Diese Seite wurde von der Cloud Translation API übersetzt.

Datenaufnahme mit Testregeln prüfen

Unterstützt in:

Google SecOps SIEM

Die von Google Security Operations zusammengestellten Erkennungen enthalten eine Reihe von Testregelsätzen, mit denen Sie überprüfen können, ob die für die einzelnen Regelsätze erforderlichen Daten im richtigen Format vorliegen.

Diese Testregeln fallen in die Kategorie Managed Detection Testing (Verwaltetes Erkennungstesten). Jeder Regelsatz prüft, ob die vom Testgerät empfangenen Daten in einem Format vorliegen, das von den Regeln für die angegebene Kategorie erwartet wird.

Name des Regelsatzes	Beschreibung
Google Cloud Managed Detection Testing	Prüft, ob Google Cloud -Daten von Geräten, die von der Kategorie „Cloud-Bedrohungen“ unterstützt werden, erfolgreich aufgenommen werden. Weitere Informationen finden Sie unter Datenaufnahme für die Kategorie „Cloud Threats“ überprüfen. Google Cloud
Chrome Enterprise Managed Detection Testing	Prüft, ob Daten von Geräten, die von der Kategorie „Chrome Enterprise-Bedrohungen“ unterstützt werden, erfolgreich aufgenommen werden. Weitere Informationen finden Sie unter Datenaufnahme für die Kategorie „Chrome Enterprise-Bedrohungen“ überprüfen.
AWS Managed Detection Testing	Prüft, ob AWS-Daten von Geräten, die von der Kategorie „Cloud Threats“ unterstützt werden, erfolgreich aufgenommen werden. Weitere Informationen finden Sie unter AWS-Datenaufnahme für die Kategorie „Cloud Threats“ prüfen.
Linux Managed Detection-Tests	Prüft, ob Daten von Geräten, die von der Kategorie „Linux-Bedrohungen“ unterstützt werden, erfolgreich aufgenommen werden. Weitere Informationen finden Sie unter Datenaufnahme für die Kategorie „Linux Threats“ überprüfen.
Windows Managed Detection Testing	Prüft, ob Daten von Geräten, die von der Kategorie „Windows-Bedrohungen“ unterstützt werden, erfolgreich aufgenommen werden. Weitere Informationen finden Sie unter Datenaufnahme für die Kategorie „Windows-Bedrohungen“ überprüfen.
Office 365-Datenerkennung testen	Prüft, ob Daten korrekt aufgenommen werden und das richtige Format haben, um kuratierte Erkennungen für Office 365-Daten zu verwenden. Weitere Informationen finden Sie unter Datenaufnahme für die Kategorie „Office 365“ überprüfen.
Okta-Tests zur Erkennung von Daten	Prüft, ob Daten korrekt aufgenommen werden und im richtigen Format vorliegen, um kuratierte Erkennungen für Okta-Daten zu verwenden. Weitere Informationen finden Sie unter Datenaufnahme für die Kategorie „Okta Threats“ überprüfen.

Folgen Sie der Anleitung in diesem Dokument, um zu testen und zu prüfen, ob eingehende Daten richtig erfasst werden und das richtige Format haben.

Datenaufnahme für die Kategorie „Cloud Threats“ prüfen Google Cloud

Mit diesen Regeln lässt sich prüfen, ob Logdaten wie erwartet für kuratierte Google SecOps-Erkennungen erfasst werden.

Verwenden Sie die folgenden Regeln, um Daten mit den nachfolgenden Schritten zu testen:

Regel Cloud Audit Metadata Testing: Um diese Regel auszulösen, fügen Sie einer beliebigen Compute Engine-VM, die Daten an Google SecOps sendet, einen eindeutigen und erwarteten benutzerdefinierten Metadatenschlüssel hinzu.
Regel Cloud DNS Testing: Um diese Regel auszulösen, führen Sie einen DNS-Lookup für die Domain (chronicle.security) auf einer beliebigen virtuellen Maschine aus, die auf das Internet zugreifen kann und Logdaten an Google SecOps sendet.
SCC Managed Detection Testing-Regeln: Um diese Regeln auszulösen, müssen Sie mehrere Aktionen in der Google Cloud -Konsole ausführen.
Regel Cloud Kubernetes Node Testing: Um diese Regel auszulösen, erstellen Sie ein Testprojekt, das Logdaten an Google SecOps sendet, und erstellen Sie einen eindeutigen Knotenpool in einem vorhandenen Google Kubernetes Engine-Cluster.

Schritt 1: Testregeln aktivieren

In Google SecOps anmelden
Seite „Kuratierte Erkennungen“ aufrufen
Klicken Sie auf Regeln und Erkennungen > Regelsätze.
Maximieren Sie den Bereich Managed Detection Testing (Verwaltungstests für die Erkennung). Möglicherweise müssen Sie auf der Seite scrollen.
Klicken Sie in der Liste auf Google Cloud Managed Detection Testing, um die Detailseite zu öffnen.
Aktivieren Sie sowohl Status als auch Benachrichtigungen für die Regeln für Cloud Managed Detection Testing.

Schritt 2: Daten für die Regel „Cloud Audit Metadata Testing“ senden

Führen Sie die folgenden Schritte aus, um den Test auszulösen:

Wählen Sie ein Projekt in Ihrer Organisation aus.
Rufen Sie Compute Engine auf und wählen Sie dann eine virtuelle Maschine im Projekt aus.
Klicken Sie in der virtuellen Maschine auf Bearbeiten und führen Sie dann im Bereich Benutzerdefinierte Metadaten die folgenden Schritte aus:
1. Klicken Sie auf Zeile hinzufügen.
2. Geben Sie die folgenden Informationen ein:
  - Schlüssel: GCTI_ALERT_VALIDATION_TEST_KEY
  - Wert: works
3. Klicken Sie auf Speichern.
So prüfen Sie, ob die Benachrichtigung ausgelöst wurde:
1. In Google SecOps anmelden
2. Öffnen Sie die Seite „Kuratierte Erkennungen“ und klicken Sie dann auf Dashboard.
3. Prüfen Sie, ob die Regel ur_tst_Google Cloud_Cloud_Audit_Metadata in der Liste der erkannten Verstöße ausgelöst wurde.

Schritt 3: Daten für die Regel Cloud DNS Testing senden

Wichtig:Die folgenden Schritte müssen als IAM-Nutzer im ausgewählten Projekt ausgeführt werden, der Zugriff auf eine Compute Engine-VM hat.

Führen Sie die folgenden Schritte aus, um den Test auszulösen:

Wählen Sie ein Projekt in Ihrer Organisation aus.
Rufen Sie Compute Engine auf und wählen Sie dann eine virtuelle Maschine im Projekt aus.
- Wenn es sich um eine virtuelle Linux-Maschine handelt, müssen Sie SSH-Zugriff (Secure Shell) haben.
- Wenn es sich um eine virtuelle Windows-Maschine handelt, müssen Sie RDP-Zugriff (Remote Desktop Protocol) haben.
Klicken Sie auf SSH (Linux) oder RDP (Microsoft Windows), um auf die virtuelle Maschine zuzugreifen.
Senden Sie Testdaten mit einem der folgenden Schritte:
- Virtuelle Linux-Maschine: Nachdem Sie mit SSH auf die virtuelle Maschine zugegriffen haben, führen Sie einen der folgenden Befehle aus: nslookup chronicle.security oder host chronicle.security.
  
  Wenn der Befehl fehlschlägt, installieren Sie dnsutils auf der VM mit einem der folgenden Befehle:
  - sudo apt-get install dnsutils (für Debian/Ubuntu)
  - dnf install bind-utils (für RedHat/CentOS)
  - yum install bind-utils
- Virtuelle Microsoft Windows-Maschine: Rufen Sie nach dem Zugriff auf die virtuelle Maschine über RDP einen beliebigen installierten Browser auf und rufen Sie https://chronicle.security auf.
So prüfen Sie, ob die Benachrichtigung ausgelöst wurde:
1. In Google SecOps anmelden
2. Öffnen Sie die Seite „Kuratierte Erkennungen“ und klicken Sie dann auf Dashboard.
3. Prüfen Sie, ob die Regel ur_tst_Google Cloud_Cloud_DNS_Test_Rule in der Liste der erkannten Regeln ausgelöst wurde.

Schritt 4: Daten für Cloud Kubernetes Node Testing-Regeln senden

Wichtig:Die folgenden Schritte müssen als IAM-Nutzer im ausgewählten Projekt ausgeführt werden, der Zugriff auf Google Kubernetes Engine-Ressourcen hat. Ausführlichere Informationen zum Erstellen von regionalen Clustern und Knotenpools finden Sie unter Regionalen Cluster mit einem Einzelzonen-Knotenpool erstellen. Mit diesen Testregeln soll die Datenerfassung aus dem Logtyp KUBERNETES_NODE überprüft werden.

Führen Sie die folgenden Schritte aus, um die Testregeln auszulösen:

Erstellen Sie in Ihrer Organisation ein Projekt mit dem Namen chronicle-kube-test-project. Dieses Projekt wird nur zum Testen verwendet.
Rufen Sie in der Google Cloud Console die Seite „Google Kubernetes Engine“ auf.
Zur Seite „Google Kubernetes Engine“
Klicken Sie auf Erstellen, um einen neuen regionalen Cluster im Projekt zu erstellen.
Konfigurieren Sie den Cluster entsprechend den Anforderungen Ihrer Organisation.
Klicken Sie auf Knotenpool hinzufügen .
Geben Sie dem Knotenpool den Namen kube-node-validation und passen Sie dann die Poolgröße auf 1 Knoten pro Zone an.
Löschen Sie die Testressourcen:
1. Nachdem der Knotenpool kube-node-validation erstellt wurde, löschen Sie ihn.
2. Löschen Sie das chronicle-kube-test-project-Testprojekt.
In Google SecOps anmelden
Öffnen Sie die Seite „Kuratierte Erkennungen“ und klicken Sie dann auf Dashboard.
Prüfen Sie, ob die Regel tst_Google Cloud_Kubernetes_Node in der Liste der erkannten Probleme ausgelöst wurde.
Prüfen Sie, ob die Regel tst_Google Cloud_Kubernetes_CreateNodePool in der Liste der erkannten Regeln ausgelöst wurde.

Schritt 5: Daten für Regeln für SCC Managed Detection Testing senden

In den Teilschritten dieses Schritts wird geprüft, ob Security Command Center-Ergebnisse und zugehörige Daten korrekt und im erwarteten Format aufgenommen werden.

Mit den Regelsätzen für SCC Managed Detection Testing in der Kategorie Managed Detection Testing (Verwaltete Erkennungstests) können Sie prüfen, ob die für die Regelsätze für CDIR SCC Enhanced erforderlichen Daten an Google SecOps gesendet werden und das richtige Format haben.

Mit jeder Testregel wird geprüft, ob Daten in einem Format empfangen werden, das von den Regeln erwartet wird. Sie führen Aktionen in Ihrer Google Cloud -Umgebung aus, um Daten zu senden, die eine Google SecOps-Benachrichtigung auslösen.

Achten Sie darauf, dass Sie die folgenden Abschnitte dieses Dokuments durchlaufen, um die Protokollierung in Google Cloud -Diensten zu konfigurieren, Security Command Center Premium-Ergebnisse zu erfassen und Security Command Center-Ergebnisse an Google SecOps zu senden:

Weitere Informationen zu den in diesem Abschnitt beschriebenen Security Command Center-Benachrichtigungen finden Sie im Security Command Center-Dokument Bedrohungen untersuchen und darauf reagieren.

CDIR SCC-Persistenzregel auslösen

So senden Sie Daten, die diesen Hinweis in Google SecOps auslösen:

Erstellen Sie in der Google Cloud Console eine neue VM-Instanz und weisen Sie ihr vorübergehend das Compute Engine-Standarddienstkonto mit Editor-Berechtigungen zu. Sie entfernen diese nach Abschluss des Tests.
Wenn die neue Instanz verfügbar ist, weisen Sie den Zugriffsbereich Uneingeschränkten Zugriff auf alle APIs zulassen zu.
Erstellen Sie ein neues Dienstkonto mit den folgenden Informationen:
- Legen Sie für Name des Dienstkontos den Wert scc-test fest.
- Legen Sie für Dienstkonto-ID den Wert scc-test fest.
- Optional können Sie eine Beschreibung für das Dienstkonto eingeben.
Informationen zum Erstellen von Dienstkonten finden Sie im Dokument Dienstkonten erstellen.
Stellen Sie über SSH eine Verbindung zur Testinstanz her, die Sie im vorherigen Schritt erstellt haben, und führen Sie dann den folgenden gcloud-Befehl aus:
```
gcloud projects add-iam-policy-binding PROJECT_NAME
--member="serviceAccount:scc-test@PROJECT_NAME.iam.gserviceaccount.com"
--role="roles/owner`"
```
Ersetzen Sie PROJECT_NAME durch den Namen des Projekts, in dem die Compute Engine-Instanz ausgeführt wird und in dem das scc-test-Konto erstellt wurde.

Die Security Command Center-Benachrichtigung Persistence: IAM Anomalous Grant (Persistenz: Anomalie bei IAM-Gewährung) sollte ausgelöst werden.
Melden Sie sich in Google SecOps an und öffnen Sie die Seite Alerts & IOCs (Benachrichtigungen und Indikatoren für Sicherheitsrisiken).
Sie sollten eine Google SecOps-Benachrichtigung mit dem Titel Test SCC Alert: IAM Anomalous Grant given to test account (Test-SCC-Benachrichtigung: Ungewöhnliche IAM-Berechtigung für Testkonto erteilt) sehen.
Öffnen Sie die Google Cloud Console und gehen Sie so vor:
- Entfernen Sie den Zugriff des scc-test-Testkontos aus IAM und der Admin-Konsole.
- Löschen Sie das Dienstkonto über das Portal Service Accounts (Dienstkonten).
- Löschen Sie die VM-Instanz, die Sie gerade erstellt haben.

CDIR SCC-Malware-Testregel auslösen

So senden Sie Daten, die diesen Hinweis in Google SecOps auslösen:

Stellen Sie in der Google Cloud -Konsole über SSH eine Verbindung zu einer beliebigen VM-Instanz her, auf der der Befehl curl installiert ist.
Führen Sie folgenden Befehl aus:
```
  curl etd-malware-trigger.goog
```
Nachdem Sie diesen Befehl ausgeführt haben, sollte die Security Command Center-Benachrichtigung Malware: Bad Domain ausgelöst werden.
Melden Sie sich in Google SecOps an und öffnen Sie die Seite Alerts & IOCs (Benachrichtigungen und Indikatoren für Sicherheitsrisiken).
Prüfen Sie, ob Sie eine Google SecOps-Benachrichtigung mit dem Titel Test SCC Alert: Malware Bad Domain (Test-SCC-Benachrichtigung: Malware-Domain) sehen.

CDIR SCC-Testregel zur Umgehung von Abwehrmaßnahmen auslösen

So senden Sie Daten, die diesen Hinweis in Google SecOps auslösen:

Melden Sie sich in der Google Cloud Console mit einem Konto an, das auf Organisationsebene Zugriff zum Ändern von VPC Service Control-Perimetern hat.
Rufen Sie in der Google Cloud -Console die Seite VPC Service Controls auf.

Zu „VPC Service Controls“
Klicken Sie auf + Neuer Perimeter und konfigurieren Sie die folgenden Felder auf der Seite Details:
- Perimeter Title (Perimetertitel): scc_test_perimeter.
- Perimetertyp auf Regulärer Perimeter (Standardeinstellung).
- Konfigurationstyp auf Erzwungen.
Wählen Sie im Navigationsmenü links 3 Eingeschränkte Dienste aus.
Wählen Sie im Dialogfeld Dienste zum Einschränken angeben die Option Google Compute Engine API aus und klicken Sie dann auf Google Compute Engine API hinzufügen.
Klicken Sie im linken Navigationsbereich auf Perimeter erstellen.
Wenn Sie den Perimeter ändern möchten, rufen Sie die Seite VPC Service Perimeters auf. Ausführlichere Informationen zum Aufrufen dieser Seite finden Sie unter Dienstperimeter auflisten und beschreiben.
Wählen Sie scc_test_perimeter und dann Perimeter bearbeiten aus.
Klicken Sie unter Eingeschränkte Dienste auf das Symbol Löschen, um den Dienst Google Compute Engine API zu entfernen. Dadurch sollte in SCC die Benachrichtigung Defense Evasion: Modify VPC Service Control Perimeter (Umgehung von Abwehrmaßnahmen: VPC Service Control-Perimeter ändern) ausgelöst werden.
Melden Sie sich in Google SecOps an und öffnen Sie die Seite Alerts & IOCs (Benachrichtigungen und Indikatoren für Sicherheitsrisiken).
Prüfen Sie, ob Sie eine Google SecOps-Benachrichtigung mit dem Titel Test SCC Alert: Modify VPC Service Control Test Alert sehen.

CDIR SCC-Exfiltrationstestregel auslösen

So senden Sie Daten, die diesen Hinweis in Google SecOps auslösen:

Rufen Sie in der Google Cloud Console ein Google Cloud Projekt auf und öffnen Sie BigQuery.

BigQuery aufrufen
Erstellen Sie eine CSV-Datei mit den folgenden Daten und speichern Sie sie in Ihrem Basisverzeichnis:
```
column1, column2, column3
data1, data2, data3
data4, data5, data6
data7, data8, data9
```
Wählen Sie in der linken Navigationsleiste Dataset erstellen aus.
Legen Sie die folgende Konfiguration fest und klicken Sie dann auf Dataset erstellen:
- Dataset-ID auf scc_test_dataset festgelegt.
- Standorttyp auf Mehrere Regionen festgelegt.
- Tabellenablauf aktivieren: Wählen Sie diese Option nicht aus.
Weitere Informationen zum Erstellen eines Datasets finden Sie im BigQuery-Dokument Datasets erstellen.
Klicken Sie in der linken Navigationsleiste rechts neben scc_test_dataset auf das Symbol und wählen Sie Tabelle erstellen aus.
Erstellen Sie eine Tabelle und legen Sie die folgende Konfiguration fest:
- Tabelle erstellen aus: auf Hochladen festgelegt.
- Datei auswählen: Rufen Sie Ihr Home-Verzeichnis auf und wählen Sie die CSV-Datei aus, die Sie zuvor erstellt haben.
- Dateiformat: auf CSV festlegen.
- Dataset: Legen Sie css_test_dataset fest.
- Tabellentyp: auf Native Tabelle festlegen.
Übernehmen Sie die Standardkonfiguration für alle anderen Felder und klicken Sie auf Tabelle erstellen.

Ausführlichere Informationen zum Erstellen einer Tabelle finden Sie unter Tabellen erstellen und verwenden.
Wählen Sie in der Ressourcenliste die Tabelle css_test_dataset aus, klicken Sie auf Abfrage und wählen Sie In neuem Tab aus.
Führen Sie die folgende Abfrage aus:
```
SELECT * FROM TABLE_NAME LIMIT 1000`
```
Ersetzen Sie TABLE_NAME durch den vollständig qualifizierten Tabellennamen.
Klicken Sie nach der Ausführung der Abfrage auf Ergebnisse speichern und wählen Sie CSV in Google Drive aus. Dadurch sollte die Security Command Center-Benachrichtigung Exfiltration: BigQuery Exfiltration to Google Drive (Exfiltration: BigQuery-Exfiltration in Google Drive) ausgelöst werden. Das Security Command Center-Ergebnis sollte an Google SecOps gesendet werden und einen Google SecOps-Hinweis auslösen.
Melden Sie sich in Google SecOps an und öffnen Sie die Seite Alerts & IOCs (Benachrichtigungen und Indikatoren für Sicherheitsrisiken).
Prüfen Sie, ob eine Google SecOps-Benachrichtigung mit dem Titel Test SCC Alert: BigQuery Exfiltration to Google Drive (Test-SCC-Benachrichtigung: Exfiltration von BigQuery nach Google Drive) angezeigt wird.

Schritt 6: Testregeln deaktivieren

Wenn Sie fertig sind, deaktivieren Sie die Regeln für Google Cloud Managed Detection Testing.

In Google SecOps anmelden
Seite „Kuratierte Erkennungen“ aufrufen
Deaktivieren Sie sowohl Status als auch Benachrichtigungen für die Google Cloud -Regeln für verwaltete Erkennungstests.

Datenaufnahme für die Kategorie „Chrome Enterprise-Sicherheitsrisiken“ überprüfen

Mit der Chrome Enterprise-Testregel wird geprüft, ob die Chrome Enterprise-Protokollierung für von Google SecOps kuratierte Erkennungen richtig funktioniert. Bei diesem Test wird eine Safe Browsing-Test-URL verwendet, die eine Phishing-Warnung anzeigen sollte.

Schritt 1: Testregeln aktivieren

So aktivieren Sie die Testregeln:

In Google SecOps anmelden
Öffnen Sie die Seite Kuratierte Erkennungen.
Maximieren Sie den Bereich Managed Detection Testing (Verwaltungstests für die Erkennung). Möglicherweise müssen Sie auf der Seite scrollen.
Klicken Sie in der Liste auf Chrome Enterprise Managed Detection Testing, um die Detailseite zu öffnen.
Aktivieren Sie sowohl Status als auch Benachrichtigungen für die Regeln für Chrome Enterprise Managed Detection Testing.

Schritt 2: Testdaten über einen verwalteten Chrome-Browser senden

So lösen Sie die Chrome Enterprise-Testregel aus:

Öffnen Sie einen Chrome-Browser, der von einem Chrome Enterprise-Konto verwaltet wird.
Öffnen Sie einen neuen Tab und rufen Sie die Safe Browsing-Test-URL auf. Sie sollten eine Warnmeldung sehen.
Schließen Sie den Browser.

Schritt 3: Prüfen, ob eine Benachrichtigung ausgelöst wurde

Prüfen Sie, ob der Zugriff auf die Safe Browsing-Test-URL die Regel tst_chrome_enterprise_phishing_url in Google SecOps ausgelöst hat. Das bedeutet, dass die Chrome Enterprise-Protokollierung wie erwartet Daten sendet.

So überprüfen Sie die Benachrichtigung in Google SecOps:

In Google SecOps anmelden
Öffnen Sie die Seite Kuratierte Erkennungen.
Klicken Sie auf Dashboard.
Prüfen Sie, ob die Regel tst_chrome_enterprise_phishing_url in der Liste der erkannten Bedrohungen ausgelöst wurde.

Schritt 4: Testregeln deaktivieren

Wenn Sie mit dem Testen fertig sind, deaktivieren Sie die Regeln für das Chrome Enterprise Managed Detection Testing:

In Google SecOps anmelden
Öffnen Sie die Seite Kuratierte Erkennungen.
Deaktivieren Sie sowohl Status als auch Benachrichtigungen für die Regeln für Chrome Enterprise Managed Detection Testing.

AWS-Datenaufnahme für die Kategorie „Cloud Threats“ überprüfen

Mit AWS Managed Detection Testing-Testregeln können Sie überprüfen, ob AWS-Daten in Google SecOps aufgenommen werden. Mit diesen Testregeln lässt sich prüfen, ob AWS-Daten aufgenommen wurden und das erwartete Format haben. Nachdem Sie die Aufnahme von AWS-Daten eingerichtet haben, führen Sie Aktionen in AWS aus, die die Testregeln auslösen sollten.

Der Nutzer, der diese Regeln in Detection Engine aktiviert, muss die IAM-Berechtigung curatedRuleSetDeployments.batchUpdate haben.
Der Nutzer, der die Schritte zum Senden von AWS-Daten ausführt, muss die AWS IAM-Berechtigungen zum Bearbeiten der Tags einer EC2-Instanz im ausgewählten Konto haben. Weitere Informationen zum Taggen von EC2-Instanzen finden Sie im AWS-Dokument Amazon EC2-Ressourcen taggen.

Testregeln für AWS Managed Detection Testing aktivieren

Klicken Sie in Google SecOps auf Erkennungen > Regeln & Erkennungen, um die Seite „Kuratierte Erkennungen“ zu öffnen.
Wählen Sie Managed Detection Testing > AWS Managed Detection Testing aus.
Sowohl Status als auch Benachrichtigungen für die Regeln Allgemein und Präzise aktiviert.

Prüfen, ob Tag-Aktionen in AWS die Testregel auslösen

So prüfen Sie, ob die Tag-Aktionen in AWS die Regelgruppe auslösen:

Schritt 1: Generieren Sie ein Log-Ereignis in AWS.

Wählen Sie ein Konto in Ihrer AWS-Umgebung aus.
Rufen Sie das EC2-Dashboard auf und wählen Sie dann eine Instance im Konto aus.
Klicken Sie in der EC2-Instanz auf Aktionen > Instanzeinstellungen und führen Sie im Bereich Tags verwalten die folgenden Schritte aus:
1. Klicken Sie auf Neues Tag hinzufügen.
2. Geben Sie die folgenden Informationen ein:
3. Key: GCTI_ALERT_VALIDATION_TEST_KEY
4. Wert: works
5. Klicken Sie auf Speichern.

Weitere Informationen finden Sie unter EC2-Instanz-Tags hinzufügen oder entfernen.

Schritt 2: Prüfen Sie, ob die Testbenachrichtigungen ausgelöst werden.

Prüfen Sie nach Ausführung der Aufgabe im vorherigen Schritt, ob die Regel AWS CloudTrail Test Rule ausgelöst wird. Das bedeutet, dass CloudTrail-Logs wie erwartet aufgezeichnet und an Google SecOps gesendet wurden. So überprüfen Sie die Benachrichtigung:

Klicken Sie in Google SecOps auf Erkennungen > Regeln & Erkennungen, um die Seite „Kuratierte Erkennungen“ zu öffnen.
Klicken Sie auf Dashboard.
Prüfen Sie in der Liste der erkannten Probleme, ob die Regel tst_AWS_Cloud_Trail_Tag ausgelöst wurde.

Prüfen, ob AWS GuardDuty-Beispielfundierungen Testregeln auslösen

Damit GuardDuty-Benachrichtigungen in Ihrer Umgebung wie vorgesehen funktionieren, können Sie GuardDuty-Beispielfundierungen an Google SecOps senden.

Schritt 1: GuardDuty-Beispieldaten für Ergebnisse generieren

Rufen Sie die AWS-Konsolenstartseite auf.
Öffnen Sie unter Security, Identity, and Compliance (Sicherheit, Identität und Compliance) GuardDuty.
Rufen Sie die Einstellungen von GuardDuty auf.
Klicken Sie auf Beispielfunde generieren.

Weitere Informationen zum Generieren von GuardDuty-Beispieldaten finden Sie unter GuardDuty-Beispieldaten generieren.

Schritt 2: Prüfen Sie, ob die Testbenachrichtigungen ausgelöst wurden.

Klicken Sie in Google SecOps auf Detection > Rules & Detections, um die Seite „Curated Detections“ zu öffnen.
Klicken Sie auf Dashboard.
Prüfen Sie, ob die AWS CloudTrail-Testregel in der Liste der erkannten Probleme ausgelöst wurde.

AWS Managed Detection Testing-Regelsätze deaktivieren

Klicken Sie in Google SecOps auf Detection > Rules & Detections, um die Seite „Curated Detections“ zu öffnen.
Wählen Sie die Regeln Managed Detection Testing > AWs Managed Detection Testing aus.
Deaktivieren Sie sowohl Status als auch Benachrichtigungen für die Regeln Allgemein und Präzise.

Datenaufnahme für die Kategorie „Linux Threats“ prüfen

Mit den Regeln für Linux Managed Detection Testing wird geprüft, ob die Protokollierung auf einem Linux-System für die von Google SecOps zusammengestellten Erkennungen korrekt funktioniert. Bei den Tests werden verschiedene Befehle über die Bash-Eingabeaufforderung in einer Linux-Umgebung ausgeführt. Sie können von jedem Nutzer durchgeführt werden, der Zugriff auf die Linux-Bash-Eingabeaufforderung hat.

Schritt 1: Testregeln aktivieren

In Google SecOps anmelden
Seite „Kuratierte Erkennungen“ aufrufen
Klicken Sie auf Regeln und Erkennungen > Regelsätze.
Maximieren Sie den Bereich Managed Detection Testing (Verwaltungstests für die Erkennung). Möglicherweise müssen Sie auf der Seite scrollen.
Klicken Sie in der Liste auf Linux Managed Detection Testing, um die Detailseite zu öffnen.
Aktivieren Sie sowohl Status als auch Benachrichtigungen für die Regeln für Linux Managed Detection Testing.

Schritt 2: Testdaten von einem Linux-Gerät senden

So lösen Sie die Testregeln für Linux Managed Detection Testing aus:

Auf jedes Linux-Gerät zugreifen, von dem Daten an Google SecOps gesendet werden.
Öffnen Sie als beliebiger Nutzer eine neue Linux-Bash-Eingabeaufforderung.
Geben Sie den folgenden Befehl ein und drücken Sie die Eingabetaste:

/bin/echo hello_chronicle_world!

Hinweis:Sie müssen das echo-Binärprogramm und nicht den integrierten echo-Befehl der Linux-Shell verwenden.

Geben Sie den folgenden Befehl ein und drücken Sie die Eingabetaste:

sudo useradd test_chronicle_account
Entfernen Sie das im vorherigen Schritt erstellte Testkonto. Führen Sie folgenden Befehl aus:

sudo userdel test_chronicle_account
Geben Sie den folgenden Befehl ein und drücken Sie die Eingabetaste:

su
Wenn Sie zur Eingabe des Passworts aufgefordert werden, geben Sie eine beliebige Zeichenfolge ein. Beachten Sie, dass die Meldung su: Authentication failure angezeigt wird.
Schließen Sie das Bash-Fenster.

Schritt 3: Prüfen, ob in Google SecOps Benachrichtigungen ausgelöst wurden

Prüfen Sie, ob der Befehl die Regeln tst_linux_echo, tst_linux_failed_su_login und tst_linux_test_account_creation in Google SecOps ausgelöst hat. Das bedeutet, dass die Linux-Logs wie erwartet geschrieben und gesendet werden. So prüfen Sie die Benachrichtigung in Google SecOps:

In Google SecOps anmelden
Seite „Kuratierte Erkennungen“ aufrufen
Klicken Sie auf Dashboard.
Prüfen Sie, ob die Regeln tst_linux_echo, tst_linux_failed_su_login und tst_linux_test_account_creation in der Erkennungsliste ausgelöst wurden.

Hinweis :Es kann zu einer leichten Verzögerung kommen, bevor die Benachrichtigung in Google SecOps angezeigt wird.

Schritt 4: Testregeln deaktivieren

Wenn Sie fertig sind, deaktivieren Sie die Regeln für Linux Managed Detection Testing.

In Google SecOps anmelden
Seite „Kuratierte Erkennungen“ aufrufen
Deaktivieren Sie sowohl Status als auch Benachrichtigungen für die Regeln für Linux Managed Detection Testing.

Datenaufnahme für die Kategorie „Windows-Bedrohungen“ prüfen

Mit der Windows Echo Test Rule wird überprüft, ob die Microsoft Windows-Protokollierung für von Google SecOps kuratierte Erkennungen ordnungsgemäß funktioniert. Bei diesem Test wird die Eingabeaufforderung in einer Microsoft Windows-Umgebung verwendet, um den Befehl echo mit einem erwarteten und eindeutigen String auszuführen.

Sie können den Test ausführen, während Sie als beliebiger Nutzer angemeldet sind, der Zugriff auf die Windows-Eingabeaufforderung hat.

Schritt 1: Testregeln aktivieren

In Google SecOps anmelden
Seite „Kuratierte Erkennungen“ aufrufen
Maximieren Sie den Bereich Managed Detection Testing (Verwaltungstests für die Erkennung). Möglicherweise müssen Sie auf der Seite scrollen.
Klicken Sie in der Liste auf Windows Managed Detection Testing, um die Detailseite zu öffnen.
Aktivieren Sie sowohl Status als auch Benachrichtigungen für die Regeln für Windows Managed Detection Testing.

Schritt 2: Testdaten von einem Windows-Gerät senden

So lösen Sie die Windows Echo Test Rule aus:

Zugriff auf alle Geräte, die Daten generieren, die an Google SecOps gesendet werden sollen.
Öffnen Sie als beliebiger Nutzer ein neues Microsoft Windows-Eingabeaufforderungsfenster.
Geben Sie den folgenden Befehl ein (Groß- und Kleinschreibung wird nicht berücksichtigt) und drücken Sie die Eingabetaste:
```
cmd.exe /c "echo hello_chronicle_world!"
```
Schließen Sie das Fenster "Eingabeaufforderung".

Schritt 3: Prüfen, ob eine Benachrichtigung ausgelöst wurde

Prüfen Sie, ob der Befehl die Regel tst_Windows_Echo in Google SecOps ausgelöst hat. Dies weist darauf hin, dass die Microsoft Windows-Protokollierung Daten wie erwartet sendet. So prüfen Sie die Benachrichtigung in Google SecOps:

In Google SecOps anmelden
Seite „Kuratierte Erkennungen“ aufrufen
Klicken Sie auf Dashboard.
Prüfen Sie, ob die Regel tst_Windows_Echo in der Liste der erkannten Ereignisse ausgelöst wurde.

Hinweis:Es kann zu einer leichten Verzögerung kommen, bis die Benachrichtigung in Google SecOps angezeigt wird.

Schritt 4: Testregeln deaktivieren

Wenn Sie fertig sind, deaktivieren Sie die Regeln für Windows Managed Detection Testing.

In Google SecOps anmelden
Seite „Kuratierte Erkennungen“ aufrufen
Deaktivieren Sie sowohl Status als auch Benachrichtigungen für die Regeln für Windows Managed Detection Testing.

Datenaufnahme für die Office 365-Datenkategorie prüfen

Prüfen Sie, ob die Daten richtig aufgenommen wurden und im richtigen Format vorliegen, um kuratierte Erkennungen für Office 365-Daten zu verwenden.

Schritt 1: Office 365-Daten aufnehmen

Sie müssen Daten aus jeder Datenquelle, die in der Anleitung zum Erfassen von Daten für Google SecOps aufgeführt ist, aufnehmen, um eine maximale Regelabdeckung zu erreichen. Weitere Informationen zum Erfassen von Daten für Office 365-Dienste finden Sie unter Microsoft Office 365-Logs erfassen.

Schritt 2: Aufnahme von Office 365-Daten prüfen

Im Dashboard für Datenaufnahme und ‑integrität von Google SecOps finden Sie Informationen zu Art, Volumen und Integrität aller Daten, die mit SIEM-Aufnahmefunktionen in Google SecOps aufgenommen werden.

Sie können auch Testregeln für die verwaltete Erkennung von Office 365 verwenden, um die Aufnahme von Office 365-Daten zu überprüfen. Nachdem die Aufnahme eingerichtet ist, lösen Sie die Testregeln aus, indem Sie Aktionen in Office 365 ausführen. Diese Regeln sorgen dafür, dass die Daten richtig aufgenommen werden und das richtige Format haben, um kuratierte Erkennungen für Office 365-Daten zu verwenden.

Schritt 3: Testregeln für Managed Detection Testing in Azure aktivieren

Klicken Sie in Google SecOps auf Erkennungen > Regeln und Erkennungen, um die Seite „Kuratierte Erkennungen und Regelsätze“ zu öffnen.
Wählen Sie Managed Detection Testing > Office 365 Managed Detection Testing aus.
Aktivieren Sie sowohl Status als auch Benachrichtigungen für die Regeln Allgemein und Präzise.

Schritt 4: Daten zu Nutzeraktionen senden, um die Testregeln auszulösen

Um zu prüfen, ob Daten wie erwartet erfasst werden, erstellen Sie eine Posteingangsregel mit einem bestimmten Namen, um zu prüfen, ob diese Aktionen die Testregeln auslösen. Informationen zum Erstellen von Posteingangsregeln in Outlook finden Sie unter E-Mail-Nachrichten mithilfe von Regeln in Outlook verwalten.

Wenn Sie in Outlook 365 eine Posteingangsregel erstellen möchten, können Sie die Funktion „Regeln“ im Bereich „E-Mail“ verwenden. Sie können auch eine Regel erstellen, indem Sie mit der rechten Maustaste auf eine E-Mail klicken.

Schritt 5: Posteingangsregel mit der Funktion „Regeln“ erstellen

Hier sind einige Anwendungsfälle für das Erstellen einer Posteingangsregel mit der Funktion „Regeln“:

Testregel 1

Klicken Sie auf Mail und wählen Sie Regeln aus.
Geben Sie GoogleSecOpsTest für den Namen der Regel ein.
Wählen Sie eine Bedingung aus der Liste aus.
Wählen Sie eine Aktion aus der Liste aus.
Klicken Sie auf Bedingung hinzufügen oder Aktion hinzufügen, um bei Bedarf weitere Bedingungen oder Aktionen hinzuzufügen.
Klicken Sie auf OK.

Testregel 2

Rufen Sie SharePoint oder OneDrive auf.
Geben Sie in der Suchleiste GoogleSecOpsTest ein.

Ergebnisse validieren

So prüfen Sie, ob in Google SecOps Benachrichtigungen erstellt werden:

Klicken Sie in Google SecOps auf Erkennungen > Regeln & Erkennungen, um die Seite „Kuratierte Erkennungen“ zu öffnen.
Klicken Sie auf Dashboard.
Prüfen Sie in der Liste der erkannten Probleme, ob die folgenden Regeln ausgelöst wurden:
- tst_o365_email.yl2
- tst_of65_sharepoint_onedrive.yl2
Sobald Sie bestätigt haben, dass die Daten gesendet werden und die Regeln ausgelöst werden, deaktivieren Sie die in Test Rule 1 erstellte Posteingangsregel.

Datenaufnahme für die Okta-Bedrohungskategorie prüfen

Prüft, ob Daten korrekt aufgenommen werden und im richtigen Format vorliegen, um kuratierte Erkennungen für Okta-Daten zu verwenden.

Schritt 1: Okta-Daten aufnehmen

Damit alle Regeln abgedeckt werden, müssen Sie Daten aus jeder Datenquelle erfassen, die in der Anleitung zur Datenerfassung für Google SecOps aufgeführt ist. Weitere Informationen zum Erfassen von Daten für Okta-Dienste finden Sie unter Okta-Logs erfassen.

Schritt 2: Aufnahme von Okta-Daten prüfen

Sie können auch Okta Managed Detection-Testregeln verwenden, um die Aufnahme von Office 365-Daten zu überprüfen. Nachdem die Aufnahme eingerichtet ist, lösen Sie die Testregeln aus, indem Sie Aktionen in Office 365 ausführen. Diese Regeln sorgen dafür, dass die Daten richtig aufgenommen werden und das richtige Format haben, um kuratierte Erkennungen für Office 365-Daten zu verwenden.

Schritt 3: Von Okta verwaltete Regeln für die Erkennungsprüfung aktivieren

Klicken Sie in Google SecOps auf Erkennungen > Regeln und Erkennungen, um die Seite „Kuratierte Erkennungen und Regelsätze“ zu öffnen.
Wählen Sie Managed Detection Testing > Office 365 Managed Detection Testing aus.
Aktivieren Sie sowohl Status als auch Benachrichtigungen für die Regeln Allgemein und Präzise.

Schritt 4: Daten zu Nutzeraktionen senden, um die Testregeln auszulösen

Um zu prüfen, ob Daten wie erwartet erfasst werden, erstellen Sie eine Posteingangsregel mit einem bestimmten Namen, um zu prüfen, ob diese Aktionen die Testregeln auslösen. Dieses Ereignis löst dann ein fehlgeschlagenes Okta-Anmeldeereignis für einen unbekannten Nutzer aus.

Testregel 1

Rufen Sie die URL Ihres Okta-Mandanten auf.
Geben Sie im Feld Nutzername GoogleSecOpsTest ein.
Geben Sie im Feld Passwort einen beliebigen String ein.
Klicken Sie auf Sign In (Anmelden).

Ergebnisse validieren

So prüfen Sie, ob Benachrichtigungen in Google SecOps erstellt werden: 1. Klicken Sie in Google SecOps auf Erkennungen > Regeln & Erkennungen, um die Seite „Kuratierte Erkennungen“ zu öffnen. 1. Klicken Sie auf Dashboard. 1. Prüfen Sie in der Liste der erkannten Ereignisse, ob die folgenden Regeln ausgelöst wurden: * Okta Unknown User Login Test (tst_okta_login_by_unknown_user.yl2) Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten