Vérifier l'ingestion de données à l'aide de règles de test

Les détections sélectionnées par Google Security Operations incluent un ensemble d'ensembles de règles de test qui vous aident à vérifier que le format des données requises pour chaque ensemble de règles est correct.

Ces règles de test se trouvent dans la catégorie Tests de détection gérés. Chaque ensemble de règles vérifie que les données reçues par l'appareil de test sont dans le format attendu par les règles pour la catégorie spécifiée.

Nom du jeu de règles Description
Tests de détection gérés par GCP Vérifie que les données Google Cloud ont bien été ingérées à partir d'appareils compatibles avec la catégorie "Menaces cloud".
Pour en savoir plus, consultez Vérifier l'ingestion de données Google Cloud pour la catégorie "Menaces cloud".
AWS Managed Detection Testing Vérifie que les données AWS ont bien été ingérées à partir d'appareils compatibles avec la catégorie "Menaces cloud".
Pour en savoir plus, consultez Vérifier l'ingestion de données AWS pour la catégorie "Menaces cloud".
Tests de détection gérés par Linux Vérifie que les données sont bien ingérées à partir d'appareils compatibles avec la catégorie "Menaces Linux".
Pour en savoir plus, consultez Vérifier l'ingestion de données pour la catégorie "Menaces Linux".
Tests de détection gérés par Windows Vérifie que les données sont bien ingérées à partir d'appareils compatibles avec la catégorie "Menaces Windows".
Pour en savoir plus, consultez Vérifier l'ingestion de données pour la catégorie "Menaces Windows".

Suivez les étapes de ce document pour tester et vérifier que les données entrantes sont ingérées correctement et au bon format.

Vérifier l'ingestion de données Google Cloud pour la catégorie "Menaces cloud"

Ces règles permettent de vérifier si les données de journaux sont ingérées comme prévu pour les détections sélectionnées de Google Security Operations.

Pour tester des données à l'aide des éléments suivants, procédez comme suit:

  • Règle Cloud Audit Metadata Testing (Test des métadonnées Cloud Audit) : pour déclencher cette règle, ajoutez une clé de métadonnées personnalisées unique et attendue à toute machine virtuelle Compute Engine qui envoie des données à Google Security Operations.

  • Règle de test Cloud DNS: pour déclencher cette règle, effectuez une résolution DNS du domaine (chronicle.security) dans toute machine virtuelle ayant accès à Internet et envoyant des données de journal à Google Security Operations.

  • Règles SCC Managed Detection Testing: pour déclencher ces règles, effectuez plusieurs actions dans la console Google Cloud.

  • Règle Tests de nœuds Cloud Kubernetes: pour déclencher cette règle, créez un projet de test qui envoie les données de journaux à Google Security Operations, puis créez un pool de nœuds unique dans un cluster Google Kubernetes Engine existant.

Étape 1. Activer les règles de test

  1. Connectez-vous à Google Security Operations.
  2. Ouvrir la page Détections sélectionnées
  3. Cliquez sur Règles et détections > Ensembles de règles.
  4. Développez la section Managed Detection Testing. Vous devrez peut-être faire défiler la page.
  5. Dans la liste, cliquez sur GCP Managed Detection Testing (Tests de détection gérés par GCP) pour ouvrir la page des détails.
  6. Activez l'état et les alertes pour les règles Cloud Managed Detection Testing.

Étape 2. Envoyer les données pour la règle Cloud Audit Metadata Testing

Pour déclencher le test, procédez comme suit:

  1. Choisissez un projet dans votre organisation.
  2. Accédez à Compute Engine, puis choisissez une machine virtuelle dans le projet.
  3. Dans la machine virtuelle, cliquez sur Edit (Modifier), puis effectuez les opérations suivantes dans la section Custom MetaData (Métadonnées personnalisées) :
    • Cliquez sur Ajouter un élément.
    • Saisissez les informations suivantes :
      • Clé : GCTI_ALERT_VALIDATION_TEST_KEY
      • Valeur : works
    • Cliquez sur Enregistrer.

  4. Pour vérifier que l'alerte a bien été déclenchée, procédez comme suit:

    1. Se connecter à Google Security Operations
    2. Ouvrez la page "Sélection de détections", puis cliquez sur Tableau de bord.
    3. Vérifiez que la règle tst_GCP_Cloud_Audit_Metadata a été déclenchée dans la liste de détection.

Étape 3. Envoyer des données pour la règle de test Cloud DNS

Les étapes suivantes doivent être effectuées en tant qu'utilisateur IAM du projet choisi ayant accès à une machine virtuelle Compute Engine.

Pour déclencher le test, procédez comme suit:

  1. Choisissez un projet dans votre organisation.
  2. Accédez à Compute Engine, puis choisissez une machine virtuelle dans le projet.
    • S'il s'agit d'une machine virtuelle Linux, assurez-vous de disposer d'un accès SSH.
    • S'il s'agit d'une machine virtuelle Windows, assurez-vous de disposer d'un accès RDP.
  3. Cliquez sur SSH (Linux) ou RDP (Microsoft Windows) pour accéder à la machine virtuelle.

  4. Envoyez les données de test en procédant de l'une des façons suivantes:

    • Machine virtuelle Linux: après avoir accédé à la machine virtuelle via SSH, exécutez l'une des commandes suivantes : nslookup chronicle.security ou host chronicle.security.

      Si la commande échoue, installez dnsutils sur la machine virtuelle à l'aide de l'une des commandes suivantes:

      • sudo apt-get install dnsutils (pour Debian/Ubuntu)
      • dnf install bind-utils (pour RedHat/CentOS)
      • yum install bind-utils

    • Machine virtuelle Microsoft Windows: après avoir accédé à la machine virtuelle via RDP, accédez à n'importe quel navigateur installé, puis à l'URL suivante: https://chronicle.security.

  5. Pour vérifier que l'alerte a bien été déclenchée, procédez comme suit:

    1. Se connecter à Google Security Operations
    2. Ouvrez la page "Sélection de détections", puis cliquez sur Tableau de bord.
    3. Vérifiez que la règle tst_GCP_Cloud_DNS_Test_Rule a été déclenchée dans la liste de détection.

Étape 4. Envoyer des données pour les règles de Cloud Kubernetes Node Testing

Les étapes suivantes doivent être effectuées en tant qu'utilisateur IAM du projet choisi ayant accès aux ressources Google Kubernetes Engine. Pour en savoir plus sur la création de clusters et de pools de nœuds régionaux, consultez la section Créer un cluster régional avec un pool de nœuds à zone unique.

Pour déclencher les règles de test, procédez comme suit:

  1. Créez un projet nommé chronicle-kube-test-project dans votre organisation. Ce projet n'est utilisé qu'à des fins de test.
  2. Accédez à la page "Google Kubernetes Engine" dans la console Google Cloud.
    Accéder à la page Google Kubernetes Engine
  3. Cliquez sur Créer pour créer un cluster régional dans le projet. Configurez le cluster en fonction des exigences de votre organisation.
  4. Cliquez sur Ajouter un pool de nœuds.
  5. Nommez le pool de nœuds kube-node-validation, puis ajustez la taille du pool à un nœud par zone.
  6. Supprimez les ressources de test :
    1. Une fois le pool de nœuds kube-node-validation créé, supprimez-le.
    2. Supprimez le projet de test chronicle-kube-test-project.

  7. Connectez-vous à Google Security Operations.

  8. Ouvrez la page "Sélection de détections", puis cliquez sur Tableau de bord.

  9. Vérifiez que la règle tst_GCP_Kubernetes_Node a été déclenchée dans la liste de détection.

  10. Vérifiez que la règle tst_GCP_Kubernetes_CreateNodePool a été déclenchée dans la liste de détection.

Étape 5 : Envoyer des données pour les règles de SCC Managed Detection Testing

Les étapes de la section suivante permettent de vérifier que les résultats de Security Command Center et les données associées sont ingérés correctement et au format attendu.

Les ensembles de règles SCC Managed Detection Testing de la catégorie Managed Detection Testing vous permettent de vérifier que les données requises pour les ensembles de règles CDIR SCC Enhanced sont envoyées à Google Security Operations et sont au format approprié.

Chaque règle de test vérifie que les données sont reçues dans le format attendu par les règles. Vous effectuez des actions dans votre environnement Google Cloud pour envoyer des données qui généreront une alerte Google Security Operations.

Veillez à remplir les sections suivantes de ce document requises pour configurer la journalisation dans les services Google Cloud, collecter les résultats Security Command Center Premium et envoyer les résultats Security Command Center à Google Security Operations:

Pour en savoir plus sur les alertes Security Command Center décrites dans cette section, consultez le document Security Command Center Examiner les menaces et y répondre.

Déclencher la règle de test de persistance SCC CDIR

Pour envoyer les données qui déclenchent cette alerte dans Google Security Operations, procédez comme suit:

  1. Dans la console Google Cloud, créez une instance de VM et attribuez temporairement le compte de service Compute Engine par défaut avec les droits d'éditeur. Vous le supprimerez une fois le test terminé.

  2. Lorsque la nouvelle instance est disponible, définissez le niveau d'accès sur Autoriser l'accès complet à l'ensemble des API.

  3. Créez un compte de service en utilisant les informations suivantes:

    • Définissez Nom du compte de service sur scc-test.
    • Définissez le champ ID du compte de service sur scc-test.
    • Saisissez éventuellement une description pour le compte de service.

    Pour en savoir plus sur la création de comptes de service, consultez le document Créer des comptes de service.

  4. Connectez-vous via SSH à l'instance de test créée à l'étape précédente, puis exécutez la commande gcloud suivante:

    gcloud projects add-iam-policy-binding PROJECT_NAME
--member="serviceAccount:scc-test@PROJECT_NAME.iam.gserviceaccount.com"
--role="roles/owner`"

    Remplacez PROJECT_NAME par le nom du projet dans lequel l'instance Compute Engine est exécutée et le compte scc-test a été créé.

    L'alerte Security Command Center Persistance: autorisation anormale IAM doit se déclencher.

  5. Connectez-vous à Google Security Operations, puis ouvrez la page Alertes et IOC.

  6. Vous devriez voir une alerte Google Security Operations intitulée Test SCC Alert: IAM Anomalous Attribution provided to test account (Alerte SCC de test : autorisation anormale d'IAM accordée au compte de test).

  7. Ouvrez la console Google Cloud, puis procédez comme suit:

    • Supprimez l'accès au compte de test scc-test d'IAM et de la console d'administration.
    • Supprimez le compte de service à l'aide du portail Comptes de service.
    • Supprimez l'instance de VM que vous venez de créer.

Déclencher la règle de test SCC contre les logiciels malveillants CDIR

Pour envoyer les données qui déclenchent cette alerte dans Google Security Operations, procédez comme suit:

  1. Dans la console Google Cloud, connectez-vous à l'aide de SSH à toute instance de VM sur laquelle la commande curl est installée.

  2. exécutez la commande suivante :

      curl etd-malware-trigger.goog

    Une fois cette commande exécutée, l'alerte Security Command Center Logiciel malveillant: domaine incorrect devrait se déclencher.

  3. Connectez-vous à Google Security Operations, puis ouvrez la page Alertes et IOC.

  4. Vérifiez que l'alerte Google Security Operations intitulée Test SCC Alert: Malware Bad Domain s'affiche.

Déclencher la règle de test CDIR SCC Defense Evasion

Pour envoyer les données qui déclenchent cette alerte dans Google Security Operations, procédez comme suit:

  1. Connectez-vous à la console Google Cloud à l'aide d'un compte disposant d'un accès au niveau de l'organisation pour modifier les périmètres VPC Service Controls.

  2. Dans Google Cloud Console, accédez à la page VPC Service Controls.

    Accéder à VPC Service Controls

  3. Cliquez sur + Nouveau périmètre et configurez les champs suivants sur la page Détails:

    • Titre du périmètre: scc_test_perimeter.
    • Type de périmètre sur Périmètre standard (par défaut).
    • Config Type (Type de configuration) sur Enforced (Appliqué).

  4. Dans le volet de navigation de gauche, sélectionnez 3 services restreints.

  5. Dans la boîte de dialogue Spécifier les services à restreindre, sélectionnez API Google Compute Engine, puis cliquez sur Ajouter l'API Google Compute Engine.

  6. Dans le panneau de navigation de gauche, cliquez sur Créer un périmètre.

  7. Pour modifier le périmètre, accédez à la page Périmètres de service VPC. Pour savoir comment accéder à cette page, consultez Répertorier et décrire les périmètres de service.

  8. Sélectionnez scc_test_perimeter, puis Modifier le périmètre.

  9. Sous Services limités, cliquez sur l'icône Supprimer pour supprimer le service de l'API Google Compute Engine. Cela devrait déclencher l'alerte Defense Evasion: Modify VPC Service Control Perimeter dans SCC.

  10. Connectez-vous à Google Security Operations, puis ouvrez la page Alertes et IOC.

  11. Vérifiez que vous voyez une alerte Google Security Operations intitulée Test SCC Alert: Modify VPC Service Control Test Alert (Alerte de test SCC : modifier l'alerte de test de contrôle de service VPC).

Déclencher la règle de test d'exfiltration SCC CDIR

Pour envoyer les données qui déclenchent cette alerte dans Google Security Operations, procédez comme suit:

  1. Dans la console Google Cloud, accédez à un projet Google Cloud, puis ouvrez BigQuery.

    Accéder à BigQuery

  2. Créez un fichier CSV avec les données suivantes, puis enregistrez-le dans votre répertoire d'accueil.

    column1, column2, column3
data1, data2, data3
data4, data5, data6
data7, data8, data9

  3. Dans le volet de navigation de gauche, sélectionnez Créer un ensemble de données.

  4. Définissez la configuration suivante, puis cliquez sur Créer l'ensemble de données:

    • ID de l'ensemble de données défini sur scc_test_dataset.
    • Le type d'emplacement est défini sur Multirégional.
    • Activer l'expiration de la table: ne sélectionnez pas cette option.

    Nouveaux paramètres d'ensemble de données

    Pour en savoir plus sur la création d'un ensemble de données, consultez le document BigQuery Créer des ensembles de données.

  5. Dans le panneau de navigation de gauche, à droite de scc_test_dataset, cliquez sur l'icône , puis sélectionnez Create Table (Créer une table).

  6. Créez une table et définissez la configuration suivante:

    • Create table from (Créer une table à partir de) : définissez l'option sur Upload (Importer).
    • Select file (Sélectionner un fichier) : accédez à votre répertoire d'accueil et sélectionnez le fichier CSV que vous avez créé précédemment.
    • File format (Format de fichier) : définissez CSV.
    • Ensemble de données: défini sur css_test_dataset.
    • Table type (Type de table) : définissez sur Native table (Table native).

  7. Acceptez la configuration par défaut pour tous les autres champs, puis cliquez sur Créer la table.

    Paramètres de la table

    Pour plus d'informations sur la création d'une table, consultez le document BigQuery Créer et utiliser des tableaux.

  8. Dans la liste des ressources, sélectionnez la table css_test_dataset, puis cliquez sur Requête et choisissez dans un nouvel onglet.

    Créer une requête

  9. Exécutez la requête suivante :

    SELECT * FROM TABLE_NAME LIMIT 1000`

    Remplacez TABLE_NAME par le nom complet de la table.

  10. Une fois la requête exécutée, cliquez sur Save Results (Enregistrer les résultats), puis sélectionnez CSV in Google Drive (CSV dans Google Drive). Cela devrait déclencher l'alerte Security Command Center Exfiltration: BigQuery Exfiltration to Google Drive. Le résultat Security Command Center doit être envoyé à Google Security Operations et déclencher une alerte Google Security Operations.

    Enregistrer les résultats de la requête

  11. Connectez-vous à Google Security Operations, puis ouvrez la page Alertes et IOC.

  12. Vérifiez que l'alerte Google Security Operations intitulée Test SCC Alert: BigQuery Exfiltration to Google Drive s'affiche.

Étape 6 : Désactiver les règles de test

Lorsque vous avez terminé, désactivez les règles des tests de détection gérés par GCP.

  1. Connectez-vous à Google Security Operations.
  2. Ouvrir la page Détections sélectionnées
  3. Désactivez l'état et les alertes pour les règles des tests de détection gérés par GCP.

Vérifier l'ingestion de données AWS pour la catégorie "Menaces cloud"

Vous pouvez utiliser les règles de test des tests AWS Managed Detection pour vérifier que les données AWS sont bien ingérées dans Google Security Operations. Ces règles de test permettent de vérifier que les données AWS ont été ingérées et qu'elles sont au format attendu. Après avoir configuré l'ingestion de données AWS, vous effectuez des actions dans AWS qui doivent déclencher les règles de test.

  • L'utilisateur qui active ces règles dans Detection Engine doit disposer de l'autorisation IAM curatedRuleSetDeployments.batchUpdate.
  • L'utilisateur qui effectue la procédure d'envoi de données AWS doit disposer des autorisations IAM AWS pour modifier les tags d'une instance EC2 dans le compte choisi. Pour en savoir plus sur l'ajout de tags aux instances EC2, consultez le document AWS Taguer vos ressources Amazon EC2.

Activer les règles de test AWS Managed Detection Testing

  1. Dans Google Security Operations, cliquez sur Detections > Rules & Detections (Détections > Règles et détections) pour ouvrir la page "Détections sélectionnées".
  2. Sélectionnez Managed Detection Testing > AWS Managed Detection Testing (Tests de détection gérés par AWS).
  3. Activation de l'état et des alertes pour les règles Large et Exacte.

Vérifier que les actions de tag dans AWS déclenchent la règle de test

Procédez comme suit pour vérifier que les actions associées aux tags dans AWS déclenchent l'ensemble de règles.

Étape 1. Générer un événement de journal dans AWS

  1. Choisissez un compte dans votre environnement AWS.
  2. Accédez au tableau de bord EC2, puis sélectionnez une instance dans le compte.
  3. Dans l'instance EC2, cliquez sur Actions, puis sur Paramètres de l'instance, puis procédez comme suit dans la section Gérer les tags :
    1. Cliquez sur Ajouter une balise.
    2. Saisissez les informations suivantes :
    3. Key (Clé) : GCTI_ALERT_VALIDATION_TEST_KEY
    4. Valeur : works
    5. Cliquez sur Enregistrer.

Pour en savoir plus, consultez Ajouter ou supprimer des tags d'instances EC2.

Étape 2. Vérifiez que les alertes de test sont déclenchées.

Après avoir effectué la tâche à l'étape précédente, vérifiez que la règle AWS CloudTrail Test Rule (Règle de test AWS CloudTrail) est déclenchée. Cela indique que les journaux CloudTrail ont été enregistrés et envoyés à Google Security Operations comme prévu. Pour vérifier l'alerte, procédez comme suit:

  1. Dans Google Security Operations, cliquez sur Detections > Rules & Detections (Détections > Règles et détections) pour ouvrir la page "Détections sélectionnées".
  2. Cliquez sur Tableau de bord.
  3. Dans la liste des détections, vérifiez que la règle tst_AWS_Cloud_Trail_Tag a été déclenchée.

Vérifier que les résultats des exemples AWS GuardDuty déclenchent des règles de test

Pour vous assurer que les alertes GuardDuty fonctionnent comme prévu dans votre environnement, vous pouvez envoyer des exemples de résultats GuardDuty à Google Security Operations.

Étape 1. Générer des données d'exemple de résultats GuardDuty

  1. Accédez à la page d'accueil de la console AWS.
  2. Sous Sécurité, identité et conformité, ouvrez GuardDuty.
  3. Accédez aux Paramètres de GuardDuty.
  4. Cliquez sur Générer un exemple de résultats.

Pour en savoir plus sur la génération d'exemples de résultats GuardDuty, consultez la section Générer des exemples de résultats dans GuardDuty.

Étape 2. Vérifiez que les alertes test ont été déclenchées.

  1. Dans Google Security Operations, cliquez sur Détection > Règles et détections pour ouvrir la page "Détections sélectionnées".
  2. Cliquez sur Tableau de bord.
  3. Vérifiez que la règle de test AWS CloudTrail a été déclenchée dans la liste de détection.

Désactiver les ensembles de règles AWS Managed Detection

  1. Dans Google Security Operations, cliquez sur Détection > Règles et détections pour ouvrir la page "Détections sélectionnées".
  2. Sélectionnez Managed Detection Testing > AWs Managed Detection Testing (Tests de détection gérés > Règles AWs Managed Detection Testing).
  3. Désactivez à la fois Status (État) et Alertes (Alertes) pour les règles Broad (Large) et Exacte (Exacte).

Vérifier l'ingestion de données pour la catégorie "Menaces Linux"

Les règles relatives aux tests de détection gérés par Linux vérifient que la journalisation sur un système Linux fonctionne correctement pour les détections sélectionnées par Google Security Operations. Les tests impliquent l'utilisation de l'invite Bash dans un environnement Linux pour exécuter diverses commandes et peuvent être effectués par tout utilisateur ayant accès à l'invite Bash Linux.

Étape 1. Activer les règles de test

  1. Connectez-vous à Google Security Operations.
  2. Ouvrir la page Détections sélectionnées
  3. Cliquez sur Règles et détections > Ensembles de règles.
  4. Développez la section Managed Detection Testing. Vous devrez peut-être faire défiler la page.
  5. Cliquez sur Linux Managed Detection Testing dans la liste pour ouvrir la page des détails.
  6. Activez l'état et les alertes pour les règles de test de détection géré par Linux.

Étape 2. Envoyer des données de test depuis un appareil Linux

Pour déclencher les règles de test des tests de détection gérés par Linux, procédez comme suit:

  1. Accéder à n'importe quel appareil Linux depuis lequel des données sont envoyées à Google Security Operations
  2. Ouvrez une nouvelle interface de ligne de commande d'invite Linux Bash en tant qu'utilisateur.

  3. Saisissez la commande suivante, puis appuyez sur Entrée:

    /bin/echo hello_chronicle_world!

Vous devez utiliser le binaire echo plutôt que la commande echo intégrée à l'interface système Linux.

  1. Saisissez la commande suivante, puis appuyez sur Entrée:

    sudo useradd test_chronicle_account

  2. Supprimez le compte de test créé à l'étape précédente. Exécutez la commande suivante:

    sudo userdel test_chronicle_account

  3. Saisissez la commande suivante, puis appuyez sur Entrée:

    su

  4. Lorsque vous êtes invité à entrer le mot de passe, entrez une chaîne aléatoire. Notez que le message su: Authentication failure s'affiche.

  5. Fermez la fenêtre bash.

Étape 3. Vérifier que des alertes ont été déclenchées dans Google Security Operations

Vérifiez que la commande a déclenché les règles *tst_linux_echo, tst_linux_failed_su_login et tst_linux_test_account_creation dans Google Security Operations. Cela indique que les journaux Linux sont écrits et envoyés comme prévu. Pour vérifier l'alerte dans Google Security Operations, procédez comme suit:

  1. Connectez-vous à Google Security Operations.
  2. Ouvrir la page Détections sélectionnées
  3. Cliquez sur Tableau de bord.

  4. Vérifiez que les règles tst_linux_echo, tst_linux_failed_su_login et tst_linux_test_account_creation ont été déclenchées dans la liste de détection.

Étape 4. Désactiver les règles de test

Lorsque vous avez terminé, désactivez les règles Linux Managed Detection Testing.

  1. Connectez-vous à Google Security Operations.
  2. Ouvrir la page Détections sélectionnées
  3. Désactivez l'état et les alertes pour les règles de test de détection géré par Linux.

Vérifier l'ingestion de données pour la catégorie "Menaces Windows"

La règle de test d'écho Windows vérifie que la journalisation Microsoft Windows fonctionne correctement pour les détections sélectionnées par Google Security Operations. Ce test implique l'utilisation de l'invite de commande dans un environnement Microsoft Windows pour exécuter la commande echo avec une chaîne attendue et unique.

Vous pouvez exécuter le test en étant connecté comme n'importe quel utilisateur ayant accès à l'invite de commande Windows.

Étape 1. Activer les règles de test

  1. Connectez-vous à Google Security Operations.
  2. Ouvrir la page Détections sélectionnées
  3. Développez la section Managed Detection Testing. Vous devrez peut-être faire défiler la page.
  4. Dans la liste, cliquez sur Windows Managed Detection Testing pour ouvrir la page des détails.
  5. Activez l'état et les alertes pour les règles des tests de détection gérés par Windows.

Étape 2. Envoyer des données de test depuis un appareil Windows

Pour déclencher la règle de test d'écho Windows, procédez comme suit:

  1. Accéder à tous les appareils qui génèrent des données à envoyer à Google Security Operations
  2. Ouvrez une nouvelle fenêtre d'invite de commande Microsoft Windows en tant qu'utilisateur de votre choix.

  3. Saisissez la commande suivante (non sensible à la casse), puis appuyez sur Entrée:

    cmd.exe /c "echo hello_chronicle_world!"

  4. Fermez la fenêtre d'invite de commandes.

Étape 3. Vérifier qu'une alerte a été déclenchée

Vérifiez que la commande a déclenché la règle tst_Windows_Echo dans Google Security Operations. Cela indique que la journalisation Microsoft Windows envoie des données comme prévu. Pour vérifier l'alerte dans Google Security Operations, procédez comme suit:

  1. Connectez-vous à Google Security Operations.
  2. Ouvrir la page Détections sélectionnées
  3. Cliquez sur Tableau de bord.

  4. Vérifiez que la règle tst_Windows_Echo a été déclenchée dans la liste de détection.

Étape 4. Désactiver les règles de test

Lorsque vous avez terminé, désactivez les règles des tests de détection gérés par Windows.

  1. Connectez-vous à Google Security Operations.
  2. Ouvrir la page Détections sélectionnées
  3. Désactivez l'état et les alertes pour les règles des tests de détection gérés par Windows.