Esta página foi traduzida pela API Cloud Translation.

Verificar a ingestão de dados usando regras de teste

Compatível com:

Google SecOps SIEM

As detecções selecionadas do Google Security Operations incluem um conjunto de conjuntos de regras de teste que ajudam a verificar se os dados necessários para cada conjunto de regras estão no formato correto.

Essas regras de teste estão na categoria Teste de detecção gerenciada. Cada conjunto de regras valida que os dados recebidos pelo dispositivo de teste estão em um formato esperado pelas regras para essa categoria especificada.

Nome do conjunto de regras	Descrição
Testes de detecção gerenciada do GCP	Verifica se os dados do Google Cloud são ingeridos com sucesso de dispositivos compatíveis com a categoria "Ameaças na nuvem". Consulte Verificar a ingestão de dados do Google Cloud para a categoria Ameaças na Nuvem para mais informações.
Testes de detecção gerenciados da AWS	Verifica se os dados da AWS são ingeridos com sucesso de dispositivos compatíveis com a categoria Ameaças à nuvem. Para mais informações, consulte Verificar a ingestão de dados da AWS para a categoria Cloud Threats.
Teste de detecção gerenciada do Linux	Verifica se os dados são ingeridos de dispositivos com suporte à categoria "Ameaças do Linux". Consulte Verificar a ingestão de dados para a categoria Ameaças do Linux para mais informações.
Teste de detecção gerenciada do Windows	Verifica se os dados são ingeridos de dispositivos com suporte à categoria Ameaças do Windows. Consulte Verificar a ingestão de dados para a categoria Ameaças do Windows para mais informações.

Siga as etapas neste documento para testar e verificar se os dados recebidos são ingeridos corretamente e estão no formato correto.

Verificar a ingestão de dados do Google Cloud para a categoria "Ameaças do Cloud"

Essas regras ajudam a verificar se os dados de registro estão sendo ingeridos conforme o esperado para as detecções selecionadas das operações de segurança do Google.

As etapas a seguir descrevem como testar dados usando:

Regra Teste de metadados de auditoria do Cloud: para acionar essa regra, adicione uma chave de metadados personalizada exclusiva e esperada a qualquer máquina virtual do Compute Engine que esteja enviando dados para as operações de segurança do Google.
Regra Teste do Cloud DNS: para acionar essa regra, faça uma busca DNS no domínio (chronicle.security) em qualquer máquina virtual que tenha acesso à Internet e esteja enviando dados de registro para o Google Security Operations.
Regras de teste de detecção gerenciada do SCC: para acionar essas regras, realize várias ações no console do Google Cloud.
Regra Teste de nó do Cloud Kubernetes: para acionar essa regra, crie um projeto de teste que envie dados de registro para o Google Security Operations e crie um pool de nós exclusivo em um cluster do Google Kubernetes Engine.

Etapa 1. Ativar as regras de teste

Faça login no Google Security Operations.
Abra a página "Deteções selecionadas".
Clique em Regras e detecções > Conjuntos de regras.
Abra a seção Teste de detecção gerenciada. Talvez seja necessário rolar a página.
Clique em Testes de detecção gerenciada do GCP na lista para abrir a página de detalhes.
Ative Status e Alerta para as regras de Teste de detecção gerenciado do Cloud.

Etapa 2. Enviar dados para a regra Teste de metadados de auditoria do Cloud

Para acionar o teste, siga estas etapas:

Escolha um projeto na sua organização.
Acesse o Compute Engine e escolha uma máquina virtual no projeto.
Na máquina virtual, clique em Editar e faça o seguinte na seção Metadados personalizados:
- Clique em Adicionar item.
- Digite as informações a seguir:
  - Chave: GCTI_ALERT_VALIDATION_TEST_KEY
  - Valor: works
- Clique em Salvar.
Siga as etapas abaixo para verificar se o alerta foi acionado:
1. Fazer login no Google Security Operations
2. Abra a página "Detecções selecionadas" e clique em Painel.
3. Verifique se a regra tst_GCP_Cloud_Audit_Metadata foi acionada na lista de detecção.

Etapa 3. Enviar dados para a regra Teste do Cloud DNS

As etapas a seguir precisam ser realizadas como um usuário do IAM no projeto escolhido que tenha acesso a uma máquina virtual do Compute Engine.

Para acionar o teste, siga estas etapas:

Escolha um projeto na sua organização.
Acesse o Compute Engine e escolha uma máquina virtual no projeto.
- Se for uma máquina virtual Linux, verifique se você tem acesso SSH.
- Se for uma máquina virtual Windows, verifique se você tem acesso RDP.
Clique em SSH (Linux) ou RDP (Microsoft Windows) para acessar a máquina virtual.
Envie dados de teste seguindo uma destas etapas:
- Máquina virtual Linux: depois de acessar a máquina virtual usando SSH, execute um dos seguintes comandos: nslookup chronicle.security ou host chronicle.security
  
  Se o comando falhar, instale o dnsutils na máquina virtual usando um dos seguintes comandos:
  - sudo apt-get install dnsutils (para Debian/Ubuntu)
  - dnf install bind-utils (para RedHat/CentOS)
  - yum install bind-utils
- Máquina virtual do Microsoft Windows: depois de acessar a máquina virtual usando o RDP, acesse qualquer navegador instalado e acesse o seguinte URL: https://chronicle.security.
Siga as etapas abaixo para verificar se o alerta foi acionado:
1. Fazer login no Google Security Operations
2. Abra a página "Detecções selecionadas" e clique em Painel.
3. Verifique se a regra tst_GCP_Cloud_DNS_Test_Rule foi acionada na lista de detecção.

Etapa 4. Enviar dados para as regras do Teste de nó do Kubernetes do Cloud

As etapas a seguir precisam ser realizadas como um usuário do IAM no projeto escolhido que tenha acesso aos recursos do Google Kubernetes Engine. Para mais informações sobre a criação de clusters regionais e pools de nós, consulte Criar um cluster regional com um pool de nós de zona única. Essas regras de teste têm como objetivo verificar a ingestão de dados do tipo de registro KUBERNETES_NODE.

Para acionar as regras de teste, siga estas etapas:

Crie um projeto na sua organização chamado chronicle-kube-test-project. Este projeto é usado apenas para testes.
Acesse a página do Google Kubernetes Engine no console do Google Cloud.
Acessar a página do Google Kubernetes Engine
Clique em Criar para criar um novo cluster regional no projeto. Configure o cluster de acordo com os requisitos da sua organização.
Clique em Adicionar pool de nós.
Nomeie o pool de nós como kube-node-validation e ajuste o tamanho do pool para 1 nó por zona.
Exclua os recursos de teste:
1. Depois que o pool de nós kube-node-validation for criado, exclua-o.
2. Exclua o projeto de teste chronicle-kube-test-project.
Faça login no Google Security Operations.
Abra a página "Deteções selecionadas" e clique em Painel.
Verifique se a regra tst_GCP_Kubernetes_Node foi acionada na lista de detecção.
Verifique se a regra tst_GCP_Kubernetes_CreateNodePool foi acionada na lista de detecção.

Etapa 5. Enviar dados para as regras de Teste de detecção gerenciado do SCC

As etapas na seção a seguir verificam se as descobertas do Security Command Center e os dados relacionados são processados corretamente e no formato esperado.

Os conjuntos de regras do Teste de detecção gerenciado do SCC na categoria Teste de detecção gerenciado permitem verificar se os dados necessários para os conjuntos de regras do CDIR SCC Enhanced são enviados ao Google Security Operations e estão no formato correto.

Cada regra de teste valida se os dados são recebidos em um formato esperado pelas regras. Você realiza ações no seu ambiente do Google Cloud para enviar dados que vão gerar um alerta do Google Security Operations.

Conclua as seguintes seções deste documento necessárias para configurar o registro nos serviços do Google Cloud, coletar descobertas do Security Command Center Premium e enviar descobertas do Security Command Center para o Google Security Operations:

Para saber mais sobre os alertas do Security Command Center descritos nesta seção, consulte o documento Investigar e responder a ameaças do Security Command Center.

Acionar a regra de teste de persistência do CDIR SCC

Para enviar dados que acionam esse alerta no Google Security Operations, siga estas etapas:

No console do Google Cloud, crie uma nova instância de VM e atribua temporariamente a conta de serviço padrão do Compute Engine com privilégios de Editor. Você vai remover esse item após a conclusão do teste.
Quando a nova instância estiver disponível, atribua o Escopo de acesso a Permitir acesso total a todas as APIs.
Crie uma nova conta de serviço com as seguintes informações:
- Defina o Nome da conta de serviço como scc-test.
- Defina o ID da conta de serviço como scc-test.
- Opcionalmente, insira uma descrição para a conta de serviço.
Consulte o documento Criar contas de serviço para saber como criar contas de serviço.
Conecte-se usando SSH à instância de teste criada na etapa anterior e, em seguida, execute o seguinte comando gcloud:
```
gcloud projects add-iam-policy-binding PROJECT_NAME
--member="serviceAccount:scc-test@PROJECT_NAME.iam.gserviceaccount.com"
--role="roles/owner`"
```
Substitua PROJECT_NAME pelo nome do projeto em que a instância do Compute Engine está em execução e a conta scc-test foi criada.

O alerta Persistence: IAM Anomalous Grant do Security Command Center vai ser acionado.
Faça login no Google Security Operations e abra a página Alerts & IOCs.
Você vai encontrar um alerta de operações de segurança do Google com o título Alerta de teste do SCC: concessão anormal do IAM concedida à conta de teste.
Abra o console do Google Cloud e faça o seguinte:
- Remova o acesso à conta de teste scc-test do IAM e do Admin Console.
- Exclua a conta de serviço usando o portal Contas de serviço.
- Exclua a instância de VM que você acabou de criar.

Acionar a regra de teste de malware do CDIR SCC

Para enviar dados que acionam esse alerta no Google Security Operations, siga estas etapas:

No console do Google Cloud, conecte-se usando SSH a qualquer instância de VM em que o comando curl esteja instalado.
Execute o seguinte comando:
```
  curl etd-malware-trigger.goog
```
Depois de executar esse comando, o alerta do Security Command Center Malware: Bad Domain será acionado.
Faça login no Google Security Operations e abra a página Alerts & IOCs.
Verifique se você recebe um alerta de operações de segurança do Google com o título Test SCC Alert: Malware Bad Domain.

Acionar a regra de teste de evasão de defesa do CDIR SCC

Para enviar dados que acionam esse alerta no Google Security Operations, siga estas etapas:

Faça login no console do Google Cloud usando uma conta que tenha acesso no nível da organização para modificar os perímetros do VPC Service Control.
No console do Google Cloud, acesse a página VPC Service Controls.

Acessar o VPC Service Controls
Clique em +Novo perímetro e configure os seguintes campos na página Detalhes:
- Título do perímetro: scc_test_perimeter.
- Tipo de perímetro para Perímetro regular (padrão).
- Config Type para Enforced.
No painel de navegação à esquerda, selecione 3 serviços restritos.
Na caixa de diálogo Especificar serviços a serem restritos, selecione API Google Compute Engine e clique em Adicionar a API Google Compute Engine.
No painel de navegação à esquerda, clique em Criar perímetro.
Para modificar o perímetro, acesse a página Perímetros de serviço da VPC. Para mais informações sobre como acessar esta página, consulte Listar e descrever perímetros de serviço.
Selecione scc_test_perimeter e Editar perímetro.
Em Serviços restritos, clique no ícone Excluir para remover o serviço da API Google Compute Engine. Isso aciona o alerta Evasão de defesa: modificar o perímetro do VPC Service Control no SCC.
Faça login no Google Security Operations e abra a página Alerts & IOCs.
Verifique se você recebe um alerta das Operações de segurança do Google com o título Alerta de teste do SCC: alerta de teste de modificar o VPC Service Control.

Acionar a regra de teste de exfiltração do CDIR SCC

Para enviar dados que acionam esse alerta no Google Security Operations, siga estas etapas:

No console do Google Cloud, acesse um projeto do Google Cloud e abra o BigQuery.

Ir para o BigQuery

Crie um arquivo CSV com os dados abaixo e salve-o no diretório principal.

column1, column2, column3
data1, data2, data3
data4, data5, data6
data7, data8, data9

No painel de navegação à esquerda, escolha Criar conjunto de dados.
Defina a configuração a seguir e clique em Criar conjunto de dados:
- ID do conjunto de dados definido como scc_test_dataset.
- Tipo de local definido como Multirregional.
- Ativar expiração da tabela: não selecione essa opção.
Para mais informações detalhadas sobre como criar um conjunto de dados, consulte o documento do BigQuery Como criar conjuntos de dados.
Na navegação à esquerda, à direita de scc_test_dataset, clique no ícone e selecione Criar tabela.
Crie uma tabela e defina a seguinte configuração:
- Criar tabela de: defina como Fazer upload.
- Selecionar arquivo: navegue até o diretório principal e selecione o arquivo CSV que você criou anteriormente.
- Formato de arquivo: defina como CSV.
- Conjunto de dados: definido como css_test_dataset.
- Tipo de tabela: defina como Tabela nativa.
Aceite a configuração padrão para todos os outros campos e clique em Criar tabela.

Para mais informações detalhadas sobre como criar uma tabela, consulte o documento do BigQuery Criar e usar tabelas.
Na lista de recursos, selecione a tabela css_test_dataset, clique em Consulta e escolha Em uma nova guia.
Execute a seguinte consulta:
```
SELECT * FROM TABLE_NAME LIMIT 1000`
```
Substitua TABLE_NAME pelo nome totalmente qualificado da tabela.
Depois que a consulta for executada, clique em Salvar resultados e escolha CSV no Google Drive. Isso aciona o alerta do Security Command Center Exfiltração: exfiltração do BigQuery para o Google Drive. A descoberta do Security Command Center precisa ser enviada ao Google Security Operations e acionar um alerta do Google Security Operations.
Faça login no Google Security Operations e abra a página Alerts & IOCs.
Verifique se você recebe um alerta do Google Security Operations intitulado Test SCC Alert: BigQuery Exfiltration to Google Drive.

Etapa 6. Desativar as regras de teste

Quando terminar, desative as regras de teste de detecção gerenciada do GCP.

Faça login no Google Security Operations.
Abra a página "Deteções selecionadas".
Desative Status e Alerta para as regras de Teste de detecção gerenciado do GCP.

Verificar ingestão de dados da AWS para a categoria "Ameaças à nuvem"

É possível usar as regras de teste do AWS Managed Detection Testing para verificar se os dados da AWS estão sendo transferidos para o Google Security Operations. Essas regras de teste ajudam a verificar se os dados da AWS foram ingeridos e estão no formato esperado. Depois de configurar a ingestão de dados da AWS, você realiza ações na AWS que acionam as regras de teste.

O usuário que ativar essas regras no Detection Engine precisa ter a permissão de IAM curatedRuleSetDeployments.batchUpdate.
O usuário que executa as etapas para enviar dados da AWS precisa ter as permissões do IAM da AWS para editar as tags de uma instância do EC2 na conta escolhida. Para mais informações sobre como marcar instâncias do EC2, consulte o documento da AWS Marcar seus recursos do Amazon EC2.

Ativar as regras de teste do AWS Managed Detection Testing

No Google Security Operations, clique em Detections > Rules & Detections para abrir a página "Detecções selecionadas".
Selecione Teste de detecção gerenciada > Teste de detecção gerenciada da AWS.
Ativei Status e Alertas para as regras Amplas e Precisas.

Verificar se as ações de tags na AWS acionaram a regra de teste

Siga as etapas abaixo para verificar se as ações de tag na AWS acionam o conjunto de regras.

Etapa 1. Gere um evento de registro na AWS.

Escolha uma conta no seu ambiente da AWS.
Acesse o Painel do EC2 e escolha uma instância na conta.
Na instância EC2, clique em Ações e em Configurações da instância. Em seguida, faça o seguinte na seção Gerenciar tags:
1. Clique em Adicionar nova tag.
2. Digite as seguintes informações:
3. Chave: GCTI_ALERT_VALIDATION_TEST_KEY
4. Valor: works
5. Clique em Salvar.

Para mais informações, consulte Adicionar ou remover tags de instância do EC2.

Etapa 2. Verifique se os alertas de teste são acionados.

Depois de realizar a tarefa na etapa anterior, verifique se a regra AWS CloudTrail Test Rule está acionada. Isso indica que os registros do CloudTrail foram gravados e enviados ao Google Security Operations conforme o esperado. Siga estas etapas para verificar o alerta:

No Google Security Operations, clique em Detections > Rules & Detections para abrir a página "Detecções selecionadas".
Clique em Painel.
Na lista de detecções, verifique se a regra tst_AWS_Cloud_Trail_Tag foi acionada.

Verificar se as regras de teste são acionadas pelas descobertas de amostra do AWS GuardDuty

Para garantir que os alertas do GuardDuty funcionem conforme o esperado no seu ambiente, envie as descobertas de amostra do GuardDuty para as Operações de segurança do Google.

Etapa 1. Gerar dados de descobertas de amostra do GuardDuty.

Navegue até a página inicial do AWS Console.
Em Segurança, identidade e compliance, abra GuardDuty.
Acesse as Configurações do GuardDuty.
Clique em Gerar descobertas de amostra.

Para mais informações sobre como gerar exemplos de descobertas do GuardDuty, consulte Como gerar exemplos de descobertas no GuardDuty.

Etapa 2. Verifique se os alertas de teste foram acionados.

No Google Security Operations, clique em Detecção > Regras e detecções para abrir a página "Detecções selecionadas".
Clique em Painel.
Verifique se a AWS CloudTrail Test Rule foi acionada na lista de detecção.

Desativar os conjuntos de regras de teste de detecção gerenciada da AWS

No Google Security Operations, clique em Detecção > Regras e detecções para abrir a página "Detecções selecionadas".
Selecione as regras Teste de detecção gerenciada > Teste de detecção gerenciada do AWS.
Desative Status e Alerta para as regras Ampla e Precisa.

Verificar a ingestão de dados para a categoria "Ameaças do Linux"

As regras do Teste de detecção gerenciada do Linux verificam se o registro em um sistema Linux está funcionando corretamente para detecções selecionadas pelo Google Security Operations. Os testes envolvem o uso do prompt do Bash em um ambiente Linux para executar vários comandos e podem ser realizados por qualquer usuário que tenha acesso ao prompt do Bash do Linux.

Etapa 1. Ativar as regras de teste

Faça login no Google Security Operations.
Abra a página "Deteções selecionadas".
Clique em Regras e detecções > Conjuntos de regras.
Abra a seção Teste de detecção gerenciada. Talvez seja necessário rolar a página.
Clique em Teste de detecção gerenciada do Linux na lista para abrir a página de detalhes.
Ative Status e Alerta para as regras de Teste de detecção gerenciada do Linux.

Etapa 2. Enviar dados de teste de um dispositivo Linux

Para acionar as regras de teste do Linux Managed Detection Testing, siga estas etapas:

Acesse qualquer dispositivo Linux em que os dados estejam sendo enviados ao Google Security Operations.
Abra uma nova interface de linha de comando do prompt do Bash do Linux como qualquer usuário.
Digite o comando abaixo e pressione Enter:

/bin/echo hello_chronicle_world!

É necessário usar o binário echo em vez do comando echo integrado do shell do Linux.

Digite o comando abaixo e pressione Enter:

sudo useradd test_chronicle_account
Remova a conta de teste criada na etapa anterior. Execute o comando:

sudo userdel test_chronicle_account
Digite o comando abaixo e pressione Enter:

su
Quando a senha for solicitada, digite qualquer string aleatória. A mensagem su: Authentication failure é exibida.
Feche a janela do Bash.

Etapa 3. Verificar se os alertas foram acionados no Google Security Operations

Verifique se o comando acionou as regras *tst_linux_echo, tst_linux_failed_su_login e tst_linux_test_account_creation no Google Security Operations. Isso indica que os registros do Linux estão sendo gravados e enviados conforme o esperado. Para verificar o alerta no Google Security Operations, siga estas etapas:

Faça login no Google Security Operations.
Abra a página "Deteções selecionadas".
Clique em Painel.
Verifique se as regras tst_linux_echo, tst_linux_failed_su_login e tst_linux_test_account_creation foram acionadas na lista de detecção.

Observação: pode haver um pequeno atraso antes que o alerta seja exibido no Google Security Operations.

Etapa 4. Desativar as regras de teste

Quando terminar, desative as regras do Teste de detecção gerenciada do Linux.

Faça login no Google Security Operations.
Abra a página "Deteções selecionadas".
Desative Status e Alerta para as regras de Teste de detecção gerenciada do Linux.

Verificar a ingestão de dados para a categoria "Ameaças do Windows"

A regra de teste de eco do Windows verifica se o registro do Microsoft Windows está funcionando corretamente para detecções selecionadas do Google Security Operations. O teste envolve o uso do prompt de comando em um ambiente do Microsoft Windows para executar o comando echo com uma string esperada e exclusiva.

Você pode executar o teste enquanto estiver conectado como qualquer usuário que tenha acesso ao prompt de comando do Windows.

Etapa 1. Ativar as regras de teste

Faça login no Google Security Operations.
Abra a página "Deteções selecionadas".
Abra a seção Teste de detecção gerenciada. Talvez seja necessário rolar a página.
Clique em Teste de detecção gerenciada do Windows na lista para abrir a página de detalhes.
Ative Status e Alerta para as regras de Teste de detecção gerenciada do Windows.

Etapa 2. Enviar dados de teste de um dispositivo Windows

Para acionar a Regra de teste de eco do Windows, siga estas etapas:

Acessar qualquer dispositivo que gere dados a serem enviados ao Google Security Operations.
Abra uma nova janela do prompt de comando do Microsoft Windows como qualquer usuário.
Digite o comando a seguir, sem distinção entre maiúsculas e minúsculas, e pressione Enter:
```
cmd.exe /c "echo hello_chronicle_world!"
```
Feche a janela "Prompt de Comando".

Etapa 3. Verificar se um alerta foi acionado

Verifique se o comando acionou a regra tst_Windows_Echo no Google Security Operations. Isso indica que a geração de registros do Microsoft Windows está enviando dados como esperado. Para verificar o alerta no Google Security Operations, siga estas etapas:

Faça login no Google Security Operations.
Abra a página "Deteções selecionadas".
Clique em Painel.
Verifique se a regra tst_Windows_Echo foi acionada na lista de detecção.

Observação: pode haver um pequeno atraso para que o alerta apareça nas Operações de segurança do Google.

Etapa 4. Desativar as regras de teste

Quando terminar, desative as regras do Teste de detecção gerenciada do Windows.

Faça login no Google Security Operations.
Abra a página "Deteções selecionadas".
Desative Status e Alerta para as regras de Teste de detecção gerenciada do Windows.