Verificar la ingesta de datos con reglas de prueba

Disponible en:

Las detecciones seleccionadas de Google Security Operations incluyen un conjunto de conjuntos de reglas de prueba que te ayudan a verificar que los datos necesarios para cada conjunto de reglas tienen el formato correcto.

Estas reglas de prueba se encuentran en la categoría Pruebas de detección gestionadas. Cada conjunto de reglas valida que los datos recibidos por el dispositivo de prueba tengan el formato esperado por las reglas de esa categoría específica.

Nombre del conjunto de reglas Descripción
Google Cloud Pruebas de detección gestionada Verifica que los datos se ingieren correctamente desde los dispositivos compatibles con la categoría Amenazas en la nube. Google Cloud
Consulta Verificar Google Cloud la ingestión de datos de la categoría Amenazas de Cloud para obtener más información.
Pruebas de detección gestionadas de Chrome Enterprise Verifica que los datos se ingieran correctamente desde los dispositivos compatibles con la categoría Amenazas de Chrome Enterprise.
Consulta Verificar la ingestión de datos de la categoría Amenazas de Chrome Enterprise para obtener más información.
Pruebas de detección gestionadas de AWS Verifica que los datos de AWS se ingieren correctamente desde los dispositivos compatibles con la categoría Amenazas en la nube.
Para obtener más información, consulta Verificar la ingestión de datos de AWS para la categoría Amenazas en la nube.
Pruebas de detección gestionada de Linux Verifica que los datos se ingieren correctamente desde los dispositivos compatibles con la categoría Amenazas de Linux.
Consulta Verificar la ingestión de datos de la categoría Amenazas de Linux para obtener más información.
Pruebas de detección gestionada de Windows Verifica que los datos se ingieran correctamente desde los dispositivos compatibles con la categoría Amenazas de Windows.
Consulta Verificar la ingesta de datos de la categoría Amenazas de Windows para obtener más información.
Pruebas de detección de datos de Office 365 Verifica que los datos se ingieran correctamente y que tengan el formato adecuado para usar detecciones seleccionadas en los datos de Office 365.
Para obtener más información, consulta Verificar la ingesta de datos de la categoría Office 365.
Pruebas de detección de datos de Okta Verifica que los datos se ingieran correctamente y que tengan el formato adecuado para usar detecciones seleccionadas para datos de Okta.
Para obtener más información, consulta Verificar la ingesta de datos de la categoría Amenazas de Okta.

Sigue los pasos que se indican en este documento para probar y verificar que los datos entrantes se ingieren correctamente y tienen el formato adecuado.

Verificar la ingesta de datos de la categoría Amenazas en la nube Google Cloud

Estas reglas ayudan a verificar si los datos de registro se están ingiriendo según lo previsto para las detecciones seleccionadas de Google SecOps.

Sigue estas reglas para probar los datos con los pasos que se indican a continuación:

  • Regla Pruebas de metadatos de auditoría de Cloud: para activar esta regla, añade una clave de metadatos personalizados única y esperada a cualquier máquina virtual de Compute Engine que envíe datos a Google SecOps.

  • Regla Pruebas de Cloud DNS: para activar esta regla, realiza una búsqueda de DNS en el dominio (chronicle.security) desde cualquier máquina virtual que tenga acceso a Internet y que envíe datos de registro a Google SecOps.

  • Reglas de pruebas de detección gestionadas por SCC: para activar estas reglas, realiza varias acciones en la consola de Google Cloud .

  • Regla Pruebas de nodos de Kubernetes en la nube: para activar esta regla, crea un proyecto de prueba que envíe datos de registro a Google SecOps y crea un grupo de nodos único en un clúster de Google Kubernetes Engine.

Paso 1. Habilita las reglas de prueba

  1. Inicia sesión en Google SecOps.
  2. Abre la página Detecciones seleccionadas.
  3. Haz clic en Reglas y detecciones > Conjuntos de reglas.
  4. Despliega la sección Pruebas de detección gestionadas. Es posible que tengas que desplazarte por la página.
  5. En la lista, haz clic en Google Cloud Pruebas de detección gestionadas para abrir la página de detalles.
  6. Habilita Estado y Alertas en las reglas de Pruebas de detección gestionadas en la nube.

Paso 2: Enviar datos para la regla de prueba de metadatos de auditoría de Cloud

Para activar la prueba, sigue estos pasos:

  1. Elige un proyecto de tu organización.
  2. Ve a Compute Engine y elige una máquina virtual del proyecto.
  3. En la máquina virtual, haz clic en Editar y, a continuación, sigue estos pasos en la sección Metadatos personalizados:
    1. Haz clic en Añadir elemento.
    2. Introduce la siguiente información:
      • Tecla: GCTI_ALERT_VALIDATION_TEST_KEY
      • Valor: works
    3. Haz clic en Guardar.

  4. Sigue estos pasos para comprobar si se ha activado la alerta:

    1. Inicia sesión en Google SecOps.
    2. Abre la página Detecciones seleccionadas y, a continuación, haz clic en Panel de control.
    3. Comprueba que la regla ur_tst_Google Cloud_Cloud_Audit_Metadata se haya activado en la lista de detecciones.

Paso 3: Enviar datos para la regla Pruebas de Cloud DNS

Importante: Los siguientes pasos deben llevarse a cabo como usuario de IAM en el proyecto elegido que tenga acceso a una máquina virtual de Compute Engine.

Para activar la prueba, sigue estos pasos:

  1. Elige un proyecto de tu organización.
  2. Ve a Compute Engine y elige una máquina virtual del proyecto.
    • Si se trata de una máquina virtual Linux, asegúrate de tener acceso a Secure Shell (SSH).
    • Si se trata de una máquina virtual Windows, asegúrate de que tienes acceso al protocolo de escritorio remoto (RDP).
  3. Haz clic en SSH (Linux) o RDP (Microsoft Windows) para acceder a la máquina virtual.

  4. Envía datos de prueba siguiendo uno de estos pasos:

    • Máquina virtual Linux: después de acceder a la máquina virtual mediante SSH, ejecuta uno de estos comandos: nslookup chronicle.security o host chronicle.security.

      Si el comando falla, instala dnsutils en la máquina virtual con uno de los siguientes comandos:

      • sudo apt-get install dnsutils (para Debian o Ubuntu)
      • dnf install bind-utils (para Red Hat o CentOS)
      • yum install bind-utils

    • Máquina virtual de Microsoft Windows: después de acceder a la máquina virtual mediante RDP, ve a cualquier navegador instalado y accede a https://chronicle.security.

  5. Sigue estos pasos para comprobar si se ha activado la alerta:

    1. Inicia sesión en Google SecOps.
    2. Abre la página Detecciones seleccionadas y, a continuación, haz clic en Panel de control.
    3. Comprueba que la regla ur_tst_Google Cloud_Cloud_DNS_Test_Rule se ha activado en la lista de detecciones.

Paso 4: Enviar datos para las reglas de pruebas de nodos de Cloud Kubernetes

Importante: Los siguientes pasos deben llevarse a cabo como usuario de gestión de identidades y accesos en el proyecto elegido que tenga acceso a los recursos de Google Kubernetes Engine. Para obtener información más detallada sobre cómo crear clústeres y grupos de nodos regionales, consulta el artículo Crear un clúster regional con un grupo de nodos de una sola zona. Estas reglas de prueba tienen como objetivo verificar la ingestión de datos del tipo de registro KUBERNETES_NODE.

Para activar las reglas de prueba, sigue estos pasos:

  1. Crea un proyecto en tu organización con el nombre chronicle-kube-test-project. Este proyecto solo se usa para hacer pruebas.
  2. Ve a la página de Google Kubernetes Engine en la Google Cloud consola.
    Ve a la página de Google Kubernetes Engine
  3. Haz clic en Crear para crear un clúster regional en el proyecto.
  4. Configura el clúster según los requisitos de tu organización.
  5. Haz clic en Añadir grupo de nodos.
  6. Asigna el nombre kube-node-validation al grupo de nodos y, a continuación, ajusta el tamaño del grupo a 1 nodo por zona.
  7. Elimina los recursos de prueba:
    1. Una vez creado el grupo de nodos kube-node-validation, elimínalo.
    2. Elimina el proyecto de prueba chronicle-kube-test-project.

  8. Inicia sesión en Google SecOps.

  9. Abre la página Detecciones seleccionadas y, a continuación, haz clic en Panel de control.

  10. Comprueba que la regla tst_Google Cloud_Kubernetes_Node se haya activado en la lista de detecciones.

  11. Comprueba que la regla tst_Google Cloud_Kubernetes_CreateNodePool se haya activado en la lista de detecciones.

Paso 5: Enviar datos para las reglas de pruebas de detección gestionadas por SCC

Los subpasos de este paso verifican que los resultados de Security Command Center y los datos relacionados se ingieren correctamente y con el formato esperado.

Los conjuntos de reglas de Pruebas de detección gestionadas de CCTs, que se encuentran en la categoría Pruebas de detección gestionadas, te permiten verificar que los datos necesarios para los conjuntos de reglas de CCTs mejoradas de CDIR se envían a Google SecOps y tienen el formato correcto.

Cada regla de prueba valida que los datos se reciban en un formato esperado por las reglas. Realizas acciones en tu entorno de Google Cloud para enviar datos que generarán una alerta de Google SecOps.

Asegúrate de completar las siguientes secciones de este documento para configurar los servicios de inicio de sesión, recoger resultados de Security Command Center Premium y enviar resultados de Security Command Center a Google SecOps: Google Cloud

Para obtener más información sobre las alertas de Security Command Center descritas en esta sección, consulta el documento Investigating and Responding to Threats (Investigar y responder a amenazas) de Security Command Center.

Activar la regla de prueba de persistencia de CDIR SCC

Para enviar datos que activen esta alerta en Google SecOps, sigue estos pasos:

  1. En la Google Cloud consola, crea una instancia de VM y asigna temporalmente la cuenta de servicio predeterminada de Compute Engine con privilegios de editor. Lo quitarás cuando haya terminado la prueba.

  2. Cuando la nueva instancia esté disponible, asigna el Permiso de acceso a Permitir el acceso completo a todas las APIs.

  3. Crea una cuenta de servicio con la siguiente información:

    • Asigna el valor scc-test al campo Nombre de cuenta de servicio.
    • Asigna el valor scc-test al campo ID de cuenta de servicio.
    • Si quieres, puedes escribir una Descripción de la cuenta de servicio.

    Consulta el artículo Crear cuentas de servicio para obtener información sobre cómo crear cuentas de servicio.

  4. Conéctate mediante SSH a la instancia de prueba que has creado en el paso anterior y, a continuación, ejecuta el siguiente comando gcloud:

    gcloud projects add-iam-policy-binding PROJECT_NAME
--member="serviceAccount:scc-test@PROJECT_NAME.iam.gserviceaccount.com"
--role="roles/owner`"

    Sustituye PROJECT_NAME por el nombre del proyecto en el que se ejecuta la instancia de Compute Engine y en el que se creó la cuenta scc-test.

    Debería activarse la alerta de Security Command Center Persistencia: concesión anómala de gestión de identidades y accesos.

  5. Inicia sesión en Google SecOps y, a continuación, abre la página Alertas e IOCs.

  6. Debería ver una alerta de Google SecOps titulada Test SCC Alert: IAM Anomalous Grant given to test account (Alerta de prueba de SCC: concesión anómala de IAM a una cuenta de prueba).

  7. Abre la Google Cloud consola y haz lo siguiente:

    • Quita el acceso de la cuenta de prueba scc-test de IAM y de la consola de administración.
    • Elimina la cuenta de servicio mediante el portal Cuentas de servicio.
    • Elimina la instancia de VM que acabas de crear.

Activar la regla de prueba de malware de CDIR SCC

Para enviar datos que activen esta alerta en Google SecOps, sigue estos pasos:

  1. En la Google Cloud consola, conéctate mediante SSH a cualquier instancia de VM en la que esté instalado el comando curl.

  2. Ejecuta el comando siguiente:

      curl etd-malware-trigger.goog

    Después de ejecutar este comando, se activará la alerta Malware: Bad Domain (Malware: dominio incorrecto) de Security Command Center.

  3. Inicia sesión en Google SecOps y, a continuación, abre la página Alertas e IOCs.

  4. Verifica que ves una alerta de Google SecOps titulada Test SCC Alert: Malware Bad Domain.

Activar la regla de prueba de elusión de defensas de CDIR SCC

Para enviar datos que activen esta alerta en Google SecOps, sigue estos pasos:

  1. Inicia sesión en la consola de Google Cloud con una cuenta que tenga acceso a nivel de organización para modificar los perímetros de Controles de Servicio de VPC.

  2. En la Google Cloud consola, ve a la página Controles de Servicio de VPC.

    Ir a Controles de Servicio de VPC

  3. Haga clic en + Nuevo perímetro y configure los siguientes campos en la página Detalles:

    • Título del perímetro: scc_test_perimeter.
    • Tipo de perímetro a Perímetro normal (predeterminado).
    • Tipo de configuración a Aplicada.

  4. En el panel de navegación de la izquierda, selecciona 3 Servicios restringidos.

  5. En el cuadro de diálogo Specify services to restrict (Especificar servicios que restringir), selecciona Google Compute Engine API y, a continuación, haz clic en Add Google Compute Engine API (Añadir API de Google Compute Engine).

  6. En el panel de navegación de la izquierda, haz clic en Crear perímetro.

  7. Para modificar el perímetro, ve a la página Perímetros de servicio de VPC. Para obtener información más detallada sobre cómo acceder a esta página, consulta Listar y describir perímetros de servicio.

  8. Selecciona scc_test_perimeter y, a continuación, Editar perímetro.

  9. En Servicios restringidos, haga clic en el icono Eliminar para quitar el servicio API de Google Compute Engine. Esto debería activar la alerta Evasión de defensas: modificar el perímetro de Controles de Servicio de VPC en SCC.

  10. Inicia sesión en Google SecOps y, a continuación, abre la página Alertas e IOCs.

  11. Comprueba que ves una alerta de Google SecOps titulada Test SCC Alert: Modify VPC Service Control Test Alert (Alerta de prueba de SCC: modifica la alerta de prueba de Controles de Servicio de VPC).

Activar la regla de prueba de filtración externa de CDIR SCC

Para enviar datos que activen esta alerta en Google SecOps, sigue estos pasos:

  1. En la Google Cloud consola, ve a un Google Cloud proyecto y, a continuación, abre BigQuery.

    Ir a BigQuery

  2. Crea un archivo CSV con los siguientes datos y, a continuación, guárdalo en tu directorio principal:

    column1, column2, column3
data1, data2, data3
data4, data5, data6
data7, data8, data9

  3. En el panel de navegación de la izquierda, selecciona Crear conjunto de datos.

  4. Define la siguiente configuración y, a continuación, haz clic en Crear conjunto de datos:

    • ID de conjunto de datos definido como scc_test_dataset.
    • Tipo de ubicación definido como Multirregión.
    • Habilitar la caducidad de la tabla: no selecciones esta opción.

    Para obtener información más detallada sobre cómo crear un conjunto de datos, consulta el artículo Crear conjuntos de datos de BigQuery.

  5. En el menú de navegación de la izquierda, a la derecha de scc_test_dataset, haz clic en el icono y, a continuación, selecciona Crear tabla.

  6. Crea una tabla y define la siguiente configuración:

    • Crear tabla a partir de: selecciona Subir.
    • Seleccionar archivo: vaya a su directorio principal y seleccione el archivo CSV que ha creado anteriormente.
    • Formato de archivo: selecciona CSV.
    • Conjunto de datos: se ha definido como css_test_dataset.
    • Tipo de tabla: debe tener el valor Tabla nativa.

  7. Acepta la configuración predeterminada de los demás campos y haz clic en Crear tabla.

    Para obtener información más detallada sobre cómo crear una tabla, consulta el artículo Crear y usar tablas.

  8. En la lista de recursos, selecciona la tabla css_test_dataset, haz clic en Consulta y elige en una pestaña nueva.

  9. Ejecuta la siguiente consulta:

    SELECT * FROM TABLE_NAME LIMIT 1000`

    Sustituye TABLE_NAME por el nombre completo de la tabla.

  10. Una vez que se haya ejecutado la consulta, haga clic en Guardar resultados y, a continuación, elija CSV en Google Drive. Debería activarse la alerta de Security Command Center Exfiltración: exfiltración de BigQuery a Google Drive. El resultado de Security Command Center debe enviarse a Google SecOps y activar una alerta de Google SecOps.

  11. Inicia sesión en Google SecOps y, a continuación, abre la página Alertas e IOCs.

  12. Comprueba que veas una alerta de Google SecOps titulada Alerta de prueba de SCC: exfiltración de BigQuery a Google Drive.

Paso 6: Inhabilitar las reglas de prueba

Cuando hayas terminado, inhabilita las reglas de Google Cloud Pruebas de detección gestionadas.

  1. Inicia sesión en Google SecOps.
  2. Abre la página Detecciones seleccionadas.
  3. Inhabilita tanto Estado como Alertas en las reglas de Google Cloud pruebas de detección gestionadas.

Verificar la ingestión de datos de la categoría Amenazas de Chrome Enterprise

La regla de prueba de Chrome Enterprise verifica que el registro de Chrome Enterprise funciona correctamente para las detecciones seleccionadas de Google SecOps. Esta prueba usa una URL de prueba de Navegación segura que debería mostrar una advertencia de phishing.

Paso 1. Habilita las reglas de prueba

Para habilitar las reglas de prueba, siga estos pasos:

  1. Inicia sesión en Google SecOps.
  2. Abre la página Detecciones seleccionadas.
  3. Despliega la sección Pruebas de detección gestionadas. Es posible que tengas que desplazarte por la página.
  4. En la lista, haz clic en Pruebas de detección gestionadas de Chrome Enterprise para abrir la página de detalles.
  5. Habilita las opciones Estado y Alertas de las reglas de Pruebas de detección gestionadas de Chrome Enterprise.

Paso 2: Enviar datos de prueba desde un navegador Chrome gestionado

Para activar la regla de prueba de Chrome Enterprise, haz lo siguiente:

  1. Abre un navegador Chrome gestionado por una cuenta de Chrome Enterprise.
  2. Abre una nueva pestaña y ve a la URL de prueba de Navegación segura. Deberías ver un mensaje de advertencia.
  3. Cierra el navegador.

Paso 3: Verificar que se ha activado una alerta

Confirma que al acceder a la URL de prueba de Navegación segura se ha activado la regla tst_chrome_enterprise_phishing_url en Google SecOps. Esto indica que el registro de Chrome Enterprise está enviando datos, como se esperaba.

Para verificar la alerta en Google SecOps, haz lo siguiente:

  1. Inicia sesión en Google SecOps.
  2. Abre la página Detecciones seleccionadas.
  3. Haz clic en Panel de control.
  4. Verifica que la regla tst_chrome_enterprise_phishing_url se haya activado en la lista de detecciones.

Paso 4: Inhabilitar las reglas de prueba

Cuando hayas terminado de hacer pruebas, inhabilita las reglas de pruebas de detección gestionadas de Chrome Enterprise:

  1. Inicia sesión en Google SecOps.
  2. Abre la página Detecciones seleccionadas.
  3. Inhabilita tanto Estado como Alertas en las reglas de pruebas de detección gestionadas de Chrome Enterprise.

Verificar la ingestión de datos de AWS para la categoría Amenazas en la nube

Puedes usar reglas de prueba de pruebas de detección gestionadas de AWS para verificar que los datos de AWS se ingieren en Google SecOps. Estas reglas de prueba ayudan a verificar que los datos de AWS se han ingerido y tienen el formato esperado. Después de configurar la ingestión de datos de AWS, realiza acciones en AWS que deberían activar las reglas de prueba.

  • El usuario que habilite estas reglas en Detection Engine debe tener el permiso de gestión de identidades y accesos curatedRuleSetDeployments.batchUpdate.
  • El usuario que realice los pasos para enviar datos de AWS debe tener los permisos de IAM de AWS para editar las etiquetas de una instancia EC2 en la cuenta elegida. Para obtener más información sobre cómo etiquetar instancias de EC2, consulta el documento de AWS Etiquetar recursos de Amazon EC2.

Habilita las reglas de prueba de pruebas de detección gestionadas por AWS

  1. En Google SecOps, haga clic en Detecciones > Reglas y detecciones para abrir la página Detecciones seleccionadas.
  2. Selecciona Pruebas de detección gestionadas > Pruebas de detección gestionadas de AWS.
  3. Ha habilitado los campos Estado y Alertas de las reglas Generales y Precisas.

Verificar que las acciones de las etiquetas en AWS activan la regla de prueba

Sigue estos pasos para verificar que las acciones de la etiqueta en AWS activan el conjunto de reglas.

Paso 1. Genera un evento de registro en AWS.

  1. Elige una cuenta de tu entorno de AWS.
  2. Vaya al panel de control de EC2 y, a continuación, elija una instancia de la cuenta.
  3. En la instancia de EC2, haga clic en Acciones > Configuración de la instancia y haga lo siguiente en la sección Gestionar etiquetas:
    1. Haz clic en Añadir nueva etiqueta.
    2. Introduce la siguiente información:
    3. Clave: GCTI_ALERT_VALIDATION_TEST_KEY
    4. Valor: works
    5. Haz clic en Guardar.

Para obtener información más detallada, consulta Añadir o eliminar etiquetas de instancias EC2.

Paso 2: Verifica que se activen las alertas de prueba.

Después de realizar la tarea del paso anterior, comprueba que se ha activado la regla AWS CloudTrail Test Rule. Esto indica que los registros de CloudTrail se han registrado y enviado a Google SecOps correctamente. Sigue estos pasos para verificar la alerta:

  1. En Google SecOps, haga clic en Detecciones > Reglas y detecciones para abrir la página Detecciones seleccionadas.
  2. Haz clic en Panel de control.
  3. En la lista de detecciones, comprueba que se haya activado la regla tst_AWS_Cloud_Trail_Tag.

Verificar que las detecciones de muestra de AWS GuardDuty activan reglas de prueba

Para asegurarte de que las alertas de GuardDuty funcionen correctamente en tu entorno, puedes enviar resultados de ejemplo de GuardDuty a Google SecOps.

Paso 1. Genera datos de resultados de muestra de GuardDuty.

  1. Ve a la página principal de la consola de AWS.
  2. En Seguridad, identidad y cumplimiento, abre GuardDuty.
  3. Ve a Configuración de GuardDuty.
  4. Haz clic en Generar resultados de muestra.

Para obtener más información sobre cómo generar resultados de GuardDuty de ejemplo, consulta Generar resultados de ejemplo en GuardDuty.

Paso 2: Verifica que se hayan activado las alertas de prueba.

  1. En Google SecOps, haz clic en Detección > Reglas y detecciones para abrir la página Detecciones seleccionadas.
  2. Haz clic en Panel de control.
  3. Comprueba que se ha activado AWS CloudTrail Test Rule (Regla de prueba de AWS CloudTrail) en la lista de detecciones.

Inhabilitar los conjuntos de reglas de pruebas de detección gestionadas por AWS

  1. En Google SecOps, haz clic en Detección > Reglas y detecciones para abrir la página Detecciones seleccionadas.
  2. Selecciona Pruebas de detección gestionadas > Reglas de pruebas de detección gestionadas de AWS.
  3. Inhabilita Estado y Alertas en las reglas Generales y Precisas.

Verificar la ingestión de datos de la categoría Amenazas de Linux

Las reglas de pruebas de detección gestionadas de Linux verifican que el registro en un sistema Linux funciona correctamente para las detecciones seleccionadas de Google SecOps. Las pruebas consisten en usar la petición de Bash en un entorno Linux para ejecutar varios comandos y las puede realizar cualquier usuario que tenga acceso a la petición de Bash de Linux.

Paso 1. Habilita las reglas de prueba

  1. Inicia sesión en Google SecOps.
  2. Abre la página Detecciones seleccionadas.
  3. Haz clic en Reglas y detecciones > Conjuntos de reglas.
  4. Despliega la sección Pruebas de detección gestionadas. Es posible que tengas que desplazarte por la página.
  5. En la lista, haz clic en Pruebas de detección gestionada de Linux para abrir la página de detalles.
  6. Habilita Estado y Alertas en las reglas de Pruebas de detección gestionada de Linux.

Paso 2: Enviar datos de prueba desde un dispositivo Linux

Para activar las reglas de prueba de detección gestionada de Linux, sigue estos pasos:

  1. Accede a cualquier dispositivo Linux en el que se envíen datos a Google SecOps.
  2. Abre una nueva interfaz de línea de comandos de Bash de Linux como cualquier usuario.

  3. Introduce el siguiente comando y, a continuación, pulsa Intro:

    /bin/echo hello_chronicle_world!

Nota: Debes usar el archivo binario echo en lugar del comando echo integrado en el shell de Linux.

  1. Introduce el siguiente comando y, a continuación, pulsa Intro:

    sudo useradd test_chronicle_account

  2. Elimina la cuenta de prueba que has creado en el paso anterior. Ejecuta el comando siguiente:

    sudo userdel test_chronicle_account

  3. Introduce el siguiente comando y, a continuación, pulsa Intro:

    su

  4. Cuando se te pida la contraseña, introduce una cadena aleatoria. Verás que se muestra el mensaje su: Authentication failure.

  5. Cierra la ventana de Bash.

Paso 3: Verificar que se han activado alertas en Google SecOps

Verifica que el comando haya activado las reglas tst_linux_echo, tst_linux_failed_su_login y tst_linux_test_account_creation en Google SecOps. Esto indica que los registros de Linux se escriben y se envían correctamente. Para verificar la alerta en Google SecOps, sigue estos pasos:

  1. Inicia sesión en Google SecOps.
  2. Abre la página Detecciones seleccionadas.
  3. Haz clic en Panel de control.

  4. Verifica que se hayan activado las reglas tst_linux_echo, tst_linux_failed_su_login y tst_linux_test_account_creation en la lista de detecciones.

Paso 4: Inhabilitar las reglas de prueba

Cuando hayas terminado, inhabilita las reglas de Pruebas de detección gestionadas de Linux.

  1. Inicia sesión en Google SecOps.
  2. Abre la página Detecciones seleccionadas.
  3. Inhabilita las opciones Estado y Alertas de las reglas Pruebas de detección gestionada de Linux.

Verificar la ingestión de datos de la categoría Amenazas de Windows

La regla de prueba de eco de Windows verifica que el registro de Microsoft Windows funciona correctamente para las detecciones seleccionadas por Google SecOps. La prueba consiste en usar la línea de comandos en un entorno de Microsoft Windows para ejecutar el comando echo con una cadena esperada y única.

Puedes ejecutar la prueba mientras tienes la sesión iniciada como cualquier usuario que tenga acceso al símbolo del sistema de Windows.

Paso 1. Habilita las reglas de prueba

  1. Inicia sesión en Google SecOps.
  2. Abre la página Detecciones seleccionadas.
  3. Despliega la sección Pruebas de detección gestionadas. Es posible que tengas que desplazarte por la página.
  4. En la lista, haz clic en Pruebas de detección gestionadas de Windows para abrir la página de detalles.
  5. Habilita las opciones Estado y Alertas de las reglas Pruebas de detección gestionada de Windows.

Paso 2: Enviar datos de prueba desde un dispositivo Windows

Para activar la regla de prueba de eco de Windows, sigue estos pasos:

  1. Accede a cualquier dispositivo que genere datos que se vayan a enviar a Google SecOps.
  2. Abre una nueva ventana de petición de comando de Microsoft Windows como cualquier usuario.

  3. Introduce el siguiente comando (no distingue entre mayúsculas y minúsculas) y, a continuación, pulsa Intro:

    cmd.exe /c "echo hello_chronicle_world!"

  4. Cierra la ventana del símbolo del sistema.

Paso 3: Verificar que se ha activado una alerta

Verifica que el comando haya activado la regla tst_Windows_Echo en Google SecOps. Esto indica que el registro de Microsoft Windows está enviando datos correctamente. Para verificar la alerta en Google SecOps, sigue estos pasos:

  1. Inicia sesión en Google SecOps.
  2. Abre la página Detecciones seleccionadas.
  3. Haz clic en Panel de control.

  4. Comprueba que la regla tst_Windows_Echo se haya activado en la lista de detecciones.

    Nota: La alerta tardará un poco en mostrarse en Google SecOps.

Paso 4: Inhabilitar las reglas de prueba

Cuando hayas terminado, inhabilita las reglas de Pruebas de detección gestionadas por Windows.

  1. Inicia sesión en Google SecOps.
  2. Abre la página Detecciones seleccionadas.
  3. Inhabilita las opciones Estado y Alertas de las reglas Pruebas de detección gestionada de Windows.

Verificar la ingesta de datos de la categoría de datos de Office 365

Verifique que los datos se ingieren correctamente y que tienen el formato adecuado para usar detecciones seleccionadas para los datos de Office 365.

Paso 1. Ingerir datos de Office 365

Para obtener la máxima cobertura de reglas, debe ingerir datos de todas las fuentes de datos que se indican en las instrucciones de ingesta de Google SecOps. Para obtener más información sobre cómo ingerir datos de los servicios de Office 365, consulta el artículo Recoger registros de Microsoft Office 365.

Paso 2: Verificar la ingestión de datos de Office 365

El panel de control Ingesta de datos y estado de Google SecOps te permite ver información sobre el tipo, el volumen y el estado de todos los datos que se ingieren en Google SecOps mediante las funciones de ingesta de SIEM.

También puede usar reglas de prueba de detección gestionada de Office 365 para verificar la ingesta de datos de Office 365. Una vez configurada la ingestión, puedes activar las reglas de prueba realizando acciones en Office 365. Estas reglas aseguran que los datos se ingieran correctamente y tengan el formato adecuado para usar detecciones seleccionadas en los datos de Office 365.

Paso 3: Habilita las reglas de prueba de pruebas de detección gestionadas de Azure

  1. En Google SecOps, haz clic en Detecciones > Reglas y detecciones para abrir la página Detecciones seleccionadas y los conjuntos de reglas.

  2. Selecciona Pruebas de detección gestionadas > Pruebas de detección gestionadas de Office 365.

  3. Habilita las opciones Estado y Alertas de las reglas Generales y Precisas.

Paso 4: Enviar datos de acciones de usuario para activar las reglas de prueba

Para verificar que los datos se ingieren correctamente, crea una regla de bandeja de entrada con un nombre específico para comprobar que estas acciones activan las reglas de prueba. Para obtener información sobre cómo crear reglas de bandeja de entrada en Outlook, consulta el artículo Administrar mensajes de correo electrónico mediante reglas en Outlook.

Para crear una regla de bandeja de entrada en Outlook 365, puedes usar la función Reglas de la sección Correo. También puedes crear una regla haciendo clic con el botón derecho en un correo.

Paso 5: Crear una regla de bandeja de entrada con la función Reglas

Estos son algunos casos prácticos para crear una regla de bandeja de entrada con la función Reglas:

Regla de prueba 1

  1. Haz clic en Correo y selecciona Reglas.
  2. Introduce GoogleSecOpsTest como nombre de la regla.
  3. Selecciona una condición de la lista.
  4. Selecciona una acción de la lista.
  5. Haz clic en Añadir una condición o en Añadir una acción para añadir más condiciones o acciones, según sea necesario.
  6. Haz clic en Aceptar.

Prueba de la regla 2

  1. Ve a SharePoint o OneDrive.
  2. En la barra de búsqueda, escribe GoogleSecOpsTest.

Validar resultados

Para verificar que se han creado alertas en Google SecOps, haz lo siguiente:

  1. En Google SecOps, haga clic en Detecciones > Reglas y detecciones para abrir la página Detecciones seleccionadas.
  2. Haz clic en Panel de control.
  3. En la lista de detecciones, comprueba que se hayan activado las siguientes reglas:
    • tst_o365_email.yl2
    • tst_of65_sharepoint_onedrive.yl2
  4. Una vez que hayas confirmado que los datos se han enviado y que se han activado las reglas, desactiva la regla de bandeja de entrada que has creado en Regla de prueba 1.

Verificar la ingesta de datos de la categoría Okta Threat

Verifica que los datos se ingieran correctamente y que tengan el formato adecuado para usar detecciones seleccionadas para datos de Okta.

Paso 1. Ingerir datos de Okta

Para asegurar la máxima cobertura de las reglas, debe ingerir datos de todas las fuentes de datos que se indican en las instrucciones de ingesta de Google SecOps. Para obtener más información sobre cómo ingerir datos de los servicios de Okta, consulta el artículo Recoger registros de Okta.

Paso 2: Verificar la ingestión de datos de Okta

El panel de control Ingesta de datos y estado de Google SecOps te permite ver información sobre el tipo, el volumen y el estado de todos los datos que se ingieren en Google SecOps mediante las funciones de ingesta de SIEM.

También puede usar reglas de prueba de detección gestionada de Okta para verificar la ingestión de datos de Office 365. Una vez configurada la ingestión, puedes activar las reglas de prueba realizando acciones en Office 365. Estas reglas aseguran que los datos se ingieran correctamente y tengan el formato adecuado para usar detecciones seleccionadas en los datos de Office 365.

Paso 3: Habilitar las reglas de pruebas de detección gestionadas por Okta

  1. En Google SecOps, haz clic en Detecciones > Reglas y detecciones para abrir la página Detecciones seleccionadas y los conjuntos de reglas.

  2. Selecciona Pruebas de detección gestionadas > Pruebas de detección gestionadas de Office 365.

  3. Habilita las opciones Estado y Alertas de las reglas Generales y Precisas.

Paso 4: Enviar datos de acciones de usuario para activar las reglas de prueba

Para verificar que los datos se ingieren correctamente, crea una regla de bandeja de entrada con un nombre específico para comprobar que estas acciones activan las reglas de prueba. Este evento activará un evento de inicio de sesión de Okta fallido para un usuario desconocido.

Regla de prueba 1

  1. Accede a la URL de tu arrendatario de Okta.

  2. En el campo Nombre de usuario, introduce GoogleSecOpsTest.

  3. En el campo Password (Contraseña), introduce cualquier cadena.

  4. Haz clic en Sign In (Iniciar sesión).

Validar resultados

Para verificar que se han creado alertas en Google SecOps, haz lo siguiente: 1. En Google SecOps, haga clic en Detecciones > Reglas y detecciones para abrir la página Detecciones seleccionadas. 1. Haz clic en Panel de control. 1. En la lista de detecciones, comprueba que se hayan activado las siguientes reglas: * Prueba de inicio de sesión de usuario desconocido de Okta (tst_okta_login_by_unknown_user.yl2) ¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.