Memverifikasi penyerapan data menggunakan aturan pengujian

Deteksi pilihan Chronicle mencakup kumpulan set aturan pengujian yang membantu Anda memverifikasi bahwa data yang diperlukan untuk setiap kumpulan aturan memiliki format yang benar.

Aturan pengujian ini berada dalam kategori Pengujian Deteksi Terkelola. Setiap kumpulan aturan memvalidasi bahwa data yang diterima perangkat pengujian dalam format yang diharapkan oleh aturan untuk kategori yang ditentukan tersebut.

Nama kumpulan aturan Deskripsi
Pengujian Deteksi yang Dikelola GCP Memverifikasi bahwa data Google Cloud berhasil diserap dari perangkat yang didukung oleh kategori Ancaman Cloud.
Lihat Memverifikasi penyerapan data Google Cloud untuk kategori Ancaman Cloud untuk mengetahui informasi selengkapnya.
Pengujian Deteksi yang Dikelola AWS Memverifikasi bahwa data AWS berhasil diserap dari perangkat yang didukung oleh kategori Cloud Threats.
Lihat Memverifikasi penyerapan data AWS untuk kategori Ancaman Cloud untuk mengetahui informasi selengkapnya.
Pengujian Deteksi yang Dikelola Linux Memverifikasi bahwa data berhasil diserap dari perangkat yang didukung oleh kategori Ancaman Linux.
Lihat Memverifikasi penyerapan data untuk kategori Ancaman Linux untuk mengetahui informasi selengkapnya.
Pengujian Deteksi yang Dikelola Windows Memverifikasi bahwa data berhasil diserap dari perangkat yang didukung oleh kategori Ancaman Windows.
Lihat Memverifikasi penyerapan data untuk kategori Ancaman Windows untuk mengetahui informasi selengkapnya.

Ikuti langkah-langkah dalam dokumen ini untuk menguji dan memverifikasi bahwa data yang masuk diserap dengan benar dan dalam format yang benar.

Memverifikasi penyerapan data Google Cloud untuk kategori Ancaman Cloud

Aturan ini membantu memverifikasi apakah data log diserap seperti yang diharapkan untuk Chronicle Curated Detections.

Langkah-langkah berikut menjelaskan cara menguji data menggunakan:

  • Aturan Cloud Audit Metadata Testing: Untuk memicu aturan ini, tambahkan kunci Metadata Kustom yang unik dan diharapkan ke virtual machine Compute Engine apa pun yang mengirim data ke Chronicle.

  • Aturan Cloud DNS Testing: Untuk memicu aturan ini, lakukan pencarian DNS ke domain (chronicle.security) dalam virtual machine mana pun yang memiliki akses ke internet dan mengirimkan data log ke Chronicle.

  • Aturan SCC Managed Detection Testing: Untuk memicu aturan ini, lakukan beberapa tindakan di Konsol Google Cloud.

  • Aturan Cloud Kubernetes Node Testing: Untuk memicu aturan ini, buat project pengujian yang mengirim data log ke Chronicle, lalu buat kumpulan node unik di cluster Google Kubernetes Engine yang ada.

Langkah 1. Mengaktifkan aturan pengujian

  1. Login ke Chronicle.
  2. Buka halaman Deteksi Pilihan.
  3. Klik Aturan & Deteksi > Kumpulan Aturan.
  4. Luaskan bagian Managed Detection Testing. Anda mungkin perlu men-scroll halaman ke bawah.
  5. Klik GCP Managed Detection Testing dalam daftar untuk membuka halaman detail. Kumpulan aturan Pengujian Deteksi yang Dikelola GCP
  6. Aktifkan Status dan Alerting untuk aturan Cloud Managed Detection Testing. Kategori Pengujian Deteksi yang Dikelola Cloud

Langkah 2. Mengirim data untuk aturan Pengujian Metadata Cloud Audit

Untuk memicu pengujian, selesaikan langkah-langkah berikut:

  1. Pilih project dalam organisasi Anda.
  2. Buka Compute Engine, lalu pilih virtual machine dalam project.

  3. Di dalam virtual machine, klik Edit, lalu lakukan tindakan berikut di bagian Custom MetaData:

    • Klik Tambahkan Item.
    • Masukkan informasi berikut: Kunci: GCTI_ALERT_VALIDATION_TEST_KEY Nilai: works
    • Klik Save.

    Menetapkan kunci metadata

  4. Lakukan langkah-langkah berikut untuk memastikan bahwa pemberitahuan dipicu:

    1. Login ke Chronicle
    2. Buka halaman Deteksi yang Dikurasi, lalu klik Dasbor
    3. Pastikan aturan tst_GCP_Cloud_Audit_Metadata dipicu dalam daftar deteksi.

    Aturan pengujian Metadata Cloud Audit GCP

Langkah 3. Kirim data untuk aturan Cloud DNS Testing

Langkah-langkah berikut harus dilakukan sebagai pengguna IAM pada project yang dipilih yang memiliki akses ke virtual machine Compute Engine.

Untuk memicu pengujian, selesaikan langkah-langkah berikut:

  1. Pilih project dalam organisasi Anda.

  2. Buka Compute Engine, lalu pilih virtual machine dalam project.

    • Jika ini adalah virtual machine Linux, pastikan Anda memiliki akses SSH.
    • Jika menggunakan virtual machine Windows, pastikan Anda memiliki akses RDP.

    Daftar virtual machine

  3. Klik SSH (Linux) atau RDP (Microsoft Windows) untuk mengakses virtual machine.

  4. Kirim data pengujian menggunakan salah satu langkah berikut:

    • Virtual machine Linux: Setelah mengakses virtual machine melalui SSH, jalankan salah satu perintah berikut: nslookup chronicle.security atau host chronicle.security

      Jika perintah gagal, instal dnsutils pada virtual machine menggunakan salah satu perintah berikut:

      • sudo apt-get install dnsutils (untuk Debian/Ubuntu)
      • dnf install bind-utils (untuk RedHat/CentOS)
      • yum install bind-utils

    • Virtual machine Microsoft Windows: Setelah mengakses virtual machine melalui RDP, buka browser apa pun yang terinstal dan jelajahi URL berikut: https://chronicle.security

  5. Lakukan langkah-langkah berikut untuk memastikan bahwa pemberitahuan dipicu:

    1. Login ke Chronicle
    2. Buka halaman Deteksi yang Dikurasi, lalu klik Dasbor
    3. Pastikan aturan tst_GCP_Cloud_DNS_Test_Rule dipicu dalam daftar deteksi.

    Aturan pengujian Metadata Cloud DNS GCP

Langkah 4. Mengirim data untuk aturan Pengujian Node Cloud Kubernetes

Langkah-langkah berikut harus dilakukan sebagai pengguna IAM dalam project yang dipilih yang memiliki akses ke resource Google Kubernetes Engine. Untuk mengetahui informasi lebih mendetail tentang cara membuat cluster regional dan node pool, lihat Membuat cluster regional dengan kumpulan node zona tunggal.

Untuk memicu aturan pengujian, selesaikan langkah-langkah berikut:

  1. Buat project dalam organisasi Anda, yang bernama chronicle-kube-test-project. Project ini hanya digunakan untuk pengujian.
  2. Buka halaman Google Kubernetes Engine di Konsol Google Cloud.
    Buka halaman Google Kubernetes Engine
  3. Klik Create untuk membuat cluster regional baru dalam project. Konfigurasikan cluster sesuai kebutuhan organisasi Anda.
  4. Klik Add node pool.
  5. Beri nama kumpulan node kube-node-validation, lalu sesuaikan ukuran kumpulan menjadi 1 node per region.
  6. Hapus resource pengujian:
    1. Setelah kumpulan node kube-node-validation dibuat, hapus kumpulan node tersebut.
    2. Hapus project pengujian chronicle-kube-test-project.

  7. Login ke Chronicle.

  8. Buka halaman Deteksi yang Dikurasi, lalu klik Dasbor.

  9. Pastikan aturan tst_GCP_Kubernetes_Node dipicu dalam daftar deteksi.

    Aturan pengujian tst_GCP_Kubernetes_Node

  10. Pastikan aturan tst_GCP_Kubernetes_CreateNodePool dipicu dalam daftar deteksi.

    Aturan pengujian tst_GCP_Kubernetes_CreateNodePool

Langkah 5. Mengirim data untuk aturan Pengujian Deteksi yang Dikelola SCC

Langkah-langkah di bagian berikut memverifikasi bahwa temuan Security Command Center, dan data terkait, diserap dengan benar dan dalam format yang diharapkan.

Kumpulan aturan SCC Managed Detection Testing di bagian kategori Managed Detection Testing memungkinkan Anda memverifikasi bahwa data yang diperlukan untuk kumpulan aturan CDIR SCC Enhanced telah dikirim ke Chronicle dan dalam format yang benar.

Setiap aturan pengujian memvalidasi bahwa data diterima dalam format yang diharapkan oleh aturan. Anda dapat melakukan tindakan di lingkungan Google Cloud untuk mengirim data yang akan menghasilkan pemberitahuan Chronicle.

Pastikan Anda menyelesaikan bagian-bagian berikut dari dokumen ini yang diperlukan untuk mengonfigurasi logging di layanan Google Cloud, mengumpulkan temuan Security Command Center Premium, dan mengirim temuan Security Command Center ke Chronicle:

Untuk mempelajari lebih lanjut pemberitahuan Security Command Center yang dijelaskan di bagian ini, lihat dokumen Security Command Center Menyelidiki dan Merespons Ancaman.

Memicu aturan pengujian Persistensi CDIR SCC

Untuk mengirim data yang memicu pemberitahuan ini di Chronicle, lakukan langkah-langkah berikut:

  1. Di Konsol Google Cloud, buat instance VM baru dan tetapkan akun layanan default Compute Engine untuk sementara dengan hak istimewa Editor. Anda akan menghapusnya setelah pengujian selesai.

  2. Saat instance baru tersedia, tetapkan Cakupan Akses ke Izinkan Akses Penuh ke semua API.

  3. Buat akun layanan baru dengan informasi berikut:

    • Setel Nama akun layanan ke scc-test.
    • Setel Service account ID ke scc-test.
    • Secara opsional, masukkan Deskripsi untuk akun layanan.

    Lihat dokumen Membuat akun layanan untuk mengetahui informasi tentang cara membuat akun layanan.

  4. Hubungkan menggunakan SSH ke instance pengujian yang dibuat pada langkah sebelumnya, lalu jalankan perintah gcloud berikut:

    gcloud projects add-iam-policy-binding PROJECT_NAME
--member="serviceAccount:scc-test@PROJECT_NAME.iam.gserviceaccount.com"
--role="roles/owner`"

    Ganti PROJECT_NAME dengan nama project tempat instance Compute Engine berjalan dan akun scc-test dibuat.

    Notifikasi Security Command Center Persistence: IAM Anomalous Grant akan diaktifkan.

  5. Login ke Chronicle, lalu buka halaman Alerts & IOCs.

  6. Anda akan melihat pemberitahuan Chronicle berjudul Test SCC Alert: IAM Tidak Wajar Grant yang diberikan ke akun pengujian.

  7. Buka konsol Google Cloud, lalu lakukan langkah berikut:

    • Hapus akses akun pengujian scc-test dari IAM dan Konsol Admin.
    • Hapus akun layanan menggunakan portal Akun Layanan.
    • Hapus instance VM yang baru saja Anda buat.

Memicu aturan pengujian Malware CDIR SCC

Untuk mengirim data yang memicu pemberitahuan ini di Chronicle, lakukan langkah-langkah berikut:

  1. Di Konsol Google Cloud, hubungkan menggunakan SSH ke instance VM tempat perintah curl diinstal.

  2. Jalankan perintah berikut:

      curl etd-malware-trigger.goog

    Setelah menjalankan perintah ini, pemberitahuan Security Command Center Malware: Domain Buruk akan diaktifkan.

  3. Login ke Chronicle, lalu buka halaman Alerts & IOCs.

  4. Pastikan Anda melihat pemberitahuan Chronicle berjudul Test SCC Alert: Malware Bad Domain.

Memicu aturan pengujian Defense Evasion CDIR SCC

Untuk mengirim data yang memicu pemberitahuan ini di Chronicle, lakukan langkah-langkah berikut:

  1. Login ke Konsol Google Cloud menggunakan akun yang memiliki akses di tingkat organisasi untuk mengubah Perimeter Kontrol Layanan VPC.

  2. Di konsol Google Cloud, buka halaman VPC Service Controls.

    Buka Kontrol Layanan VPC

  3. Klik +Perimeter Baru dan konfigurasi kolom berikut di halaman Detail:

    • Judul Keliling: scc_test_perimeter.
    • Jenis Perimeter ke Perimeter reguler (default).
    • Config Type ke Enforced.

    Halaman perimeter layanan baru

  4. Di navigasi sebelah kiri, pilih 3 Layanan yang Dibatasi.

  5. Dalam dialog Tentukan layanan yang akan dibatasi, pilih Google Compute Engine API, lalu klik Tambahkan Google Compute Engine API.

  6. Di navigasi kiri, klik Buat Perimeter.

    Pilih layanan yang akan dibatasi dialognya

  7. Untuk mengubah perimeter, buka halaman Perimeter Layanan VPC. Untuk mengetahui informasi lebih mendetail tentang cara mengakses halaman ini, lihat Mencantumkan dan menjelaskan perimeter layanan.

  8. Pilih scc_test_perimeter, lalu pilih Edit Perimeter.

  9. Di bagian Restricted Services, klik ikon Delete untuk menghapus layanan Google Compute Engine API. Tindakan ini akan memicu pemberitahuan Defense Evasion: Modify VPC Service Control Perimeter di SCC.

  10. Login ke Chronicle, lalu buka halaman Alerts & IOCs.

  11. Pastikan Anda melihat pemberitahuan Chronicle berjudul Test SCC Alert: Modify VPC Service Control Test Alert.

Memicu aturan pengujian Eksfiltrasi SCC CDIR

Untuk mengirim data yang memicu pemberitahuan ini di Chronicle, lakukan langkah-langkah berikut:

  1. Di konsol Google Cloud, buka project Google Cloud, lalu buka BigQuery.

    Buka BigQuery

  2. Buat file CSV dengan data berikut, lalu simpan ke direktori utama Anda.

    column1, column2, column3
data1, data2, data3
data4, data5, data6
data7, data8, data9

  3. Di navigasi sebelah kiri, pilih Create Dataset.

  4. Tetapkan konfigurasi berikut, lalu klik Create Dataset:

    • ID set data ditetapkan ke scc_test_dataset.
    • Jenis lokasi ditetapkan ke Multi-region.
    • Aktifkan Akhir masa berlaku tabel: jangan pilih opsi ini.

    Parameter set data baru

    Untuk mendapatkan informasi lebih mendetail tentang cara membuat set data, lihat dokumen BigQuery Membuat set data.

  5. Di navigasi kiri, di sebelah kanan scc_test_dataset, klik ikon , lalu pilih Create Table.

  6. Buat tabel dan tetapkan konfigurasi berikut:

    • Create table from: tetapkan ke Upload.
    • Pilih file: cari direktori utama Anda dan pilih file CSV yang Anda buat sebelumnya.
    • File format: tetapkan ke CSV.
    • Set data: ditetapkan ke css_test_dataset.
    • Jenis tabel: ditetapkan ke Tabel native.

  7. Setujui konfigurasi default untuk semua kolom lainnya, lalu klik Create Table.

    Parameter tabel

    Untuk mendapatkan informasi lebih mendetail tentang cara membuat tabel, lihat dokumen BigQuery Membuat dan menggunakan tabel.

  8. Di daftar resource, pilih tabel css_test_dataset, lalu klik Query dan pilih in New Tab.

    Membuat kueri baru

  9. Jalankan kueri berikut:

    SELECT * FROM TABLE_NAME LIMIT 1000`

    Ganti TABLE_NAME dengan nama tabel yang sepenuhnya memenuhi syarat.

  10. Setelah kueri dijalankan, klik Save Results, lalu pilih CSV di Google Drive. Tindakan ini akan memicu pemberitahuan Pengecualian: Pemindahan Tidak Sah BigQuery ke Google Drive. Temuan Security Command Center harus dikirim ke Chronicle dan memicu pemberitahuan Chronicle.

    Menyimpan hasil kueri

  11. Login ke Chronicle, lalu buka halaman Alerts & IOCs.

  12. Pastikan Anda melihat pemberitahuan Chronicle berjudul Uji Pemberitahuan SCC: Pemindahan Tidak Sah BigQuery ke Google Drive.

Langkah 6. Menonaktifkan aturan pengujian

Setelah selesai, nonaktifkan aturan Pengujian Deteksi Terkelola GCP.

  1. Login ke Chronicle.
  2. Buka halaman Deteksi Pilihan.
  3. Nonaktifkan Status dan Alerting untuk aturan GCP Managed Detection Testing.

Memverifikasi penyerapan data AWS untuk kategori Ancaman Cloud

Anda dapat menggunakan aturan pengujian AWS Managed Detection Testing untuk memverifikasi bahwa data AWS diserap ke Chronicle. Aturan pengujian ini membantu memverifikasi bahwa data AWS diserap dan dalam format yang diharapkan. Setelah menyiapkan penyerapan data AWS, Anda melakukan tindakan di AWS yang akan memicu aturan pengujian.

  • Pengguna yang mengaktifkan aturan ini di Detection Engine harus memiliki izin IAM curatedRuleSetDeployments.batchUpdate.
  • Pengguna yang melakukan langkah-langkah untuk mengirim data AWS harus memiliki izin IAM AWS agar dapat mengedit tag instance EC2 di akun yang dipilih. Untuk mengetahui informasi selengkapnya tentang pemberian tag pada instance EC2, lihat dokumen AWS Memberi tag pada resource Amazon EC2.

Mengaktifkan aturan pengujian Pengujian Deteksi yang Dikelola AWS

  1. Di Chronicle, klik Deteksi > Aturan & Deteksi untuk membuka halaman Deteksi Pilihan.
  2. Pilih Managed Detection Testing > AWS Managed Detection Testing.
  3. Status dan Alerting untuk aturan Broad dan Precise telah diaktifkan.

Memverifikasi bahwa tindakan tag di AWS memicu aturan pengujian

Langkah 1. Membuat peristiwa log di AWS.

  1. Pilih akun dalam lingkungan AWS Anda.
  2. Buka Dasbor EC2, lalu pilih Instance di dalam akun.
  3. Dalam Instance EC2, klik Actions, lalu Setelan Instance, dan lakukan tindakan berikut di bagian Kelola Tag:
    1. Klik Tambahkan tag baru.
    2. Masukkan informasi berikut:
    3. Kunci: GCTI_ALERT_VALIDATION_TEST_KEY
    4. Nilai: works
    5. Klik Save.

Untuk mengetahui informasi selengkapnya, lihat Menambahkan atau menghapus tag instance EC2.

Langkah 2. Pastikan notifikasi pengujian dipicu.

Setelah menjalankan tugas pada langkah sebelumnya, pastikan aturan Aturan Pengujian AWS CloudTrail terpicu. Hal ini menunjukkan bahwa log CloudTrail telah direkam dan dikirim ke Chronicle seperti yang diharapkan. Lakukan langkah-langkah berikut untuk memverifikasi pemberitahuan:

  1. Di Chronicle, klik Deteksi > Aturan & Deteksi untuk membuka halaman Deteksi Pilihan.
  2. Klik Dasbor.
  3. Di daftar deteksi, pastikan aturan tst_AWS_Cloud_Trail_Tag dipicu.

Memverifikasi bahwa temuan contoh AWS GuardDuty memicu aturan pengujian

Untuk memastikan pemberitahuan GuardDuty akan berfungsi sebagaimana mestinya di lingkungan, Anda dapat mengirimkan contoh temuan GuardDuty ke Chronicle.

Langkah 1. Membuat data temuan contoh GuardDuty.

  1. Buka beranda Konsol AWS.
  2. Di bagian Security, Identity, and Compliance, buka GuardDuty.
  3. Buka Settings GuardDuty.
  4. Klik Buat temuan sampel.

Untuk informasi selengkapnya tentang cara membuat contoh temuan GuardDuty, lihat Membuat contoh temuan di GuardDuty.

Langkah 2. Pastikan pemberitahuan pengujian dipicu.

  1. Di Chronicle, klik Deteksi > Aturan & Deteksi untuk membuka halaman Deteksi Pilihan.
  2. Klik Dasbor.
  3. Pastikan AWS CloudTrail Test Rule dipicu dalam daftar deteksi.

Menonaktifkan kumpulan aturan Pengujian Deteksi yang Dikelola AWS

  1. Di Chronicle, klik Deteksi > Aturan & Deteksi untuk membuka halaman Deteksi Pilihan.
  2. Pilih Managed Detection Testing > aturan AWs Managed Detection Testing.
  3. Nonaktifkan Status dan Alerting untuk aturan Broad dan Precise.

Memverifikasi penyerapan data untuk kategori Ancaman Linux

Aturan Pengujian Deteksi yang Dikelola Linux memverifikasi bahwa logging di sistem Linux berfungsi dengan benar untuk deteksi pilihan Chronicle. Pengujian ini melibatkan penggunaan prompt Bash di lingkungan Linux untuk menjalankan berbagai perintah dan dapat dilakukan oleh setiap pengguna yang memiliki akses ke prompt Linux Bash.

Langkah 1. Mengaktifkan aturan pengujian

  1. Login ke Chronicle.
  2. Buka halaman Deteksi Pilihan.
  3. Klik Aturan & Deteksi > Kumpulan Aturan.
  4. Luaskan bagian Managed Detection Testing. Anda mungkin perlu men-scroll halaman ke bawah.
  5. Klik Linux Managed Detection Testing dalam daftar untuk membuka halaman detail.

  6. Aktifkan Status dan Alerting untuk aturan Pengujian Deteksi yang Dikelola Linux.

    Aktifkan Pengujian Deteksi yang Dikelola Linux

Langkah 2. Mengirim data pengujian dari perangkat Linux

Untuk memicu aturan pengujian Pengujian Deteksi yang Dikelola Linux, lakukan langkah-langkah berikut:

  1. Akses perangkat Linux apa pun tempat data dikirim ke Chronicle.
  2. Buka antarmuka baris perintah{i> <i}Linux Bash baru sebagai pengguna mana pun.

  3. Masukkan perintah berikut, lalu tekan Enter:

    /bin/echo hello_chronicle_world!

Anda harus menggunakan biner echo seperti yang ditentukan di atas, bukan perintah echo bawaan shell Linux.

  1. Masukkan perintah berikut, lalu tekan Enter:

    sudo useradd test_chronicle_account

  2. Hapus akun pengujian yang dibuat pada langkah sebelumnya. Jalankan perintah:

    sudo userdel test_chronicle_account

  3. Masukkan perintah berikut, lalu tekan Enter:

    su

  4. Saat diminta memasukkan sandi, masukkan string acak apa pun. Perhatikan bahwa pesan su: Authentication failure ditampilkan.

  5. Tutup jendela Bash.

Langkah 3. Pastikan pemberitahuan dipicu di Chronicle

Pastikan perintah tersebut memicu aturan *tst_linux_echo, tst_linux_failed_su_login, dan tst_linux_test_account_Creation di Chronicle. Ini menunjukkan bahwa log Linux ditulis dan dikirim seperti yang diharapkan. Untuk memverifikasi pemberitahuan di Chronicle, lakukan langkah-langkah berikut:

  1. Login ke Chronicle.
  2. Buka halaman Deteksi Pilihan.
  3. Klik Dasbor.

  4. Pastikan aturan tst_linux_echo, tst_linux_failed_su_login, dan tst_linux_test_account_creating dipicu dalam daftar deteksi.

Langkah 4. Menonaktifkan aturan pengujian

Setelah selesai, nonaktifkan aturan Pengujian Deteksi yang Dikelola Linux.

  1. Login ke Chronicle.
  2. Buka halaman Deteksi Pilihan.
  3. Nonaktifkan Status dan Alerting untuk aturan Pengujian Deteksi yang Dikelola Linux.

Memverifikasi penyerapan data untuk kategori Ancaman Windows

Windows Echo Test Rule memverifikasi bahwa logging Microsoft Windows berfungsi dengan benar untuk deteksi pilihan Chronicle. Pengujian ini melibatkan penggunaan command prompt di lingkungan Microsoft Windows untuk menjalankan perintah echo dengan string yang diharapkan dan unik.

Anda dapat menjalankan pengujian saat login sebagai pengguna yang memiliki akses ke Windows Command Prompt.

Langkah 1. Mengaktifkan aturan pengujian

  1. Login ke Chronicle.
  2. Buka halaman Deteksi Pilihan.
  3. Luaskan bagian Managed Detection Testing. Anda mungkin perlu men-scroll halaman ke bawah.
  4. Klik Windows Managed Detection Testing dalam daftar untuk membuka halaman detail.

  5. Aktifkan Status dan Alerting untuk aturan Windows Managed Detection Testing.

    Aktifkan Pengujian Deteksi yang Dikelola Windows

Langkah 2. Mengirim data pengujian dari perangkat Windows

Untuk memicu Windows Echo Test Rule, lakukan langkah-langkah berikut:

  1. Mengakses perangkat apa pun yang menghasilkan data yang akan dikirim ke Chronicle.
  2. Buka jendela Command Prompt Microsoft Windows baru sebagai pengguna mana pun.

  3. Masukkan perintah yang tidak peka huruf besar/kecil berikut, lalu tekan Enter:

    cmd.exe /c "echo hello_chronicle_world!"

  4. Tutup jendela Command Prompt.

Langkah 3. Memverifikasi bahwa notifikasi telah dipicu

Pastikan perintah tersebut memicu aturan tst_Windows_Echo di Chronicle. Hal ini menunjukkan bahwa logging Microsoft Windows mengirim data seperti yang diharapkan. Untuk memverifikasi pemberitahuan di Chronicle, lakukan langkah-langkah berikut:

  1. Login ke Chronicle.
  2. Buka halaman Deteksi Pilihan.
  3. Klik Dasbor.

  4. Pastikan aturan tst_Windows_Echo dipicu dalam daftar deteksi.

Langkah 4. Menonaktifkan aturan pengujian

Setelah selesai, nonaktifkan aturan Pengujian Deteksi yang Dikelola Windows.

  1. Login ke Chronicle.
  2. Buka halaman Deteksi Pilihan.
  3. Nonaktifkan Status dan Alerting untuk aturan Windows Managed Detection Testing.