Diese Seite wurde von der Cloud Translation API übersetzt.

Datenaufnahme mithilfe von Testregeln prüfen

Die von Google Security Operations ausgewählten Erkennungen umfassen eine Reihe von Testregelsätzen, mit denen Sie prüfen können, ob die für jeden Regelsatz erforderlichen Daten im richtigen Format vorliegen.

Diese Testregeln befinden sich in der Kategorie Verwalteter Erkennungstest. Mit jedem Regelsatz wird überprüft, ob die vom Testgerät empfangenen Daten in einem Format vorliegen, das von den Regeln für diese Kategorie erwartet wird.

Name des Regelsatzes	Beschreibung
Verwaltete GCP-Erkennungstests	Überprüft, ob Google Cloud-Daten erfolgreich von Geräten aufgenommen wurden, die von der Kategorie „Cloud-Bedrohungen“ unterstützt werden. Weitere Informationen finden Sie unter Google Cloud-Datenaufnahme für die Kategorie „Cloud-Bedrohungen“ prüfen.
AWS Managed Detection Testing	Überprüft, ob AWS-Daten erfolgreich von Geräten aufgenommen wurden, die von der Kategorie „Cloud-Bedrohungen“ unterstützt werden. Weitere Informationen finden Sie unter AWS-Datenaufnahme für Cloud-Bedrohungen prüfen.
Verwaltete Linux-Erkennungstests	Überprüft, ob Daten erfolgreich von Geräten aufgenommen wurden, die von der Linux-Kategorie „Bedrohungen“ unterstützt werden. Weitere Informationen finden Sie unter Datenaufnahme unter Linux-Bedrohungen prüfen.
Verwaltete Erkennungstests unter Windows	Überprüft, ob Daten erfolgreich von Geräten aufgenommen wurden, die von der Kategorie „Windows-Bedrohungen“ unterstützt werden. Weitere Informationen finden Sie unter Datenaufnahme unter Windows-Bedrohungen prüfen.

Führen Sie die Schritte in diesem Dokument aus, um zu testen und zu prüfen, ob eingehende Daten korrekt aufgenommen wurden und im richtigen Format vorliegen.

Google Cloud-Datenaufnahme für die Kategorie „Cloud-Bedrohungen“ prüfen

Mit diesen Regeln lässt sich prüfen, ob Logdaten wie erwartet für die betreuten Erkennungen von Google Security Operations aufgenommen werden.

In den folgenden Schritten wird beschrieben, wie Sie Daten mit dem folgenden Objekt testen:

Regel zum Testen von Cloud-Audit-Metadaten: Zum Auslösen dieser Regel fügen Sie jeder virtuellen Maschine von Compute Engine, die Daten an Google Security Operations sendet, einen eindeutigen und erwarteten benutzerdefinierten Metadatenschlüssel hinzu.
Cloud DNS-Testregel: Zum Auslösen dieser Regel führen Sie einen DNS-Lookup für die Domain (chronicle.security) auf einer beliebigen virtuellen Maschine aus, die Zugriff auf das Internet hat und Logdaten an Google Security Operations sendet.
Regeln für SCC Managed Detection Testing: Führen Sie mehrere Aktionen in der Google Cloud Console aus, um diese Regeln auszulösen.
Regel für Cloud Kubernetes-Knotentests: Zum Auslösen dieser Regel erstellen Sie ein Testprojekt, das Logdaten an Google Security Operations sendet, und erstellen einen eindeutigen Knotenpool in einem vorhandenen Google Kubernetes Engine-Cluster.

Schritt 1: Testregeln aktivieren

Melden Sie sich bei Google Security Operations an.
Zur Seite „Ausgewählte Erkennungen“
Klicken Sie auf Regeln und Erkennungen > Regelsätze.
Maximieren Sie den Bereich Managed Detection Testing. Eventuell müssen Sie auf der Seite scrollen.
Klicken Sie in der Liste auf GCP Managed Detection Testing, um die Detailseite zu öffnen.
Aktivieren Sie sowohl Status als auch Benachrichtigungen für die Regeln für Cloud Managed Detection Testing.

Schritt 2: Daten für die Regel zum Testen von Cloud-Audit-Metadaten senden

So lösen Sie den Test aus:

Wählen Sie ein Projekt in Ihrer Organisation aus.
Rufen Sie die Compute Engine auf und wählen Sie eine virtuelle Maschine im Projekt aus.
Klicken Sie in der virtuellen Maschine auf Bearbeiten und führen Sie dann im Abschnitt Benutzerdefinierte Metadaten die folgenden Schritte aus:
- Klicken Sie auf Zeile hinzufügen.
- Geben Sie die folgenden Informationen ein:
  - Schlüssel: GCTI_ALERT_VALIDATION_TEST_KEY
  - Wert: works
- Klicken Sie auf Speichern.
Führen Sie die folgenden Schritte aus, um zu überprüfen, ob die Benachrichtigung ausgelöst wurde:
1. Bei Google Security Operations anmelden
2. Öffnen Sie die Seite „Ausgewählte Erkennungen“ und klicken Sie dann auf Dashboard.
3. Prüfen Sie, ob die Regel tst_GCP_Cloud_Audit_Metadata in der Erkennungsliste ausgelöst wurde.

Schritt 3: Daten für die Regel für Cloud DNS-Tests senden

Die folgenden Schritte müssen als IAM-Nutzer im ausgewählten Projekt ausgeführt werden, das Zugriff auf eine virtuelle Compute Engine-Maschine hat.

So lösen Sie den Test aus:

Wählen Sie ein Projekt in Ihrer Organisation aus.
Rufen Sie die Compute Engine auf und wählen Sie eine virtuelle Maschine im Projekt aus.
- Wenn es sich um eine virtuelle Linux-Maschine handelt, benötigen Sie SSH-Zugriff.
- Wenn es sich um eine virtuelle Windows-Maschine handelt, benötigen Sie RDP-Zugriff.
Klicken Sie auf SSH (Linux) oder RDP (Microsoft Windows), um auf die virtuelle Maschine zuzugreifen.
Senden Sie Testdaten mit einem der folgenden Schritte:
- Virtuelle Linux-Maschine: Nachdem Sie über SSH auf die virtuelle Maschine zugegriffen haben, führen Sie einen der folgenden Befehle aus: nslookup chronicle.security oder host chronicle.security.
  
  Wenn der Befehl fehlschlägt, installieren Sie dnsutils mit einem der folgenden Befehle auf der virtuellen Maschine:
  - sudo apt-get install dnsutils (für Debian/Ubuntu)
  - dnf install bind-utils (für RedHat/CentOS)
  - yum install bind-utils
- Virtuelle Microsoft Windows-Maschine: Nachdem Sie über RDP auf die virtuelle Maschine zugegriffen haben, rufen Sie einen beliebigen installierten Browser auf und rufen Sie die folgende URL auf: https://chronicle.security.
Führen Sie die folgenden Schritte aus, um zu überprüfen, ob die Benachrichtigung ausgelöst wurde:
1. Bei Google Security Operations anmelden
2. Öffnen Sie die Seite „Ausgewählte Erkennungen“ und klicken Sie dann auf Dashboard.
3. Prüfen Sie, ob die Regel tst_GCP_Cloud_DNS_Test_Rule in der Erkennungsliste ausgelöst wurde.

Schritt 4: Daten für Regeln für Cloud Kubernetes-Knotentests senden

Die folgenden Schritte müssen als IAM-Nutzer im ausgewählten Projekt mit Zugriff auf Google Kubernetes Engine-Ressourcen ausgeführt werden. Ausführlichere Informationen zum Erstellen regionaler Cluster und Knotenpools finden Sie unter Regionalen Cluster mit einem Knotenpool mit einer einzelnen Zone erstellen.

So lösen Sie die Testregeln aus:

Erstellen Sie in Ihrer Organisation ein Projekt mit dem Namen chronicle-kube-test-project. Dieses Projekt wird nur zu Testzwecken verwendet.
Rufen Sie in der Google Cloud Console die Seite „Google Kubernetes Engine“ auf.
Zur Seite „Google Kubernetes Engine“
Klicken Sie auf Erstellen, um einen neuen regionalen Cluster im Projekt zu erstellen. Konfigurieren Sie den Cluster gemäß den Anforderungen Ihrer Organisation.
Klicken Sie auf Knotenpool hinzufügen .
Nennen Sie den Knotenpool kube-node-validation und passen Sie die Poolgröße auf 1 Knoten pro Zone an.
Löschen Sie die Testressourcen:
1. Löschen Sie den Knotenpool, nachdem der Knotenpool kube-node-validation erstellt wurde.
2. Löschen Sie das Testprojekt chronicle-kube-test-project.
Melden Sie sich bei Google Security Operations an.
Öffnen Sie die Seite „Ausgewählte Erkennungen“ und klicken Sie dann auf Dashboard.
Prüfen Sie, ob die Regel tst_GCP_Kubernetes_Node in der Erkennungsliste ausgelöst wurde.
Prüfen Sie, ob die Regel tst_GCP_Kubernetes_CreateNodePool in der Erkennungsliste ausgelöst wurde.

Schritt 5: Daten für SCC Managed Detection Testing-Regeln senden

Mit den Schritten im folgenden Abschnitt wird geprüft, ob die Security Command Center-Ergebnisse und die zugehörigen Daten korrekt und im erwarteten Format aufgenommen werden.

Mit den Regelsätzen von SCC Managed Detection Testing in der Kategorie Managed Detection Testing können Sie prüfen, ob die für die CDIR SCC Enhanced-Regelsätze erforderlichen Daten an Google Security Operations gesendet werden und im richtigen Format vorliegen.

Mit jeder Testregel wird validiert, ob die Daten in einem Format empfangen werden, das von den Regeln erwartet wird. Sie führen Aktionen in Ihrer Google Cloud-Umgebung aus, um Daten zu senden, durch die eine Google Security Operations-Benachrichtigung generiert wird.

Füllen Sie die folgenden Abschnitte dieses Dokuments aus, die zum Konfigurieren des Loggings in Google Cloud-Diensten, zum Erfassen von Security Command Center Premium-Ergebnissen und zum Senden von Security Command Center-Ergebnissen an Google Security Operations erforderlich sind:

Weitere Informationen zu den in diesem Abschnitt beschriebenen Security Command Center-Benachrichtigungen finden Sie im Security Command Center-Dokument Bedrohungen untersuchen und darauf reagieren.

CDIR-SCC-Persistenztestregel auslösen

Führen Sie die folgenden Schritte aus, um Daten zu senden, die diese Benachrichtigung in Google Security Operations auslösen:

Erstellen Sie in der Google Cloud Console eine neue VM-Instanz und weisen Sie vorübergehend das Compute Engine-Standarddienstkonto mit Bearbeiterberechtigungen zu. Sie werden nach Abschluss des Tests wieder entfernt.
Wenn die neue Instanz verfügbar ist, weisen Sie den Zugriffsbereich auf Uneingeschränkten Zugriff für alle APIs zulassen zu.
Erstellen Sie ein neues Dienstkonto mit den folgenden Informationen:
- Legen Sie Name des Dienstkontos auf scc-test fest.
- Legen Sie Dienstkonto-ID auf scc-test fest.
- Geben Sie optional eine Beschreibung für das Dienstkonto ein.
Informationen zum Erstellen von Dienstkonten finden Sie im Dokument Dienstkonten erstellen.
Stellen Sie über SSH eine Verbindung zur im vorherigen Schritt erstellten Testinstanz her und führen Sie dann den folgenden gcloud-Befehl aus:
```
gcloud projects add-iam-policy-binding PROJECT_NAME
--member="serviceAccount:scc-test@PROJECT_NAME.iam.gserviceaccount.com"
--role="roles/owner`"
```
Ersetzen Sie PROJECT_NAME durch den Namen des Projekts, in dem die Compute Engine-Instanz ausgeführt wird und in dem das scc-test-Konto erstellt wurde.

Die Security Command Center-Benachrichtigung Persistenz: Anomale IAM-Erteilung sollte ausgelöst werden.
Melden Sie sich in Google Security Operations an und öffnen Sie die Seite Warnungen und Bedrohungsindikatoren.
Es sollte eine Benachrichtigung von Google Security Operations mit dem Titel SCC-Testbenachrichtigung: Anomale IAM-Erteilung an Testkonto gegeben angezeigt werden.
Öffnen Sie die Google Cloud Console und gehen Sie so vor:
- Entfernen Sie den scc-test-Testkontozugriff von IAM und der Admin-Konsole.
- Löschen Sie das Dienstkonto über das Dienstkonten-Portal.
- Löschen Sie die soeben erstellte VM-Instanz.

CDIR-SCC-Malware-Testregel auslösen

Führen Sie die folgenden Schritte aus, um Daten zu senden, die diese Benachrichtigung in Google Security Operations auslösen:

Stellen Sie in der Google Cloud Console über SSH eine Verbindung zu einer VM-Instanz her, auf der der Befehl curl installiert ist.
Führen Sie folgenden Befehl aus:
```
  curl etd-malware-trigger.goog
```
Nachdem Sie diesen Befehl ausgeführt haben, sollte die Security Command Center-Benachrichtigung Malware: Bad Domain ausgelöst werden.
Melden Sie sich in Google Security Operations an und öffnen Sie die Seite Warnungen und Bedrohungsindikatoren.
Prüfen Sie, ob eine Warnung von Google Security Operations mit dem Titel SCC-Warnung testen: Malware-schädliche Domain angezeigt wird.

Testregel für SCC Defense Evasion von CDIR auslösen

Führen Sie die folgenden Schritte aus, um Daten zu senden, die diese Benachrichtigung in Google Security Operations auslösen:

Melden Sie sich in der Google Cloud Console mit einem Konto an, das Zugriff auf Organisationsebene hat, um VPC Service Control-Perimeter zu ändern.
Rufen Sie in der Google Cloud Console die Seite VPC Service Controls auf.

Zu „VPC Service Controls“
Klicken Sie auf +Neuer Perimeter und konfigurieren Sie die folgenden Felder auf der Seite Details:
- Perimetertitel: scc_test_perimeter.
- Wählen Sie für Perimetertyp die Option Regulärer Perimeter (Standard) aus.
- Config Type (Konfigurationstyp) auf Enforced (Erzwungen)
Wählen Sie im linken Navigationsbereich 3 eingeschränkte Dienste aus.
Wählen Sie im Dialogfeld Geben Sie Dienste an, die eingeschränkt werden sollen die Option Google Compute Engine API aus und klicken Sie dann auf Google Compute Engine API hinzufügen.
Klicken Sie im linken Navigationsbereich auf Perimeter erstellen.
Rufen Sie die Seite VPC-Dienstperimeter auf, um den Perimeter zu ändern. Weitere Informationen zum Zugriff auf diese Seite finden Sie unter Dienstperimeter auflisten und beschreiben.
Wählen Sie scc_test_perimeter und dann Perimeter bearbeiten aus.
Klicken Sie unter Eingeschränkte Dienste auf das Symbol Löschen, um den Dienst Google Compute Engine API zu entfernen. Dies sollte die Benachrichtigung Verteidigung: Umgehung des VPC Service Control-Perimeters in SCC auslösen.
Melden Sie sich in Google Security Operations an und öffnen Sie die Seite Warnungen und Bedrohungsindikatoren.
Prüfen Sie, ob eine Benachrichtigung von Google Security Operations mit dem Titel SCC-Warnung testen: VPC Service Control-Testbenachrichtigung ändern angezeigt wird.

CDIR-SCC-Exfiltrations-Testregel auslösen

Führen Sie die folgenden Schritte aus, um Daten zu senden, die diese Benachrichtigung in Google Security Operations auslösen:

Rufen Sie in der Google Cloud Console ein Google Cloud-Projekt auf und öffnen Sie BigQuery.

BigQuery aufrufen
Erstellen Sie eine CSV-Datei mit den folgenden Daten und speichern Sie sie dann in Ihrem Basisverzeichnis.
```
column1, column2, column3
data1, data2, data3
data4, data5, data6
data7, data8, data9
```
Wählen Sie im linken Navigationsbereich Dataset erstellen aus.
Legen Sie die folgende Konfiguration fest und klicken Sie dann auf Dataset erstellen:
- Dataset-ID auf scc_test_dataset festgelegt
- Standorttyp ist auf Mehrere Regionen festgelegt.
- Tabellenablauf aktivieren: Wählen Sie diese Option nicht aus.
Ausführlichere Informationen zum Erstellen eines Datasets finden Sie im BigQuery-Dokument Datasets erstellen.
Klicken Sie im linken Navigationsbereich rechts neben scc_test_dataset auf das Symbol und wählen Sie Tabelle erstellen aus.
Erstellen Sie eine Tabelle und legen Sie die folgende Konfiguration fest:
- Create table from (Tabelle erstellen aus): Legen Sie dafür Upload fest.
- Datei auswählen: Gehen Sie zu Ihrem Basisverzeichnis und wählen Sie die CSV-Datei aus, die Sie zuvor erstellt haben.
- Dateiformat: Wählen Sie CSV aus.
- Dataset: auf css_test_dataset festgelegt
- Tabellentyp: Wählen Sie Native Tabelle aus.
Übernehmen Sie für alle anderen Felder die Standardkonfiguration und klicken Sie dann auf Tabelle erstellen.

Ausführlichere Informationen zum Erstellen einer Tabelle finden Sie im BigQuery-Dokument Tabellen erstellen und verwenden.
Wählen Sie in der Ressourcenliste die Tabelle css_test_dataset aus, klicken Sie auf Abfrage und wählen Sie in neuem Tab aus.
Führen Sie die folgende Abfrage aus:
```
SELECT * FROM TABLE_NAME LIMIT 1000`
```
Ersetzen Sie TABLE_NAME durch den voll qualifizierten Tabellennamen.
Klicken Sie nach der Ausführung der Abfrage auf Ergebnisse speichern und wählen Sie CSV in Google Drive aus. Dadurch sollte die Benachrichtigung Exfiltration: BigQuery-Exfiltration zu Google Drive ausgelöst werden. Das Security Command Center-Ergebnis sollte an Google Security Operations gesendet werden und eine Benachrichtigung von Google Security Operations auslösen.
Melden Sie sich in Google Security Operations an und öffnen Sie die Seite Warnungen und Bedrohungsindikatoren.
Prüfen Sie, ob eine Benachrichtigung von Google Security Operations mit dem Titel SCC-Benachrichtigung testen: BigQuery-Exfiltration zu Google Drive angezeigt wird.

Schritt 6: Testregeln deaktivieren

Wenn Sie fertig sind, deaktivieren Sie die Regeln für GCP Managed Detection Testing.

Melden Sie sich bei Google Security Operations an.
Zur Seite „Ausgewählte Erkennungen“
Deaktivieren Sie sowohl Status als auch Benachrichtigungen für die Regeln für GCP Managed Detection Testing.

AWS-Datenaufnahme für Cloud Threats-Kategorie prüfen

Mit AWS Managed Detection Testing-Testregeln können Sie prüfen, ob AWS-Daten in Google Security Operations aufgenommen werden. Mit diesen Testregeln lässt sich prüfen, ob AWS-Daten aufgenommen wurden und im erwarteten Format vorliegen. Nachdem Sie die Aufnahme von AWS-Daten eingerichtet haben, führen Sie Aktionen in AWS aus, die die Testregeln auslösen sollen.

Der Nutzer, der diese Regeln in Detection Engine aktiviert, muss die IAM-Berechtigung curatedRuleSetDeployments.batchUpdate haben.
Der Nutzer, der die Schritte zum Senden von AWS-Daten ausführt, muss die AWS IAM-Berechtigungen zum Bearbeiten der Tags einer EC2-Instanz im ausgewählten Konto haben. Weitere Informationen zum Taggen von EC2-Instanzen finden Sie im AWS-Dokument Amazon EC2-Ressourcen taggen.

AWS Managed Detection Testing-Testregeln aktivieren

Klicken Sie in Google Security Operations auf Erkennungen > Regeln und Erkennungen, um die Seite „Ausgewählte Erkennungen“ zu öffnen.
Wählen Sie Managed Detection Testing > AWS Managed Detection Testing aus.
Sowohl Status als auch Benachrichtigungen für die Regeln Weitgehend passend und Genau aktiviert.

Prüfen Sie, ob Tag-Aktionen in AWS die Testregel auslösen

Prüfen Sie mit den folgenden Schritten, ob die Tag-Aktionen in AWS den Regelsatz auslösen.

Schritt 1: Generieren Sie ein Protokollereignis in AWS.

Wählen Sie ein Konto in Ihrer AWS-Umgebung aus.
Rufen Sie das EC2-Dashboard auf und wählen Sie eine Instanz im Konto aus.
Klicken Sie in der EC2-Instanz auf Aktionen und dann auf Instanzeinstellungen. Führen Sie dann im Bereich Tags verwalten die folgenden Schritte aus:
1. Klicken Sie auf Neues Tag hinzufügen.
2. Geben Sie die folgenden Informationen ein:
3. Key: GCTI_ALERT_VALIDATION_TEST_KEY
4. Wert: works
5. Klicken Sie auf Speichern.

Weitere Informationen finden Sie unter EC2-Instanz-Tags hinzufügen oder entfernen.

Schritt 2: Prüfen Sie, ob die Testbenachrichtigungen ausgelöst werden.

Nachdem Sie die Aufgabe im vorherigen Schritt ausgeführt haben, prüfen Sie, ob die Regel für die AWS CloudTrail-Testregel ausgelöst wurde. Dies weist darauf hin, dass CloudTrail-Logs wie erwartet aufgezeichnet und an Google Security Operations gesendet wurden. Führen Sie die folgenden Schritte aus, um die Benachrichtigung zu verifizieren:

Klicken Sie in Google Security Operations auf Erkennungen > Regeln und Erkennungen, um die Seite „Ausgewählte Erkennungen“ zu öffnen.
Klicken Sie auf Dashboard.
Prüfen Sie in der Liste der Erkennungen, ob die Regel tst_AWS_Cloud_Trail_Tag ausgelöst wurde.

Prüfen, ob AWS GuardDuty-Beispielergebnisse Testregeln auslösen

Damit GuardDuty-Benachrichtigungen in Ihrer Umgebung wie vorgesehen funktionieren, können Sie GuardDuty-Beispielergebnisse an Google Security Operations senden.

Schritt 1: GuardDuty-Beispielergebnisdaten generieren.

Rufen Sie die Startseite der AWS Console auf.
Öffnen Sie unter Sicherheit, Identität und Compliance GuardDuty.
Gehen Sie zu den Einstellungen von GuardDuty.
Klicken Sie auf Beispielergebnisse generieren.

Weitere Informationen zum Generieren von GuardDuty-Beispielergebnissen finden Sie unter Beispielergebnisse in GuardDuty generieren.

Schritt 2: Prüfen Sie, ob die Testbenachrichtigungen ausgelöst wurden.

Klicken Sie in Google Security Operations auf Erkennung > Regeln und Erkennungen, um die Seite „Ausgewählte Erkennungen“ zu öffnen.
Klicken Sie auf Dashboard.
Prüfen Sie, ob die AWS CloudTrail Test Rule in der Erkennungsliste ausgelöst wurde.

Regelsätze für AWS Managed Detection Testing deaktivieren

Klicken Sie in Google Security Operations auf Erkennung > Regeln und Erkennungen, um die Seite „Ausgewählte Erkennungen“ zu öffnen.
Wählen Sie die Regeln für Managed Detection Testing > AWs Managed Detection Testing aus.
Deaktivieren Sie sowohl Status als auch Benachrichtigungen für die Regeln Weitgehend passend und Genau.

Datenaufnahme für die Linux-Kategorie „Bedrohungen“ prüfen

Mit den Regeln zum Testen der verwalteten Linux-Umgebung wird überprüft, ob das Logging auf einem Linux-System für die von Google Security Operations ausgewählten Erkennungen ordnungsgemäß funktioniert. Die Tests umfassen die Verwendung der Bash-Eingabeaufforderung in einer Linux-Umgebung zur Ausführung verschiedener Befehle und können von jedem Nutzer ausgeführt werden, der Zugriff auf die Linux Bash-Eingabeaufforderung hat.

Schritt 1: Testregeln aktivieren

Melden Sie sich bei Google Security Operations an.
Zur Seite „Ausgewählte Erkennungen“
Klicken Sie auf Regeln und Erkennungen > Regelsätze.
Maximieren Sie den Bereich Managed Detection Testing. Eventuell müssen Sie auf der Seite scrollen.
Klicken Sie in der Liste auf Linux Managed Detection Testing, um die Detailseite zu öffnen.
Aktivieren Sie sowohl Status als auch Benachrichtigungen für die Regeln für Linux Managed Detection Testing.

Schritt 2: Testdaten von einem Linux-Gerät senden

Führen Sie die folgenden Schritte aus, um die Testregeln für Linux Managed Detection Testing auszulösen:

Sie können auf jedes Linux-Gerät zugreifen, von dem Daten an Google Security Operations gesendet werden.
Öffnen Sie mit einem beliebigen Nutzer eine neue Befehlszeilenoberfläche für Linux Bash-Eingabeaufforderung.
Geben Sie den folgenden Befehl ein und drücken Sie die Eingabetaste:

/bin/echo hello_chronicle_world!

Sie müssen das Binärprogramm echo und nicht den in Linux Shell integrierten Befehl echo verwenden.

Geben Sie den folgenden Befehl ein und drücken Sie die Eingabetaste:

sudo useradd test_chronicle_account
Entfernen Sie das im vorherigen Schritt erstellte Testkonto. Führen Sie den folgenden Befehl aus:

sudo userdel test_chronicle_account
Geben Sie den folgenden Befehl ein und drücken Sie die Eingabetaste:

su
Wenn Sie zur Eingabe des Passworts aufgefordert werden, geben Sie eine beliebige Zeichenfolge ein. Beachten Sie, dass die Meldung su: Authentication failure angezeigt wird.
Schließen Sie das Bash-Fenster.

Schritt 3: Prüfen, ob Warnungen in Google Security Operations ausgelöst wurden

Prüfen Sie, ob der Befehl die Regeln *tst_linux_echo, tst_linux_failed_su_login und tst_linux_test_account_creation in Google Security Operations ausgelöst hat. Dies bedeutet, dass die Linux-Protokolle wie erwartet geschrieben und gesendet werden. Führen Sie die folgenden Schritte aus, um die Warnung in Google Security Operations zu überprüfen:

Melden Sie sich bei Google Security Operations an.
Zur Seite „Ausgewählte Erkennungen“
Klicken Sie auf Dashboard.
Prüfen Sie, ob die Regeln tst_linux_echo, tst_linux_failed_su_login und tst_linux_test_account_creation in der Erkennungsliste ausgelöst wurden.

Hinweis :Es kann etwas dauern, bis die Warnung in Google Security Operations angezeigt wird.

Schritt 4: Testregeln deaktivieren

Wenn Sie fertig sind, deaktivieren Sie die Regeln für Linux Managed Detection Testing.

Melden Sie sich bei Google Security Operations an.
Zur Seite „Ausgewählte Erkennungen“
Deaktivieren Sie sowohl Status als auch Benachrichtigungen für die Regeln für Linux Managed Detection Testing.

Datenaufnahme für die Windows-Bedrohungskategorie prüfen

Die Windows Echo-Testregel prüft, ob das Microsoft Windows-Logging für die von Google Security Operations ausgewählten Erkennungen ordnungsgemäß funktioniert. Beim Test wird in einer Microsoft Windows-Umgebung über die Eingabeaufforderung der Befehl echo mit einem erwarteten und eindeutigen String ausgeführt.

Sie können den Test ausführen, während Sie mit einem beliebigen Nutzer angemeldet sind, der Zugriff auf die Windows-Eingabeaufforderung hat.

Schritt 1: Testregeln aktivieren

Melden Sie sich bei Google Security Operations an.
Zur Seite „Ausgewählte Erkennungen“
Maximieren Sie den Bereich Managed Detection Testing. Eventuell müssen Sie auf der Seite scrollen.
Klicken Sie in der Liste auf Test der verwalteten Windows-Erkennung, um die Detailseite zu öffnen.
Aktivieren Sie sowohl Status als auch Benachrichtigungen für die Regeln für Windows Managed Detection Testing.

Schritt 2: Testdaten von einem Windows-Gerät senden

Führen Sie die folgenden Schritte aus, um die Windows Echo-Testregel auszulösen:

Auf jedes Gerät zugreifen, das Daten generiert, die an Google Security Operations gesendet werden sollen
Öffnen Sie als beliebiger Nutzer ein neues Microsoft Windows-Eingabeaufforderungsfenster.
Geben Sie den folgenden Befehl ein, bei dem die Groß-/Kleinschreibung nicht berücksichtigt wird, und drücken Sie die Eingabetaste:
```
cmd.exe /c "echo hello_chronicle_world!"
```
Schließen Sie das Fenster "Eingabeaufforderung".

Schritt 3: Prüfen, ob eine Benachrichtigung ausgelöst wurde

Prüfen Sie, ob der Befehl die Regel tst_Windows_Echo in Google Security Operations ausgelöst hat. Dies weist darauf hin, dass die Microsoft Windows-Protokollierung Daten wie erwartet sendet. Führen Sie die folgenden Schritte aus, um die Warnung in Google Security Operations zu überprüfen:

Melden Sie sich bei Google Security Operations an.
Zur Seite „Ausgewählte Erkennungen“
Klicken Sie auf Dashboard.
Prüfen Sie, ob die Regel tst_Windows_Echo in der Erkennungsliste ausgelöst wurde.

Hinweis :Es kann etwas dauern, bis die Warnung in Google Security Operations angezeigt wird.

Schritt 4: Testregeln deaktivieren

Wenn Sie fertig sind, deaktivieren Sie die Regeln für Windows-verwaltete Erkennungstests.

Melden Sie sich bei Google Security Operations an.
Zur Seite „Ausgewählte Erkennungen“
Deaktivieren Sie sowohl Status als auch Benachrichtigungen für die Regeln für Windows Managed Detection Testing.