Cette page a été traduite par l'API Cloud Translation.

Vérifier l'ingestion de données à l'aide de règles de test

Compatible avec :

Google SecOps SIEM

Les détections sélectionnées par Google Security Operations incluent un ensemble de jeux de règles de test qui vous aident à vérifier que les données requises pour chaque jeu de règles sont au bon format.

Ces règles de test se trouvent dans la catégorie Tests de détection gérés. Chaque ensemble de règles vérifie que les données reçues par l'appareil de test sont au format attendu par les règles pour cette catégorie spécifiée.

Nom du jeu de règles	Description
Tests de détection gérés par GCP	Vérifie que les données Google Cloud ont bien été ingérées à partir d'appareils compatibles avec la catégorie "Menaces cloud". Pour en savoir plus, consultez Vérifier l'ingestion de données Google Cloud pour la catégorie "Menaces cloud".
Tests de détection gérés par AWS	Vérifie que les données AWS sont correctement ingérées à partir des appareils compatibles avec la catégorie "Menaces dans le cloud". Pour en savoir plus, consultez Vérifier l'ingestion des données AWS pour la catégorie "Cloud Threats".
Tests de détection gérés par Linux	Vérifie que les données ont bien été ingérées à partir d'appareils compatibles avec la catégorie "Menaces Linux". Pour en savoir plus, consultez Vérifier l'ingestion des données pour la catégorie "Linux Threats".
Tests de détection gérés par Windows	Vérifie que les données sont correctement ingérées à partir des appareils compatibles avec la catégorie "Menaces Windows". Pour en savoir plus, consultez Vérifier l'ingestion de données pour la catégorie Menaces Windows.

Suivez la procédure décrite dans ce document pour tester et vérifier que les données entrantes sont ingérées et que son format est correct.

Vérifier l'ingestion de données Google Cloud pour la catégorie "Menaces cloud"

Ces règles permettent de vérifier si les données de journal sont ingérées comme prévu pour les détections sélectionnées par Google Security Operations.

Les étapes suivantes décrivent comment tester les données à l'aide des outils suivants :

Règle Cloud Audit Metadata Testing (Test des métadonnées Cloud Audit) : pour déclencher cette règle, ajoutez une règle unique et clé de métadonnées personnalisées attendue à toute machine virtuelle Compute Engine l'envoi de données à Google Security Operations.
Règle de test Cloud DNS: pour déclencher cette règle, effectuez une résolution DNS vers (chronicle.security) sur toute machine virtuelle ayant accès au et envoie des données de journaux à Google Security Operations.
Règles de test de détection géré par SCC : pour déclencher ces règles, effectuez plusieurs actions dans la console Google Cloud.
Règle Tests de nœuds Cloud Kubernetes: pour déclencher cette règle, créez un projet de test qui envoie des données de journaux à Google Security Operations, et crée un pool de nœuds unique dans un cluster Google Kubernetes Engine existant.

1. Activer les règles de test

Connectez-vous à Google Security Operations.
Ouvrir la page Détections sélectionnées
Cliquez sur Règles et Détections > Ensembles de règles.
Développez la section Managed Detection Testing. Vous devrez peut-être faire défiler la page.
Dans la liste, cliquez sur GCP Managed Detection Testing (Tests de détection gérés par GCP) pour ouvrir la page des détails.
Activez à la fois État et Alertes pour les règles de test de détection géré par le cloud.

Étape 2. Envoyer des données pour la règle Test des métadonnées d'audit Cloud

Pour déclencher le test, procédez comme suit :

Choisissez un projet dans votre organisation.
Accédez à Compute Engine, puis sélectionnez une machine virtuelle dans le projet.
Dans la machine virtuelle, cliquez sur Edit (Modifier), puis effectuez les opérations suivantes sous la section Métadonnées personnalisées:
- Cliquez sur Ajouter un élément.
- Saisissez les informations suivantes :
  - Clé : GCTI_ALERT_VALIDATION_TEST_KEY
  - Valeur : works
- Cliquez sur Enregistrer.
Pour vérifier que l'alerte a été déclenchée, procédez comme suit :
1. Se connecter à Google Security Operations
2. Ouvrez la page "Détections sélectionnées", puis cliquez sur Tableau de bord.
3. Vérifiez que la règle tst_GCP_Cloud_Audit_Metadata a été déclenchée dans la liste de détection.

Étape 3. Envoyer des données pour la règle Test de Cloud DNS

Les étapes suivantes doivent être effectuées en tant qu'utilisateur IAM dans le un projet ayant accès à une machine virtuelle Compute Engine.

Pour déclencher le test, procédez comme suit :

Choisissez un projet dans votre organisation.
Accédez à Compute Engine, puis choisissez une machine virtuelle dans le projet.
- S'il s'agit d'une machine virtuelle Linux, assurez-vous de disposer d'un accès SSH.
- S'il s'agit d'une machine virtuelle Windows, assurez-vous de disposer d'un accès RDP.
Cliquez sur SSH (Linux) ou RDP (Microsoft Windows) pour accéder à la machine virtuelle.
Envoyez les données de test en procédant de l'une des façons suivantes:
- Machine virtuelle Linux: après avoir accédé à la machine virtuelle via SSH, exécutez l'une des opérations suivantes commandes: nslookup chronicle.security ou host chronicle.security
  
  Si la commande échoue, installez dnsutils sur la machine virtuelle à l'aide de l'une des commandes suivantes :
  - sudo apt-get install dnsutils (pour Debian/Ubuntu)
  - dnf install bind-utils (pour RedHat/CentOS)
  - yum install bind-utils
- Machine virtuelle Microsoft Windows : après avoir accédé à la machine virtuelle à l'aide de RDP, ouvrez un navigateur installé et accédez à l'URL suivante : https://chronicle.security.
Pour vérifier que l'alerte a été déclenchée, procédez comme suit :
1. Se connecter à Google Security Operations
2. Ouvrez la page "Détections sélectionnées", puis cliquez sur Tableau de bord.
3. Vérifiez que la règle tst_GCP_Cloud_DNS_Test_Rule a été déclenchée dans la liste de détection.

Étape 4. Envoyer des données pour les règles de test de nœud Kubernetes dans le cloud

Les étapes suivantes doivent être effectuées en tant qu'utilisateur IAM dans le projet sélectionné ayant accès à ressources Google Kubernetes Engine. Pour en savoir plus sur la création de clusters et de pools de nœuds régionaux, consultez la section Créer un cluster régional avec un pool de nœuds à zone unique. Ces règles de test sont destinées à vérifier l'ingestion de données à partir du type de journal KUBERNETES_NODE.

Pour déclencher les règles de test, procédez comme suit:

Créez un projet nommé chronicle-kube-test-project dans votre organisation. Ce projet est utilisé uniquement à des fins de test.
Accédez à la page "Google Kubernetes Engine" dans la console Google Cloud.
Accéder à la page Google Kubernetes Engine
Cliquez sur Créer pour créer un cluster régional dans le projet. Configurez le cluster selon vos les exigences de l'organisation.
Cliquez sur Ajouter un pool de nœuds.
Nommez le pool de nœuds kube-node-validation, puis définissez sa taille sur un nœud par zone.
Supprimez les ressources de test :
1. Une fois le pool de nœuds kube-node-validation créé, supprimez-le.
2. Supprimez le projet de test chronicle-kube-test-project.
Connectez-vous à Google Security Operations.
Ouvrez la page "Sélection de détections", puis cliquez sur Tableau de bord.
Vérifiez que la règle tst_GCP_Kubernetes_Node a été déclenchée dans la liste de détection.
Vérifiez que la règle tst_GCP_Kubernetes_CreateNodePool a été déclenchée dans la liste de détection.

Étape 5 : Envoyer des données pour les règles de test de détection géré par SCC

Les étapes de la section suivante permettent de vérifier que les résultats de Security Command Center et les données, sont ingérés correctement et au format attendu.

Les ensembles de règles SCC Managed Detection Testing sont définis dans le champ Managed Detection Testing. vous permettent de vérifier que les données requises pour les ensembles de règles CDIR SCC Enhanced sont envoyées à Google Security Operations et sont au bon format.

Chaque règle de test vérifie que les données sont reçues dans le format attendu par les règles. Vous effectuez des actions dans votre environnement Google Cloud pour envoyer des données générer une alerte Google Security Operations.

Veillez à suivre les sections suivantes de ce document, qui sont nécessaires pour configurer la journalisation dans les services Google Cloud, collecter les résultats de Security Command Center Premium et envoyer les résultats de Security Command Center à Google Security Operations :

Pour en savoir plus sur les alertes Security Command Center décrites dans cette section, consultez le document Security Command Center Examiner les menaces et y répondre.

Déclencher la règle de test de persistance SCC CDIR

Pour envoyer les données qui déclenchent cette alerte dans Google Security Operations, procédez comme suit:

Dans la console Google Cloud, créez une instance de VM et attribuez temporairement au compte de service par défaut de Compute Engine des droits d'éditeur. Vous le supprimerez une fois le test terminé.
Lorsque la nouvelle instance est disponible, définissez le niveau d'accès sur Autoriser Accès complet à toutes les API.
Créez un compte de service en utilisant les informations suivantes:
- Définissez Nom du compte de service sur scc-test.
- Définissez le champ ID du compte de service sur scc-test.
- Vous pouvez éventuellement saisir une description pour le compte de service.
Pour savoir comment créer des comptes de service, consultez le document Créer des comptes de service.
Connectez-vous à l'instance de test créée à l'étape précédente à l'aide de SSH, puis exécutez la commande gcloud suivante :
```
gcloud projects add-iam-policy-binding PROJECT_NAME
--member="serviceAccount:scc-test@PROJECT_NAME.iam.gserviceaccount.com"
--role="roles/owner`"
```
Remplacez PROJECT_NAME par le nom du projet dans lequel l'instance Compute Engine est exécutée et le compte scc-test a été créé.

L'alerte Security Command Center Persistance : autorisation IAM anormale devrait se déclencher.
Connectez-vous à Google Security Operations, puis ouvrez la page Alertes et IOC.
Vous devriez voir une alerte Google Security Operations intitulée Test SCC Alert: IAM Anomalous Grant given to test account (Alerte SCC de test : autorisation IAM anormale accordée au compte de test).
Ouvrez la console Google Cloud, puis procédez comme suit :
- Supprimez l'accès au compte de test scc-test d'IAM et de la console d'administration.
- Supprimez le compte de service à l'aide du portail Comptes de service.
- Supprimez l'instance de VM que vous venez de créer.

Déclencher la règle de test de logiciels malveillants SCC CDIR

Pour envoyer les données qui déclenchent cette alerte dans Google Security Operations, procédez comme suit:

Dans la console Google Cloud, connectez-vous à l'aide de SSH à n'importe quelle instance de VM sur laquelle la commande curl est installée.
Exécutez la commande suivante :
```
  curl etd-malware-trigger.goog
```
Une fois cette commande exécutée, l'alerte Logiciel malveillant : mauvais domaine de Security Command Center devrait se déclencher.
Connectez-vous à Google Security Operations, puis ouvrez la page Alertes et indicateurs de compromission.
Vérifiez que l'alerte Google Security Operations intitulée Test SCC Alert: Malware Bad Domain s'affiche.

Déclencher la règle de test CDIR SCC Defense Evasion

Pour envoyer les données qui déclenchent cette alerte dans Google Security Operations, procédez comme suit:

Connectez-vous à la console Google Cloud à l'aide d'un compte ayant accès au au niveau de l'organisation pour modifier les périmètres VPC Service Controls.
Dans Google Cloud Console, accédez à la page VPC Service Controls.

Accéder à VPC Service Controls
Cliquez sur + Nouveau périmètre et configurez les champs suivants sur la page Détails:
- Titre du périmètre: scc_test_perimeter.
- Perimeter Type (Type de périmètre) sur Regular perimeter (default) (Périmètre standard (par défaut)).
- Type de configuration sur Enforced (Appliqué).
Dans le volet de navigation de gauche, sélectionnez 3 services restreints.
Dans la boîte de dialogue Spécifier les services à limiter, sélectionnez API Google Compute Engine, puis cliquez sur Ajouter l'API Google Compute Engine.
Dans le panneau de navigation de gauche, cliquez sur Créer un périmètre.
Pour modifier le périmètre, accédez à la page Périmètres de service VPC. Pour savoir comment accéder à cette page, consultez Répertorier et décrire les périmètres de service.
Sélectionnez scc_test_perimeter, puis Modifier le périmètre.
Sous Services limités, cliquez sur l'icône Supprimer pour supprimer le Service de l'API Google Compute Engine. Cela devrait déclencher l'alerte Defense Evasion : Modification du périmètre VPC Service Control dans SCC.
Connectez-vous à Google Security Operations, puis ouvrez la page Alertes et IOC.
Vérifiez que l'alerte Google Security Operations intitulée Test SCC Alert: Modify VPC Service Control Test Alert (Alerte de test de SCC : alerte de test de modification de VPC Service Controls) s'affiche.

Déclencher la règle de test d'exfiltration du SCC CDIR

Pour envoyer les données qui déclenchent cette alerte dans Google Security Operations, procédez comme suit:

Dans la console Google Cloud, accédez à un projet Google Cloud, puis ouvrez BigQuery.

Accéder à BigQuery
Créez un fichier CSV avec les données suivantes, puis enregistrez-le dans votre répertoire d'accueil.
```
column1, column2, column3
data1, data2, data3
data4, data5, data6
data7, data8, data9
```
Dans le volet de navigation de gauche, sélectionnez Créer un ensemble de données.
Définissez la configuration suivante, puis cliquez sur Créer l'ensemble de données:
- ID de l'ensemble de données défini sur scc_test_dataset.
- Type d'emplacement défini sur Multirégional.
- Activer l'expiration de la table : ne sélectionnez pas cette option.
Pour en savoir plus sur la création d'un ensemble de données, consultez le document BigQuery Créer des ensembles de données.
Dans le panneau de navigation de gauche, à droite de scc_test_dataset, cliquez sur , puis sélectionnez Créer une table.
Créez une table et définissez la configuration suivante:
- Create table from (Créer une table à partir de) : définissez l'option sur Upload (Importer).
- Select file (Sélectionner un fichier) : accédez à votre répertoire d'accueil, puis sélectionnez le fichier CSV que vous avez créé précédemment.
- File format (Format de fichier) : défini sur CSV.
- Dataset (Ensemble de données) : défini sur css_test_dataset.
- Type de table : défini sur Table native.
Acceptez la configuration par défaut pour tous les autres champs, puis cliquez sur Créer une table.

Pour plus d'informations sur la création d'une table, consultez le document BigQuery Créer et utiliser des tableaux.
Dans la liste des ressources, sélectionnez le tableau css_test_dataset, puis cliquez sur Interroger et choisissez Dans un nouvel onglet.
Exécutez la requête suivante :
```
SELECT * FROM TABLE_NAME LIMIT 1000`
```
Remplacez TABLE_NAME par le nom complet de la table.
Une fois la requête exécutée, cliquez sur Enregistrer les résultats, puis sélectionnez CSV dans Google Drive. L'instruction Exfiltration: BigQuery Exfiltration à Google Drive Security Command Center. Le résultat de Security Command Center doit être envoyé à Google Security Operations et déclencher une alerte Google Security Operations.
Connectez-vous à Google Security Operations, puis ouvrez la page Alertes et indicateurs de compromission.
Vérifiez que vous voyez une alerte Google Security Operations intitulée Test SCC Alert: BigQuery Exfiltration to Google Drive

Étape 6 : Désactiver les règles de test

Lorsque vous avez terminé, désactivez les règles Test de détection géré GCP.

Connectez-vous à Google Security Operations.
Ouvrir la page Détections sélectionnées
Désactivez l'état et les alertes pour les règles des tests de détection gérés par GCP.

Vérifier l'ingestion des données AWS pour la catégorie "Cloud Threats" (Menaces dans le cloud)

Vous pouvez utiliser les règles de test des tests AWS Managed Detection pour vérifier que les données AWS est en cours d'ingestion dans Google Security Operations. Ces règles de test permettent de vérifier que les données AWS ont été ingérées et qu'elles sont au format attendu. Après avoir configuré l'ingestion des données AWS, vous effectuez des actions dans AWS qui devraient déclencher les règles de test.

L'utilisateur qui active ces règles dans le moteur de détection doit disposer de la curatedRuleSetDeployments.batchUpdate une autorisation IAM.
L'utilisateur qui effectue les étapes d'envoi de données AWS doit disposer du rôle AWS IAM autorisations pour modifier les tags d'une instance EC2 dans le compte sélectionné. Pour en savoir plus sur l'ajout de tags aux instances EC2, consultez le document AWS Taguer vos ressources Amazon EC2.

Activer les règles de test de détection gérée par AWS

Dans Google Security Operations, cliquez sur Detections > Rules & Detections (Détections et règles) pour ouvrir la page "Détections sélectionnées".
Sélectionnez Managed Detection Testing > AWS Managed Detection Testing.
Nous avons activé à la fois État et Alerte pour les règles larges et précises.

Vérifier que les actions de tag dans AWS déclenchent la règle de test

Pour vérifier que les actions de taggage dans AWS déclenchent le jeu de règles, procédez comme suit :

1. Générez un événement de journal dans AWS.

Choisissez un compte dans votre environnement AWS.
Accédez au tableau de bord EC2, puis sélectionnez une instance dans le compte.
Dans l'instance EC2, cliquez sur Actions, puis sur Paramètres de l'instance. effectuez les opérations suivantes dans la section Gérer les tags:
1. Cliquez sur Ajouter une balise.
2. Saisissez les informations suivantes :
3. Key (Clé) : GCTI_ALERT_VALIDATION_TEST_KEY
4. Valeur : works
5. Cliquez sur Enregistrer.

Pour en savoir plus, consultez Ajouter ou supprimer des tags d'instances EC2.

Étape 2. Vérifiez que les alertes de test sont déclenchées.

Après avoir effectué la tâche de l'étape précédente, vérifiez que la règle AWS CloudTrail Test Rule (Règle de test AWS CloudTrail) est déclenchée. Cela indique que les journaux CloudTrail ont été enregistrés et envoyé à Google Security Operations comme prévu. Pour vérifier l'alerte, procédez comme suit :

Dans Google Security Operations, cliquez sur Détections > Règles et détections pour ouvrez la page "Détections sélectionnées".
Cliquez sur Tableau de bord.
Dans la liste des détections, vérifiez que la règle tst_AWS_Cloud_Trail_Tag a été déclenché.

Vérifier que les exemples de résultats AWS GuardDuty déclenchent des règles de test

Pour vous assurer que les alertes GuardDuty fonctionnent comme prévu dans votre environnement, vous pouvez envoyer des exemples de résultats GuardDuty à Google Security Operations.

1. Générer des données d'exemple de résultats GuardDuty

Accédez à la page d'accueil de la console AWS.
Sous Sécurité, identité et conformité, ouvrez GuardDuty.
Accédez aux Paramètres de GuardDuty.
Cliquez sur Générer des exemples de résultats.

Pour en savoir plus sur la génération d'exemples de résultats GuardDuty, consultez Générer des exemples de résultats dans GuardDuty

Étape 2. Vérifiez que les alertes de test ont été déclenchées.

Dans Google Security Operations, cliquez sur Détection > Règles et détections pour ouvrez la page "Détections sélectionnées".
Cliquez sur Tableau de bord.
Vérifiez que la règle de test AWS CloudTrail a été déclenchée lors de la détection liste.

Désactiver les ensembles de règles de test de détection gérés par AWS

Dans Google Security Operations, cliquez sur Détection > Règles et détections pour ouvrir la page "Détections sélectionnées".
Sélectionnez Managed Detection Testing > Règles relatives aux tests de détection gérés par AWs.
Désactivez État et Alerte pour les règles larges et précises.

Vérifier l'ingestion des données pour la catégorie "Linux Threats" (Menaces Linux)

Les règles relatives aux tests de détection gérés par Linux vérifient que la journalisation sur un système Linux est pour les détections sélectionnées par Google Security Operations. Les tests impliquent d'utiliser l'invite Bash dans un environnement Linux pour exécuter diverses commandes. Ils peuvent être effectués par n'importe quel utilisateur ayant accès à l'invite Bash Linux.

1. Activer les règles de test

Connectez-vous à Google Security Operations.
Ouvrir la page Détections sélectionnées
Cliquez sur Règles et détections > Ensembles de règles.
Développez la section Managed Detection Testing. Vous devrez peut-être faire défiler la page.
Cliquez sur Tests de détection gérés Linux dans la liste pour ouvrir la page d'informations.
Activez à la fois État et Alerte pour les règles de test de détection géré Linux.

Étape 2. Envoyer des données de test à partir d'un appareil Linux

Pour déclencher les règles de test Linux Managed Detection Testing, procédez comme suit :

Accéder à n'importe quel appareil Linux depuis lequel des données sont envoyées à Google Security Operations
Ouvrez une nouvelle interface de ligne de commande d'invite Linux Bash en tant qu'utilisateur.
Saisissez la commande suivante, puis appuyez sur Entrée:

/bin/echo hello_chronicle_world!

Vous devez utiliser le binaire echo plutôt que la commande echo intégrée au shell Linux.

Saisissez la commande suivante, puis appuyez sur Entrée:

sudo useradd test_chronicle_account
Supprimez le compte de test créé à l'étape précédente. Exécutez la commande :

sudo userdel test_chronicle_account
Saisissez la commande suivante, puis appuyez sur Entrée :

su
Lorsque vous êtes invité à entrer le mot de passe, entrez une chaîne aléatoire. Notez que su: Authentication failure message s'affiche.
Fermez la fenêtre Bash.

Étape 3. Vérifier que des alertes ont été déclenchées dans Google Security Operations

Vérifiez que la commande a déclenché l'événement *tst_linux_echo, Règles tst_linux_failed_su_login et tst_linux_test_account_creation dans Google Security Operations. Cela signifie que les journaux Linux sont écrits et envoyés comme prévu. Pour vérifier l'alerte dans Google Security Operations, procédez comme suit :

Connectez-vous à Google Security Operations.
Ouvrir la page Détections sélectionnées
Cliquez sur Tableau de bord.
Vérifiez que les règles tst_linux_echo, tst_linux_failed_su_login et tst_linux_test_account_creation ont été déclenchées dans la liste de détection.

Remarque : Un léger délai peut s'écouler avant que l'alerte ne s'affiche dans Google Security Operations.

Étape 4. Désactiver les règles de test

Lorsque vous avez terminé, désactivez les règles Linux Managed Detection Testing (Tests de détection gérés Linux).

Connectez-vous à Google Security Operations.
Ouvrez la page "Détections sélectionnées".
Désactivez État et Alerte pour les règles de test de détection géré Linux.

Vérifier l'ingestion de données pour la catégorie "Menaces Windows"

La règle de test d'écho Windows permet de vérifier que la journalisation Microsoft Windows fonctionne correctement. pour les détections sélectionnées par Google Security Operations. Le test consiste à utiliser l'invite de commande dans un environnement Microsoft Windows pour exécuter la commande echo avec une chaîne attendue et unique.

Vous pouvez exécuter le test en étant connecté en tant qu'utilisateur disposant d'un accès à l'invite de commande Windows.

1. Activer les règles de test

Connectez-vous à Google Security Operations.
Ouvrir la page Détections sélectionnées
Développez la section Managed Detection Testing. Vous devrez peut-être faire défiler la page.
Cliquez sur Windows Managed Detection Testing dans la liste pour ouvrir la page des détails.
Activez à la fois État et Alerte pour les règles de test de détection gérée Windows.

Étape 2. Envoyer des données de test depuis un appareil Windows

Pour déclencher la règle de test d'écho Windows, procédez comme suit:

Accès à tout appareil qui génère des données à envoyer à Google Security Operations.
Ouvrez une nouvelle fenêtre d'invite de commande Microsoft Windows en tant qu'utilisateur de votre choix.
Saisissez la commande suivante, qui ne fait pas la distinction entre les majuscules et les minuscules, puis appuyez sur Entrée :
```
cmd.exe /c "echo hello_chronicle_world!"
```
Fermez la fenêtre d'invite de commandes.

Étape 3. Vérifier qu'une alerte a été déclenchée

Vérifiez que la commande a déclenché la règle tst_Windows_Echo dans Google Security Operations. Cela indique que la journalisation Microsoft Windows envoie des données comme prévu. Pour vérifier l'alerte dans Google Security Operations, procédez comme suit:

Connectez-vous à Google Security Operations.
Ouvrez la page "Détections sélectionnées".
Cliquez sur Tableau de bord.
Vérifiez que la règle tst_Windows_Echo a été déclenchée dans la liste de détection.

Remarque : Un léger délai peut s'écouler avant l'affichage de l'alerte dans Google Security Operations.

Étape 4. Désactiver les règles de test

Lorsque vous avez terminé, désactivez les règles des tests de détection gérés par Windows.

Connectez-vous à Google Security Operations.
Ouvrez la page "Détections sélectionnées".
Désactivez État et Alerte pour les règles de test de détection gérée Windows.