Datenaufnahme mit Testregeln prüfen
Die von Google Security Operations ausgewählten Erkennungsmechanismen umfassen eine Reihe von Testregelsätzen, mit denen Sie Überprüfen Sie, ob die für jeden Regelsatz erforderlichen Daten das richtige Format haben.
Diese Testregeln befinden sich in der Kategorie Managed Detection Testing. Mit jedem Regelsatz wird geprüft, ob die vom Testgerät empfangenen Daten in einem Format vorliegen, das den Regeln für die angegebene Kategorie entspricht.
Name des Regelsatzes | Beschreibung |
---|---|
Tests zur verwalteten Erkennung durch die GCP | Prüft, ob Google Cloud-Daten erfolgreich von Geräten aufgenommen wurden, die von der Kategorie „Cloud Threats“ unterstützt werden. Weitere Informationen finden Sie unter Google Cloud-Dateneinnahme auf Cloud-Bedrohungen prüfen. |
Tests mit verwalteter AWS-Erkennung | Prüft, ob AWS-Daten von Geräten aufgenommen werden, die von der Kategorie „Cloud-Bedrohungen“ unterstützt werden. Weitere Informationen finden Sie unter AWS-Dateneinnahme für die Kategorie „Cloud-Bedrohungen“ prüfen. |
Tests für die verwaltete Erkennung unter Linux | Überprüft, ob Daten erfolgreich von Geräten aufgenommen wurden, die von der Linux-Bedrohungskategorie unterstützt werden. Weitere Informationen finden Sie unter Dateneinnahme für die Kategorie „Linux-Bedrohungen“ prüfen. |
Windows-verwaltete Erkennungstests | Überprüft, ob Daten erfolgreich von Geräten aufgenommen wurden, die von der Kategorie „Windows-Bedrohungen“ unterstützt werden. Weitere Informationen finden Sie unter Dateneinnahme für die Kategorie „Windows-Bedrohungen“ prüfen. |
Führen Sie die Schritte in diesem Dokument aus, um zu testen und zu prüfen, ob eingehende Daten aufgenommen werden korrekt und im richtigen Format.
Google Cloud-Datenaufnahme für die Kategorie „Cloud-Bedrohungen“ prüfen
Mit diesen Regeln lässt sich prüfen, ob Logdaten aufgenommen werden wie bei von Google Security Operations ausgewählten Erkennungen zu erwarten.
In den folgenden Schritten wird beschrieben, wie Sie Daten mit den folgenden Tools testen:
Cloud Audit Metadata Testing-Regel: Fügen Sie zum Auslösen dieser Regel eine eindeutige und erwarteter benutzerdefinierter Metadatenschlüssel für jede virtuelle Maschine der Compute Engine, die Daten an Google Security Operations senden.
Cloud DNS-Testregel: Führen Sie zum Auslösen dieser Regel eine DNS-Suche nach Domain (
chronicle.security
) innerhalb einer beliebigen virtuellen Maschine, die Zugriff auf den Internet und sendet Protokolldaten an Google Security Operations.Regeln für SCC Managed Detection Testing: Führen Sie mehrere Aktionen in der Google Cloud Console ausführen.
Regel Cloud Kubernetes Node Testing: Um diese Regel auszulösen, erstellen Sie ein Testprojekt, das Protokolldaten an Google Security Operations sendet, und einen eindeutigen Knotenpool in einem vorhandenen Google Kubernetes Engine-Cluster.
Schritt 1: Testregeln aktivieren
- Melden Sie sich in Google Security Operations an.
- Öffnen Sie die Seite „Zusammengestellte Erkennungen“.
- Klicken Sie auf Regeln und Erkennungen > Regelsätze.
- Maximieren Sie den Bereich Tests für die verwaltete Erkennung. Eventuell müssen Sie auf der Seite scrollen.
- Klicken Sie in der Liste auf GCP Managed Detection Testing, um die Detailseite zu öffnen.
- Aktivieren Sie sowohl Status als auch Benachrichtigungen für die Regeln Cloud Managed Detection Testing.
Schritt 2: Daten für die Regel Metadatenprüfung für die Cloud-Audit senden
So lösen Sie den Test aus:
- Wählen Sie ein Projekt in Ihrer Organisation aus.
- Rufen Sie die Compute Engine auf und wählen Sie dann eine virtuelle Maschine im Projekt aus.
- Klicken Sie in der virtuellen Maschine auf Edit (Bearbeiten) und führen Sie dann unter
Abschnitt Benutzerdefinierte Metadaten:
- Klicken Sie auf Zeile hinzufügen.
- Geben Sie die folgenden Informationen ein:
- Schlüssel:
GCTI_ALERT_VALIDATION_TEST_KEY
- Wert:
works
- Schlüssel:
- Klicken Sie auf Speichern.
So überprüfen Sie, ob die Benachrichtigung ausgelöst wurde:
- In Google Security Operations anmelden
- Öffnen Sie die Seite „Zusammengestellte Erkennungen“ und klicken Sie dann auf Dashboard.
- Prüfen Sie, ob die Regel tst_GCP_Cloud_Audit_Metadata in der Erkennungsliste ausgelöst wurde.
Schritt 3: Daten für die Regel Cloud DNS-Tests senden
Führen Sie die folgenden Schritte als IAM-Nutzer in der ausgewählten das Zugriff auf eine virtuelle Compute Engine-Maschine hat.
So lösen Sie den Test aus:
- Wählen Sie ein Projekt innerhalb Ihrer Organisation aus.
- Rufen Sie Compute Engine auf und wählen Sie eine virtuelle Maschine im Projekt aus.
- Wenn es sich um eine virtuelle Linux-Maschine handelt, benötigen Sie SSH-Zugriff.
- Wenn es sich um eine virtuelle Windows-Maschine handelt, benötigen Sie RDP-Zugriff.
- Klicken Sie auf SSH (Linux) oder RDP (Microsoft Windows), um auf die virtuelle Maschine zuzugreifen.
So senden Sie Testdaten:
Virtuelle Linux-Maschine: Nachdem Sie mit SSH auf die virtuelle Maschine zugegriffen haben, führen Sie einen der folgenden Schritte aus: Befehle:
nslookup chronicle.security
oderhost chronicle.security
Wenn der Befehl fehlschlägt, installieren Sie
dnsutils
mit einem der folgenden Befehle auf der virtuellen Maschine:sudo apt-get install dnsutils
(für Debian/Ubuntu)dnf install bind-utils
(für RedHat/CentOS)yum install bind-utils
Virtuelle Microsoft Windows-Maschine: Öffnen Sie nach dem Zugriff auf die virtuelle Maschine über RDP einen beliebigen installierten Browser und Rufen Sie die folgende URL auf: https://chronicle.security.
So überprüfen Sie, ob die Benachrichtigung ausgelöst wurde:
- In Google Security Operations anmelden
- Öffnen Sie die Seite „Ausgewählte Erkennungen“ und klicken Sie dann auf Dashboard.
- Prüfen Sie, ob die Regel tst_GCP_Cloud_DNS_Test_Rule in der Erkennungsliste ausgelöst wurde.
Schritt 4: Daten für Regeln zum Testen von Cloud-Kubernetes-Knoten senden
Führen Sie die folgenden Schritte als IAM-Nutzer im ausgewählten Projekt aus, das Zugriff auf
Google Kubernetes Engine-Ressourcen Weitere Informationen zum Erstellen regionaler Cluster und Knotenpools finden Sie unter Regionalen Cluster mit einem Einzelzonen-Knotenpool erstellen. Diese Testregeln dienen der Überprüfung der Datenaufnahme vom KUBERNETES_NODE
-Protokolltyp.
Führen Sie die folgenden Schritte aus, um die Testregeln auszulösen:
- Erstellen Sie in Ihrer Organisation ein Projekt mit dem Namen
chronicle-kube-test-project
. Dieses Projekt wird nur für Tests verwendet. - Rufen Sie in der Google Cloud Console die Seite „Google Kubernetes Engine“ auf.
Zur Seite „Google Kubernetes Engine“ - Klicken Sie auf Erstellen, um einen neuen regionalen Cluster im Projekt zu erstellen. Konfigurieren Sie den Cluster entsprechend Ihrer zu erfüllen.
- Klicken Sie auf Knotenpool hinzufügen add_box.
- Geben Sie dem Knotenpool den Namen
kube-node-validation
und passen Sie dann die Poolgröße auf 1 Knoten pro Zone an. - Löschen Sie die Testressourcen:
- Nachdem der Knotenpool
kube-node-validation
erstellt wurde, löschen Sie den Knotenpool. - Löschen Sie das
chronicle-kube-test-project
-Testprojekt.
- Nachdem der Knotenpool
Öffnen Sie die Seite „Ausgewählte Erkennungen“ und klicken Sie dann auf Dashboard.
Prüfen Sie, ob die Regel tst_GCP_Kubernetes_Node in der Erkennungsliste ausgelöst wurde.
Prüfen Sie, ob die Regel tst_GCP_Kubernetes_CreateNodePool in der Erkennungsliste ausgelöst wurde.
Schritt 5: Daten für Regeln zum SCC-gemanagten Erkennungstest senden
Mit den Schritten im folgenden Abschnitt können Sie prüfen, ob die Ergebnisse von Security Command Center und die zugehörigen Daten korrekt und im erwarteten Format aufgenommen wurden.
Die Regelsätze für SCC Managed Detection Testing unter Managed Detection Testing Mit der Kategorie können Sie prüfen, ob die für die CDIR-SCC-erweiterten-Regelsätze erforderlichen Daten an Google Security Operations gesendet wird und das richtige Format hat.
Mit jeder Testregel wird überprüft, ob die Daten in einem von den Regeln erwarteten Format empfangen werden. Sie führen Aktionen in Ihrer Google Cloud-Umgebung aus, um Daten zu senden, eine Google Security Operations-Benachrichtigung generieren.
Achten Sie darauf, die folgenden Abschnitte dieses Dokuments auszufüllen, die für die Konfiguration erforderlich sind. Logging in Google Cloud-Diensten, Security Command Center Premium-Ergebnisse und Senden von Security Command Center an Google Security Operations:
- Erforderliche Datensätze und Protokolltypen
- Erweiterte CDIR SCC-Regelsätze aktivieren und konfigurieren
Weitere Informationen zu den in diesem Abschnitt beschriebenen Security Command Center-Benachrichtigungen finden Sie im Security Command Center-Dokument Bedrohungen untersuchen und darauf reagieren.
CDIR-SCC-Persistenztestregel auslösen
Führen Sie die folgenden Schritte aus, um Daten zu senden, die diese Benachrichtigung in Google Security Operations auslösen:
Erstellen Sie in der Google Cloud Console eine neue VM-Instanz und weisen Sie dem Standarddienstkonto der Compute Engine vorübergehend die Berechtigungen Bearbeiter zu. Sie entfernen diese nach Abschluss des Tests.
Wenn die neue Instanz verfügbar ist, weisen Sie den Zugriffsbereich auf Zulassen Vollständiger Zugriff auf alle APIs.
Erstellen Sie ein neues Dienstkonto mit den folgenden Informationen:
- Legen Sie Name des Dienstkontos auf
scc-test
fest. - Legen Sie für Dienstkonto-ID den Wert
scc-test
fest. - Optional können Sie eine Beschreibung für das Dienstkonto eingeben.
Informationen zum Erstellen von Dienstkonten finden Sie im Dokument Dienstkonten erstellen.
- Legen Sie Name des Dienstkontos auf
Stellen Sie über SSH eine Verbindung zur im vorherigen Schritt erstellten Testinstanz her und führen Sie dann den folgenden
gcloud
-Befehl aus:gcloud projects add-iam-policy-binding PROJECT_NAME --member="serviceAccount:scc-test@PROJECT_NAME.iam.gserviceaccount.com" --role="roles/owner`"
Ersetzen Sie
PROJECT_NAME
durch den Namen des Projekts, in dem die Compute Engine-Instanz ausgeführt wird und dasscc-test
-Konto erstellt wurde.Die Security Command Center-Benachrichtigung Persistence: IAM Anomalous Grant (Persistenz: Anomaler IAM-Zugriff) sollte ausgelöst werden.
Melden Sie sich in Google Security Operations an und öffnen Sie die Seite Alerts & IOCs.
Es sollte eine Google Security Operations-Benachrichtigung mit dem Titel Test-SCC-Warnung: Anomale IAM-Berechtigung“ angezeigt werden Testkonto zugewiesen werden.
Öffnen Sie die Google Cloud Console und gehen Sie so vor:
- Entfernen Sie den Zugriff auf das
scc-test
-Testkonto aus IAM und Admin-Konsole. - Löschen Sie das Dienstkonto über das Portal Dienstkonten.
- Löschen Sie die VM-Instanz, die Sie gerade erstellt haben.
- Entfernen Sie den Zugriff auf das
CDIR-SCC-Malware-Testregel auslösen
Führen Sie die folgenden Schritte aus, um Daten zu senden, die diese Benachrichtigung in Google Security Operations auslösen:
Stellen Sie in der Google Cloud Console über SSH eine Verbindung zu einer beliebigen VM-Instanz her, Der Befehl
curl
ist installiert.Führen Sie folgenden Befehl aus:
curl etd-malware-trigger.goog
Nachdem Sie diesen Befehl ausgeführt haben, sollte die Security Command Center-Benachrichtigung Malware: Bad Domain ausgelöst werden.
Melden Sie sich in Google Security Operations an und öffnen Sie die Seite Benachrichtigungen und IOCs.
Prüfen Sie, ob eine Google Security Operations-Benachrichtigung mit dem Titel Test SCC Alert: Malware Bad Domain angezeigt wird.
Testregel für die Umgehung von Abwehrmaßnahmen des CDIR SCC auslösen
So senden Sie Daten, die diese Benachrichtigung in Google Security Operations auslösen:
Melden Sie sich in der Google Cloud Console mit einem Konto an, das auf Organisationsebene Zugriff hat, um VPC Service Control Perimeters zu ändern.
Rufen Sie in der Google Cloud Console die Seite VPC Service Controls auf.
Klicken Sie auf + Neuer Perimeter und konfigurieren Sie die folgenden Felder auf der Seite Details:
- Perimeter Title:
scc_test_perimeter
. - Perimetertyp auf Regulärer Perimeter (Standardeinstellung).
- Config Type (Konfigurationstyp) auf Enforced (Erzwungen).
- Perimeter Title:
Wählen Sie im Navigationsbereich auf der linken Seite 3 eingeschränkte Dienste aus.
Wählen Sie im Dialogfeld Einzuschränkende Dienste angeben die Option Google Compute Engine API aus und klicken Sie dann auf Google Compute Engine API hinzufügen.
Klicken Sie im linken Navigationsmenü auf Perimeter erstellen.
Wenn Sie den Perimeter ändern möchten, rufen Sie die Seite VPC-Dienstperimeter auf. Weitere Informationen dazu, wie Sie auf diese Seite zugreifen, finden Sie unter Dienstperimeter auflisten und beschreiben.
Wählen Sie
scc_test_perimeter
und dann Perimeter bearbeiten aus.Klicke unter Eingeschränkte Dienste auf das Symbol Löschen, um die Google Compute Engine API-Dienst. Dadurch sollte die SCC-Benachrichtigung Defense Evasion: VPC Service Control Perimeter Modify (Umgehung von Abwehrmaßnahmen: VPC Service Control Perimeter Modify) ausgelöst werden.
Melden Sie sich in Google Security Operations an und öffnen Sie die Seite Alerts & IOCs.
Überprüfen Sie, ob eine Google Security Operations-Benachrichtigung mit dem Titel Test SCC Alert: Modify VPC Service (VPC-Dienst ändern) angezeigt wird. Kontroll-Testbenachrichtigung.
Testregel für die CDIR-SCC-Exfiltration auslösen
Führen Sie die folgenden Schritte aus, um Daten zu senden, die diese Benachrichtigung in Google Security Operations auslösen:
Rufen Sie in der Google Cloud Console ein Google Cloud-Projekt auf und öffnen Sie dann BigQuery.
Erstellen Sie eine CSV-Datei mit den folgenden Daten und speichern Sie sie in Ihrem Basisverzeichnis.
column1, column2, column3 data1, data2, data3 data4, data5, data6 data7, data8, data9
Wählen Sie im linken Navigationsbereich Dataset erstellen aus.
Legen Sie die folgende Konfiguration fest und klicken Sie dann auf Dataset erstellen:
- Dataset-ID auf
scc_test_dataset
festgelegt - Standorttyp auf Mehrfachregion festgelegt.
- Tabellenablauf aktivieren: Wählen Sie diese Option nicht aus.
Ausführliche Informationen zum Erstellen eines Datasets finden Sie im BigQuery-Dokument Datasets erstellen.
- Dataset-ID auf
Klicken Sie in der linken Navigationsleiste rechts neben
scc_test_dataset
auf das Symbol more_vert und wählen Sie dann Tabelle erstellen aus.Erstellen Sie eine Tabelle und legen Sie die folgende Konfiguration fest:
- Create table from (Tabelle erstellen aus): Wählen Sie Upload (Hochladen) aus.
- Datei auswählen: Gehen Sie zu Ihrem Basisverzeichnis und wählen Sie die CSV-Datei aus, die Sie zuvor erstellt haben.
- Dateiformat: Legen Sie CSV fest.
- Dataset: Legen Sie
css_test_dataset
fest. - Tabellentyp: Wählen Sie Native Tabelle aus.
Übernehmen Sie die Standardkonfiguration für alle anderen Felder und klicken Sie auf Tabelle erstellen.
Weitere Informationen zum Erstellen einer Tabelle finden Sie im BigQuery-Dokument Tabellen erstellen und verwenden.
Wählen Sie in der Ressourcenliste die Tabelle
css_test_dataset
aus, klicken Sie auf Abfrage und wählen Sie In neuem Tab aus.Führen Sie die folgende Abfrage aus:
SELECT * FROM TABLE_NAME LIMIT 1000`
Ersetzen Sie
TABLE_NAME
durch den voll qualifizierten Tabellennamen.Klicken Sie nach der Ausführung der Abfrage auf Save Results (Ergebnisse speichern) und wählen Sie dann CSV in Google Drive Dadurch sollte Daten-Exfiltration: BigQuery-Exfiltration“ ausgelöst werden an Google Drive Security Command Center-Benachrichtigung. Das Security Command Center-Ergebnis sollte an Google Security Operations gesendet und eine Google Security Operations-Benachrichtigung auslösen.
Melden Sie sich in Google Security Operations an und öffnen Sie die Seite Benachrichtigungen und IOCs.
Prüfen Sie, ob eine Google Security Operations-Warnung mit dem Titel Test SCC Alert: BigQuery Exfiltration to Google Drive
Schritt 6: Testregeln deaktivieren
Deaktivieren Sie anschließend die Regeln für GCP-verwaltete Erkennungstests.
- Melden Sie sich in Google Security Operations an.
- Öffnen Sie die Seite „Ausgewählte Erkennungen“.
- Deaktivieren Sie sowohl den Status als auch die Benachrichtigungen für die Regeln für GCP Managed Detection Testing.
AWS-Dateneinnahme für die Kategorie „Cloud-Bedrohungen“ prüfen
Sie können mit AWS Managed Detection Testing Testregeln überprüfen, ob AWS-Daten wird in Google Security Operations aufgenommen. Mit diesen Testregeln können Sie prüfen, ob AWS-Daten aufgenommen wurden und im erwarteten Format vorliegen. Nachdem Sie die Aufnahme von AWS-Daten eingerichtet haben, führen Sie Aktionen in AWS aus, die die Testregeln auslösen sollten.
- Der Nutzer, der diese Regeln in der Detection Engine aktiviert, muss die IAM-Berechtigung
curatedRuleSetDeployments.batchUpdate
haben. - Der Nutzer, der die Schritte zum Senden von AWS-Daten ausführt, muss die AWS IAM-Berechtigungen haben Berechtigungen zum Bearbeiten der Tags einer EC2-Instanz im ausgewählten Konto. Für Weitere Informationen zum Taggen von EC2-Instanzen finden Sie im AWS-Dokument. Amazon EC2-Ressourcen mit Tags versehen
Testregeln für AWS Managed Detection-Tests aktivieren
- Klicken Sie in Google Security Operations auf Erkannte Probleme > Regeln und erkannte Probleme, um die Seite „Ausgewählte erkannte Probleme“ zu öffnen.
- Wählen Sie Test der verwalteten Erkennung aus. AWS Managed Detection Testing
- Für die Typen Weitgehend passend und Genau wurden sowohl Status als auch Benachrichtigungen aktiviert. Regeln.
Prüfen, ob Tag-Aktionen in AWS die Testregel auslösen
Führen Sie die folgenden Schritte aus, um zu prüfen, ob die Tag-Aktionen in AWS den Regelsatz auslösen.
Schritt 1: Generieren Sie ein Protokollereignis in AWS.
- Wählen Sie ein Konto in Ihrer AWS-Umgebung aus.
- Rufen Sie das EC2-Dashboard auf und wählen Sie dann eine Instanz im Konto aus.
- Klicken Sie in der EC2-Instanz auf Aktionen, dann auf Instanzeinstellungen und
Führen Sie im Bereich Tags verwalten die folgenden Schritte aus:
- Klicken Sie auf Neues Tag hinzufügen.
- Geben Sie die folgenden Informationen ein:
- Key:
GCTI_ALERT_VALIDATION_TEST_KEY
- Wert:
works
- Klicken Sie auf Speichern.
Weitere Informationen finden Sie unter EC2-Instanz-Tags hinzufügen oder entfernen.
Schritt 2: Prüfen Sie, ob die Testbenachrichtigungen ausgelöst werden.
Nachdem Sie die Aufgabe im vorherigen Schritt ausgeführt haben, überprüfen Sie, ob die AWS CloudTrail-Testregel ausgelöst wird. Dies weist darauf hin, dass CloudTrail-Logs aufgezeichnet wurden und wie erwartet an Google Security Operations gesendet. So überprüfen Sie die Benachrichtigung:
- Klicken Sie in Google Security Operations auf Detections (Erkennungen) > Regeln und Erkennungen für Öffnen Sie die Seite „Ausgewählte Erkennungen“.
- Klicken Sie auf Dashboard.
- Prüfen Sie in der Liste der Erkennungen, ob die Regel tst_AWS_Cloud_Trail_Tag gilt. ausgelöst wurde.
Prüfen, ob AWS GuardDuty-Beispielergebnisse Testregeln auslösen
Damit GuardDuty-Warnungen in Ihrer Umgebung wie vorgesehen funktionieren, können Sie GuardDuty-Beispielergebnisse an Google Security Operations senden.
Schritt 1: Generieren Sie GuardDuty-Beispielergebnisdaten.
- Rufen Sie die Startseite der AWS Console auf.
- Öffnen Sie unter Security, Identity and Compliance (Sicherheit, Identität und Compliance) GuardDuty.
- Gehen Sie zu den Einstellungen von GuardDuty.
- Klicken Sie auf Beispielergebnisse generieren.
Weitere Informationen zum Generieren von Beispielergebnissen für GuardDuty finden Sie unter Beispielergebnisse in GuardDuty generieren.
Schritt 2: Prüfen Sie, ob die Testbenachrichtigungen ausgelöst wurden.
- Klicken Sie in Google Security Operations auf Erkennung > Regeln und Erkennungen, um die Seite „Ausgewählte Erkennungen“ zu öffnen.
- Klicken Sie auf Dashboard.
- Prüfen Sie, ob die AWS CloudTrail-Testregel in der Erkennungsliste ausgelöst wurde.
Regelsätze für AWS Managed Detection deaktivieren
- Klicken Sie in Google Security Operations auf Erkennung > Regeln und Erkennungen, um die Seite „Ausgewählte Erkennungen“ zu öffnen.
- Wählen Sie die Regeln Verwaltete Erkennung – Tests > Verwaltete Erkennung – Tests für AWS aus.
- Deaktivieren Sie sowohl Status als auch Benachrichtigungen für die Kategorien Weitgehend passend und Genau. Regeln.
Datenaufnahme für Linux-Bedrohungskategorie prüfen
Mit den Regeln für Linux Managed Detection Testing wird überprüft, ob das Logging auf einem Linux-System für die von Google Security Operations ausgewählten Erkennungen. Die Tests umfassen über die Bash-Eingabeaufforderung in einer Linux-Umgebung verschiedene Befehle auszuführen. die von jedem Nutzer ausgeführt werden, der Zugriff auf die Linux Bash-Eingabeaufforderung hat.
Schritt 1: Testregeln aktivieren
- Melden Sie sich in Google Security Operations an.
- Öffnen Sie die Seite „Zusammengestellte Erkennungen“.
- Klicken Sie auf Regeln und Erkennungen > Regelsätze:
- Maximieren Sie den Bereich Test der verwalteten Erkennung. Eventuell müssen Sie auf der Seite scrollen.
- Klicken Sie in der Liste auf Linux Managed Detection Testing, um die Detailseite zu öffnen.
- Aktivieren Sie sowohl Status als auch Benachrichtigungen für die Regeln Linux-gemanagte Erkennungstests.
Schritt 2: Testdaten von einem Linux-Gerät senden
So lösen Sie die Testregeln für Linux Managed Detection Testing aus:
- Sie können auf jedes Linux-Gerät zugreifen, von dem Daten an Google Security Operations gesendet werden.
- Öffnen Sie als beliebiger Nutzer eine neue Linux Bash-Eingabeaufforderung in der Befehlszeile.
Geben Sie den folgenden Befehl ein und drücken Sie die Eingabetaste:
/bin/echo hello_chronicle_world!
Sie müssen das Binärprogramm echo
verwenden, nicht den in der Linux-Shell integrierten Befehl echo
.
Geben Sie den folgenden Befehl ein und drücken Sie dann die Eingabetaste:
sudo useradd test_chronicle_account
Entfernen Sie das im vorherigen Schritt erstellte Testkonto. Führen Sie den folgenden Befehl aus:
sudo userdel test_chronicle_account
Geben Sie den folgenden Befehl ein und drücken Sie dann die Eingabetaste:
su
Wenn Sie zur Eingabe des Passworts aufgefordert werden, geben Sie einen beliebigen String ein. Beachten Sie, dass die
su: Authentication failure
Nachricht wird angezeigt.Schließen Sie das Bash-Fenster.
Schritt 3: Prüfen, ob Benachrichtigungen in Google Security Operations ausgelöst wurden
Prüfen Sie, ob der Befehl die Regeln *tst_linux_echo, tst_linux_failed_su_login und tst_linux_test_account_creation in Google Security Operations ausgelöst hat. Das bedeutet, dass die Linux-Protokolle wie erwartet geschrieben und gesendet werden. Führen Sie die folgenden Schritte aus, um die Benachrichtigung in Google Security Operations zu prüfen:
- Melden Sie sich in Google Security Operations an.
- Öffnen Sie die Seite „Ausgewählte Erkennungen“.
- Klicken Sie auf Dashboard.
Prüfen Sie, ob tst_linux_echo, tst_linux_failed_su_login und tst_linux_test_account_creation-Regeln wurden in der Erkennungsliste ausgelöst.
Schritt 4: Testregeln deaktivieren
Deaktivieren Sie die Regeln für Linux-gemanagte Erkennungstests, wenn Sie fertig sind.
- Melden Sie sich in Google Security Operations an.
- Öffnen Sie die Seite „Ausgewählte Erkennungen“.
- Deaktivieren Sie sowohl den Status als auch die Benachrichtigungen für die Regeln für Linux Managed Detection Testing.
Datenaufnahme für die Windows-Bedrohungskategorie prüfen
Mit der Windows-Echo-Testregel wird überprüft, ob die Microsoft Windows-Protokollierung für von Google Security Operations ausgewählte Erkennungen ordnungsgemäß funktioniert. Der Test beinhaltet die Verwendung der Eingabeaufforderung
in einer Microsoft Windows-Umgebung, um den Befehl echo
mit einem erwarteten und eindeutigen String auszuführen.
Sie können den Test ausführen, während Sie als Nutzer angemeldet sind, der Zugriff auf die Windows-Eingabeaufforderung hat.
Schritt 1: Testregeln aktivieren
- Melden Sie sich in Google Security Operations an.
- Öffnen Sie die Seite „Zusammengestellte Erkennungen“.
- Maximieren Sie den Bereich Managed Detection Testing. Möglicherweise müssen Sie auf der Seite scrollen.
- Klicken Sie in der Liste auf Windows Managed Detection Testing, um die Detailseite zu öffnen.
- Aktivieren Sie sowohl Status als auch Benachrichtigungen für die Regeln für Windows Managed Detection-Test.
Schritt 2: Testdaten von einem Windows-Gerät senden
So lösen Sie die Windows-Echotestregel aus:
- Zugriff auf alle Geräte, die Daten generieren, die an Google Security Operations gesendet werden sollen.
- Öffnen Sie als beliebiger Nutzer ein neues Fenster der Microsoft Windows-Eingabeaufforderung.
Geben Sie den folgenden Befehl ein, bei dem die Groß-/Kleinschreibung nicht berücksichtigt wird, und drücken Sie dann die Eingabetaste:
cmd.exe /c "echo hello_chronicle_world!"
Schließen Sie das Fenster "Eingabeaufforderung".
Schritt 3: Prüfen, ob eine Benachrichtigung ausgelöst wurde
Überprüfen Sie, ob der Befehl die Regel tst_Windows_Echo in Google Security Operations ausgelöst hat. Das bedeutet, dass Daten wie erwartet über die Microsoft Windows-Protokollierung gesendet werden. So prüfen Sie die Benachrichtigung in Google Security Operations:
- Melden Sie sich in Google Security Operations an.
- Öffnen Sie die Seite „Ausgewählte Erkennungen“.
- Klicken Sie auf Dashboard.
Prüfen Sie, ob die Regel tst_Windows_Echo in der Erkennungsliste ausgelöst wurde.
Schritt 4: Testregeln deaktivieren
Wenn Sie fertig sind, deaktivieren Sie die Regeln für Windows-verwaltete Erkennungstests.
- Melden Sie sich in Google Security Operations an.
- Öffnen Sie die Seite „Ausgewählte Erkennungen“.
- Deaktivieren Sie sowohl den Status als auch die Benachrichtigungen für die Regeln zum Testen der Windows-verwalteten Erkennung.