Vérifier l'ingestion de données à l'aide de règles de test

Compatible avec :

Les détections organisées de Google Security Operations incluent un ensemble de règles de test qui vous aident à vérifier que les données requises pour chaque ensemble de règles sont au bon format.

Ces règles de test se trouvent dans la catégorie Test de détection gérée. Chaque ensemble de règles valide que les données reçues par l'appareil de test sont dans un format attendu par les règles pour la catégorie spécifiée.

Nom de l'ensemble de règles Description
Google Cloud Tests de détection gérés Vérifie que les données Google Cloud sont correctement ingérées à partir des appareils compatibles avec la catégorie "Menaces cloud".
Pour en savoir plus, consultez Vérifier l'ingestion de données Google Cloud pour la catégorie "Menaces cloud".
Tests de détection gérés Chrome Enterprise Vérifie que les données sont correctement ingérées à partir des appareils compatibles avec la catégorie "Menaces Chrome Enterprise".
Pour en savoir plus, consultez Vérifier l'ingestion de données pour la catégorie "Menaces Chrome Enterprise".
Tests de détection gérés par AWS Vérifie que les données AWS sont correctement ingérées à partir des appareils compatibles avec la catégorie "Menaces cloud".
Pour en savoir plus, consultez Vérifier l'ingestion de données AWS pour la catégorie "Menaces cloud".
Tests de détection gérée Linux Vérifie que les données sont correctement ingérées à partir des appareils compatibles avec la catégorie "Menaces Linux".
Pour en savoir plus, consultez Vérifier l'ingestion de données pour la catégorie "Menaces Linux".
Tests de détection gérée Windows Vérifie que les données sont correctement ingérées à partir des appareils compatibles avec la catégorie "Menaces Windows".
Pour en savoir plus, consultez Vérifier l'ingestion de données pour la catégorie "Menaces Windows".
Test de détection des données Office 365 Vérifie que les données sont ingérées correctement et qu'elles sont au bon format pour utiliser les détections organisées pour les données Office 365.
Pour en savoir plus, consultez Vérifier l'ingestion des données pour la catégorie Office 365.
Tests de détection des données Okta Vérifie que les données sont ingérées correctement et qu'elles sont au bon format pour utiliser les détections organisées pour les données Okta.
Pour en savoir plus, consultez Vérifier l'ingestion de données pour la catégorie "Menaces Okta".

Suivez les étapes décrites dans ce document pour tester et vérifier que les données entrantes sont ingérées correctement et qu'elles sont au bon format.

Vérifier l'ingestion des données Google Cloud pour la catégorie "Menaces cloud"

Ces règles permettent de vérifier si les données de journaux sont ingérées comme prévu pour les détections organisées Google SecOps.

Utilisez les règles suivantes pour tester les données avec les étapes qui suivent :

  • Règle Test des métadonnées Cloud Audit : pour déclencher cette règle, ajoutez une clé de métadonnées personnalisée unique et attendue à n'importe quelle machine virtuelle Compute Engine qui envoie des données à Google SecOps.

  • Règle Test Cloud DNS : pour déclencher cette règle, effectuez une résolution DNS vers le domaine (chronicle.security) dans n'importe quelle machine virtuelle ayant accès à Internet et envoyant des données de journaux à Google SecOps.

  • Règles SCC Managed Detection Testing : pour déclencher ces règles, effectuez plusieurs actions dans la console Google Cloud .

  • Règle Test de nœud Cloud Kubernetes : pour déclencher cette règle, créez un projet de test qui envoie des données de journaux à Google SecOps, puis créez un pool de nœuds unique dans un cluster Google Kubernetes Engine existant.

Étape 1. Activer les règles de test

  1. Connectez-vous à Google SecOps.
  2. Ouvrez la page Détections organisées.
  3. Cliquez sur Règles et détections > Ensembles de règles.
  4. Développez la section Test de détection gérée. Vous devrez peut-être faire défiler la page.
  5. Cliquez sur Google Cloud Tests de détection gérés dans la liste pour ouvrir la page d'informations.
  6. Activez État et Alertes pour les règles Test de détection géré dans le cloud.

Étape 2 : Envoyer des données pour la règle de test des métadonnées d'audit Cloud

Pour déclencher le test, procédez comme suit :

  1. Choisissez un projet au sein de votre organisation.
  2. Accédez à Compute Engine, puis sélectionnez une machine virtuelle dans le projet.
  3. Dans la machine virtuelle, cliquez sur Modifier, puis procédez comme suit dans la section Métadonnées personnalisées :
    1. Cliquez sur Ajouter un élément.
    2. Saisissez les informations suivantes :
      • Clé : GCTI_ALERT_VALIDATION_TEST_KEY
      • Valeur : works
    3. Cliquez sur Enregistrer.

  4. Pour vérifier que l'alerte a été déclenchée, procédez comme suit :

    1. Connectez-vous à Google SecOps.
    2. Ouvrez la page "Détections sélectionnées", puis cliquez sur Tableau de bord.
    3. Vérifiez que la règle ur_tst_Google Cloud_Cloud_Audit_Metadata a été déclenchée dans la liste des détections.

Étape 3 : Envoyer des données pour la règle Test Cloud DNS

Important : Les étapes suivantes doivent être effectuées en tant qu'utilisateur IAM dans le projet choisi ayant accès à une machine virtuelle Compute Engine.

Pour déclencher le test, procédez comme suit :

  1. Choisissez un projet au sein de votre organisation.
  2. Accédez à Compute Engine, puis sélectionnez une machine virtuelle dans le projet.
    • S'il s'agit d'une machine virtuelle Linux, assurez-vous d'avoir un accès Secure Shell (SSH).
    • S'il s'agit d'une machine virtuelle Windows, assurez-vous d'avoir accès au protocole RDP (Remote Desktop Protocol).
  3. Cliquez sur SSH (Linux) ou RDP (Microsoft Windows) pour accéder à la machine virtuelle.

  4. Envoyez des données de test en suivant l'une des étapes suivantes :

    • Machine virtuelle Linux : après avoir accédé à la machine virtuelle à l'aide de SSH, exécutez l'une des commandes suivantes : nslookup chronicle.security ou host chronicle.security.

      Si la commande échoue, installez dnsutils sur la machine virtuelle à l'aide de l'une des commandes suivantes :

      • sudo apt-get install dnsutils (pour Debian/Ubuntu)
      • dnf install bind-utils (pour RedHat/CentOS)
      • yum install bind-utils

    • Machine virtuelle Microsoft Windows : après avoir accédé à la machine virtuelle à l'aide de RDP, accédez à n'importe quel navigateur installé et accédez à https://chronicle.security.

  5. Pour vérifier que l'alerte a été déclenchée, procédez comme suit :

    1. Connectez-vous à Google SecOps.
    2. Ouvrez la page "Détections sélectionnées", puis cliquez sur Tableau de bord.
    3. Vérifiez que la règle ur_tst_Google Cloud_Cloud_DNS_Test_Rule a été déclenchée dans la liste des détections.

Étape 4 : Envoyer des données pour les règles de test des nœuds Kubernetes Cloud

Important : Les étapes suivantes doivent être effectuées en tant qu'utilisateur IAM dans le projet choisi, ayant accès aux ressources Google Kubernetes Engine. Pour en savoir plus sur la création de clusters régionaux et de pools de nœuds, consultez Créer un cluster régional avec un pool de nœuds à zone unique. Ces règles de test sont destinées à vérifier l'ingestion de données à partir du type de journal KUBERNETES_NODE.

Pour déclencher les règles de test, procédez comme suit :

  1. Créez un projet nommé chronicle-kube-test-project dans votre organisation. Ce projet n'est utilisé que pour les tests.
  2. Accédez à la page Google Kubernetes Engine dans la console Google Cloud .
    Accéder à la page Google Kubernetes Engine
  3. Cliquez sur Créer pour créer un cluster régional dans le projet.
  4. Configurez le cluster selon les besoins de votre organisation.
  5. Cliquez sur Ajouter un pool de nœuds.
  6. Nommez le pool de nœuds kube-node-validation, puis ajustez sa taille à un nœud par zone.
  7. Supprimez les ressources de test :
    1. Une fois le pool de nœuds kube-node-validation créé, supprimez-le.
    2. Supprimez le projet de test chronicle-kube-test-project.

  8. Connectez-vous à Google SecOps.

  9. Ouvrez la page "Détections sélectionnées", puis cliquez sur Tableau de bord.

  10. Vérifiez que la règle tst_Google Cloud_Kubernetes_Node a été déclenchée dans la liste des détections.

  11. Vérifiez que la règle tst_Google Cloud_Kubernetes_CreateNodePool a été déclenchée dans la liste de détection.

Étape 5 : Envoyer des données pour les règles de test de détection géré par SCC

Les sous-étapes de cette étape permettent de vérifier que les résultats Security Command Center et les données associées sont ingérés correctement et au format attendu.

Les ensembles de règles Test de détection géré des CCT de la catégorie Test de détection géré vous permettent de vérifier que les données requises pour les ensembles de règles CDIR SCC Enhanced sont envoyées à Google SecOps et qu'elles sont au bon format.

Chaque règle de test valide que les données sont reçues dans un format attendu par les règles. Vous effectuez des actions dans votre environnement Google Cloud pour envoyer des données qui généreront une alerte Google SecOps.

Veillez à suivre les sections suivantes de ce document pour configurer la journalisation dans les services Google Cloud , collecter les résultats Security Command Center Premium et envoyer les résultats Security Command Center à Google SecOps :

Pour en savoir plus sur les alertes Security Command Center décrites dans cette section, consultez le document Security Command Center Enquêter sur les menaces et y répondre.

Déclencher la règle de test de persistance CDIR SCC

Pour envoyer des données qui déclenchent cette alerte dans Google SecOps, procédez comme suit :

  1. Dans la console Google Cloud , créez une instance de VM et attribuez-lui temporairement le compte de service Compute Engine par défaut avec les droits Éditeur. Vous supprimerez cette ligne une fois le test terminé.

  2. Lorsque la nouvelle instance est disponible, attribuez le champ d'application de l'accès sur Autoriser l'accès complet à l'ensemble des API.

  3. Créez un compte de service avec les informations suivantes :

    • Définissez Nom du compte de service sur scc-test.
    • Définissez ID du compte de service sur scc-test.
    • Vous pouvez également saisir une description pour le compte de service.

    Pour savoir comment créer des comptes de service, consultez le document Créer des comptes de service.

  4. Connectez-vous à l'aide de SSH à l'instance de test créée à l'étape précédente, puis exécutez la commande gcloud suivante :

    gcloud projects add-iam-policy-binding PROJECT_NAME
--member="serviceAccount:scc-test@PROJECT_NAME.iam.gserviceaccount.com"
--role="roles/owner`"

    Remplacez PROJECT_NAME par le nom du projet dans lequel l'instance Compute Engine est en cours d'exécution et dans lequel le compte scc-test a été créé.

    L'alerte Security Command Center Persistance : octroi IAM anormal doit se déclencher.

  5. Connectez-vous à Google SecOps, puis ouvrez la page Alertes et IOC.

  6. Vous devriez voir une alerte Google SecOps intitulée Test SCC Alert: IAM Anomalous Grant given to test account (Alerte SCC de test : autorisation IAM anormale accordée au compte de test).

  7. Ouvrez la console Google Cloud , puis procédez comme suit :

    • Supprimez l'accès au compte de test scc-test depuis IAM et la console d'administration.
    • Supprimez le compte de service à l'aide du portail Comptes de service.
    • Supprimez l'instance de VM que vous venez de créer.

Déclencher la règle de test de logiciel malveillant CDIR SCC

Pour envoyer des données qui déclenchent cette alerte dans Google SecOps, procédez comme suit :

  1. Dans la console Google Cloud , connectez-vous à l'aide de SSH à n'importe quelle instance de VM sur laquelle la commande curl est installée.

  2. Exécutez la commande suivante :

      curl etd-malware-trigger.goog

    Une fois cette commande exécutée, l'alerte Logiciel malveillant : domaine incorrect de Security Command Center devrait se déclencher.

  3. Connectez-vous à Google SecOps, puis ouvrez la page Alertes et IOC.

  4. Vérifiez qu'une alerte Google SecOps intitulée Test SCC Alert: Malware Bad Domain (Alerte SCC de test : domaine malveillant) s'affiche.

Déclencher la règle de test CDIR SCC Defense Evasion

Pour envoyer des données qui déclenchent cette alerte dans Google SecOps, procédez comme suit :

  1. Connectez-vous à la console Google Cloud avec un compte ayant accès au niveau de l'organisation pour modifier les périmètres VPC Service Controls.

  2. Dans la console Google Cloud , accédez à la page VPC Service Controls.

    Accéder à VPC Service Controls

  3. Cliquez sur + Nouveau périmètre, puis configurez les champs suivants sur la page Détails :

    • Titre du périmètre : scc_test_perimeter.
    • Type de périmètre sur Périmètre standard (par défaut).
    • Définissez Type de configuration sur Appliqué.

  4. Dans le panneau de navigation de gauche, sélectionnez 3 Services restreints.

  5. Dans la boîte de dialogue Spécifier les services à restreindre, sélectionnez API Google Compute Engine, puis cliquez sur Ajouter l'API Google Compute Engine.

  6. Dans le panneau de navigation de gauche, cliquez sur Créer un périmètre.

  7. Pour modifier le périmètre, accédez à la page Périmètres de service VPC. Pour en savoir plus sur l'accès à cette page, consultez Répertorier et décrire les périmètres de service.

  8. Sélectionnez scc_test_perimeter, puis Modifier le périmètre.

  9. Sous Services restreints, cliquez sur l'icône Supprimer pour supprimer le service API Google Compute Engine. Cela devrait déclencher l'alerte Defense Evasion : Modifier le périmètre VPC Service Controls dans SCC.

  10. Connectez-vous à Google SecOps, puis ouvrez la page Alertes et IOC.

  11. Vérifiez qu'une alerte Google SecOps intitulée Test SCC Alert: Modify VPC Service Control Test Alert (Alerte SCC de test : alerte de test de modification de VPC Service Controls) s'affiche.

Déclencher la règle de test d'exfiltration CDIR SCC

Pour envoyer des données qui déclenchent cette alerte dans Google SecOps, procédez comme suit :

  1. Dans la console Google Cloud , accédez à un projet Google Cloud , puis ouvrez BigQuery.

    Accéder à BigQuery

  2. Créez un fichier CSV avec les données suivantes, puis enregistrez-le dans votre répertoire d'accueil :

    column1, column2, column3
data1, data2, data3
data4, data5, data6
data7, data8, data9

  3. Dans le panneau de navigation de gauche, sélectionnez Créer un ensemble de données.

  4. Définissez la configuration suivante, puis cliquez sur Créer un ensemble de données :

    • ID de l'ensemble de données défini sur scc_test_dataset.
    • Type d'emplacement défini sur Multirégional.
    • Activer l'expiration de la table : ne sélectionnez pas cette option.

    Pour en savoir plus sur la création d'un ensemble de données, consultez le document BigQuery Créer des ensembles de données.

  5. Dans la navigation de gauche, à droite de scc_test_dataset, cliquez sur l'icône , puis sélectionnez Créer un tableau.

  6. Créez une table et définissez la configuration suivante :

    • Créer une table à partir de : définissez la valeur sur Importer.
    • Sélectionner un fichier : accédez à votre répertoire personnel et sélectionnez le fichier CSV que vous avez créé précédemment.
    • Format de fichier : définissez-le sur CSV.
    • Ensemble de données : défini sur css_test_dataset.
    • Type de table : définissez-le sur Table native.

  7. Acceptez la configuration par défaut pour tous les autres champs, puis cliquez sur Créer une table.

    Pour en savoir plus sur la création d'une table, consultez Créer et utiliser des tables.

  8. Dans la liste des ressources, sélectionnez la table css_test_dataset, puis cliquez sur Requête et sélectionnez Dans un nouvel onglet.

  9. Exécutez la requête suivante :

    SELECT * FROM TABLE_NAME LIMIT 1000`

    Remplacez TABLE_NAME par le nom complet de la table.

  10. Une fois la requête exécutée, cliquez sur Enregistrer les résultats, puis sélectionnez CSV dans Google Drive. Cela devrait déclencher l'alerte Security Command Center Exfiltration : exfiltration BigQuery vers Google Drive. Le résultat Security Command Center doit être envoyé à Google SecOps et déclencher une alerte Google SecOps.

  11. Connectez-vous à Google SecOps, puis ouvrez la page Alertes et IOC.

  12. Vérifiez qu'une alerte Google SecOps intitulée Test SCC Alert: BigQuery Exfiltration to Google Drive (Alerte SCC de test : exfiltration BigQuery vers Google Drive) s'affiche.

Étape 6 : Désactiver les règles de test

Une fois les tests terminés, désactivez les règles Google Cloud Test de détection gérée.

  1. Connectez-vous à Google SecOps.
  2. Ouvrez la page Détections organisées.
  3. Désactivez État et Alertes pour les règles de test de détection gérée Google Cloud .

Valider l'ingestion de données pour la catégorie "Menaces Chrome Enterprise"

La règle de test Chrome Enterprise vérifie que la journalisation Chrome Enterprise fonctionne correctement pour les détections organisées Google SecOps. Ce test utilise une URL de test de navigation sécurisée qui devrait afficher un avertissement de phishing.

Étape 1. Activer les règles de test

Pour activer les règles de test, procédez comme suit :

  1. Connectez-vous à Google SecOps.
  2. Ouvrez la page Détections sélectionnées.
  3. Développez la section Test de détection gérée. Vous devrez peut-être faire défiler la page.
  4. Cliquez sur Test de détection gérée Chrome Enterprise dans la liste pour ouvrir la page d'informations.
  5. Activez État et Alertes pour les règles Test de détection géré Chrome Enterprise.

Étape 2 : Envoyer des données de test depuis un navigateur Chrome géré

Pour déclencher la règle de test Chrome Enterprise :

  1. Ouvrez un navigateur Chrome géré par un compte Chrome Enterprise.
  2. Ouvrez un nouvel onglet et accédez à l'URL de test de la navigation sécurisée. Un message d'avertissement devrait s'afficher.
  3. Fermez le navigateur.

Étape 3 : Vérifier qu'une alerte a été déclenchée

Vérifiez que l'accès à l'URL de test de navigation sécurisée a déclenché la règle tst_chrome_enterprise_phishing_url dans Google SecOps. Cela indique que la journalisation Chrome Enterprise envoie des données, comme prévu.

Pour vérifier l'alerte dans Google SecOps, procédez comme suit :

  1. Connectez-vous à Google SecOps.
  2. Ouvrez la page Détections sélectionnées.
  3. Cliquez sur Tableau de bord.
  4. Vérifiez que la règle tst_chrome_enterprise_phishing_url a été déclenchée dans la liste des détections.

Étape 4 : Désactiver les règles de test

Une fois les tests terminés, désactivez les règles de test de détection gérée Chrome Enterprise :

  1. Connectez-vous à Google SecOps.
  2. Ouvrez la page Détections sélectionnées.
  3. Désactivez État et Alertes pour les règles de test de détection géré par Chrome Enterprise.

Vérifier l'ingestion de données AWS pour la catégorie "Menaces cloud"

Vous pouvez utiliser les règles de test AWS Managed Detection Testing pour vérifier que les données AWS sont ingérées dans Google SecOps. Ces règles de test permettent de vérifier que les données AWS ont été ingérées et qu'elles sont au format attendu. Après avoir configuré l'ingestion des données AWS, vous effectuez des actions dans AWS qui devraient déclencher les règles de test.

  • L'utilisateur qui active ces règles dans le moteur de détection doit disposer de l'autorisation IAM curatedRuleSetDeployments.batchUpdate.
  • L'utilisateur qui effectue les étapes pour envoyer des données AWS doit disposer des autorisations AWS IAM nécessaires pour modifier les tags d'une instance EC2 dans le compte choisi. Pour en savoir plus sur l'ajout de tags aux instances EC2, consultez le document AWS Ajouter des tags à vos ressources Amazon EC2.

Activer les règles de test AWS Managed Detection Testing

  1. Dans Google SecOps, cliquez sur Détections > Règles et détections pour ouvrir la page "Détections sélectionnées".
  2. Sélectionnez Tests de détection gérés > Tests de détection gérés AWS.
  3. Vous avez activé les États et les Alertes pour les règles Générales et Précises.

Vérifier que les actions de balise dans AWS déclenchent la règle de test

Pour vérifier que les actions de tag dans AWS déclenchent l'ensemble de règles, procédez comme suit.

Étape 1. Générez un événement de journal dans AWS.

  1. Choisissez un compte dans votre environnement AWS.
  2. Accédez au tableau de bord EC2, puis sélectionnez une instance dans le compte.
  3. Dans l'instance EC2, cliquez sur Actions > Paramètres de l'instance, puis effectuez les opérations suivantes dans la section Gérer les tags :
    1. Cliquez sur Ajouter une balise.
    2. Saisissez les informations suivantes :
    3. Key (Clé) : GCTI_ALERT_VALIDATION_TEST_KEY
    4. Valeur : works
    5. Cliquez sur Enregistrer.

Pour en savoir plus, consultez Ajouter ou supprimer des tags d'instance EC2.

Étape 2 : Vérifiez que les alertes de test sont déclenchées.

Après avoir effectué la tâche de l'étape précédente, vérifiez que la règle AWS CloudTrail Test Rule (Règle de test AWS CloudTrail) est déclenchée. Cela indique que les journaux CloudTrail ont été enregistrés et envoyés à Google SecOps comme prévu. Pour vérifier l'alerte, procédez comme suit :

  1. Dans Google SecOps, cliquez sur Détections > Règles et détections pour ouvrir la page "Détections sélectionnées".
  2. Cliquez sur Tableau de bord.
  3. Dans la liste des détections, vérifiez que la règle tst_AWS_Cloud_Trail_Tag a été déclenchée.

Vérifier que les exemples de résultats AWS GuardDuty déclenchent des règles de test

Pour vous assurer que les alertes GuardDuty fonctionnent comme prévu dans votre environnement, vous pouvez envoyer des exemples de résultats GuardDuty à Google SecOps.

Étape 1. Générez des exemples de données de résultats GuardDuty.

  1. Accédez à la page d'accueil de la console AWS.
  2. Sous Sécurité, identité et conformité, ouvrez GuardDuty.
  3. Accédez aux paramètres de GuardDuty.
  4. Cliquez sur Générer des exemples de résultats.

Pour savoir comment générer des résultats GuardDuty exemples, consultez Générer des résultats exemples dans GuardDuty.

Étape 2 : Vérifiez que les alertes de test ont été déclenchées.

  1. Dans Google SecOps, cliquez sur Détection > Règles et détections pour ouvrir la page "Détections sélectionnées".
  2. Cliquez sur Tableau de bord.
  3. Vérifiez que la règle de test AWS CloudTrail a été déclenchée dans la liste des détections.

Désactiver les ensembles de règles de test de détection gérés par AWS

  1. Dans Google SecOps, cliquez sur Détection > Règles et détections pour ouvrir la page "Détections sélectionnées".
  2. Sélectionnez les règles Tests de détection gérée > Tests de détection gérée AWS.
  3. Désactivez État et Alertes pour les règles Générales et Précises.

Vérifier l'ingestion des données pour la catégorie "Menaces Linux"

Les règles de test de détection gérée Linux vérifient que la journalisation sur un système Linux fonctionne correctement pour les détections organisées par Google SecOps. Les tests consistent à utiliser l'invite Bash dans un environnement Linux pour exécuter diverses commandes. Ils peuvent être effectués par n'importe quel utilisateur ayant accès à l'invite Bash Linux.

Étape 1. Activer les règles de test

  1. Connectez-vous à Google SecOps.
  2. Ouvrez la page Détections organisées.
  3. Cliquez sur Règles et détections > Ensembles de règles.
  4. Développez la section Test de détection gérée. Vous devrez peut-être faire défiler la page.
  5. Cliquez sur Test de détection gérée Linux dans la liste pour ouvrir la page d'informations.
  6. Activez État et Alertes pour les règles Test de détection gérée Linux.

Étape 2 : Envoyer des données de test depuis un appareil Linux

Pour déclencher les règles de test Linux Managed Detection Testing, procédez comme suit :

  1. Accédez à n'importe quel appareil Linux sur lequel des données sont envoyées à Google SecOps.
  2. Ouvrez une nouvelle interface de ligne de commande Linux Bash en tant qu'utilisateur.

  3. Saisissez la commande suivante, puis appuyez sur Entrée :

    /bin/echo hello_chronicle_world!

Remarque : Vous devez utiliser le binaire echo plutôt que la commande echo intégrée au shell Linux.

  1. Saisissez la commande suivante, puis appuyez sur Entrée :

    sudo useradd test_chronicle_account

  2. Supprimez le compte de test créé à l'étape précédente. Exécutez la commande suivante :

    sudo userdel test_chronicle_account

  3. Saisissez la commande suivante, puis appuyez sur Entrée :

    su

  4. Lorsque vous êtes invité à saisir le mot de passe, saisissez une chaîne aléatoire. Notez que le message su: Authentication failure s'affiche.

  5. Fermez la fenêtre Bash.

Étape 3 : Vérifier que des alertes ont été déclenchées dans Google SecOps

Vérifiez que la commande a déclenché les règles tst_linux_echo, tst_linux_failed_su_login et tst_linux_test_account_creation dans Google SecOps. Cela indique que les journaux Linux sont écrits et envoyés comme prévu. Pour vérifier l'alerte dans Google SecOps, procédez comme suit :

  1. Connectez-vous à Google SecOps.
  2. Ouvrez la page Détections organisées.
  3. Cliquez sur Tableau de bord.

  4. Vérifiez que les règles tst_linux_echo, tst_linux_failed_su_login et tst_linux_test_account_creation ont été déclenchées dans la liste des détections.

Étape 4 : Désactiver les règles de test

Lorsque vous avez terminé, désactivez les règles Linux Managed Detection Testing.

  1. Connectez-vous à Google SecOps.
  2. Ouvrez la page Détections organisées.
  3. Désactivez État et Alertes pour les règles Test de détection gérée Linux.

Vérifier l'ingestion de données pour la catégorie "Menaces Windows"

La règle de test d'écho Windows vérifie que la journalisation Microsoft Windows fonctionne correctement pour les détections organisées par Google SecOps. Le test consiste à utiliser l'invite de commande dans un environnement Microsoft Windows pour exécuter la commande echo avec une chaîne unique attendue.

Vous pouvez exécuter le test en étant connecté en tant qu'utilisateur ayant accès à l'invite de commandes Windows.

Étape 1. Activer les règles de test

  1. Connectez-vous à Google SecOps.
  2. Ouvrez la page Détections organisées.
  3. Développez la section Test de détection gérée. Vous devrez peut-être faire défiler la page.
  4. Cliquez sur Test de détection gérée Windows dans la liste pour ouvrir la page d'informations.
  5. Activez État et Alertes pour les règles Test de détection gérée Windows.

Étape 2 : Envoyer des données de test depuis un appareil Windows

Pour déclencher la règle de test d'écho Windows, procédez comme suit :

  1. Accédez à n'importe quel appareil qui génère des données à envoyer à Google SecOps.
  2. Ouvrez une nouvelle fenêtre d'invite de commandes Microsoft Windows en tant qu'utilisateur.

  3. Saisissez la commande suivante (sans tenir compte de la casse), puis appuyez sur Entrée :

    cmd.exe /c "echo hello_chronicle_world!"

  4. Fermez la fenêtre d'invite de commandes.

Étape 3 : Vérifier qu'une alerte a été déclenchée

Vérifiez que la commande a déclenché la règle tst_Windows_Echo dans Google SecOps. Cela indique que la journalisation Microsoft Windows envoie les données comme prévu. Pour vérifier l'alerte dans Google SecOps, procédez comme suit :

  1. Connectez-vous à Google SecOps.
  2. Ouvrez la page Détections organisées.
  3. Cliquez sur Tableau de bord.

  4. Vérifiez que la règle tst_Windows_Echo a été déclenchée dans la liste de détection.

    Remarque : Un léger délai s'écoulera avant que l'alerte ne s'affiche dans Google SecOps.

Étape 4 : Désactiver les règles de test

Lorsque vous avez terminé, désactivez les règles Windows Managed Detection Testing.

  1. Connectez-vous à Google SecOps.
  2. Ouvrez la page Détections organisées.
  3. Désactivez les options État et Alertes pour les règles Test de détection géré Windows.

Vérifier l'ingestion de données pour la catégorie de données Office 365

Vérifiez que les données sont ingérées correctement et qu'elles sont au bon format pour utiliser les détections organisées pour les données Office 365.

Étape 1. Ingérer des données Office 365

Pour bénéficier d'une couverture maximale des règles, vous devez ingérer les données de chaque source de données listée dans les instructions d'ingestion de Google SecOps. Pour savoir comment ingérer des données pour les services Office 365, consultez Collecter les journaux Microsoft Office 365.

Étape 2 : Vérifier l'ingestion des données Office 365

Le tableau de bord "Ingestion et état des données" de Google SecOps vous permet d'afficher des informations sur le type, le volume et l'état de toutes les données ingérées dans Google SecOps à l'aide des fonctionnalités d'ingestion SIEM.

Vous pouvez également utiliser les règles de test de détection gérée Office 365 pour vérifier l'ingestion des données Office 365. Une fois l'ingestion configurée, vous déclenchez les règles de test en effectuant des actions dans Office 365. Ces règles garantissent que les données sont ingérées correctement et qu'elles sont au bon format pour utiliser les détections organisées pour les données Office 365.

Étape 3 : Activer les règles de test Azure Managed Detection Testing

  1. Dans Google SecOps, cliquez sur Détections > Règles et détections pour ouvrir la page "Détections et ensembles de règles sélectionnés".

  2. Sélectionnez Managed Detection Testing > Office 365 Managed Detection Testing.

  3. Activez les options État et Alertes pour les règles Générales et Précises.

Étape 4 : Envoyer des données d'action utilisateur pour déclencher les règles de test

Pour vérifier que les données sont ingérées comme prévu, créez une règle de boîte de réception avec un nom spécifique afin de vérifier que ces actions déclenchent les règles de test. Pour savoir comment créer des règles de boîte de réception dans Outlook, consultez Gérer les messages électroniques à l'aide de règles dans Outlook.

Pour créer une règle de boîte de réception dans Outlook 365, vous pouvez utiliser la fonctionnalité "Règles" de la section "Courrier". Vous pouvez également créer une règle en effectuant un clic droit sur un e-mail.

Étape 5 : Créer une règle de boîte de réception à l'aide de la fonctionnalité "Règles"

Voici quelques cas d'utilisation de la fonctionnalité Règles pour créer une règle de boîte de réception :

Règle de test 1

  1. Cliquez sur Mail, puis sélectionnez Règles.
  2. Saisissez GoogleSecOpsTest comme nom de règle.
  3. Sélectionnez une condition dans la liste.
  4. Sélectionnez une action dans la liste.
  5. Cliquez sur Ajouter une condition ou Ajouter une action pour ajouter des conditions ou des actions supplémentaires, si nécessaire.
  6. Cliquez sur OK.

Règle de test 2

  1. Accédez à SharePoint ou OneDrive.
  2. Dans la barre de recherche, saisissez GoogleSecOpsTest.

Valider les résultats

Pour vérifier que les alertes sont créées dans Google SecOps, procédez comme suit :

  1. Dans Google SecOps, cliquez sur Détections > Règles et détections pour ouvrir la page "Détections sélectionnées".
  2. Cliquez sur Tableau de bord.
  3. Dans la liste des détections, vérifiez que les règles suivantes ont été déclenchées :
    • tst_o365_email.yl2
    • tst_of65_sharepoint_onedrive.yl2
  4. Une fois que vous avez vérifié que les données sont envoyées et que les règles sont déclenchées, désactivez la règle de boîte de réception créée dans Test Rule 1.

Vérifier l'ingestion des données pour la catégorie "Menace Okta"

Vérifie que les données sont ingérées correctement et qu'elles sont au bon format pour utiliser les détections organisées pour les données Okta.

Étape 1. Ingérer des données Okta

Pour garantir une couverture maximale des règles, vous devez ingérer les données de chaque source de données listée dans les instructions d'ingestion de Google SecOps. Pour en savoir plus sur l'ingestion de données pour les services Okta, consultez Collecter les journaux Okta.

Étape 2 : Vérifier l'ingestion des données Okta

Le tableau de bord "Ingestion et état des données" de Google SecOps vous permet d'afficher des informations sur le type, le volume et l'état de toutes les données ingérées dans Google SecOps à l'aide des fonctionnalités d'ingestion SIEM.

Vous pouvez également utiliser les règles de test de détection gérée Okta pour vérifier l'ingestion des données Office 365. Une fois l'ingestion configurée, vous déclenchez les règles de test en effectuant des actions dans Office 365. Ces règles garantissent que les données sont ingérées correctement et qu'elles sont au bon format pour utiliser les détections organisées pour les données Office 365.

Étape 3 : Activer les règles de test de détection gérées par Okta

  1. Dans Google SecOps, cliquez sur Détections > Règles et détections pour ouvrir la page "Détections et ensembles de règles sélectionnés".

  2. Sélectionnez Managed Detection Testing > Office 365 Managed Detection Testing.

  3. Activez les options État et Alertes pour les règles Générales et Précises.

Étape 4 : Envoyer des données d'action utilisateur pour déclencher les règles de test

Pour vérifier que les données sont ingérées comme prévu, créez une règle de boîte de réception avec un nom spécifique afin de vérifier que ces actions déclenchent les règles de test. Cet événement déclenchera ensuite un événement d'échec de connexion Okta pour un utilisateur inconnu.

Règle de test 1

  1. Accédez à l'URL de votre locataire Okta.

  2. Dans le champ Nom d'utilisateur, saisissez GoogleSecOpsTest.

  3. Dans le champ Mot de passe, saisissez n'importe quelle chaîne.

  4. Cliquez sur Sign In (Se connecter).

Valider les résultats

Pour vérifier que les alertes sont créées dans Google SecOps : 1. Dans Google SecOps, cliquez sur Détections > Règles et détections pour ouvrir la page "Détections sélectionnées". 1. Cliquez sur Tableau de bord. 1. Dans la liste des détections, vérifiez que les règles suivantes ont été déclenchées : * Test de connexion Okta d'un utilisateur inconnu (tst_okta_login_by_unknown_user.yl2) Besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.