Esta página foi traduzida pela API Cloud Translation.

Verificar a ingestão de dados usando regras de teste

As detecções selecionadas das Operações de segurança do Google incluem um conjunto de conjuntos de regras de teste que ajudam você verificar se os dados exigidos para cada grupo de regras estão no formato correto.

Essas regras estão na categoria Teste de detecção gerenciada. Cada conjunto de regras valida se os dados recebidos pelo dispositivo de teste estão em um formato esperado pelas regras da categoria especificada.

Nome do conjunto de regras	Descrição
Teste de detecção gerenciada do GCP	Verifica se os dados do Google Cloud foram ingeridos a partir de dispositivos compatíveis com a categoria "Ameaças do Cloud". Consulte Verificar a ingestão de dados do Google Cloud para a categoria de ameaças à nuvem para mais informações.
Teste de detecção gerenciada da AWS	Verifica se os dados da AWS foram ingeridos com sucesso nos dispositivos compatíveis com a categoria "Ameaças na nuvem". Consulte Verificar a ingestão de dados da AWS para a categoria de ameaças à nuvem para mais informações.
Teste de detecção gerenciada do Linux	Verifica se os dados foram ingeridos com sucesso nos dispositivos compatíveis com a categoria Ameaças do Linux. Consulte Verificar a ingestão de dados da categoria de ameaças do Linux para mais informações.
Teste de Detecção Gerenciada do Windows	Verifica se os dados foram ingeridos com sucesso nos dispositivos compatíveis com a categoria "Ameaças do Windows". Consulte Verificar a ingestão de dados para a categoria de ameaças do Windows para mais informações.

Siga as etapas neste documento para testar e verificar se os dados recebidos foram ingeridos estão no formato certo.

Verificar a ingestão de dados do Google Cloud para a categoria de ameaças na nuvem

Essas regras ajudam a verificar se os dados de registro estão sendo ingeridos conforme o esperado para as detecções selecionadas das Operações de Segurança do Google.

As etapas a seguir descrevem como testar dados usando:

regra do Teste de metadados de auditoria do Cloud: para acionar essa regra, adicione um chave de metadados personalizada esperada para qualquer máquina virtual do Compute Engine que esteja enviar dados para as Operações de segurança do Google.
Regra de Teste do Cloud DNS: para acionar essa regra, faça uma busca DNS domínio (chronicle.security) em qualquer máquina virtual que tenha acesso ao na Internet e está enviando dados de registro para as Operações de segurança do Google.
Regras do Teste de detecção gerenciada do SCC: para acionar essas regras, realize várias no console do Google Cloud.
Regra de teste de nós do Cloud Kubernetes: para acionar essa regra, crie um projeto de teste que está enviando dados de registro para as Operações de segurança do Google e criar um pool de nós exclusivo em um cluster atual do Google Kubernetes Engine.

Etapa 1. Ativar as regras de teste

Faça login nas Operações de segurança do Google.
Abra a página "Detecções selecionadas".
Clique em Regras e Detecções > Conjuntos de regras.
Expanda a seção Teste de detecção gerenciada. Talvez seja necessário rolar a página.
Clique em Teste de detecção gerenciada do GCP na lista para abrir a página de detalhes.
Ative Status e Alertas para as regras do Teste de detecção gerenciada pelo Cloud.

Etapa 2. Enviar dados para a regra de Teste de metadados de auditoria do Cloud

Para acionar o teste, siga estas etapas:

Escolha um projeto na sua organização.
Acesse o Compute Engine e escolha uma máquina virtual dentro do projeto.
Na máquina virtual, clique em Editar e faça o seguinte em seção Metadados personalizados:
- Clique em Adicionar item.
- Digite as informações a seguir:
  - Chave: GCTI_ALERT_VALIDATION_TEST_KEY
  - Valor: works
- Clique em Salvar.
Siga estas etapas para verificar se o alerta foi acionado:
1. Fazer login nas Operações de segurança do Google
2. Abra a página "Detecções selecionadas" e clique em Painel.
3. Verifique se a regra tst_GCP_Cloud_Audit_Metadata foi acionada na lista de detecção.

Etapa 3. Enviar dados para a regra de teste do Cloud DNS

As etapas a seguir devem ser executadas como um usuário do IAM no com acesso a uma máquina virtual do Compute Engine.

Para acionar o teste, siga estas etapas:

Escolha um projeto na sua organização.
Acesse o Compute Engine e escolha uma máquina virtual dentro do projeto.
- Se for uma máquina virtual Linux, verifique se você tem acesso SSH.
- Se for uma máquina virtual do Windows, verifique se você tem acesso RDP.
Clique em SSH (Linux) ou RDP (Microsoft Windows) para acessar a máquina virtual.
Envie dados de teste seguindo uma das etapas a seguir:
- Máquina virtual Linux: depois de acessar a máquina virtual usando SSH, execute uma das seguintes ações: comandos: nslookup chronicle.security ou host chronicle.security
  
  Se o comando falhar, instale dnsutils na máquina virtual usando um dos seguintes comandos:
  - sudo apt-get install dnsutils (para Debian/Ubuntu)
  - dnf install bind-utils (para RedHat/CentOS)
  - yum install bind-utils
- Máquina virtual Microsoft Windows: depois de acessar a máquina virtual usando o RDP, entre em qualquer navegador instalado e acesse o seguinte URL: https://chronicle.security.
Siga estas etapas para verificar se o alerta foi acionado:
1. Fazer login nas Operações de segurança do Google
2. Abra a página "Detecções selecionadas" e clique em Painel.
3. Verifique se a regra tst_GCP_Cloud_DNS_Test_Rule foi acionada na lista de detecção.

Etapa 4. Enviar dados para as regras do teste de nós do Cloud Kubernetes

As etapas a seguir precisam ser executadas como um usuário do IAM no projeto escolhido que tem acesso a os recursos do Google Kubernetes Engine. Para informações mais detalhadas sobre como criar clusters regionais e pools de nós, consulte Criar um cluster regional com um pool de nós de zona única. Essas regras de teste têm como objetivo verificar a ingestão de dados do tipo de registro KUBERNETES_NODE.

Para acionar as regras de teste, siga estas etapas:

Crie um projeto na sua organização, chamado chronicle-kube-test-project. Este projeto é usado apenas para testes.
Acesse a página do Google Kubernetes Engine no console do Google Cloud.
Acessar a página do Google Kubernetes Engine
Clique em Criar para gerar um novo cluster regional no projeto. Configure o cluster de acordo com sua requisitos da organização.
Clique em Adicionar pool de nós.
Nomeie o pool de nós kube-node-validation e ajuste o tamanho dele para um nó por zona.
Exclua os recursos de teste:
1. Depois que o pool de nós kube-node-validation for criado, exclua-o.
2. Exclua o projeto de teste chronicle-kube-test-project.
Faça login nas Operações de segurança do Google.
Abra a página "Detecções selecionadas" e clique em Painel.
Verifique se a regra tst_GCP_Kubernetes_Node foi acionada na lista de detecção.
Verifique se a regra tst_GCP_Kubernetes_CreateNodePool foi acionada na lista de detecção.

Etapa 5. Enviar dados para as regras de teste de detecção gerenciada do SCC

As etapas na seção a seguir verificam se as descobertas do Security Command Center e os dados dados, sejam ingeridos corretamente e no formato esperado.

As regras do Teste de detecção gerenciada do SCC são definidas em Teste de detecção gerenciada. permitem verificar se os dados necessários para os conjuntos de regras CDIR SCC Enhanced estão enviado às Operações de segurança do Google e está no formato correto.

Cada regra de teste valida que os dados foram recebidos em um formato esperado pelas regras. Você realiza ações no ambiente do Google Cloud para enviar dados gerar um alerta das Operações de segurança do Google.

Preencha as seguintes seções deste documento necessárias para configurar geração de registros nos serviços do Google Cloud, coletar descobertas do Security Command Center Premium e enviar descobertas às Operações de segurança do Google:

Para saber mais sobre os alertas do Security Command Center descritos nesta seção, consulte o documento do Security Command Center. Investigação e resposta a ameaças.

Acionar a regra de teste de persistência CDIR do SCC

Para enviar dados que acionam esse alerta nas Operações de segurança do Google, siga estas etapas:

No console do Google Cloud, crie uma nova instância de VM e atribuir privilégios de Editor à conta de serviço padrão do Compute Engine. Ele será removido após a conclusão do teste.
Quando a nova instância estiver disponível, atribua o Escopo de acesso a Permitir Acesso total a todas as APIs
Crie uma nova conta de serviço com as seguintes informações:
- Defina o Nome da conta de serviço como scc-test.
- Defina o ID da conta de serviço como scc-test.
- Também é possível digitar uma Descrição para a conta de serviço.
Consulte a seção Criar contas de serviço documento para saber como criar contas de serviço.
Conecte-se usando SSH à instância de teste criada na etapa anterior e execute o seguinte comando gcloud:
```
gcloud projects add-iam-policy-binding PROJECT_NAME
--member="serviceAccount:scc-test@PROJECT_NAME.iam.gserviceaccount.com"
--role="roles/owner`"
```
Substitua PROJECT_NAME pelo nome do projeto em que a instância do Compute Engine está sendo executada e em que a conta scc-test foi criada.

O alerta Persistência: Security Command Center anômala de IAM será disparado.
Faça login no Google Security Operations e abra a página Alertas e página IOCs (em inglês).
Você vai encontrar um alerta das Operações de segurança do Google chamado Test SCC Alert: IAM anmalous Grants (Alerta de teste do SCC: concessão anômala de IAM) dado à conta de teste.
Abra o console do Google Cloud e faça o seguinte:
- Remova o acesso da conta de teste scc-test do IAM. Admin Console.
- Exclua a conta de serviço usando o portal Contas de serviço.
- Exclua a instância de VM recém-criada.

Acionar a regra de teste de malware do CDIR SCC

Para enviar dados que acionam esse alerta nas Operações de segurança do Google, siga estas etapas:

No console do Google Cloud, conecte-se usando SSH a qualquer instância de VM em que o comando curl está instalado.
execute o seguinte comando:
```
  curl etd-malware-trigger.goog
```
Depois que você executar o comando, o alerta Malware: domínio inválido do Security Command Center será disparado.
Faça login no Google Security Operations e abra a página Alertas e página IOCs (em inglês).
Verifique se aparece um alerta das Operações de segurança do Google com o título Test SCC Alert: Malware Bad Domain.

Acionar a regra de teste de evasão de defesa do SCC CDIR

Para enviar dados que acionam esse alerta nas Operações de segurança do Google, siga estas etapas:

Faça login no console do Google Cloud usando uma conta que tenha acesso ao no nível da organização para modificar perímetros do VPC Service Controls.
No console do Google Cloud, acesse a página VPC Service Controls.

Acessar o VPC Service Controls
Clique em +Novo perímetro e configure os seguintes campos na página Detalhes:
- Título do perímetro: scc_test_perimeter.
- Tipo de perímetro como Perímetro regular (padrão).
- Tipo de configuração como Aplicado.
No painel de navegação à esquerda, selecione 3 serviços restritos.
Na caixa de diálogo Especificar serviços a serem restritos, selecione API Google Compute Engine e clique em Adicionar API Google Compute Engine.
No painel de navegação à esquerda, clique em Criar perímetro.
Para modificar o perímetro, acesse a página Perímetros de serviço da VPC. Para informações mais detalhadas sobre como acessar essa página, consulte Listar e descrever perímetros de serviço.
Selecione scc_test_perimeter e, em seguida, Editar perímetro.
Em Serviços Restritos, clique no ícone Excluir para remover serviço da API Google Compute Engine. Isso acionará o evento Defense Evasão: modificar alerta do perímetro do VPC Service Controls no SCC.
Faça login no Google Security Operations e abra a página Alertas e página IOCs (em inglês).
Verifique se você vê um alerta das Operações de segurança do Google com o título Test SCC Alert: modifique VPC Service Alerta de teste de controle.

Acionar a regra de teste de exfiltração do SCC CDIR

Para enviar dados que acionam esse alerta nas Operações de segurança do Google, siga estas etapas:

No console do Google Cloud, acesse um projeto do Google Cloud e abra no BigQuery.

Ir para o BigQuery

Crie um arquivo CSV com os dados a seguir e salve-o no seu diretório principal.

column1, column2, column3
data1, data2, data3
data4, data5, data6
data7, data8, data9

No painel de navegação à esquerda, escolha Criar conjunto de dados.
Defina a configuração a seguir e clique em Criar conjunto de dados:
- ID do conjunto de dados definido como scc_test_dataset.
- Tipo de local definido como Multirregional.
- Ativar expiração da tabela: não selecione essa opção.
Para informações mais detalhadas sobre como criar um conjunto de dados, consulte o documento do BigQuery Como criar conjuntos de dados.
No painel de navegação à esquerda, à direita de scc_test_dataset, clique no e selecione Criar tabela.
Crie uma tabela e defina a seguinte configuração:
- Criar tabela de: defina como Fazer upload.
- Selecionar arquivo: acesse o diretório principal e selecione o arquivo CSV que você criou.
- Formato do arquivo: defina como CSV.
- Conjunto de dados: definido como css_test_dataset.
- Tipo de tabela: defina como Tabela nativa.
Aceite a configuração padrão para todos os outros campos e clique em Criar tabela.

Para informações mais detalhadas sobre como criar uma tabela, consulte o documento do BigQuery Criar e usar tabelas.
Na lista de recursos, selecione a tabela css_test_dataset, clique em Consulta e escolha em Nova guia.
Execute a seguinte consulta:
```
SELECT * FROM TABLE_NAME LIMIT 1000`
```
Substitua TABLE_NAME pelo nome da tabela totalmente qualificado.
Depois que a consulta for executada, clique em Salvar resultados e, em seguida, escolha CSV no Google Drive. Isso vai acionar Exfiltração: exfiltração no BigQuery para o Google Drive. A descoberta do Security Command Center precisa ser enviada às Operações de segurança do Google e acionar um alerta das Operações de Segurança do Google.
Faça login no Google Security Operations e abra a página Alertas e página IOCs (em inglês).
Verifique se você vê um alerta das Operações de segurança do Google com o título Test SCC Alert: BigQuery Exfiltration to Google Drive.

Etapa 6. Desativar as regras de teste

Quando terminar, desative as regras do Teste de detecção gerenciada do GCP.

Faça login nas Operações de segurança do Google.
Abra a página "Detecções selecionadas".
Desative o Status e os Alertas para as regras do Teste de detecção gerenciado do GCP.

Verificar a ingestão de dados da AWS para a categoria de ameaças à nuvem

Use as regras de teste do Teste de Detecção Gerenciada da AWS para verificar se os dados da AWS está sendo transferido para as Operações de segurança do Google. Essas regras de teste ajudam a verificar se os dados da AWS foi ingerido e está no formato esperado. Depois de configurar a ingestão dados da AWS, você executa ações na AWS que devem acionar as regras de teste.

O usuário que ativar essas regras no Detection Engine precisa ter curatedRuleSetDeployments.batchUpdate permissão do IAM.
O usuário que executa as etapas para enviar dados da AWS precisa ter o IAM da AWS permissões para editar as tags de uma instância do EC2 na conta escolhida. Para Para mais informações sobre como incluir tags em instâncias do EC2, consulte o documento da AWS Marque seus recursos do Amazon EC2.

Ativar as regras de teste do AWS Managed Detection Testing

Em Google Security Operations, clique em Detections > Regras e detecções para abra a página "Detecções selecionadas".
Selecione o Teste de detecção gerenciada > Teste de detecção gerenciada da AWS.
Status e Alertas ativados para as opções Ampla e Exata regras de firewall.

Verificar se as ações da tag na AWS acionam a regra de teste

Realize as etapas a seguir para verificar se as ações da tag na AWS acionam o grupo de regras.

Etapa 1. Gere um evento de registro na AWS.

Escolha uma conta no ambiente da AWS.
Acesse o painel do EC2 e escolha uma instância dentro da conta.
Na instância do EC2, clique em Ações, Configurações da instância e faça o seguinte na seção Gerenciar tags:
1. Clique em Adicionar nova tag.
2. Digite as seguintes informações:
3. Chave: GCTI_ALERT_VALIDATION_TEST_KEY
4. Valor: works
5. Clique em Salvar.

Para informações mais detalhadas, consulte Adicionar ou remover tags de instância do EC2.

Etapa 2. Verifique se os alertas de teste foram acionados.

Depois de realizar a tarefa na etapa anterior, verifique se a regra de teste do AWS CloudTrail é acionada. Isso indica que os registros do CloudTrail foram gravados e enviados às Operações de segurança do Google como esperado. Siga estas etapas para verificar o alerta:

Em Google Security Operations, clique em Detections > Regras e detecções para abra a página "Detecções selecionadas".
Clique em Painel.
Na lista de detecções, verifique se a regra tst_AWS_Cloud_Trail_Tag foi acionada.

Verificar se as descobertas de amostra do AWS GuardDuty acionam regras de teste

Para garantir que os alertas do GuardDuty funcionem conforme o esperado no seu ambiente, faça o seguinte: enviar descobertas de amostra do GuardDuty para as Operações de segurança do Google.

Etapa 1. Gerar dados de descobertas de amostra do GuardDuty.

Navegue até a página inicial do console da AWS.
Em Segurança, identidade e compliance, abra o GuardDuty.
Acesse as Configurações do GuardDuty.
Clique em Gerar descobertas de amostra.

Para mais informações sobre como gerar exemplos de descobertas do GuardDuty, consulte Como gerar descobertas de amostra no GuardDuty (em inglês).

Etapa 2. Verifique se os alertas de teste foram acionados.

Em Google Security Operations, clique em Detecção > Regras e detecções para abra a página "Detecções selecionadas".
Clique em Painel.
Verifique se a regra de teste do AWS CloudTrail foi acionada na detecção. lista.

Desativar os conjuntos de regras do Managed Detection Testing da AWS

Em Google Security Operations, clique em Detecção > Regras e detecções para abra a página "Detecções selecionadas".
Selecione o Teste de detecção gerenciada > Regras de Testes de detecção gerenciada do Google AdWords.
Desative o Status e os Alertas para as opções Ampla e Exata regras de firewall.

Verificar a ingestão de dados para a categoria de ameaças do Linux

As regras do Teste de detecção gerenciada do Linux verificam se a geração de registros em um sistema Linux é funcionando corretamente para detecções selecionadas pelas Operações de Segurança do Google. Os testes envolvem usando o prompt Bash em um ambiente Linux para executar vários comandos e pode ser executada por qualquer usuário que tenha acesso ao prompt do Linux Bash.

Etapa 1. Ativar as regras de teste

Faça login nas Operações de segurança do Google.
Abra a página "Detecções selecionadas".
Clique em Regras e Detecções > Conjuntos de regras.
Expanda a seção Teste de detecção gerenciada. Talvez seja necessário rolar a página.
Clique em Teste de detecção gerenciada do Linux na lista para abrir a página de detalhes.
Ative Status e Alertas para as regras do Teste de detecção gerenciado do Linux.

Etapa 2. Enviar dados de teste de um dispositivo Linux

Para acionar as regras de teste do Teste de detecção gerenciada do Linux, siga estas etapas:

Acesse qualquer dispositivo Linux para o qual os dados são enviados para as Operações de segurança do Google.
Abra uma nova interface de linha de comando do prompt do Linux Bash como qualquer usuário.
Digite este comando e pressione Enter:

/bin/echo hello_chronicle_world!

Use o binário echo, em vez do Linux shell integrado echo.

Digite este comando e pressione Enter:

sudo useradd test_chronicle_account
Remova a conta de teste criada na etapa anterior. Execute o comando:

sudo userdel test_chronicle_account
Digite este comando e pressione Enter:

su
Quando a senha for solicitada, insira qualquer sequência aleatória de caracteres. Observe que o A mensagem su: Authentication failure vai aparecer.
Feche a janela Bash.

Etapa 3. Verificar se os alertas foram acionados nas Operações de segurança do Google

Verifique se o comando acionou *tst_linux_echo, tst_linux_failed_su_login e tst_linux_test_account_creation na Operações de segurança do Google. Isso indica que os registros do Linux são gravados e enviados conforme esperado. Para verificar o alerta nas Operações de segurança do Google, siga estas etapas:

Faça login nas Operações de segurança do Google.
Abra a página "Detecções selecionadas".
Clique em Painel.
Verifique se tst_linux_echo, tst_linux_failed_su_login e As regras tst_linux_test_account_creation foram acionadas na lista de detecção.

Observação: pode haver um pequeno atraso até que o alerta seja exibido nas Operações de segurança do Google.

Etapa 4. Desativar as regras de teste

Quando terminar, desative as regras do Teste de detecção gerenciada do Linux.

Faça login nas Operações de segurança do Google.
Abra a página "Detecções selecionadas".
Desative Status e Alertas para as regras de Teste de detecção gerenciada do Linux.

Verificar a ingestão de dados para a categoria de ameaças do Windows

A regra de teste de eco do Windows verifica se a geração de registros do Microsoft Windows está funcionando corretamente. para detecções selecionadas das Operações de segurança do Google. O teste envolve o uso do prompt de comando em um ambiente Microsoft Windows para executar o comando echo com uma string esperada e exclusiva.

Você pode executar o teste enquanto estiver conectado como qualquer usuário que tenha acesso ao prompt de comando do Windows.

Etapa 1. Ativar as regras de teste

Faça login nas Operações de segurança do Google.
Abra a página "Detecções selecionadas".
Expanda a seção Teste de detecção gerenciada. Talvez seja necessário rolar a página.
Clique em Teste de Detecção Gerenciada do Windows na lista para abrir a página de detalhes.
Ative Status e Alertas para as regras do Teste de detecção gerenciado pelo Windows.

Etapa 2. Enviar dados de teste de um dispositivo Windows

Para acionar a regra de teste de eco do Windows, siga estas etapas:

Acesse qualquer dispositivo que gere dados que serão enviados às Operações de segurança do Google.
Abra uma nova janela do prompt de comando do Microsoft Windows como qualquer usuário.
Digite o seguinte comando, que não diferencia maiúsculas de minúsculas, e pressione Enter:
```
cmd.exe /c "echo hello_chronicle_world!"
```
Feche a janela "Prompt de Comando".

Etapa 3. Verificar se um alerta foi acionado

Verifique se o comando acionou a regra tst_Windows_Echo nas Operações de segurança do Google. Isso indica que o registro do Microsoft Windows está enviando dados conforme esperado. Para verificar o alerta nas Operações de segurança do Google, siga estas etapas:

Faça login nas Operações de segurança do Google.
Abra a página "Detecções selecionadas".
Clique em Painel.
Verifique se a regra tst_Windows_Echo foi acionada na lista de detecção.

Observação: vai haver um pequeno atraso para que o alerta apareça nas Operações de segurança do Google.

Etapa 4. Desativar as regras de teste

Quando terminar, desative as regras do Teste de detecção gerenciada do Windows.

Faça login nas Operações de segurança do Google.
Abra a página "Detecções selecionadas".
Desative o Status e os Alertas para as regras do Teste de detecção gerenciado do Windows.