使用测试规则验证数据注入
Google Security Operations 精选检测包含一组测试规则集, 验证每个规则集所需的数据是否采用了正确的格式。
这些测试规则位于 Managed Detection Testing 类别下。每个规则集 用于验证测试设备接收到的数据是否采用了规则所要求的格式 指定类别。
| 规则集名称 | 说明 |
|---|---|
| GCP 代管式检测测试 | 验证 Google Cloud 数据是否已成功从“云威胁”类别支持的设备中提取。 如需了解详情,请参阅验证“云威胁”类别的 Google Cloud 数据注入。 |
| AWS 代管式检测测试 | 验证 AWS 数据是否已成功从“云威胁”类别支持的设备中提取。 如需了解详情,请参阅针对“云威胁”类别验证 AWS 数据注入。 |
| Linux 代管式检测测试 | 验证数据是否已成功从受“Linux 威胁”类别支持的设备中提取。 如需了解详情,请参阅验证“Linux 威胁”类别的数据注入。 |
| Windows 代管式检测测试 | 验证数据是否已成功从受 Windows 威胁类别支持的设备中提取。 有关详情,请参阅验证 Windows 威胁类别的数据注入。 |
请按照本文档中的步骤测试并验证是否提取了传入数据 且格式正确。
验证“云威胁”类别的 Google Cloud 数据注入情况
这些规则有助于验证是否提取了日志数据 符合预期。
以下步骤介绍了如何使用以下各项测试数据:
Cloud Audit Metadata Testing(Cloud Audit 元数据测试)规则:要触发此规则,请添加唯一的 任何 Compute Engine 虚拟机上期望的自定义元数据键, 向 Google Security Operations 发送数据。
Cloud DNS Testing 规则:要触发此规则,请执行 DNS 查找以查找 域 (
chronicle.security) 的任何虚拟机中,该域都可以访问 并将日志数据发送到 Google Security Operations。SCC 代管式检测测试规则:如需触发这些规则,请执行 Google Cloud 控制台中的操作。
Cloud Kubernetes Node Testing 规则:要触发此规则,请创建测试项目 (用于向 Google Security Operations 发送日志数据),并创建唯一的节点池 现有 Google Kubernetes Engine 集群中。
第 1 步:启用测试规则
- 登录 Google Security Operations。
- 打开“精选检测”页面。
- 点击规则和检测 >规则集。
- 展开 Managed Detection Testing 部分。您可能需要滚动页面。
- 点击列表中的 GCP Managed Detection Testing 以打开详情页面。
- 为 Cloud Managed Detection Testing 规则同时启用状态和提醒。
第 2 步:发送 Cloud Audit Metadata Testing 规则的数据
如需触发测试,请完成以下步骤:
- 在您的组织中选择一个项目。
- 转到 Compute Engine,然后在项目中选择虚拟机。
- 在虚拟机中,点击修改,然后在
自定义元数据部分:
- 点击添加一项。
- 请输入以下信息:
- 键:
GCTI_ALERT_VALIDATION_TEST_KEY - 值:
works
- 键:
- 点击保存。
请执行以下步骤,验证是否触发了提醒:
- 登录 Google Security Operations
- 打开“预收录的检测”页面,然后点击信息中心
- 检查是否在检测列表中触发了 tst_GCP_Cloud_Audit_Metadata 规则。
第 3 步:为 Cloud DNS 测试规则发送数据
必须以所选 IAM 用户的身份执行以下步骤 有权访问 Compute Engine 虚拟机的项目。
如需触发测试,请完成以下步骤:
- 在您的组织中选择一个项目。
- 转到 Compute Engine,然后在项目中选择虚拟机。
- 如果您使用的是 Linux 虚拟机,请确保您拥有 SSH 访问权限。
- 如果是 Windows 虚拟机,请确保您拥有 RDP 访问权限。
- 点击 SSH (Linux) 或 RDP (Microsoft Windows) 以访问虚拟机。
按照以下步骤发送测试数据:
Linux 虚拟机:使用 SSH 访问虚拟机后,运行以下命令之一 命令:
nslookup chronicle.security或host chronicle.security如果命令失败,请使用下列任一方式在虚拟机上安装
dnsutils: 以下命令:sudo apt-get install dnsutils(适用于 Debian/Ubuntu)dnf install bind-utils(适用于 RedHat/CentOS)yum install bind-utils
Microsoft Windows 虚拟机:使用 RDP 访问虚拟机后,转到任意已安装的浏览器, 访问以下网址:https://chronicle.security
请执行以下步骤,验证是否触发了提醒:
- 登录 Google Security Operations
- 打开“精选检测”页面,然后点击信息中心
- 检查是否在检测列表中触发了 tst_GCP_Cloud_DNS_Test_Rule 规则。
第 4 步:发送 Cloud Kubernetes Node Testing 规则的数据
必须以 IAM 用户的身份在所选项目中(有权访问
Google Kubernetes Engine 资源。如需详细了解如何创建区域级集群和节点池,
请参阅创建具有单可用区节点池的区域级集群。这些测试规则旨在验证 KUBERNETES_NODE 日志类型的数据注入情况。
如需触发测试规则,请完成以下步骤:
- 在组织中创建一个名为
chronicle-kube-test-project的项目。此项目仅用于测试。 - 前往 Google Cloud 控制台中的 Google Kubernetes Engine 页面。
转到 Google Kubernetes Engine 页面 - 点击创建,在项目中创建新的区域级集群。根据您的需求配置集群 组织要求。
- 点击 add_box 添加节点池。
- 将节点池命名为
kube-node-validation,然后将池大小调整为每个可用区 1 个节点。 - 删除测试资源:
- 创建
kube-node-validation节点池后,删除该节点池。 - 删除
chronicle-kube-test-project测试项目。
- 创建
打开“精选检测”页面,然后点击信息中心。
检查是否在检测列表中触发了 tst_GCP_Kubernetes_Node 规则。
检查是否在检测列表中触发了 tst_GCP_Kubernetes_CreateNodePool 规则。
第 5 步:发送 SCC 代管式检测测试规则的数据
下一部分中的步骤会验证 Security Command Center 发现结果以及 数据是否正确提取,并采用预期格式。
在 Managed Detection Testing 下,设置 SCC Managed Detection Testing 规则集 类别,您可以验证 CDIR SCC 增强规则集所需的数据是否 且格式正确。
每条测试规则都会验证以规则要求的格式接收的数据。 您在 Google Cloud 环境中执行操作, 生成 Google Security Operations 提醒
请务必完成本文档中配置所需的以下部分 登录 Google Cloud 服务,收集 Security Command Center 高级方案发现结果,以及发送 Security Command Center Google Security Operations 的发现结果:
如需详细了解本部分介绍的 Security Command Center 提醒,请参阅 Security Command Center 文档 调查和应对威胁。
触发 CDIR SCC 持久性测试规则
如需在 Google Security Operations 中发送会触发此提醒的数据,请按以下步骤操作:
在 Google Cloud 控制台中,创建一个新的虚拟机实例并临时 为 Compute Engine 默认服务账号分配编辑者权限。 测试完成后,您需要移除此 ID。
当新实例可用时,将访问权限范围分配给允许 拥有对所有 API 的完整访问权限。
使用以下信息创建新的服务账号:
- 将服务账号名称设置为
scc-test。 - 将服务账号 ID 设置为
scc-test。 - (可选)输入服务账号的说明。
请参阅创建服务账号。 有关如何创建服务账号的信息。
- 将服务账号名称设置为
使用 SSH 连接到您在上一步中创建的测试实例,然后 执行以下
gcloud命令:gcloud projects add-iam-policy-binding PROJECT_NAME --member="serviceAccount:scc-test@PROJECT_NAME.iam.gserviceaccount.com" --role="roles/owner`"将
PROJECT_NAME替换为运行 Compute Engine 实例且创建scc-test账号的项目的名称。系统应该会触发持久性:IAM 异常授权 Security Command Center 提醒。
登录 Google Security Operations,然后打开提醒和IOC 页面。
您应该会看到一个名为 Test SCC Alert: IAM Anomalous Grant 的 Google Security Operations 提醒 测试账号的数据。
打开 Google Cloud 控制台,然后执行以下操作:
- 从 IAM 中移除
scc-test测试账号访问权限,并 管理控制台。 - 通过服务账号门户删除服务账号。
- 删除刚刚创建的虚拟机实例。
- 从 IAM 中移除
触发 CDIR SCC 恶意软件测试规则
如需在 Google Security Operations 中发送会触发此提醒的数据,请按以下步骤操作:
在 Google Cloud 控制台中,使用 SSH 连接到 已安装
curl命令。执行以下命令:
curl etd-malware-trigger.goog执行此命令后,应该会触发 Security Command Center 恶意软件:错误网域提醒。
登录 Google Security Operations,然后打开提醒和IOC 页面。
验证您是否看到了标题为 Test SCC Alert: Malware Bad Domain 的 Google Security Operations 提醒。
触发 CDIR SCC 防护规避测试规则
如需在 Google Security Operations 中发送会触发此提醒的数据,请按以下步骤操作:
使用具有以下访问权限的账号登录 Google Cloud 控制台: 组织级别修改 VPC Service Control 边界。
在 Google Cloud 控制台中,转到 VPC Service Controls 页面。
点击 +新建边界,然后在详细信息页面中配置以下字段:
- 边界标题:
scc_test_perimeter。 - 将边界类型更改为常规边界(默认)。
- Config Type 设置为 Enforced。
- 边界标题:
在左侧导航栏中,选择 3 项受限服务。
在指定要限制的服务对话框中,选择 Google Compute Engine API,然后点击添加 Google Compute Engine API。
在左侧导航栏中,点击创建边界。
如需修改边界,请转到 VPC 服务边界页面。 如需详细了解如何访问此页面,请参阅列出和描述服务边界。
选择
scc_test_perimeter,然后选择修改边界。在受限服务下,点击删除图标以移除 Google Compute Engine API 服务。这应该会触发防御 规避:修改 SCC 中的 VPC Service Control 边界提醒。
登录 Google Security Operations,然后打开提醒和IOC 页面。
验证您是否看到标题为 Test SCC Alert: EDIT VPC Service 的 Google Security Operations 提醒 控制测试警报。
触发 CDIR SCC 渗漏测试规则
如需在 Google Security Operations 中发送会触发此提醒的数据,请按以下步骤操作:
在 Google Cloud 控制台中,前往相应 Google Cloud 项目,然后打开 BigQuery。
创建包含以下数据的 CSV 文件,然后将其保存到您的主目录。
column1, column2, column3 data1, data2, data3 data4, data5, data6 data7, data8, data9在左侧导航栏中,选择创建数据集。
设置以下配置,然后点击创建数据集:
- 数据集 ID 设置为
scc_test_dataset。 - 位置类型设置为多区域。
- 启用表过期时间:请勿选择此选项。
如需详细了解如何创建数据集,请参阅 BigQuery 文档创建数据集。
- 数据集 ID 设置为
在左侧导航栏中,点击
scc_test_dataset右侧的 more_vert 图标,然后选择创建表。创建一个表并设置以下配置:
- 基于以下数据创建表:设置为上传。
- Select file:浏览到您的主目录,然后选择您之前创建的 CSV 文件。
- 文件格式:设置为 CSV。
- 数据集:设置为
css_test_dataset。 - 表类型:设置为原生表。
接受其他所有字段的默认配置,然后点击 创建表。
如需详细了解如何创建表,请参阅 BigQuery 文档创建和使用表。
在资源列表中,选择
css_test_dataset表,然后点击查询并选择在新标签页中。
请运行以下查询:
SELECT * FROM TABLE_NAME LIMIT 1000`将
TABLE_NAME替换为完全限定的表名称。执行查询后,点击保存结果,然后选择 CSV in Google 云端硬盘。这应该会触发渗漏:BigQuery 渗漏 Google 云端硬盘 Security Command Center 提醒。应将 Security Command Center 发现结果发送给 Google Security Operations 并触发 Google Security Operations 提醒。
登录 Google Security Operations,然后打开提醒和IOC 页面。
验证您是否看到标题为 Test SCC Alert: BigQuery Exfiltration to Google 云端硬盘。
第 6 步:停用测试规则
完成后,停用 GCP 代管式检测测试规则。
- 登录 Google Security Operations。
- 打开“精选检测”页面。
- 对 GCP 代管式检测测试规则停用状态和提醒。
针对“云威胁”类别验证 AWS 数据注入情况
您可以使用 AWS Managed Detection Testing 测试规则验证 AWS 数据 正在提取到 Google Security Operations 中。这些测试规则有助于验证 AWS 数据 已提取,并且采用预期格式。设置好提取后 AWS 数据,您需要在 AWS 中执行应触发测试规则的操作。
- 在 Detection Engine 中启用这些规则的用户必须拥有
curatedRuleSetDeployments.batchUpdateIAM 权限。 - 执行相关步骤以发送 AWS 数据的用户必须拥有 AWS IAM 拥有在所选账号中修改 EC2 实例的标记的权限。对于 如需详细了解如何标记 EC2 实例,请参阅 AWS 文档 标记您的 Amazon EC2 资源。
启用 AWS Managed Detection Testing 测试规则
- 在 Google Security Operations 中,点击检测 >规则和检测以 打开“精选检测”页面。
- 选择 Managed Detection Testing >AWS 代管式检测测试。
- 为广泛匹配和确切同时启用了状态和提醒 规则。
验证 AWS 中的代码操作是否触发测试规则
执行以下步骤,验证 AWS 中的代码操作是否会触发 规则集。
第 1 步:在 AWS 中生成日志事件。
- 在您的 AWS 环境中选择一个账号。
- 转到 EC2 信息中心,然后在账号内选择一个实例。
- 在 EC2 实例中,点击操作,然后点击实例设置,
在管理标记部分下执行以下操作:
- 点击添加新代码。
- 请输入以下信息:
- 键:
GCTI_ALERT_VALIDATION_TEST_KEY - 值:
works - 点击保存。
如需了解详情,请参阅添加或移除 EC2 实例标记
第 2 步:验证是否触发了测试提醒。
执行上一步中的任务后,验证 AWS CloudTrail 测试规则 触发规则。这表示系统已记录了 CloudTrail 日志 并按预期发送到 Google Security Operations 上。执行以下步骤以验证提醒:
- 在 Google Security Operations 中,点击检测 >规则和检测以 打开“精选检测”页面。
- 点击信息中心。
- 在检测列表中,检查 tst_AWS_Cloud_Trail_Tag 规则 被触发
验证 AWS GuardDuty 示例发现结果是否会触发测试规则
为确保 GuardDuty 警报在您的环境中按预期运行,您可以 将 GuardDuty 发现结果示例发送给 Google Security Operations。
第 1 步:生成 GuardDuty 示例发现结果数据。
- 前往 AWS 控制台首页。
- 在安全性、身份和合规性下,打开 GuardDuty。
- 前往 GuardDuty 的 Settings(设置)。
- 点击生成示例发现结果。
如需详细了解如何生成示例 GuardDuty 发现结果,请参阅 在 GuardDuty 中生成示例发现结果。
第 2 步:验证测试提醒是否已触发。
- 在 Google Security Operations 中,点击检测 >规则和检测以 打开“精选检测”页面。
- 点击信息中心。
- 检查是否在检测中触发了 AWS CloudTrail 测试规则 。
停用 AWS Managed Detection Testing 规则集
- 在 Google Security Operations 中,点击检测 >规则和检测以 打开“精选检测”页面。
- 选择 Managed Detection Testing >AW 代管式检测测试规则。
- 将状态和提醒分别停用为广泛匹配和精确 规则。
验证“Linux 威胁”类别的数据注入
Linux Managed Detection Testing 规则用于验证 Linux 系统上的日志记录是否 Google Security Operations 精选检测正常运行。这些测试涉及 使用 Bash 提示符运行各种命令, 有权执行 Linux Bash 提示的任何用户执行。
第 1 步:启用测试规则
- 登录 Google Security Operations。
- 打开“精选检测”页面。
- 点击规则和检测 >规则集。
- 展开 Managed Detection Testing 部分。您可能需要滚动页面。
- 点击列表中的 Linux Managed Detection Testing 打开详情页面。
- 为 Linux Managed Detection Testing 规则同时启用状态和提醒。
第 2 步:从 Linux 设备发送测试数据
如需触发 Linux Managed Detection Testing 测试规则,请执行以下步骤:
- 访问将向 Google Security Operations 发送数据的任何 Linux 设备。
- 以任何用户身份打开新的 Linux Bash 提示命令行界面。
输入以下命令,然后按 Enter 键:
/bin/echo hello_chronicle_world!
您必须使用 echo 二进制文件,而不是 Linux
shell 内置 echo 命令。
输入以下命令,然后按 Enter 键:
sudo useradd test_chronicle_account移除上一步中创建的测试账号。执行以下命令:
sudo userdel test_chronicle_account输入以下命令,然后按 Enter 键:
su当系统提示输入密码时,请输入任意随机字符串。请注意, 显示了
su: Authentication failure消息。关闭 Bash 窗口。
第 3 步:验证提醒是否已在 Google Security Operations 中触发
验证该命令是否触发了 *tst_linux_echotst_linux_echo tst_linux_failed_su_login 和 tst_linux_test_account_creation 规则 Google Security Operations,这表示 Linux 日志已按预期写入和发送。 如需验证 Google Security Operations 中的提醒,请执行以下步骤:
- 登录 Google Security Operations。
- 打开“精选检测”页面。
- 点击信息中心。
验证 tst_linux_echo、tst_linux_failed_su_login 和 在检测列表中触发了 tst_linux_test_account_creation 规则。
第 4 步:停用测试规则
完成后,停用 Linux Managed Detection Testing 规则。
- 登录 Google Security Operations。
- 打开“精选检测”页面。
- 针对 Linux Managed Detection Testing 规则停用状态和提醒。
验证“Windows 威胁”类别的数据注入
Windows Echo 测试规则用于验证 Microsoft Windows 日志记录功能是否正常运行
。测试需要使用命令提示符
在 Microsoft Windows 环境中,使用预期的唯一字符串运行 echo 命令。
您可以以有权访问 Windows 命令提示符的任何用户身份登录并运行测试。
第 1 步:启用测试规则
- 登录 Google Security Operations。
- 打开“精选检测”页面。
- 展开 Managed Detection Testing 部分。您可能需要滚动页面。
- 点击列表中的 Windows 代管式检测测试以打开详情页面。
- 为 Windows 代管式检测测试规则同时启用状态和提醒。
第 2 步:从 Windows 设备发送测试数据
如需触发 Windows Echo 测试规则,请执行以下步骤:
- 访问任何可生成要发送到 Google Security Operations 的数据的设备。
- 以任何用户身份打开新的 Microsoft Windows 命令提示符窗口。
输入以下不区分大小写的命令,然后按 Enter:
cmd.exe /c "echo hello_chronicle_world!"关闭命令提示符窗口。
第 3 步:验证是否触发了提醒
验证该命令是否触发了 Google Security Operations 中的 tst_Windows_Echo 规则。 这表示 Microsoft Windows 日志记录正在按预期发送数据。 如需验证 Google Security Operations 中的提醒,请执行以下步骤:
- 登录 Google Security Operations。
- 打开“精选检测”页面。
- 点击信息中心。
验证是否已在检测列表中触发了 tst_Windows_Echo 规则。
第 4 步:停用测试规则
完成后,请停用 Windows 代管式检测测试规则。
- 登录 Google Security Operations。
- 打开“精选检测”页面。
- 对 Windows 代管式检测测试规则停用状态和提醒。