Se usó la API de Cloud Translation para traducir esta página.

Verifica la transferencia de datos con reglas de prueba

Se admite en los siguientes países:

Google SecOps SIEM

Las detecciones seleccionadas de Google Security Operations incluyen un conjunto de conjuntos de reglas de prueba que te ayudan a verificar que los datos necesarios para cada conjunto de reglas tengan el formato correcto.

Estas reglas de prueba se encuentran en la categoría Pruebas de detección administrada. Cada conjunto de reglas valida que los datos que recibe el dispositivo de prueba estén en un formato que esperan las reglas para esa categoría especificada.

Nombre del conjunto de reglas	Descripción
Pruebas de detección administrada de GCP	Verifica que los datos de Google Cloud se transfieran correctamente desde los dispositivos compatibles con la categoría Amenazas en la nube. Para obtener más información, consulta Cómo verificar la transferencia de datos de Google Cloud para la categoría Amenazas en la nube.
Pruebas de detección administrada de AWS	Verifica que los datos de AWS se transfieran correctamente desde los dispositivos compatibles con la categoría Amenazas en la nube. Para obtener más información, consulta Cómo verificar la transferencia de datos de AWS para la categoría Amenazas en la nube.
Pruebas de detección administrada de Linux	Verifica que los datos se transfieran correctamente desde los dispositivos compatibles con la categoría Amenazas de Linux. Consulta Cómo verificar la transferencia de datos para la categoría Amenazas de Linux para obtener más información.
Pruebas de detección administrada de Windows	Verifica que los datos se transfieran correctamente desde los dispositivos compatibles con la categoría Amenazas de Windows. Para obtener más información, consulta Cómo verificar la transferencia de datos para la categoría Amenazas de Windows.

Sigue los pasos que se indican en este documento para probar y verificar que los datos entrantes se transfieran correctamente y tengan el formato adecuado.

Verifica la transferencia de datos de Google Cloud para la categoría Amenazas en la nube

Estas reglas ayudan a verificar si los datos de registro se transfieren como se espera para las Detecciones seleccionadas de Google Security Operations.

En los siguientes pasos, se describe cómo probar los datos con las siguientes opciones:

Regla Cloud Audit Metadata Testing: Para activar esta regla, agrega una clave de metadatos personalizados única y esperada a cualquier máquina virtual de Compute Engine que envíe datos a Google Security Operations.
Regla Cloud DNS Testing: Para activar esta regla, realiza una búsqueda de DNS en el dominio (chronicle.security) dentro de cualquier máquina virtual que tenga acceso a Internet y que envíe datos de registro a Google Security Operations.
Reglas de Pruebas de detección administradas de SCC: Para activar estas reglas, realiza varias acciones en la consola de Google Cloud.
Regla Cloud Kubernetes Node Testing: Para activar esta regla, crea un proyecto de prueba que envíe datos de registro a Google Security Operations y crea un grupo de nodos único en un clúster existente de Google Kubernetes Engine.

Paso 1: Habilita las reglas de prueba

Accede a Google Security Operations.
Abre la página Detecciones seleccionadas.
Haz clic en Reglas y detecciones > Conjuntos de reglas.
Expande la sección Pruebas de detección administrada. Es posible que debas desplazarte por la página.
Haz clic en Pruebas de detección administradas de GCP en la lista para abrir la página de detalles.
Habilita Estado y Alertas para las reglas de Pruebas de detección administradas por Cloud.

Paso 2: Envía datos para la regla Pruebas de metadatos de auditoría de Cloud

Para activar la prueba, completa los siguientes pasos:

Elige un proyecto dentro de tu organización.
Ve a Compute Engine y, luego, elige una máquina virtual dentro del proyecto.
Dentro de la máquina virtual, haz clic en Editar y, luego, haz lo siguiente en la sección Custom MetaData:
- Haz clic en Agregar elemento.
- Ingresa la siguiente información:
  - Clave: GCTI_ALERT_VALIDATION_TEST_KEY
  - Valor: works
- Haz clic en Guardar.
Sigue estos pasos para verificar que se activó la alerta:
1. Cómo acceder a Google Security Operations
2. Abre la página Detecciones seleccionadas y, luego, haz clic en Panel.
3. Verifica que se haya activado la regla tst_GCP_Cloud_Audit_Metadata en la lista de detección.

Paso 3: Envía datos para la regla Cloud DNS Testing

Los siguientes pasos se deben realizar como un usuario de IAM en el proyecto elegido que tenga acceso a una máquina virtual de Compute Engine.

Para activar la prueba, completa los siguientes pasos:

Elige un proyecto dentro de tu organización.
Ve a Compute Engine y, luego, elige una máquina virtual dentro del proyecto.
- Si es una máquina virtual de Linux, asegúrate de tener acceso SSH.
- Si es una máquina virtual de Windows, asegúrate de tener acceso a RDP.
Haz clic en SSH (Linux) o RDP (Microsoft Windows) para acceder a la máquina virtual.
Sigue uno de los siguientes pasos para enviar datos de prueba:
- Máquina virtual de Linux: Después de acceder a la máquina virtual con SSH, ejecuta uno de los siguientes comandos: nslookup chronicle.security o host chronicle.security.
  
  Si el comando falla, instala dnsutils en la máquina virtual con uno de los siguientes comandos:
  - sudo apt-get install dnsutils (para Debian/Ubuntu)
  - dnf install bind-utils (para Red Hat/CentOS)
  - yum install bind-utils
- Máquina virtual de Microsoft Windows: Después de acceder a la máquina virtual con RDP, ve a cualquier navegador instalado y ve a la siguiente URL: https://chronicle.security.
Sigue estos pasos para verificar que se activó la alerta:
1. Cómo acceder a Google Security Operations
2. Abre la página Detecciones seleccionadas y, luego, haz clic en Panel.
3. Verifica que se haya activado la regla tst_GCP_Cloud_DNS_Test_Rule en la lista de detección.

Paso 4: Envía datos para las reglas de Pruebas de nodos de Kubernetes de Cloud

Los siguientes pasos se deben realizar como un usuario de IAM en el proyecto elegido que tenga acceso a los recursos de Google Kubernetes Engine. Para obtener información más detallada sobre la creación de clústeres y grupos de nodos regionales, consulta Crea un clúster regional con un grupo de nodos de zona única. El objetivo de estas reglas de prueba es verificar la transferencia de datos desde el tipo de registro KUBERNETES_NODE.

Para activar las reglas de prueba, completa los siguientes pasos:

Crea un proyecto dentro de tu organización llamado chronicle-kube-test-project. Este proyecto solo se usa para pruebas.
Navega a la página de Google Kubernetes Engine en la consola de Google Cloud.
Ve a la página de Google Kubernetes Engine
Haz clic en Crear para crear un nuevo clúster regional en el proyecto. Configura el clúster según los requisitos de tu organización.
Haz clic en Agregar grupo de nodos.
Asigna el nombre kube-node-validation al grupo de nodos y, luego, ajusta el tamaño del grupo a 1 nodo por zona.
Borra los recursos de prueba:
1. Después de crear el grupo de nodos kube-node-validation, bórralo.
2. Borra el proyecto de prueba chronicle-kube-test-project.
Accede a Google Security Operations.
Abre la página Detecciones seleccionadas y, luego, haz clic en Panel.
Verifica que se haya activado la regla tst_GCP_Kubernetes_Node en la lista de detección.
Verifica que se haya activado la regla tst_GCP_Kubernetes_CreateNodePool en la lista de detección.

Paso 5: Envía datos para las reglas de Pruebas de detección administradas por SCC

Los pasos de la siguiente sección verifican que los resultados de Security Command Center y los datos relacionados se transfieran correctamente y en el formato esperado.

Los conjuntos de reglas de Pruebas de detección administradas de SCC en la categoría Pruebas de detección administradas te permiten verificar que los datos necesarios para los conjuntos de reglas de SCC de CDIR mejorado se envíen a Google Security Operations y tengan el formato correcto.

Cada regla de prueba valida que los datos se reciban en un formato que esperan las reglas. Realizas acciones en tu entorno de Google Cloud para enviar datos que generarán una alerta de Google Security Operations.

Asegúrate de completar las siguientes secciones de este documento que se requieren para configurar el registro en los servicios de Google Cloud, recopilar los resultados de Security Command Center Premium y enviar los resultados de Security Command Center a Google Security Operations:

Para obtener más información sobre las alertas de Security Command Center que se describen en esta sección, consulta el documento de Security Command Center Investiga y responde a las amenazas.

Activa la regla de prueba de persistencia de SCC de CDIR

Para enviar datos que activen esta alerta en Google Security Operations, sigue estos pasos:

En la consola de Google Cloud, crea una instancia de VM nueva y asigna temporalmente la cuenta de servicio predeterminada de Compute Engine con privilegios de Editor. La quitarás después de que se complete la prueba.
Cuando la instancia nueva esté disponible, asigna el permiso de acceso a Permitir el acceso total a todas las APIs.
Crea una cuenta de servicio nueva con la siguiente información:
- Establece el Nombre de la cuenta de servicio como scc-test.
- Establece el ID de la cuenta de servicio en scc-test.
- De manera opcional, ingresa una Descripción para la cuenta de servicio.
Consulta el documento Crea cuentas de servicio para obtener información sobre cómo crearlas.
Conéctate a través de SSH a la instancia de prueba creada en el paso anterior y, luego, ejecuta el siguiente comando gcloud:
```
gcloud projects add-iam-policy-binding PROJECT_NAME
--member="serviceAccount:scc-test@PROJECT_NAME.iam.gserviceaccount.com"
--role="roles/owner`"
```
Reemplaza PROJECT_NAME por el nombre del proyecto en el que se ejecuta la instancia de Compute Engine y en el que se creó la cuenta de scc-test.

Se debería activar la alerta de Security Command Center Persistencia: Concesión anómala de IAM.
Accede a Operaciones de seguridad de Google y, luego, abre la página Alertas y IOC.
Deberías ver una alerta de Operaciones de seguridad de Google titulada Test SCC Alert: IAM Anomalous Grant given to test account.
Abre la consola de Google Cloud y, luego, haz lo siguiente:
- Quita el acceso de la cuenta de prueba scc-test de IAM y la Consola del administrador.
- Borra la cuenta de servicio con el portal Cuentas de servicio.
- Borra la instancia de VM que acabas de crear.

Activa la regla de prueba de software malicioso de SCC de CDIR

Para enviar datos que activen esta alerta en Google Security Operations, sigue estos pasos:

En la consola de Google Cloud, conéctate a través de SSH a cualquier instancia de VM en la que esté instalado el comando curl.
Ejecuta el siguiente comando:
```
  curl etd-malware-trigger.goog
```
Después de ejecutar este comando, se debería activar la alerta de Security Command Center Software malicioso: Dominio no válido.
Accede a Operaciones de seguridad de Google y, luego, abre la página Alertas y IOC.
Verifica que veas una alerta de Operaciones de seguridad de Google titulada Test SCC Alert: Malware Bad Domain.

Activa la regla de prueba de evasión de defensas del SCC de CDIR

Para enviar datos que activen esta alerta en Google Security Operations, sigue estos pasos:

Accede a la consola de Google Cloud con una cuenta que tenga acceso a nivel de la organización para modificar los Périmetros de control de servicio de VPC.
En la consola de Google Cloud, ve a la página Controles del servicio de VPC.

Ir a los Controles del servicio de VPC
Haz clic en +Nuevo perímetro y configura los siguientes campos en la página Detalles:
- Título del perímetro: scc_test_perimeter.
- Tipo de perímetro a Perímetro normal (predeterminado).
- Config Type en Forzado.
En el panel de navegación izquierdo, selecciona 3 servicios restringidos.
En el diálogo Especifica los servicios que deseas restringir, selecciona API de Google Compute Engine y, luego, haz clic en Agregar API de Google Compute Engine.
En el panel de navegación izquierdo, haz clic en Crear perímetro.
Para modificar el perímetro, ve a la página Perímetros de servicio de VPC. Para obtener información más detallada sobre cómo acceder a esta página, consulta Cómo enumerar y describir los perímetros de servicio.
Selecciona scc_test_perimeter y, luego, Editar perímetro.
En Servicios restringidos, haz clic en el ícono Borrar para quitar el servicio de la API de Google Compute Engine. Esto debería activar la alerta Defense Evasion: Modifica el perímetro de Control de servicios de VPC en SCC.
Accede a Operaciones de seguridad de Google y, luego, abre la página Alertas y IOC.
Verifica que veas una alerta de Operaciones de seguridad de Google titulada Test SCC Alert: Modify VPC Service Control Test Alert.

Activa la regla de prueba de robo de SCC de CDIR

Para enviar datos que activen esta alerta en Google Security Operations, sigue estos pasos:

En la consola de Google Cloud, ve a un proyecto de Google Cloud y, luego, abre BigQuery.

Ir a BigQuery

Crea un archivo CSV con los siguientes datos y guárdalo en tu directorio principal.

column1, column2, column3
data1, data2, data3
data4, data5, data6
data7, data8, data9

En el panel de navegación de la izquierda, elige Crear conjunto de datos.
Establece la siguiente configuración y, luego, haz clic en Crear conjunto de datos:
- ID del conjunto de datos establecido en scc_test_dataset
- Tipo de ubicación configurado como Multirregión
- Habilitar vencimiento de la tabla: No selecciones esta opción.
Para obtener información más detallada sobre cómo crear un conjunto de datos, consulta el documento de BigQuery Crea conjuntos de datos.
En el panel de navegación izquierdo, a la derecha de scc_test_dataset, haz clic en el ícono y, luego, selecciona Crear tabla.
Crea una tabla y establece la siguiente configuración:
- Crear tabla desde: Establece la opción en Subir.
- Seleccionar archivo: Navega a tu directorio personal y selecciona el archivo CSV que creaste antes.
- Formato de archivo: Establece la opción en CSV.
- Conjunto de datos: Configurado como css_test_dataset.
- Tipo de tabla: Establece la opción Tabla nativa.
Acepta la configuración predeterminada para todos los demás campos y, luego, haz clic en Crear tabla.

Para obtener información más detallada sobre cómo crear una tabla, consulta el documento de BigQuery Crea y usa tablas.
En la lista de recursos, selecciona la tabla css_test_dataset, haz clic en Consulta y elige en una pestaña nueva.
Ejecute la siguiente consulta:
```
SELECT * FROM TABLE_NAME LIMIT 1000`
```
Reemplaza TABLE_NAME por el nombre de la tabla completamente calificado.
Después de que se ejecute la consulta, haz clic en Guardar resultados y, luego, elige CSV en Google Drive. Esto debería activar la alerta Robo de datos: Robo de datos de BigQuery a Google Drive de Security Command Center. El resultado de Security Command Center se debe enviar a Google Security Operations y activar una alerta de Google Security Operations.
Accede a Operaciones de seguridad de Google y, luego, abre la página Alertas y IOC.
Verifica que veas una alerta de Google Security Operations titulada Test SCC Alert: BigQuery Exfiltration to Google Drive.

Paso 6. Inhabilita las reglas de prueba

Cuando termines, inhabilita las reglas de Pruebas de detección administradas de GCP.

Accede a Google Security Operations.
Abre la página Detecciones seleccionadas.
Inhabilita Estado y Alertas para las reglas de Pruebas de detección administradas de GCP.

Verifica la transferencia de datos de AWS para la categoría Amenazas en la nube

Puedes usar las reglas de prueba de pruebas de detección administradas por AWS para verificar que los datos de AWS se transfieran a Operaciones de seguridad de Google. Estas reglas de prueba ayudan a verificar que los datos de AWS se transfirieron y están en el formato esperado. Después de configurar la transferencia de datos de AWS, realizas acciones en AWS que deberían activar las reglas de prueba.

El usuario que habilita estas reglas en el motor de detección debe tener el permiso de IAM curatedRuleSetDeployments.batchUpdate.
El usuario que realiza los pasos para enviar datos de AWS debe tener los permisos de IAM de AWS para editar las etiquetas de una instancia de EC2 en la cuenta elegida. Para obtener más información sobre el etiquetado de instancias de EC2, consulta el documento de AWS Etiqueta tus recursos de Amazon EC2.

Habilita las reglas de prueba de AWS Managed Detection Testing

En Google Security Operations, haz clic en Detección > Reglas y detecciones para abrir la página Detecciones seleccionadas.
Selecciona Pruebas de detección administrada > Pruebas de detección administrada de AWS.
Habilitaste Estado y Alertas para las reglas Generales y Precisas.

Verifica que las acciones de etiqueta en AWS activen la regla de prueba

Sigue estos pasos para verificar que las acciones de etiqueta en AWS activen el conjunto de reglas.

Paso 1: Genera un evento de registro en AWS.

Elige una cuenta dentro de tu entorno de AWS.
Ve al panel de EC2 y, luego, elige una instancia dentro de la cuenta.
En la instancia de EC2, haz clic en Acciones y, luego, en Configuración de la instancia. Realiza lo siguiente en la sección Administrar etiquetas:
1. Haz clic en Agregar etiqueta nueva.
2. Ingresa la siguiente información:
3. Key: GCTI_ALERT_VALIDATION_TEST_KEY
4. Value: works
5. Haz clic en Guardar.

Para obtener información más detallada, consulta Cómo agregar o quitar etiquetas de instancias de EC2.

Paso 2: Verifica que se activen las alertas de prueba.

Después de realizar la tarea del paso anterior, verifica que se active la regla AWS CloudTrail Test Rule. Esto indica que los registros de CloudTrail se registraron y se enviaron a Google Security Operations como se esperaba. Sigue estos pasos para verificar la alerta:

En Google Security Operations, haz clic en Detección > Reglas y detecciones para abrir la página Detecciones seleccionadas.
Haz clic en Panel.
En la lista de detecciones, verifica que se haya activado la regla tst_AWS_Cloud_Trail_Tag.

Verifica que los resultados de muestra de AWS GuardDuty activen reglas de prueba

Para asegurarte de que las alertas de GuardDuty funcionen según lo previsto en tu entorno, puedes enviar los resultados de muestra de GuardDuty a Google Security Operations.

Paso 1: Genera datos de resultados de muestra de GuardDuty.

Navega a la página principal de la consola de AWS.
En Seguridad, identidad y cumplimiento, abre GuardDuty.
Navega a la Configuración de GuardDuty.
Haz clic en Generate Sample findings.

Para obtener más información sobre cómo generar resultados de muestra de GuardDuty, consulta Cómo generar resultados de muestra en GuardDuty.

Paso 2: Verifica que se hayan activado las alertas de prueba.

En Google Security Operations, haz clic en Detección > Reglas y detecciones para abrir la página Detecciones seleccionadas.
Haz clic en Panel.
Verifica que se haya activado la regla de prueba de AWS CloudTrail en la lista de detección.

Inhabilita los conjuntos de reglas de pruebas de detección administradas de AWS

En Google Security Operations, haz clic en Detección > Reglas y detecciones para abrir la página Detecciones seleccionadas.
Selecciona las reglas Pruebas de detección administrada > Pruebas de detección administrada de AWs.
Inhabilita Estado y Alertas para las reglas Generales y Precisas.

Verifica la transferencia de datos para la categoría Amenazas de Linux

Las reglas de Pruebas de detección administradas de Linux verifican que el acceso a un sistema Linux funcione correctamente para las detecciones seleccionadas de Operaciones de seguridad de Google. Las pruebas implican usar el mensaje de Bash en un entorno de Linux para ejecutar varios comandos y pueden realizarlas cualquier usuario que tenga acceso al mensaje de Bash de Linux.

Paso 1: Habilita las reglas de prueba

Accede a Google Security Operations.
Abre la página Detecciones seleccionadas.
Haz clic en Reglas y detecciones > Conjuntos de reglas.
Expande la sección Pruebas de detección administrada. Es posible que debas desplazarte por la página.
Haz clic en Pruebas de detección administrada de Linux en la lista para abrir la página de detalles.
Habilita Estado y Alertas para las reglas de Pruebas de detección administradas de Linux.

Paso 2: Cómo enviar datos de prueba desde un dispositivo Linux

Para activar las reglas de prueba de detección administrada de Linux, sigue estos pasos:

Acceder a cualquier dispositivo Linux desde el que se envían datos a Google Security Operations
Abre una nueva interfaz de línea de comandos de la instrucción de Bash de Linux como cualquier usuario.
Ingresa el siguiente comando y presiona Intro:

/bin/echo hello_chronicle_world!

Debes usar el archivo binario echo, en lugar del comando echo integrado en la shell de Linux.

Ingresa el siguiente comando y presiona Intro:

sudo useradd test_chronicle_account
Quita la cuenta de prueba que creaste en el paso anterior. Ejecuta el comando:

sudo userdel test_chronicle_account
Ingresa el siguiente comando y presiona Intro:

su
Cuando se te solicite la contraseña, ingresa cualquier cadena aleatoria. Observa que se muestra el mensaje su: Authentication failure.
Cierra la ventana de Bash.

Paso 3: Verifica que se hayan activado las alertas en Google Security Operations

Verifica que el comando haya activado las reglas *tst_linux_echo, tst_linux_failed_su_login y tst_linux_test_account_creation en Google Security Operations. Esto indica que los registros de Linux se escriben y envían como se espera. Para verificar la alerta en Google Security Operations, sigue estos pasos:

Accede a Google Security Operations.
Abre la página Detecciones seleccionadas.
Haz clic en Panel.
Verifica que se hayan activado las reglas tst_linux_echo, tst_linux_failed_su_login y tst_linux_test_account_creation en la lista de detección.

Nota: Puede haber una pequeña demora antes de que la alerta se muestre en Google Security Operations.

Paso 4: Inhabilita las reglas de prueba

Cuando termines, inhabilita las reglas de Pruebas de detección administrada de Linux.

Accede a Google Security Operations.
Abre la página Detecciones seleccionadas.
Inhabilita Estado y Alertas para las reglas de Pruebas de detección administradas de Linux.

Verifica la transferencia de datos para la categoría Amenazas de Windows

La regla de prueba de eco de Windows verifica que el registro de Microsoft Windows funcione correctamente para las detecciones seleccionadas por Google Security Operations. La prueba implica usar el símbolo del sistema en un entorno de Microsoft Windows para ejecutar el comando echo con una cadena esperada y única.

Puedes ejecutar la prueba mientras accedes como cualquier usuario que tenga acceso al Símbolo del sistema de Windows.

Paso 1: Habilita las reglas de prueba

Accede a Google Security Operations.
Abre la página Detecciones seleccionadas.
Expande la sección Pruebas de detección administrada. Es posible que debas desplazarte por la página.
Haz clic en Pruebas de detección administrada de Windows en la lista para abrir la página de detalles.
Habilita Estado y Alertas para las reglas de Pruebas de detección administrada de Windows.

Paso 2: Cómo enviar datos de prueba desde un dispositivo con Windows

Para activar la regla de prueba de eco de Windows, sigue estos pasos:

Acceder a cualquier dispositivo que genere datos que se enviarán a Google Security Operations
Abre una nueva ventana del símbolo del sistema de Microsoft Windows como cualquier usuario.
Ingresa el siguiente comando sin distinción entre mayúsculas y minúsculas y, luego, presiona Intro:
```
cmd.exe /c "echo hello_chronicle_world!"
```
Cierra la ventana del símbolo del sistema.

Paso 3: Verifica que se haya activado una alerta

Verifica que el comando haya activado la regla tst_Windows_Echo en Google Security Operations. Esto indica que el registro de Microsoft Windows envía datos como se espera. Para verificar la alerta en Google Security Operations, sigue estos pasos:

Accede a Google Security Operations.
Abre la página Detecciones seleccionadas.
Haz clic en Panel.
Verifica que se haya activado la regla tst_Windows_Echo en la lista de detección.

Nota: La alerta tardará un poco en mostrarse en Google Security Operations.

Paso 4: Inhabilita las reglas de prueba

Cuando termines, inhabilita las reglas de Pruebas de detección administrada de Windows.

Accede a Google Security Operations.
Abre la página Detecciones seleccionadas.
Inhabilita Estado y Alertas para las reglas de Pruebas de detección administrada de Windows.