elegido que tiene acceso a una máquina virtual de Compute Engine.

Para activar la prueba, completa los siguientes pasos:

  1. Elige un proyecto dentro de tu organización.
  2. Ve a Compute Engine y, luego, elige una máquina virtual dentro del proyecto.
    • Si se trata de una máquina virtual de Linux, asegúrate de tener acceso a Secure Shell (SSH).
    • Si se trata de una máquina virtual de Windows, asegúrate de tener acceso al protocolo de escritorio remoto (RDP).
  3. Haz clic en SSH (Linux) o RDP (Microsoft Windows) para acceder a la máquina virtual.

  4. Envía datos de prueba con uno de los siguientes pasos:

    • Máquina virtual de Linux: Después de acceder a la máquina virtual con SSH, ejecuta uno de estos comandos: nslookup chronicle.security o host chronicle.security

      Si el comando falla, instala dnsutils en la máquina virtual con uno de los siguientes comandos:

      • sudo apt-get install dnsutils (para Debian/Ubuntu)
      • dnf install bind-utils (para Red Hat/CentOS)
      • yum install bind-utils

    • Máquina virtual de Microsoft Windows: Después de acceder a la máquina virtual con RDP, ve a cualquier navegador instalado y navega a https://chronicle.security.

  5. Sigue estos pasos para verificar que se haya activado la alerta:

    1. Accede a Google SecOps.
    2. Abre la página Detecciones seleccionadas y, luego, haz clic en Panel.
    3. Verifica que la regla ur_tst_Google Cloud_Cloud_DNS_Test_Rule se haya activado en la lista de detección.

Paso 4: Envía datos para las reglas de Cloud Kubernetes Node Testing

Importante: Los siguientes pasos se deben realizar como usuario de IAM en el proyecto elegido que tiene acceso a los recursos de Google Kubernetes Engine. Para obtener información más detallada sobre cómo crear clústeres regionales y grupos de nodos, consulta Crea un clúster regional con un grupo de nodos de zona única. Estas reglas de prueba tienen como objetivo verificar la transferencia de datos del tipo de registro KUBERNETES_NODE.

Para activar las reglas de prueba, completa los siguientes pasos:

  1. Crea un proyecto dentro de tu organización llamado chronicle-kube-test-project. Este proyecto solo se usa para realizar pruebas.
  2. Navega a la página de Google Kubernetes Engine en la Google Cloud consola.
    Ir a la página de Google Kubernetes Engine
  3. Haz clic en Crear para crear un clúster regional nuevo en el proyecto.
  4. Configura el clúster según los requisitos de tu organización.
  5. Haz clic en Agregar grupo de nodos.
  6. Asigna el nombre kube-node-validation al grupo de nodos y, luego, ajusta el tamaño del grupo a 1 nodo por zona.
  7. Borra los recursos de prueba:
    1. Después de crear el grupo de nodos kube-node-validation, bórralo.
    2. Borra el proyecto de prueba chronicle-kube-test-project.

  8. Accede a Google SecOps.

  9. Abre la página Detecciones seleccionadas y, luego, haz clic en Panel.

  10. Verifica que la regla tst_Google Cloud_Kubernetes_Node se haya activado en la lista de detección.

  11. Verifica que la regla tst_Google Cloud_Kubernetes_CreateNodePool se haya activado en la lista de detección.

Paso 5: Envía datos para las reglas de Pruebas de detección administradas por SCC

Los subpasos de este paso verifican que los resultados de Security Command Center y los datos relacionados se transfieran correctamente y en el formato esperado.

Los conjuntos de reglas de Pruebas de detección administradas por SCC en la categoría Pruebas de detección administradas te permiten verificar que los datos necesarios para los conjuntos de reglas de SCC mejorado de CDIR se envíen a Google SecOps y tengan el formato correcto.

Cada regla de prueba valida que los datos se reciban en un formato esperado por las reglas. Realizas acciones en tu entorno de Google Cloud para enviar datos que generarán una alerta de Google SecOps.

Asegúrate de completar las siguientes secciones de este documento que son necesarias para configurar el registro en los servicios de Google Cloud , recopilar los hallazgos de Security Command Center Premium y enviar los hallazgos de Security Command Center a Google SecOps:

Para obtener más información sobre las alertas de Security Command Center que se describen en esta sección, consulta el documento de Security Command Center Investigating and Responding to Threats (Investiga y responde a las amenazas).

Activa la regla de prueba de persistencia de CDIR de SCC

Para enviar datos que activen esta alerta en Google SecOps, sigue estos pasos:

  1. En la consola de Google Cloud , crea una instancia de VM nueva y asígnale de forma temporal la cuenta de servicio predeterminada de Compute Engine con privilegios de Editor. Quitarás este elemento después de que se complete la prueba.

  2. Cuando la instancia nueva esté disponible, asigna el permiso de acceso a Permitir el acceso total a todas las APIs.

  3. Crea una cuenta de servicio nueva con la siguiente información:

    • Establece el Nombre de la cuenta de servicio como scc-test.
    • Establece el ID de la cuenta de servicio como scc-test.
    • De manera opcional, ingresa una Descripción para la cuenta de servicio.

    Consulta el documento Crea cuentas de servicio para obtener información sobre cómo crear cuentas de servicio.

  4. Conéctate a la instancia de prueba creada en el paso anterior a través de SSH y, luego, ejecuta el siguiente comando gcloud:

    gcloud projects add-iam-policy-binding PROJECT_NAME
--member="serviceAccount:scc-test@PROJECT_NAME.iam.gserviceaccount.com"
--role="roles/owner`"

    Reemplaza PROJECT_NAME por el nombre del proyecto en el que se ejecuta la instancia de Compute Engine y en el que se creó la cuenta de scc-test.

    Se debe activar la alerta de Security Command Center Persistencia: Concesión anómala de IAM.

  5. Accede a Google SecOps y, luego, abre la página Alerts & IOCs.

  6. Deberías ver una alerta de Google SecOps titulada Alerta de SCC de prueba: Otorgamiento anómalo de IAM a la cuenta de prueba.

  7. Abre la consola de Google Cloud y, luego, haz lo siguiente:

    • Quita el acceso a la cuenta de prueba scc-test de IAM y la Consola del administrador.
    • Borra la cuenta de servicio con el portal de Cuentas de servicio.
    • Borra la instancia de VM que acabas de crear.

Activa la regla de prueba de software malicioso de SCC de CDIR

Para enviar datos que activen esta alerta en Google SecOps, sigue estos pasos:

  1. En la consola de Google Cloud , conéctate con SSH a cualquier instancia de VM en la que esté instalado el comando curl.

  2. Ejecuta el siguiente comando:

      curl etd-malware-trigger.goog

    Después de ejecutar este comando, se debería activar la alerta de Security Command Center Malware: Bad Domain.

  3. Accede a Google SecOps y, luego, abre la página Alerts & IOCs.

  4. Verifica que veas una alerta de Google SecOps titulada Test SCC Alert: Malware Bad Domain.

Activa la regla de prueba de evasión de defensas de CDIR SCC

Para enviar datos que activen esta alerta en Google SecOps, sigue estos pasos:

  1. Accede a Google Cloud console con una cuenta que tenga acceso a nivel de la organización para modificar los perímetros de los Controles del servicio de VPC.

  2. En la Google Cloud consola, ve a la página Controles del servicio de VPC.

    Ir a los Controles del servicio de VPC

  3. Haz clic en + Nuevo perímetro y configura los siguientes campos en la página Detalles:

    • Título del perímetro: scc_test_perimeter.
    • Tipo de perímetro en Perímetro normal (predeterminado)
    • Tipo de configuración en Obligatorio

  4. En el panel de navegación izquierdo, selecciona 3 Servicios restringidos.

  5. En el diálogo Specify services to restrict, selecciona Google Compute Engine API y, luego, haz clic en Add Google Compute Engine API.

  6. En el panel de navegación izquierdo, haz clic en Crear perímetro.

  7. Para modificar el perímetro, ve a la página Perímetros de servicio de VPC. Para obtener información más detallada sobre cómo acceder a esta página, consulta Cómo enumerar y describir perímetros de servicio.

  8. Selecciona scc_test_perimeter y, luego, Editar perímetro.

  9. En Servicios restringidos, haz clic en el ícono Borrar para quitar el servicio de la API de Google Compute Engine. Esto debería activar la alerta Defense Evasion: Modify VPC Service Control Perimeter en SCC.

  10. Accede a Google SecOps y, luego, abre la página Alerts & IOCs.

  11. Verifica que veas una alerta de Google SecOps titulada Alerta de prueba de SCC: Alerta de prueba de modificación del control de servicio de VPC.

Activa la regla de prueba de filtración de datos de CDIR SCC

Para enviar datos que activen esta alerta en Google SecOps, sigue estos pasos:

  1. En la consola de Google Cloud , ve a un Google Cloud proyecto y, luego, abre BigQuery.

    Ir a BigQuery

  2. Crea un archivo CSV con los siguientes datos y, luego, guárdalo en tu directorio principal:

    column1, column2, column3
data1, data2, data3
data4, data5, data6
data7, data8, data9

  3. En la navegación de la izquierda, elige Create Dataset.

  4. Establece la siguiente configuración y, luego, haz clic en Crear conjunto de datos:

    • El ID del conjunto de datos se establece en scc_test_dataset.
    • El Tipo de ubicación se establece en Multirregión.
    • Habilitar vencimiento de la tabla: No selecciones esta opción.

    Para obtener información más detallada sobre la creación de un conjunto de datos, consulta el documento de BigQuery Crea conjuntos de datos.

  5. En la navegación de la izquierda, a la derecha de scc_test_dataset, haz clic en el ícono y, luego, selecciona Crear tabla.

  6. Crea una tabla y establece la siguiente configuración:

    • Crear tabla desde: Configúralo como Subir.
    • Seleccionar archivo: Navega a tu directorio principal y selecciona el archivo CSV que creaste antes.
    • Formato de archivo: Establece en CSV.
    • Conjunto de datos: Se establece en css_test_dataset.
    • Tipo de tabla: Establece el valor en Tabla nativa.

  7. Acepta la configuración predeterminada para todos los demás campos y, luego, haz clic en Crear tabla.

    Para obtener información más detallada sobre cómo crear una tabla, consulta Crea y usa tablas.

  8. En la lista de recursos, selecciona la tabla css_test_dataset, haz clic en Consulta y elige En una pestaña nueva.

  9. Ejecute la siguiente consulta:

    SELECT * FROM TABLE_NAME LIMIT 1000`

    Reemplaza TABLE_NAME por el nombre de tabla completamente calificado.

  10. Después de que se ejecute la consulta, haz clic en Guardar los resultados y, luego, elige CSV en Google Drive. Esto debería activar la alerta de Security Command Center Exfiltration: BigQuery Exfiltration to Google Drive. El resultado de Security Command Center se debe enviar a Google SecOps y activar una alerta de Google SecOps.

  11. Accede a Google SecOps y, luego, abre la página Alerts & IOCs.

  12. Verifica que veas una alerta de SecOps de Google titulada Alerta de SCC de prueba: Robo de datos de BigQuery a Google Drive.

Paso 6. Inhabilita las reglas de prueba

Cuando termines, inhabilita las reglas de Google Cloud Pruebas de detección administradas.

  1. Accede a Google SecOps.
  2. Abre la página Detecciones seleccionadas.
  3. Inhabilita Estado y Alertas para las reglas de Google Cloud Pruebas de detección administradas.

Verifica la transferencia de datos para la categoría Amenazas de Chrome Enterprise

La regla de prueba de Chrome Enterprise verifica que el registro de Chrome Enterprise funcione correctamente para las detecciones seleccionadas de Google SecOps. Esta prueba usa una URL de prueba de la Navegación segura que debería mostrar una advertencia de phishing.

Paso 1: Habilita las reglas de prueba

Para habilitar las reglas de prueba, haz lo siguiente:

  1. Accede a Google SecOps.
  2. Abre la página Detecciones seleccionadas.
  3. Expande la sección Pruebas de detección administradas. Es posible que debas desplazarte por la página.
  4. Haz clic en Chrome Enterprise Managed Detection Testing en la lista para abrir la página de detalles.
  5. Habilita Estado y Alertas para las reglas de Pruebas de detección administradas de Chrome Enterprise.

Paso 2: Envía datos de prueba desde un navegador Chrome administrado

Para activar la regla de prueba de Chrome Enterprise, haz lo siguiente:

  1. Abre un navegador Chrome administrado por una cuenta de Chrome Enterprise.
  2. Abre una pestaña nueva y ve a la URL de prueba de la Navegación segura. Deberías ver un mensaje de advertencia.
  3. Cierra el navegador.

Paso 3: Verifica que se haya activado una alerta

Confirma que el acceso a la URL de prueba de Navegación segura activó la regla tst_chrome_enterprise_phishing_url en Google SecOps. Esto indica que el registro de Chrome Enterprise envía datos según lo previsto.

Para verificar la alerta en Google SecOps, haz lo siguiente:

  1. Accede a Google SecOps.
  2. Abre la página Detecciones seleccionadas.
  3. Haz clic en Panel.
  4. Verifica que la regla tst_chrome_enterprise_phishing_url se haya activado en la lista de detección.

Paso 4: Inhabilita las reglas de prueba

Cuando termines la prueba, inhabilita las reglas de prueba de detección administrada de Chrome Enterprise:

  1. Accede a Google SecOps.
  2. Abre la página Detecciones seleccionadas.
  3. Inhabilita Estado y Alertas para las reglas de pruebas de detección administradas de Chrome Enterprise.

Verifica la transferencia de datos de AWS para la categoría Amenazas en la nube

Puedes usar las reglas de prueba de AWS Managed Detection Testing para verificar que los datos de AWS se estén transfiriendo a Google SecOps. Estas reglas de prueba ayudan a verificar que los datos de AWS se hayan transferido y tengan el formato esperado. Después de configurar la transferencia de datos de AWS, realiza acciones en AWS que deberían activar las reglas de prueba.

  • El usuario que habilite estas reglas en Detection Engine debe tener el permiso de IAM curatedRuleSetDeployments.batchUpdate.
  • El usuario que realiza los pasos para enviar datos de AWS debe tener los permisos de IAM de AWS para editar las etiquetas de una instancia de EC2 en la cuenta elegida. Para obtener más información sobre el etiquetado de instancias de EC2, consulta el documento de AWS Etiqueta tus recursos de Amazon EC2.

Habilita las reglas de prueba de AWS Managed Detection Testing

  1. En Google SecOps, haz clic en Detections > Rules & Detections para abrir la página Curated Detections.
  2. Selecciona Pruebas de detección administradas > Pruebas de detección administradas de AWS.
  3. Habilitaste Estado y Alertas para las reglas Generales y Precisas.

Verifica que las acciones de etiquetas en AWS activen la regla de prueba

Sigue estos pasos para verificar que las acciones de etiquetas en AWS activen el conjunto de reglas.

Paso 1: Genera un evento de registro en AWS.

  1. Elige una cuenta dentro de tu entorno de AWS.
  2. Ve al panel de EC2 y, luego, elige una instancia dentro de la cuenta.
  3. En la instancia de EC2, haz clic en Actions > Instance Settings y realiza las siguientes acciones en la sección Manage Tags:
    1. Haz clic en Agregar etiqueta nueva.
    2. Ingresa la siguiente información:
    3. Key: GCTI_ALERT_VALIDATION_TEST_KEY
    4. Value: works
    5. Haz clic en Guardar.

Para obtener información más detallada, consulta Cómo agregar o quitar etiquetas de instancias EC2.

Paso 2: Verifica que se activen las alertas de prueba.

Después de realizar la tarea del paso anterior, verifica que se active la regla AWS CloudTrail Test Rule. Esto indica que los registros de CloudTrail se grabaron y enviaron a Google SecOps según lo previsto. Sigue estos pasos para verificar la alerta:

  1. En Google SecOps, haz clic en Detections > Rules & Detections para abrir la página Curated Detections.
  2. Haz clic en Panel.
  3. En la lista de detecciones, verifica que se haya activado la regla tst_AWS_Cloud_Trail_Tag.

Verifica que los hallazgos de muestra de AWS GuardDuty activen reglas de prueba

Para asegurarte de que las alertas de GuardDuty funcionen según lo previsto en tu entorno, puedes enviar muestras de hallazgos de GuardDuty a Google SecOps.

Paso 1: Genera datos de muestras de hallazgos de GuardDuty.

  1. Navega a la página principal de la consola de AWS.
  2. En Seguridad, identidad y cumplimiento, abre GuardDuty.
  3. Navega a la Configuración de GuardDuty.
  4. Haz clic en Generar muestras de hallazgos.

Para obtener más información sobre cómo generar muestras de hallazgos de GuardDuty, consulta Genera muestras de hallazgos en GuardDuty.

Paso 2: Verifica que se hayan activado las alertas de prueba.

  1. En Google SecOps, haz clic en Detection > Rules & Detections para abrir la página Curated Detections.
  2. Haz clic en Panel.
  3. Verifica que se haya activado la regla de prueba de AWS CloudTrail en la lista de detección.

Inhabilita los conjuntos de reglas de pruebas de detección administradas por AWS

  1. En Google SecOps, haz clic en Detection > Rules & Detections para abrir la página Curated Detections.
  2. Selecciona las reglas de Pruebas de detección administradas > Pruebas de detección administradas de AWS.
  3. Inhabilita Estado y Alertas para las reglas Generales y Precisas.

Verifica la transferencia de datos para la categoría Amenazas de Linux

Las reglas de Pruebas de detección administradas de Linux verifican que el registro en un sistema Linux funcione correctamente para las detecciones seleccionadas de Google SecOps. Las pruebas implican el uso del símbolo del sistema de Bash en un entorno de Linux para ejecutar varios comandos y las puede realizar cualquier usuario que tenga acceso al símbolo del sistema de Bash de Linux.

Paso 1: Habilita las reglas de prueba

  1. Accede a Google SecOps.
  2. Abre la página Detecciones seleccionadas.
  3. Haz clic en Reglas y detecciones > Conjuntos de reglas.
  4. Expande la sección Pruebas de detección administradas. Es posible que debas desplazarte por la página.
  5. Haz clic en Linux Managed Detection Testing en la lista para abrir la página de detalles.
  6. Habilita Estado y Alertas para las reglas de Pruebas de detección administradas de Linux.

Paso 2: Envía datos de prueba desde un dispositivo Linux

Para activar las reglas de prueba de Linux Managed Detection Testing, sigue estos pasos:

  1. Acceder a cualquier dispositivo Linux en el que se envíen datos a Google SecOps
  2. Abre una nueva interfaz de línea de comandos de Bash de Linux como cualquier usuario.

  3. Ingresa el siguiente comando y, luego, presiona Intro:

    /bin/echo hello_chronicle_world!

Nota: Debes usar el archivo binario echo, en lugar del comando echo integrado en el shell de Linux.

  1. Ingresa el siguiente comando y, luego, presiona Intro:

    sudo useradd test_chronicle_account

  2. Quita la cuenta de prueba que creaste en el paso anterior. Ejecuta el siguiente comando:

    sudo userdel test_chronicle_account

  3. Ingresa el siguiente comando y, luego, presiona Intro:

    su

  4. Cuando se te solicite la contraseña, ingresa cualquier cadena aleatoria. Observa que se muestra el mensaje su: Authentication failure.

  5. Cierra la ventana de Bash.

Paso 3: Verifica que se hayan activado las alertas en Google SecOps

Verifica que el comando haya activado las reglas tst_linux_echo, tst_linux_failed_su_login y tst_linux_test_account_creation en Google SecOps. Esto indica que los registros de Linux se escriben y envían según lo esperado. Para verificar la alerta en Google SecOps, sigue estos pasos:

  1. Accede a Google SecOps.
  2. Abre la página Detecciones seleccionadas.
  3. Haz clic en Panel.

  4. Verifica que se hayan activado las reglas tst_linux_echo, tst_linux_failed_su_login y tst_linux_test_account_creation en la lista de detecciones.

Paso 4: Inhabilita las reglas de prueba

Cuando termines, inhabilita las reglas de Linux Managed Detection Testing.

  1. Accede a Google SecOps.
  2. Abre la página Detecciones seleccionadas.
  3. Inhabilita Estado y Alertas para las reglas de Pruebas de detección administradas de Linux.

Verifica la transferencia de datos para la categoría Amenazas de Windows

La regla de prueba de eco de Windows verifica que el registro de Microsoft Windows funcione correctamente para las detecciones seleccionadas de Google SecOps. La prueba implica usar el símbolo del sistema en un entorno de Microsoft Windows para ejecutar el comando echo con una cadena esperada y única.

Puedes ejecutar la prueba mientras accedes como cualquier usuario que tenga acceso al Símbolo del sistema de Windows.

Paso 1: Habilita las reglas de prueba

  1. Accede a Google SecOps.
  2. Abre la página Detecciones seleccionadas.
  3. Expande la sección Pruebas de detección administradas. Es posible que debas desplazarte por la página.
  4. Haz clic en Windows Managed Detection Testing en la lista para abrir la página de detalles.
  5. Habilita Status y Alerting para las reglas de Windows Managed Detection Testing.

Paso 2: Cómo enviar datos de prueba desde un dispositivo Windows

Para activar la regla de prueba de eco de Windows, sigue estos pasos:

  1. Acceder a cualquier dispositivo que genere datos que se enviarán a Google SecOps
  2. Abre una ventana nueva del símbolo del sistema de Microsoft Windows como cualquier usuario.

  3. Ingresa el siguiente comando, que no distingue mayúsculas de minúsculas, y, luego, presiona Intro:

    cmd.exe /c "echo hello_chronicle_world!"

  4. Cierra la ventana del símbolo del sistema.

Paso 3: Verifica que se haya activado una alerta

Verifica que el comando haya activado la regla tst_Windows_Echo en Google SecOps. Esto indica que el registro de Microsoft Windows envía datos según lo previsto. Para verificar la alerta en Google SecOps, sigue estos pasos:

  1. Accede a Google SecOps.
  2. Abre la página Detecciones seleccionadas.
  3. Haz clic en Panel.

  4. Verifica que la regla tst_Windows_Echo se haya activado en la lista de detección.

    Nota: Habrá una pequeña demora para que se muestre la alerta en Google SecOps.

Paso 4: Inhabilita las reglas de prueba

Cuando termines, inhabilita las reglas de Pruebas de detección administradas por Windows.

  1. Accede a Google SecOps.
  2. Abre la página Detecciones seleccionadas.
  3. Inhabilita Estado y Alertas para las reglas de Pruebas de detección administradas de Windows.

Verifica la transferencia de datos para la categoría de datos de Office 365

Verifica que los datos se transfieran correctamente y tengan el formato adecuado para usar las detecciones seleccionadas para los datos de Office 365.

Paso 1: Transfiere datos de Office 365

Para tener la máxima cobertura de reglas, debes transferir datos de cada fuente de datos que se indica en las instrucciones de transferencia de datos de Google SecOps. Para obtener más información sobre cómo transferir datos para los servicios de Office 365, consulta Recopila registros de Microsoft Office 365.

Paso 2: Verifica la transferencia de datos de Office 365

El panel de Data Ingestion and Health de Google SecOps te permite ver información sobre el tipo, el volumen y el estado de todos los datos que se transfieren a Google SecOps con las funciones de transferencia de SIEM.

También puedes usar las reglas de prueba de Detección administrada de Office 365 para verificar la transferencia de datos de Office 365. Una vez que se configura la transferencia, puedes activar las reglas de prueba realizando acciones en Office 365. Estas reglas garantizan que los datos se ingieran correctamente y tengan el formato adecuado para usar detecciones seleccionadas para los datos de Office 365.

Paso 3: Habilita las reglas de prueba de la prueba de detección administrada de Azure

  1. En Google SecOps, haz clic en Detections > Rules & Detections para abrir la página de detecciones seleccionadas y los conjuntos de reglas.

  2. Selecciona Pruebas de detección administradas > Pruebas de detección administradas de Office 365.

  3. Habilita Estado y Alertas para las reglas Generales y Precisas.

Paso 4: Envía datos de acciones del usuario para activar las reglas de prueba

Para verificar que los datos se transfieran según lo previsto, crea una regla de la bandeja de entrada con un nombre específico para verificar que estas acciones activen las reglas de prueba. Para obtener información sobre cómo crear reglas de bandeja de entrada en Outlook, consulta Administra mensajes de correo electrónico con reglas en Outlook.

Para crear una regla de bandeja de entrada en Outlook 365, puedes usar la función Reglas en la sección Correo. También puedes crear una regla haciendo clic con el botón derecho en un correo electrónico.

Paso 5: Crea una regla de la bandeja de entrada con la función Reglas

A continuación, se incluyen algunos casos de uso para crear una regla de la bandeja de entrada con la función Reglas:

Regla de prueba 1

  1. Haz clic en Correo y selecciona Reglas.
  2. Ingresa GoogleSecOpsTest para el nombre de la regla.
  3. Selecciona una condición de la lista.
  4. Selecciona una acción de la lista.
  5. Haz clic en Agregar una condición o Agregar una acción para agregar condiciones o acciones adicionales, según sea necesario.
  6. Haz clic en Aceptar.

Regla de prueba 2

  1. Ve a SharePoint o OneDrive.
  2. En la barra de búsqueda, ingresa GoogleSecOpsTest.

Valida los resultados

Para verificar que se creen alertas en Google SecOps, haz lo siguiente:

  1. En Google SecOps, haz clic en Detections > Rules & Detections para abrir la página Curated Detections.
  2. Haz clic en Panel.
  3. En la lista de detecciones, verifica que se hayan activado las siguientes reglas:
    • tst_o365_email.yl2
    • tst_of65_sharepoint_onedrive.yl2
  4. Una vez que confirmes que se envían los datos y se activan las reglas, desactiva la regla de la bandeja de entrada que creaste en Test Rule 1.

Verifica la transferencia de datos para la categoría Amenazas de Okta

Verifica que los datos se ingieran correctamente y tengan el formato adecuado para usar las detecciones seleccionadas para los datos de Okta.

Paso 1: Transfiere datos de Okta

Para garantizar la máxima cobertura de reglas, debes transferir datos de cada fuente de datos que se indica en las instrucciones de transferencia de datos de Google SecOps. Para obtener más información sobre cómo transferir datos para los servicios de Okta, consulta Recopila registros de Okta.

Paso 2: Verifica la transferencia de datos de Okta

El panel de Data Ingestion and Health de Google SecOps te permite ver información sobre el tipo, el volumen y el estado de todos los datos que se transfieren a Google SecOps con las funciones de transferencia de SIEM.

También puedes usar las reglas de prueba de Detección administrada de Okta para verificar la transferencia de datos de Office 365. Una vez que se configura la transferencia, puedes activar las reglas de prueba realizando acciones en Office 365. Estas reglas garantizan que los datos se ingieran correctamente y tengan el formato adecuado para usar detecciones seleccionadas para los datos de Office 365.

Paso 3: Habilita las reglas de pruebas de detección administradas por Okta

  1. En Google SecOps, haz clic en Detections > Rules & Detections para abrir la página de detecciones seleccionadas y los conjuntos de reglas.

  2. Selecciona Pruebas de detección administradas > Pruebas de detección administradas de Office 365.

  3. Habilita Estado y Alertas para las reglas Generales y Precisas.

Paso 4: Envía datos de acciones del usuario para activar las reglas de prueba

Para verificar que los datos se transfieran según lo previsto, crea una regla de la bandeja de entrada con un nombre específico para verificar que estas acciones activen las reglas de prueba. Luego, este evento activará un evento de acceso fallido de Okta para un usuario desconocido.

Regla de prueba 1

  1. Accede a la URL de tu instancia de Okta.

  2. En el campo Nombre de usuario, ingresa GoogleSecOpsTest.

  3. En el campo Contraseña, ingresa cualquier cadena.

  4. Haga clic en Sign In.

Valida los resultados

Para verificar que se creen alertas en Google SecOps, haz lo siguiente: 1. En Google SecOps, haz clic en Detections > Rules & Detections para abrir la página Curated Detections. 1. Haz clic en Panel. 1. En la lista de detecciones, verifica que se hayan activado las siguientes reglas: * Okta Unknown User Login Test (tst_okta_login_by_unknown_user.yl2) ¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.