Diese Seite wurde von der Cloud Translation API übersetzt.

Datenaufnahme mithilfe von Testregeln prüfen

Unterstützt in:

Google SecOps SIEM

Die von Google Security Operations kuratierten Erkennungen umfassen eine Reihe von Testregelsätzen, mit denen Sie prüfen können, ob die für jeden Regelsatz erforderlichen Daten im richtigen Format vorliegen.

Diese Testregeln finden Sie in der Kategorie Tests für die verwaltete Erkennung. Mit jedem Regelsatz wird geprüft, ob die vom Testgerät empfangenen Daten in einem Format vorliegen, das den Regeln für die angegebene Kategorie entspricht.

Name des Regelsatzes	Beschreibung
Google Cloud Tests für die verwaltete Erkennung	Prüft, ob Google Cloud Daten von Geräten aufgenommen werden, die von der Kategorie „Cloud-Bedrohungen“ unterstützt werden. Weitere Informationen finden Sie unter Datenaufnahme für die Kategorie „Cloud-Bedrohungen“ prüfen Google Cloud .
Tests für die verwaltete Erkennung von AWS	Prüft, ob AWS-Daten von Geräten aufgenommen werden, die von der Kategorie „Cloud-Bedrohungen“ unterstützt werden. Weitere Informationen finden Sie unter AWS-Dateneinnahme für die Kategorie „Cloud-Bedrohungen“ prüfen.
Tests für die verwaltete Erkennung unter Linux	Prüft, ob Daten von Geräten erfolgreich aufgenommen werden, die von der Kategorie „Linux-Bedrohungen“ unterstützt werden. Weitere Informationen finden Sie unter Dateneinnahme für die Kategorie „Linux-Bedrohungen“ prüfen.
Tests für die verwaltete Erkennung unter Windows	Prüft, ob Daten von Geräten erfolgreich aufgenommen werden, die von der Kategorie „Windows-Bedrohungen“ unterstützt werden. Weitere Informationen finden Sie unter Datenaufnahme für die Kategorie „Windows-Bedrohungen“ prüfen.

Führen Sie die Schritte in diesem Dokument aus, um zu prüfen und zu bestätigen, dass eingehende Daten korrekt aufgenommen und im richtigen Format vorliegen.

Google Cloud Datenaufnahme für die Kategorie „Cloud-Bedrohungen“ prüfen

Mit diesen Regeln lässt sich prüfen, ob Protokolldaten wie erwartet für von Google SecOps ausgewählte Erkennungen aufgenommen werden.

Verwenden Sie die folgenden Regeln, um Daten mit den folgenden Schritten zu testen:

Regel Cloud Audit Metadata Testing: Um diese Regel auszulösen, fügen Sie jeder Compute Engine-VM, die Daten an Google SecOps sendet, einen eindeutigen und erwarteten benutzerdefinierten Metadatenschlüssel hinzu.
Regel Cloud DNS-Tests: Um diese Regel auszulösen, führen Sie einen DNS-Lookup für die Domain (chronicle.security) auf einer beliebigen virtuellen Maschine aus, die Zugriff auf das Internet hat und Protokolldaten an Google SecOps sendet.
Regeln für von SCC verwaltete Erkennungstests: Um diese Regeln auszulösen, müssen Sie mehrere Aktionen in der Google Cloud Console ausführen.
Regel Cloud Kubernetes Node Testing: Um diese Regel auszulösen, erstellen Sie ein Testprojekt, das Protokolldaten an Google SecOps sendet, und einen eindeutigen Knotenpool in einem vorhandenen Google Kubernetes Engine-Cluster.

Schritt 1: Testregeln aktivieren

Melden Sie sich in Google SecOps an.
Öffnen Sie die Seite „Ausgewählte Erkennungen“.
Klicken Sie auf Regeln und Erkennungen > Regelsätze.
Maximieren Sie den Bereich Tests für die verwaltete Erkennung. Möglicherweise müssen Sie auf der Seite scrollen.
Klicken Sie in der Liste auf Google Cloud Verwaltete Erkennungstests, um die Detailseite zu öffnen.
Aktivieren Sie sowohl Status als auch Benachrichtigungen für die Regeln Cloud Managed Detection Testing.

Schritt 2: Daten für die Cloud-Audit-Regel zum Testen von Metadaten senden

So lösen Sie den Test aus:

Wählen Sie ein Projekt in Ihrer Organisation aus.
Klicken Sie auf Compute Engine und wählen Sie dann eine virtuelle Maschine im Projekt aus.
Klicken Sie in der virtuellen Maschine auf Bearbeiten und führen Sie dann die folgenden Schritte unter Benutzerdefinierte Metadaten aus:
1. Klicken Sie auf Zeile hinzufügen.
2. Geben Sie die folgenden Informationen ein:
  - Schlüssel: GCTI_ALERT_VALIDATION_TEST_KEY
  - Wert: works
3. Klicken Sie auf Speichern.
So überprüfen Sie, ob die Benachrichtigung ausgelöst wurde:
1. Melden Sie sich in Google SecOps an.
2. Öffnen Sie die Seite „Zusammengestellte Erkennungen“ und klicken Sie dann auf Dashboard.
3. Prüfen Sie, ob die Regel ur_tst_Google Cloud_Cloud_Audit_Metadata in der Erkennungsliste ausgelöst wurde.

Schritt 3: Daten für die Regel Cloud DNS-Tests senden

Wichtig:Die folgenden Schritte müssen als IAM-Nutzer im ausgewählten Projekt ausgeführt werden, der Zugriff auf eine Compute Engine-virtuelle Maschine hat.

So lösen Sie den Test aus:

Wählen Sie ein Projekt in Ihrer Organisation aus.
Rufen Sie die Compute Engine auf und wählen Sie dann eine virtuelle Maschine im Projekt aus.
- Wenn es sich um eine virtuelle Linux-Maschine handelt, müssen Sie Secure Shell (SSH)-Zugriff haben.
- Wenn es sich um eine virtuelle Windows-Maschine handelt, müssen Sie RDP-Zugriff (Remote Desktop Protocol) haben.
Klicken Sie auf SSH (Linux) oder RDP (Microsoft Windows), um auf die virtuelle Maschine zuzugreifen.
So senden Sie Testdaten:
- Linux-VM: Nachdem Sie über SSH auf die virtuelle Maschine zugegriffen haben, führen Sie einen der folgenden Befehle aus: nslookup chronicle.security oder host chronicle.security
  
  Wenn der Befehl fehlschlägt, installieren Sie dnsutils mit einem der folgenden Befehle auf der virtuellen Maschine:
  - sudo apt-get install dnsutils (für Debian/Ubuntu)
  - dnf install bind-utils (für RedHat/CentOS)
  - yum install bind-utils
- Virtuelle Maschine mit Microsoft Windows: Nachdem Sie über RDP auf die virtuelle Maschine zugegriffen haben, öffnen Sie einen beliebigen installierten Browser und rufen Sie https://chronicle.security auf.
So überprüfen Sie, ob die Benachrichtigung ausgelöst wurde:
1. Melden Sie sich in Google SecOps an.
2. Öffnen Sie die Seite „Ausgewählte Erkennungen“ und klicken Sie dann auf Dashboard.
3. Prüfen Sie, ob die Regel ur_tst_Google Cloud_Cloud_DNS_Test_Rule in der Erkennungsliste ausgelöst wurde.

Schritt 4: Daten für Regeln zum Testen von Cloud-Kubernetes-Knoten senden

Wichtig:Die folgenden Schritte müssen als IAM-Nutzer im ausgewählten Projekt ausgeführt werden, der Zugriff auf Google Kubernetes Engine-Ressourcen hat. Weitere Informationen zum Erstellen regionaler Cluster und Knotenpools finden Sie unter Regionalen Cluster mit einem Einzelzonen-Knotenpool erstellen. Diese Testregeln dienen der Überprüfung der Datenaufnahme vom KUBERNETES_NODE-Protokolltyp.

So lösen Sie die Testregeln aus:

Erstellen Sie in Ihrer Organisation ein Projekt mit dem Namen chronicle-kube-test-project. Dieses Projekt wird nur zu Testzwecken verwendet.
Öffnen Sie in der Console die Seite „Google Kubernetes Engine“. Google Cloud
Zur Seite „Google Kubernetes Engine“
Klicken Sie auf Erstellen, um einen neuen regionalen Cluster im Projekt zu erstellen.
Konfigurieren Sie den Cluster gemäß den Anforderungen Ihres Unternehmens.
Klicken Sie auf Knotenpool hinzufügen .
Geben Sie dem Knotenpool den Namen kube-node-validation und passen Sie dann die Poolgröße auf 1 Knoten pro Zone an.
Löschen Sie die Testressourcen:
1. Nachdem der Knotenpool kube-node-validation erstellt wurde, löschen Sie ihn.
2. Löschen Sie das chronicle-kube-test-project-Testprojekt.
Melden Sie sich in Google SecOps an.
Öffnen Sie die Seite „Zusammengestellte Erkennungen“ und klicken Sie dann auf Dashboard.
Prüfen Sie, ob die Regel tst_Google Cloud_Kubernetes_Node in der Erkennungsliste ausgelöst wurde.
Prüfen Sie, ob die Regel tst_Google Cloud_Kubernetes_CreateNodePool in der Erkennungsliste ausgelöst wurde.

Schritt 5: Daten für Regeln zum SCC-gemanagten Erkennungstest senden

In den Unterschritten dieses Schritts wird geprüft, ob die Ergebnisse von Security Command Center und die zugehörigen Daten korrekt und im erwarteten Format aufgenommen wurden.

Mit den Regelsätzen SCC Managed Detection Testing (SCC-gemanagte Erkennungstests) unter der Kategorie Managed Detection Testing (Gemanagte Erkennungstests) können Sie prüfen, ob die für die Regelsätze CDIR SCC Enhanced (Erweiterte CDIR-SCC) erforderlichen Daten an Google SecOps gesendet werden und im richtigen Format vorliegen.

Mit jeder Testregel wird geprüft, ob Daten in einem von den Regeln erwarteten Format empfangen werden. Sie führen Aktionen in Ihrer Google Cloud -Umgebung aus, um Daten zu senden, die eine Google SecOps-Benachrichtigung generieren.

Lesen Sie die folgenden Abschnitte dieses Dokuments, um die Protokollierung in Google Cloud Diensten zu konfigurieren, Security Command Center Premium-Ergebnisse zu erfassen und Security Command Center-Ergebnisse an Google SecOps zu senden:

Weitere Informationen zu den in diesem Abschnitt beschriebenen Security Command Center-Benachrichtigungen finden Sie im Security Command Center-Dokument Bedrohungen untersuchen und darauf reagieren.

CDIR SCC Persistence-Testregel auslösen

So senden Sie Daten, die diese Benachrichtigung in Google SecOps auslösen:

Erstellen Sie in der Google Cloud Console eine neue VM-Instanz und weisen Sie dem Standarddienstkonto der Compute Engine vorübergehend die Berechtigungen Bearbeiter zu. Sie entfernen diese nach Abschluss des Tests.
Weisen Sie der neuen Instanz als Zugriffsbereich Uneingeschränkten Zugriff auf alle APIs zulassen zu.
Erstellen Sie ein neues Dienstkonto mit den folgenden Informationen:
- Legen Sie für Dienstkontoname den Wert scc-test fest.
- Legen Sie für Dienstkonto-ID den Wert scc-test fest.
- Optional: Geben Sie eine Beschreibung für das Dienstkonto ein.
Informationen zum Erstellen von Dienstkonten finden Sie im Dokument Dienstkonten erstellen.
Stellen Sie über SSH eine Verbindung zur im vorherigen Schritt erstellten Testinstanz her und führen Sie dann den folgenden gcloud-Befehl aus:
```
gcloud projects add-iam-policy-binding PROJECT_NAME
--member="serviceAccount:scc-test@PROJECT_NAME.iam.gserviceaccount.com"
--role="roles/owner`"
```
Ersetzen Sie PROJECT_NAME durch den Namen des Projekts, in dem die Compute Engine-Instanz ausgeführt wird und in dem das scc-test-Konto erstellt wurde.

Die Security Command Center-Benachrichtigung Persistence: IAM Anomalous Grant (Persistenz: Anomaler IAM-Zugriff) sollte ausgelöst werden.
Melden Sie sich in Google SecOps an und öffnen Sie die Seite Benachrichtigungen und IOCs.
Sie sollten eine Google SecOps-Benachrichtigung mit dem Titel Test SCC Alert: IAM Anomalous Grant given to test account (Test SCC-Benachrichtigung: Anomaler IAM-Zugriff für Testkonto) sehen.
Öffnen Sie die Google Cloud Console und gehen Sie so vor:
- Entfernen Sie den Zugriff des scc-test-Testkontos aus IAM und der Admin-Konsole.
- Löschen Sie das Dienstkonto über das Portal für Dienstkonten.
- Löschen Sie die VM-Instanz, die Sie gerade erstellt haben.

CDIR SCC-Malware-Testregel auslösen

So senden Sie Daten, die diese Benachrichtigung in Google SecOps auslösen:

Stellen Sie in der Google Cloud Console über SSH eine Verbindung zu einer VM-Instanz her, auf der der Befehl curl installiert ist.
Führen Sie folgenden Befehl aus:
```
  curl etd-malware-trigger.goog
```
Nachdem Sie diesen Befehl ausgeführt haben, sollte die Security Command Center-Benachrichtigung Malware: Bad Domain ausgelöst werden.
Melden Sie sich in Google SecOps an und öffnen Sie die Seite Benachrichtigungen und IOCs.
Prüfen Sie, ob die Google SecOps-Benachrichtigung Test SCC Alert: Malware Bad Domain angezeigt wird.

Testregel für die Umgehung von Abwehrmaßnahmen des CDIR SCC auslösen

So senden Sie Daten, die diese Benachrichtigung in Google SecOps auslösen:

Melden Sie sich in der Google Cloud Console mit einem Konto an, das auf Organisationsebene Zugriff hat, um VPC Service Control Perimeters zu ändern.
Rufen Sie in der Google Cloud Console die Seite VPC Service Controls auf.

Zu „VPC Service Controls“
Klicken Sie auf + Neuer Perimeter und konfigurieren Sie die folgenden Felder auf der Seite Details:
- Perimeter Title: scc_test_perimeter.
- Perimetertyp auf Regulärer Perimeter (Standard).
- Config Type (Konfigurationstyp) in Enforced (Erzwungen).
Wählen Sie im Navigationsbereich auf der linken Seite 3 eingeschränkte Dienste aus.
Wählen Sie im Dialogfeld Einzuschränkende Dienste angeben die Option Google Compute Engine API aus und klicken Sie dann auf Google Compute Engine API hinzufügen.
Klicken Sie im linken Navigationsbereich auf Perimeter erstellen.
Wenn Sie den Perimeter ändern möchten, rufen Sie die Seite VPC-Dienstperimeter auf. Weitere Informationen dazu, wie Sie auf diese Seite zugreifen, finden Sie unter Dienstperimeter auflisten und beschreiben.
Wählen Sie scc_test_perimeter und dann Perimeter bearbeiten aus.
Klicken Sie unter Eingeschränkte Dienste auf das Symbol Löschen, um den Dienst Google Compute Engine API zu entfernen. Dadurch sollte die SCC-Benachrichtigung Defense Evasion: VPC Service Control Perimeter Modify (Umgehung von Abwehrmaßnahmen: VPC Service Control Perimeter Modify) ausgelöst werden.
Melden Sie sich in Google SecOps an und öffnen Sie die Seite Benachrichtigungen und IOCs.
Prüfen Sie, ob eine Google SecOps-Benachrichtigung mit dem Titel Test SCC Alert: Modify VPC Service Control Test Alert (Test SCC-Benachrichtigung: VPC Service Control-Testbenachrichtigung ändern) angezeigt wird.

CDIR-SCC-Exfiltrationstestregel auslösen

So senden Sie Daten, die diese Benachrichtigung in Google SecOps auslösen:

Rufen Sie in der Google Cloud Console ein Google Cloud Projekt auf und öffnen Sie dann BigQuery.

BigQuery aufrufen
Erstellen Sie eine CSV-Datei mit den folgenden Daten und speichern Sie sie in Ihrem Basisverzeichnis:
```
column1, column2, column3
data1, data2, data3
data4, data5, data6
data7, data8, data9
```
Wählen Sie im linken Navigationsbereich Dataset erstellen aus.
Nehmen Sie die folgende Konfiguration vor und klicken Sie dann auf Dataset erstellen:
- Dataset-ID auf scc_test_dataset festgelegt
- Standorttyp auf Mehrere Regionen festgelegt
- Tabellenablauf aktivieren: Deaktivieren Sie diese Option.
Weitere Informationen zum Erstellen eines Datasets finden Sie im BigQuery-Dokument Datasets erstellen.
Klicken Sie in der linken Navigationsleiste rechts neben scc_test_dataset auf das Symbol und wählen Sie Tabelle erstellen aus.
Erstellen Sie eine Tabelle und legen Sie die folgende Konfiguration fest:
- Tabelle erstellen aus: Wählen Sie Hochladen aus.
- Datei auswählen: Rufen Sie Ihr Basisverzeichnis auf und wählen Sie die zuvor erstellte CSV-Datei aus.
- Dateiformat: Legen Sie CSV fest.
- Dataset: Legen Sie css_test_dataset fest.
- Tabellentyp: Legen Sie Native Tabelle fest.
Übernehmen Sie die Standardkonfiguration für alle anderen Felder und klicken Sie auf Tabelle erstellen.

Weitere Informationen zum Erstellen von Tabellen finden Sie unter Tabellen erstellen und verwenden.
Wählen Sie in der Ressourcenliste die Tabelle css_test_dataset aus, klicken Sie auf Abfrage und wählen Sie In neuem Tab aus.
Führen Sie die folgende Abfrage aus:
```
SELECT * FROM TABLE_NAME LIMIT 1000`
```
Ersetzen Sie TABLE_NAME durch den vollständig qualifizierten Tabellennamen.
Klicken Sie nach Ausführung der Abfrage auf Ergebnisse speichern und wählen Sie dann CSV in Google Drive aus. Dadurch sollte die Security Command Center-Benachrichtigung Exfiltration: BigQuery-Exfiltration in Google Drive ausgelöst werden. Das Security Command Center-Ergebnis sollte an Google SecOps gesendet und eine Google SecOps-Benachrichtigung auslösen.
Melden Sie sich in Google SecOps an und öffnen Sie die Seite Benachrichtigungen und IOCs.
Prüfen Sie, ob die Google SecOps-Benachrichtigung Test SCC Alert: BigQuery Exfiltration to Google Drive (Test-SCC-Benachrichtigung: BigQuery-Exfiltration in Google Drive) angezeigt wird.

Schritt 6: Testregeln deaktivieren

Wenn Sie fertig sind, deaktivieren Sie die Regeln für Google Cloud gemanagte Erkennungstests.

Melden Sie sich in Google SecOps an.
Öffnen Sie die Seite „Ausgewählte Erkennungen“.
Deaktivieren Sie sowohl Status als auch Benachrichtigungen für die Google Cloud Regeln für verwaltete Erkennungstests.

AWS-Dateneinnahme für die Kategorie „Cloud-Bedrohungen“ prüfen

Mit den Testregeln für die von AWS verwaltete Erkennung können Sie prüfen, ob AWS-Daten in Google SecOps aufgenommen werden. Mit diesen Testregeln können Sie prüfen, ob AWS-Daten aufgenommen wurden und im erwarteten Format vorliegen. Nachdem Sie die Aufnahme von AWS-Daten eingerichtet haben, führen Sie Aktionen in AWS aus, die die Testregeln auslösen sollten.

Der Nutzer, der diese Regeln in der Detection Engine aktiviert, muss die IAM-Berechtigung curatedRuleSetDeployments.batchUpdate haben.
Der Nutzer, der die Schritte zum Senden von AWS-Daten ausführt, muss die AWS IAM-Berechtigungen zum Bearbeiten der Tags einer EC2-Instanz im ausgewählten Konto haben. Weitere Informationen zum Taggen von EC2-Instanzen finden Sie im AWS-Dokument Amazon EC2-Ressourcen taggen.

Testregeln für die verwaltete Erkennung von AWS aktivieren

Klicken Sie in Google SecOps auf Erkenntnisse > Regeln und Erkennungen, um die Seite „Ausgewählte Erkennungen“ zu öffnen.
Wählen Sie Verwaltete Erkennung – Tests > Verwaltete Erkennung – Tests mit AWS aus.
Sowohl Status als auch Benachrichtigung für die allgemeinen und genauen Regeln aktiviert.

Prüfen, ob Tag-Aktionen in AWS die Testregel auslösen

Führen Sie die folgenden Schritte aus, um zu prüfen, ob die Tag-Aktionen in AWS den Regelsatz auslösen.

Schritt 1: Generieren Sie ein Protokollereignis in AWS.

Wählen Sie ein Konto in Ihrer AWS-Umgebung aus.
Rufen Sie das EC2-Dashboard auf und wählen Sie dann eine Instanz im Konto aus.
Klicken Sie in der EC2-Instanz auf Aktionen > Instanzeinstellungen und führen Sie im Bereich Tags verwalten die folgenden Schritte aus:
1. Klicken Sie auf Neues Tag hinzufügen.
2. Geben Sie die folgenden Informationen ein:
3. Key: GCTI_ALERT_VALIDATION_TEST_KEY
4. Wert: works
5. Klicken Sie auf Speichern.

Weitere Informationen finden Sie unter EC2-Instanz-Tags hinzufügen oder entfernen.

Schritt 2: Prüfen Sie, ob die Testbenachrichtigungen ausgelöst werden.

Prüfen Sie nach dem Ausführen der Aufgabe im vorherigen Schritt, ob die Regel AWS CloudTrail-Testregel ausgelöst wird. Das bedeutet, dass CloudTrail-Logs wie erwartet aufgezeichnet und an Google SecOps gesendet wurden. So überprüfen Sie die Benachrichtigung:

Klicken Sie in Google SecOps auf Erkenntnisse > Regeln und Erkennungen, um die Seite „Ausgewählte Erkennungen“ zu öffnen.
Klicken Sie auf Dashboard.
Prüfen Sie in der Liste der Erkennungen, ob die Regel tst_AWS_Cloud_Trail_Tag ausgelöst wurde.

Prüfen, ob AWS GuardDuty-Beispielergebnisse Testregeln auslösen

Damit GuardDuty-Benachrichtigungen in Ihrer Umgebung wie vorgesehen funktionieren, können Sie GuardDuty-Beispielergebnisse an Google SecOps senden.

Schritt 1: Beispieldaten zu GuardDuty-Ergebnissen generieren

Rufen Sie die AWS Console auf.
Öffnen Sie unter Sicherheit, Identität und Compliance die Seite GuardDuty.
Rufen Sie die Einstellungen von GuardDuty auf.
Klicken Sie auf Beispielergebnisse generieren.

Weitere Informationen zum Generieren von Beispielergebnissen für GuardDuty finden Sie unter Beispielergebnisse in GuardDuty generieren.

Schritt 2: Prüfen Sie, ob die Testbenachrichtigungen ausgelöst wurden.

Klicken Sie in Google SecOps auf Erkennung > Regeln und Erkennungen, um die Seite „Ausgewählte Erkennungen“ zu öffnen.
Klicken Sie auf Dashboard.
Prüfen Sie, ob die AWS CloudTrail-Testregel in der Erkennungsliste ausgelöst wurde.

Regelsätze für die verwaltete Erkennung von AWS deaktivieren

Klicken Sie in Google SecOps auf Erkennung > Regeln und Erkennungen, um die Seite „Ausgewählte Erkennungen“ zu öffnen.
Wählen Sie die Regeln Verwaltete Erkennung – Tests > Verwaltete Erkennung – Tests für AWS aus.
Deaktivieren Sie sowohl Status als auch Benachrichtigung für die allgemeinen und genauen Regeln.

Datenaufnahme für die Kategorie „Linux-Bedrohungen“ prüfen

Mit den Regeln für gemanagte Erkennung von Linux-Systemen wird überprüft, ob die Anmeldung in einem Linux-System für von Google SecOps ausgewählte Erkennungen ordnungsgemäß funktioniert. Bei den Tests wird der Bash-Prompt in einer Linux-Umgebung verwendet, um verschiedene Befehle auszuführen. Sie können von jedem Nutzer ausgeführt werden, der Zugriff auf den Linux-Bash-Prompt hat.

Schritt 1: Testregeln aktivieren

Melden Sie sich in Google SecOps an.
Öffnen Sie die Seite „Ausgewählte Erkennungen“.
Klicken Sie auf Regeln und Erkennungen > Regelsätze.
Maximieren Sie den Bereich Tests für die verwaltete Erkennung. Möglicherweise müssen Sie auf der Seite scrollen.
Klicken Sie in der Liste auf Linux Managed Detection Testing, um die Detailseite zu öffnen.
Aktivieren Sie sowohl Status als auch Benachrichtigungen für die Regeln für Linux-gemanagte Erkennungstests.

Schritt 2: Testdaten von einem Linux-Gerät senden

So lösen Sie die Testregeln für die verwaltete Erkennung unter Linux aus:

Zugriff auf jedes Linux-Gerät, von dem Daten an Google SecOps gesendet werden.
Öffnen Sie eine neue Linux-Bash-Eingabeaufforderung als beliebiger Nutzer.
Geben Sie den folgenden Befehl ein und drücken Sie die Eingabetaste:

/bin/echo hello_chronicle_world!

Hinweis:Sie müssen das echo-Binärprogramm verwenden und nicht den in der Linux-Shell integrierten echo-Befehl.

Geben Sie den folgenden Befehl ein und drücken Sie die Eingabetaste:

sudo useradd test_chronicle_account
Entfernen Sie das im vorherigen Schritt erstellte Testkonto. Führen Sie folgenden Befehl aus:

sudo userdel test_chronicle_account
Geben Sie den folgenden Befehl ein und drücken Sie die Eingabetaste:

su
Geben Sie bei der Aufforderung zum Passwort einen beliebigen Zufallsstring ein. Beachten Sie, dass die Meldung su: Authentication failure angezeigt wird.
Schließen Sie das Bash-Fenster.

Schritt 3: Prüfen, ob Benachrichtigungen in Google SecOps ausgelöst wurden

Prüfen Sie, ob der Befehl die Regeln tst_linux_echo, tst_linux_failed_su_login und tst_linux_test_account_creation in Google SecOps ausgelöst hat. Das bedeutet, dass die Linux-Protokolle wie erwartet geschrieben und gesendet werden. So prüfen Sie die Benachrichtigung in Google SecOps:

Melden Sie sich in Google SecOps an.
Öffnen Sie die Seite „Ausgewählte Erkennungen“.
Klicken Sie auf Dashboard.
Prüfen Sie, ob die Regeln tst_linux_echo, tst_linux_failed_su_login und tst_linux_test_account_creation in der Erkennungsliste ausgelöst wurden.

Hinweis: Es kann einige Zeit dauern, bis die Benachrichtigung in Google SecOps angezeigt wird.

Schritt 4: Testregeln deaktivieren

Deaktivieren Sie die Regeln für Linux-gemanagte Erkennungstests, wenn Sie fertig sind.

Melden Sie sich in Google SecOps an.
Öffnen Sie die Seite „Ausgewählte Erkennungen“.
Deaktivieren Sie sowohl Status als auch Benachrichtigungen für die Regeln Linux Managed Detection Testing.

Datenaufnahme für die Kategorie „Windows-Bedrohungen“ prüfen

Mit der Windows-Echo-Testregel wird überprüft, ob die Microsoft Windows-Protokollierung für von Google SecOps ausgewählte Erkennungen ordnungsgemäß funktioniert. Dazu wird in einer Microsoft Windows-Umgebung über die Eingabeaufforderung der Befehl echo mit einem erwarteten und eindeutigen String ausgeführt.

Sie können den Test ausführen, während Sie als Nutzer angemeldet sind, der Zugriff auf die Windows-Eingabeaufforderung hat.

Schritt 1: Testregeln aktivieren

Melden Sie sich in Google SecOps an.
Öffnen Sie die Seite „Zusammengestellte Erkennungen“.
Maximieren Sie den Bereich Tests für die verwaltete Erkennung. Möglicherweise müssen Sie auf der Seite scrollen.
Klicken Sie in der Liste auf Windows Managed Detection Testing, um die Detailseite zu öffnen.
Aktivieren Sie sowohl Status als auch Benachrichtigungen für die Regeln für Windows-gemanagte Erkennungstests.

Schritt 2: Testdaten von einem Windows-Gerät senden

So lösen Sie die Windows-Echotestregel aus:

Zugriff auf alle Geräte, die Daten generieren, die an Google SecOps gesendet werden sollen.
Öffnen Sie als beliebiger Nutzer ein neues Fenster der Microsoft Windows-Eingabeaufforderung.
Geben Sie den folgenden Befehl ein, der nicht zwischen Groß- und Kleinschreibung unterscheidet, und drücken Sie die Eingabetaste:
```
cmd.exe /c "echo hello_chronicle_world!"
```
Schließen Sie das Fenster "Eingabeaufforderung".

Schritt 3: Prüfen, ob eine Benachrichtigung ausgelöst wurde

Prüfen Sie, ob der Befehl die Regel tst_Windows_Echo in Google SecOps ausgelöst hat. Das bedeutet, dass über die Microsoft Windows-Protokollierung wie erwartet Daten gesendet werden. So prüfen Sie die Benachrichtigung in Google SecOps:

Melden Sie sich in Google SecOps an.
Öffnen Sie die Seite „Ausgewählte Erkennungen“.
Klicken Sie auf Dashboard.
Prüfen Sie, ob die Regel tst_Windows_Echo in der Erkennungsliste ausgelöst wurde.

Hinweis:Es kann etwas dauern, bis die Benachrichtigung in Google SecOps angezeigt wird.

Schritt 4: Testregeln deaktivieren

Deaktivieren Sie die Regeln für Windows Managed Detection Testing, wenn Sie fertig sind.

Melden Sie sich in Google SecOps an.
Öffnen Sie die Seite „Zusammengestellte Erkennungen“.
Deaktivieren Sie sowohl Status als auch Benachrichtigungen für die Regeln für Windows-gemanagte Erkennungstests.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten