Se usó la API de Cloud Translation para traducir esta página.

Verifica la transferencia de datos con reglas de prueba

Las detecciones seleccionadas de las operaciones de seguridad de Google incluyen un conjunto de conjuntos de reglas de prueba que te ayudan a verificar que los datos necesarios para cada conjunto de reglas estén en el formato correcto.

Estas reglas se encuentran en la categoría Prueba de detección administrada. Cada conjunto de reglas valida que los datos que recibe el dispositivo de prueba estén en el formato que esperan las reglas de esa categoría específica.

Nombre del conjunto de reglas	Descripción
Pruebas de detección administrada de GCP	Verifica que los datos de Google Cloud se transfieran correctamente desde dispositivos compatibles con la categoría Cloud Threats. Consulta Verifica la transferencia de datos de Google Cloud para la categoría Cloud Threats para obtener más información.
Pruebas de detección administrada de AWS	Verifica que los datos de AWS se transfieran con éxito desde dispositivos compatibles con la categoría Cloud Threats. Consulta Verifica la transferencia de datos de AWS para la categoría Cloud Threats para obtener más información.
Pruebas de detección administrada de Linux	Verifica que los datos se transfieran correctamente desde dispositivos compatibles con la categoría Linux Threats. Consulta Cómo verificar la transferencia de datos para la categoría de amenazas de Linux para obtener más información.
Pruebas de detección administrada de Windows	Verifica que los datos se transfieran correctamente desde dispositivos compatibles con la categoría Amenazas de Windows. Consulta Cómo verificar la transferencia de datos para la categoría Amenazas de Windows para obtener más información.

Sigue los pasos que se indican en este documento para probar y verificar que los datos entrantes se transfieran de forma correcta y tengan el formato correcto.

Verifica la transferencia de datos de Google Cloud para la categoría Cloud Threats

Estas reglas ayudan a verificar si los datos de registro se transfieren como se espera para las detecciones seleccionadas de las operaciones de seguridad de Google.

En los siguientes pasos, se describe cómo probar los datos con lo siguiente:

Regla de prueba de metadatos de auditoría de Cloud: para activar esta regla, agrega una clave de metadatos personalizados única y esperada a cualquier máquina virtual de Compute Engine que envíe datos a las operaciones de seguridad de Google.
Regla de prueba de Cloud DNS: Para activar esta regla, realiza una búsqueda de DNS al dominio (chronicle.security) dentro de cualquier máquina virtual que tenga acceso a Internet y envíe datos de registro a las operaciones de seguridad de Google.
Reglas de pruebas de detección administrada de SCC: Para activar estas reglas, realiza varias acciones en la consola de Google Cloud.
Regla de prueba de nodos de Cloud Kubernetes: Para activar esta regla, crea un proyecto de prueba que envíe datos de registro a las operaciones de seguridad de Google y crea un grupo de nodos único en un clúster de Google Kubernetes Engine existente.

Paso 1. Cómo habilitar las reglas de prueba

Accede a Operaciones de seguridad de Google.
Abre la página Detecciones seleccionadas.
Haz clic en Reglas y detecciones > Conjuntos de reglas.
Expande la sección Prueba de detección administrada. Es posible que debas desplazarte por la página.
Haz clic en GCP Managed Detection Testing de la lista para abrir la página de detalles.
Habilita Estado y Alertas para las reglas de Cloud Managed Detection Testing.

Paso 2. Enviar datos para la regla Cloud Audit Metadata Testing

Para activar la prueba, completa los siguientes pasos:

Elige un proyecto de tu organización.
Ve a Compute Engine y elige una máquina virtual dentro del proyecto.
Dentro de la máquina virtual, haz clic en Editar y, luego, haz lo siguiente en la sección Metadatos personalizados:
- Haz clic en Agregar elemento.
- Ingresa la siguiente información:
  - Clave: GCTI_ALERT_VALIDATION_TEST_KEY
  - Valor: works
- Haz clic en Guardar.
Sigue estos pasos para verificar que se activó la alerta:
1. Acceder a Operaciones de seguridad de Google
2. Abre la página Detecciones seleccionadas y, luego, haz clic en Panel.
3. Comprueba que la regla tst_GCP_Cloud_Audit_Metadata se haya activado en la lista de detección.

Paso 3. Enviar datos para la regla de Cloud DNS Testing

Los siguientes pasos se deben realizar como usuario de IAM en el proyecto elegido que tenga acceso a una máquina virtual de Compute Engine.

Para activar la prueba, completa los siguientes pasos:

Elige un proyecto de tu organización.
Ve a Compute Engine y, luego, elige una máquina virtual dentro del proyecto.
- Si se trata de una máquina virtual de Linux, asegúrate de tener acceso SSH.
- Si se trata de una máquina virtual de Windows, asegúrate de tener acceso RDP.
Haz clic en SSH (Linux) o RDP (Microsoft Windows) para acceder a la máquina virtual.
Envía datos de prueba mediante uno de los siguientes pasos:
- Máquina virtual de Linux: Después de acceder a la máquina virtual mediante SSH, ejecuta uno de los siguientes comandos: nslookup chronicle.security o host chronicle.security.
  
  Si el comando falla, instala dnsutils en la máquina virtual mediante uno de los siguientes comandos:
  - sudo apt-get install dnsutils (para Debian/Ubuntu)
  - dnf install bind-utils (para Red Hat/CentOS)
  - yum install bind-utils
- Máquina virtual de Microsoft Windows: Después de acceder a la máquina virtual mediante RDP, ve a cualquier navegador instalado y navega a la siguiente URL: https://chronicle.security
Sigue estos pasos para verificar que se activó la alerta:
1. Acceder a Operaciones de seguridad de Google
2. Abre la página Detecciones seleccionadas y, luego, haz clic en Panel.
3. Comprueba que la regla tst_GCP_Cloud_DNS_Test_Rule se activó en la lista de detección.

Paso 4. Envía datos para las reglas de Cloud Kubernetes Node Testing.

Los siguientes pasos se deben realizar como usuario de IAM en el proyecto elegido que tenga acceso a los recursos de Google Kubernetes Engine. Para obtener información más detallada sobre la creación de clústeres y grupos de nodos regionales, consulta Crea un clúster regional con un grupo de nodos de zona única. Estas reglas de prueba están diseñadas para verificar la transferencia de datos del tipo de registro KUBERNETES_NODE.

Para activar las reglas de prueba, completa los siguientes pasos:

Crea un proyecto dentro de tu organización, llamado chronicle-kube-test-project. Este proyecto se usa solo para realizar pruebas.
Navega a la página de Google Kubernetes Engine en la consola de Google Cloud.
Ir a la página de Google Kubernetes Engine
Haz clic en Crear para crear un clúster regional nuevo en el proyecto. Configura el clúster según los requisitos de tu organización.
Haz clic en Agregar grupo de nodos.
Asigna el nombre kube-node-validation al grupo de nodos y, luego, ajusta el tamaño del grupo a 1 nodo por zona.
Borra los recursos de prueba:
1. Después de crear el grupo de nodos kube-node-validation, bórralo.
2. Borra el proyecto de prueba chronicle-kube-test-project.
Accede a Operaciones de seguridad de Google.
Abre la página Detecciones seleccionadas y, luego, haz clic en Panel.
Compruebe que la regla tst_GCP_Kubernetes_Node se haya activado en la lista de detección.
Comprueba que la regla tst_GCP_Kubernetes_CreateNodePool se haya activado en la lista de detección.

Paso 5: Enviar datos para las reglas de SCC Managed Detection Testing

Con los pasos de la siguiente sección, se verifica que los resultados de Security Command Center y los datos relacionados se transfieran de forma correcta y en el formato esperado.

Los conjuntos de reglas de Pruebas de detección administrada de SCC en la categoría Prueba de detección administrada te permiten verificar que los datos necesarios para los conjuntos de reglas CDIR SCC Enhanced se envíen a las operaciones de seguridad de Google y tengan el formato correcto.

Cada regla de prueba valida que los datos se reciban en el formato que esperan las reglas. Debes realizar acciones en tu entorno de Google Cloud para enviar datos que generarán una alerta de operaciones de seguridad de Google.

Asegúrate de completar las siguientes secciones de este documento necesarias para configurar el registro en los servicios de Google Cloud, recopilar resultados de la versión Premium de Security Command Center y enviar los resultados de Security Command Center a las operaciones de seguridad de Google:

Para obtener más información sobre las alertas de Security Command Center que se describen en esta sección, consulta el documento de Security Command Center Investiga y responde a las amenazas.

Activa la regla de la prueba de persistencia de CDIR SCC

Para enviar datos que activan esta alerta en las operaciones de seguridad de Google, sigue estos pasos:

En la consola de Google Cloud, crea una instancia de VM nueva y asigna de manera temporal la cuenta de servicio predeterminada de Compute Engine con privilegios de Editor. Deberás quitarlos cuando finalice la prueba.
Cuando la instancia nueva esté disponible, asigna el Permiso de acceso a Permitir el acceso total a todas las APIs.
Crea una cuenta de servicio nueva con la siguiente información:
- Establece el Nombre de la cuenta de servicio como scc-test.
- Establece el ID de la cuenta de servicio como scc-test.
- De manera opcional, ingresa una Descripción para la cuenta de servicio.
Consulta el documento Crea cuentas de servicio para obtener información sobre cómo crear cuentas de servicio.
Conéctate con SSH a la instancia de prueba creada en el paso anterior y, luego, ejecuta el siguiente comando gcloud:
```
gcloud projects add-iam-policy-binding PROJECT_NAME
--member="serviceAccount:scc-test@PROJECT_NAME.iam.gserviceaccount.com"
--role="roles/owner`"
```
Reemplaza PROJECT_NAME por el nombre del proyecto en el que se ejecuta la instancia de Compute Engine y donde se creó la cuenta scc-test.

Se debería activar la alerta de Security Command Center Persistencia: otorgamiento anómalo de IAM.
Accede a Google Security Operations y, luego, abre la página Alerts & IOCs.
Deberías ver una alerta de operaciones de seguridad de Google titulada Alerta de SCC de prueba: otorgamiento anómalo de IAM que se le otorgó a la cuenta de prueba.
Abre la consola de Google Cloud y, luego, sigue estos pasos:
- Quita el acceso a la cuenta de prueba scc-test de IAM y la Consola del administrador.
- Borra la cuenta de servicio mediante el portal de Cuentas de servicio.
- Borra la instancia de VM que acabas de crear.

Activar la regla de prueba de software malicioso de CDIR SCC

Para enviar datos que activan esta alerta en las operaciones de seguridad de Google, sigue estos pasos:

En la consola de Google Cloud, conéctate mediante SSH a cualquier instancia de VM en la que esté instalado el comando curl.
Ejecuta el siguiente comando:
```
  curl etd-malware-trigger.goog
```
Después de ejecutar este comando, se debería activar la alerta de Security Command Center, Software malicioso: Dominio incorrecto.
Accede a Google Security Operations y, luego, abre la página Alerts & IOCs.
Verifica que veas una alerta de operaciones de seguridad de Google titulada Test SCC Alert: Malware Bad Domain.

Activar la regla de la prueba de evasión de defensas de CDIR SCC

Para enviar datos que activan esta alerta en las operaciones de seguridad de Google, sigue estos pasos:

Accede a Google Cloud Console con una cuenta que tenga acceso a nivel de la organización para modificar los perímetros de control del servicio de VPC.
En la consola de Google Cloud, ve a la página Controles del servicio de VPC.

Ir a los Controles del servicio de VPC
Haz clic en + Nuevo perímetro y configura los siguientes campos en la página Detalles:
- Título del perímetro: scc_test_perimeter.
- Tipo de perímetro como Perímetro regular (predeterminado).
- Config Type como Enforced.
En el panel de navegación izquierdo, selecciona 3 servicios restringidos.
En el diálogo Especificar los servicios que deseas restringir, selecciona API de Google Compute Engine y, luego, haz clic en Agregar la API de Google Compute Engine.
En el panel de navegación izquierdo, haz clic en Crear perímetro.
Para modificar el perímetro, ve a la página Perímetros de servicio de VPC. Si deseas obtener información más detallada para acceder a esta página, consulta el artículo Cómo enumerar y describir perímetros de servicio.
Selecciona scc_test_perimeter y, luego, Editar perímetro.
En Servicios restringidos, haz clic en el ícono Borrar para quitar el servicio de la API de Google Compute Engine. Esto debería activar la alerta Evasión de defensa: Modificar el perímetro de control del servicio de VPC en SCC.
Accede a Google Security Operations y, luego, abre la página Alerts & IOCs.
Verifica que veas una alerta de operaciones de seguridad de Google titulada Prueba la alerta de SCC: Modifica la alerta de prueba del control del servicio de VPC.

Activa la regla de prueba de robo de datos de CDIR SCC

Para enviar datos que activan esta alerta en las operaciones de seguridad de Google, sigue estos pasos:

En la consola de Google Cloud, ve a un proyecto de Google Cloud y, luego, abre BigQuery.

Ir a BigQuery
Crea un archivo CSV con los siguientes datos y, luego, guárdalo en tu directorio principal.
```
column1, column2, column3
data1, data2, data3
data4, data5, data6
data7, data8, data9
```
En el panel de navegación izquierdo, elige Crear conjunto de datos.
Establece la siguiente configuración y, luego, haz clic en Crear conjunto de datos:
- El ID del conjunto de datos está configurado en scc_test_dataset.
- El Tipo de ubicación está configurado en Multirregional.
- Habilitar el vencimiento de la tabla: No selecciones esta opción.
Para obtener información más detallada sobre la creación de un conjunto de datos, consulta el documento de BigQuery Crea conjuntos de datos.
En el panel de navegación izquierdo, a la derecha de scc_test_dataset, haz clic en el ícono y selecciona Crear tabla.
Crea una tabla y establece la siguiente configuración:
- Crear tabla desde: Establécela en Subir.
- Seleccionar archivo: Navega a tu directorio principal y selecciona el archivo CSV que creaste anteriormente.
- Formato de archivo: Configúralo como CSV.
- Conjunto de datos: establecido en css_test_dataset
- Table type (Tipo de tabla): Configúrala en Native table.
Acepta la configuración predeterminada para todos los demás campos y haz clic en Crear tabla.

Para obtener información más detallada sobre cómo crear una tabla, consulta el documento de BigQuery Cómo crear y usar tablas.
En la lista de recursos, selecciona la tabla css_test_dataset, haz clic en Consulta y elige en Nueva pestaña.
Ejecuta la siguiente consulta:
```
SELECT * FROM TABLE_NAME LIMIT 1000`
```
Reemplaza TABLE_NAME por el nombre de la tabla completamente calificado.
Después de que se ejecute la consulta, haz clic en Guardar los resultados y, luego, elige CSV en Google Drive. Esto debería activar la alerta de Security Command Center, Exfiltración: Exfiltración de BigQuery a Google Drive. El hallazgo de Security Command Center debe enviarse a Google Security Operations y activar una alerta de operaciones de seguridad de Google.
Accede a Google Security Operations y, luego, abre la página Alerts & IOCs.
Verifica que veas una alerta de operaciones de seguridad de Google titulada Test SCC Alert: BigQuery Exfiltration to Google Drive.

Paso 6. Cómo inhabilitar las reglas de prueba

Cuando hayas terminado, inhabilita las reglas de Prueba de detección administrada por GCP.

Accede a Operaciones de seguridad de Google.
Abre la página Detecciones seleccionadas.
Inhabilita Estado y Alertas para las reglas de GCP Managed Detection Testing.

Verifique la transferencia de datos de AWS para la categoría Cloud Threats

Puedes usar las reglas de prueba de AWS Managed Detection Testing para verificar que los datos de AWS se transfieran a las operaciones de seguridad de Google. Estas reglas de prueba ayudan a verificar que los datos de AWS se transfirieron y que tienen el formato esperado. Después de configurar la transferencia de datos de AWS, debes realizar acciones en AWS que deben activar las reglas de prueba.

El usuario que habilite estas reglas en Detection Engine debe tener el permiso de IAM curatedRuleSetDeployments.batchUpdate.
El usuario que realiza los pasos para enviar datos de AWS debe tener los permisos de IAM de AWS para editar las etiquetas de una instancia EC2 en la cuenta elegida. Para obtener más información sobre el etiquetado de instancias EC2, consulta el documento de AWS Etiqueta tus recursos de Amazon EC2.

Habilita las reglas de prueba de AWS Managed Detection Testing

En Operaciones de seguridad de Google, haz clic en Detectaciones > Reglas y detecciones para abrir la página Detecciones seleccionadas.
Selecciona Managed Detection Testing > AWS Managed Detection Testing.
Habilitaste las funciones Estado y Alertas para las reglas Broad y Precise.

Verifica que las acciones de etiqueta en AWS activen la regla de prueba

Realiza los siguientes pasos para verificar que las acciones de la etiqueta en AWS activen el conjunto de reglas.

Paso 1. Genera un evento de registro en AWS.

Elige una cuenta dentro de tu entorno de AWS.
Ve al Panel de EC2 y, luego, elige una instancia dentro de la cuenta.
Dentro de la instancia de EC2, haz clic en Acciones, luego en Configuración de la instancia y haz lo siguiente en la sección Administrar etiquetas:
1. Haz clic en Agregar etiqueta nueva.
2. Ingresa la siguiente información:
3. Clave: GCTI_ALERT_VALIDATION_TEST_KEY
4. Valor: works
5. Haz clic en Guardar.

Para obtener información más detallada, consulta Cómo agregar o quitar etiquetas de instancias de EC2.

Paso 2. Verifica que se activen las alertas de prueba.

Después de realizar la tarea del paso anterior, verifica que la regla AWS CloudTrail Test Rule se active. Esto indica que los registros de CloudTrail se grabaron y enviaron a las operaciones de seguridad de Google como se esperaba. Sigue estos pasos para verificar la alerta:

En Operaciones de seguridad de Google, haz clic en Detectaciones > Reglas y detecciones para abrir la página Detecciones seleccionadas.
Haz clic en Panel.
En la lista de detecciones, verifica que se haya activado la regla tst_AWS_Cloud_Trail_Tag.

Verifica que los resultados de la muestra de AWS GuardDuty activen las reglas de prueba

Para asegurarte de que las alertas de GuardDuty funcionen según lo previsto en tu entorno, puedes enviar resultados de muestra de GuardDuty a las operaciones de seguridad de Google.

Paso 1. Generar datos de resultados de muestras de GuardDuty.

Ve a la página principal de la consola de AWS.
En Seguridad, identidad y cumplimiento, abre GuardDuty.
Navega a la configuración de GuardDuty.
Haz clic en Generar resultados de muestra.

Si quieres obtener más información para generar ejemplos de resultados de GuardDuty, consulta Cómo generar resultados de muestra en GuardDuty.

Paso 2. Verifica que se hayan activado las alertas de prueba.

En Operaciones de seguridad de Google, haz clic en Detección > Reglas y detecciones para abrir la página Detecciones seleccionadas.
Haz clic en Panel.
Verifica que la regla de prueba de AWS CloudTrail se activó en la lista de detección.

Inhabilita los conjuntos de reglas de AWS Managed Detection Testing

En Operaciones de seguridad de Google, haz clic en Detección > Reglas y detecciones para abrir la página Detecciones seleccionadas.
Selecciona las reglas de Managed Detection Testing, > AWs Managed Detection Testing.
Inhabilita Estado y Alertas para las reglas Broad y Precise.

Verifique la transferencia de datos para la categoría de amenazas de Linux

Las reglas de prueba de detección administrada de Linux verifican que el registro en un sistema Linux funcione correctamente para las detecciones seleccionadas de las operaciones de seguridad de Google. Las pruebas implican el uso del mensaje de Bash en un entorno de Linux para ejecutar varios comandos, y cualquier usuario que tenga acceso a este mensaje puede realizarlas.

Paso 1. Cómo habilitar las reglas de prueba

Accede a Operaciones de seguridad de Google.
Abre la página Detecciones seleccionadas.
Haz clic en Reglas y detecciones > Conjuntos de reglas.
Expande la sección Prueba de detección administrada. Es posible que debas desplazarte por la página.
Haz clic en Linux Managed Detection Testing en la lista para abrir la página de detalles.
Habilita tanto Estado como Alertas para las reglas de prueba de detección administrada de Linux.

Paso 2. Envía datos de prueba desde un dispositivo Linux

Para activar las reglas de prueba de Linux Managed Detection Testing, sigue estos pasos:

Accede a cualquier dispositivo Linux en el que se envíen datos a las operaciones de seguridad de Google.
Abre una nueva interfaz de línea de comandos de símbolo del sistema de Linux Bash como cualquier usuario.
Ingresa el siguiente comando y, luego, presiona Intro:

/bin/echo hello_chronicle_world!

Debes usar el objeto binario echo, en lugar del comando echo integrado en la shell de Linux.

Ingresa el siguiente comando y, luego, presiona Intro:

sudo useradd test_chronicle_account
Quita la cuenta de prueba creada en el paso anterior. Ejecuta el siguiente comando:

sudo userdel test_chronicle_account
Ingresa el siguiente comando y, luego, presiona Intro:

su
Cuando se te solicite la contraseña, ingresa cualquier cadena aleatoria. Observa que se muestra el mensaje su: Authentication failure.
Cierra la ventana de Bash.

Paso 3. Verifica que las alertas se hayan activado en las operaciones de seguridad de Google

Verifica que el comando haya activado las reglas *tst_linux_echo, tst_linux_failed_su_login y tst_linux_test_account_creation en las operaciones de seguridad de Google. Esto indica que los registros de Linux se escriben y envían como se espera. Para verificar la alerta en Operaciones de seguridad de Google, sigue estos pasos:

Accede a Operaciones de seguridad de Google.
Abre la página Detecciones seleccionadas.
Haz clic en Panel.
Verifica que las reglas tst_linux_echo, tst_linux_failed_su_login y tst_linux_test_account_creation se hayan activado en la lista de detección.

Nota: Es posible que haya una pequeña demora antes de que se muestre la alerta en las operaciones de seguridad de Google.

Paso 4. Cómo inhabilitar las reglas de prueba

Cuando hayas terminado, inhabilita las reglas de Linux Managed Detection Testing.

Accede a Operaciones de seguridad de Google.
Abre la página Detecciones seleccionadas.
Inhabilita Estado y Alertas para las reglas de prueba de detección administrada de Linux.

Verifica la transferencia de datos para la categoría de amenazas de Windows

La regla de prueba de Windows Echo verifica que el registro de Microsoft Windows funcione de forma correcta para las detecciones seleccionadas de las operaciones de seguridad de Google. La prueba implica el uso del símbolo del sistema en un entorno de Microsoft Windows para ejecutar el comando echo con una string única y esperada.

Puedes ejecutar la prueba mientras estés conectado como cualquier usuario que tenga acceso al Símbolo del sistema de Windows.

Paso 1. Cómo habilitar las reglas de prueba

Accede a Operaciones de seguridad de Google.
Abre la página Detecciones seleccionadas.
Expande la sección Prueba de detección administrada. Es posible que debas desplazarte por la página.
Haz clic en Windows Managed Detection Testing en la lista para abrir la página de detalles.
Habilita tanto Estado como Alertas para las reglas de Windows Managed Detection Testing.

Paso 2. Envía datos de prueba desde un dispositivo con Windows

Para activar la regla de prueba de Windows Echo, sigue estos pasos:

Accede a cualquier dispositivo que genere datos que se enviarán a las operaciones de seguridad de Google.
Abre una nueva ventana del Símbolo del sistema de Microsoft Windows como cualquier usuario.
Ingresa el siguiente comando que no distingue mayúsculas de minúsculas y, luego, presiona Intro:
```
cmd.exe /c "echo hello_chronicle_world!"
```
Cierra la ventana del símbolo del sistema.

Paso 3. Verifica que se haya activado una alerta

Verifica si el comando activó la regla tst_Windows_Echo en las operaciones de seguridad de Google. Esto indica que el registro de Microsoft Windows está enviando datos como se esperaba. Para verificar la alerta en Operaciones de seguridad de Google, sigue estos pasos:

Accede a Operaciones de seguridad de Google.
Abre la página Detecciones seleccionadas.
Haz clic en Panel.
Verifica que la regla tst_Windows_Echo se haya activado en la lista de detección.

Nota: La alerta demorará un poco en aparecer en las operaciones de seguridad de Google.

Paso 4. Cómo inhabilitar las reglas de prueba

Cuando termines, inhabilita las reglas de Windows Managed Detection Testing.

Accede a Operaciones de seguridad de Google.
Abre la página Detecciones seleccionadas.
Inhabilita Estado y Alertas para las reglas de Windows Managed Detection Testing.