Questa pagina è stata tradotta dall'API Cloud Translation.

Verifica l'importazione dati utilizzando le regole di test

Supportato in:

Google secops SIEM

I rilevamenti curati di Google Security Operations includono un insieme di set di regole di test che ti aiutano a verificare che i dati richiesti per ogni set di regole siano nel formato corretto.

Queste regole di test rientrano nella categoria Test di rilevamento gestito. Ogni insieme di regole verifica che i dati ricevuti dal dispositivo di test siano nel formato previsto dalle regole per la categoria specificata.

Nome del set di regole	Descrizione
Google Cloud Test di rilevamento gestito	Verifica che i dati vengano inseriti correttamente dai dispositivi supportati dalla categoria Minacce cloud. Google Cloud Per ulteriori informazioni, consulta Verifica l'importazione dei dati per la categoria Minacce cloud. Google Cloud
Test di rilevamento gestito di Chrome Enterprise	Verifica che i dati vengano inseriti correttamente dai dispositivi supportati dalla categoria Minacce di Chrome Enterprise. Per ulteriori informazioni, vedi Verificare l'importazione dati per la categoria Minacce di Chrome Enterprise.
Test di rilevamento gestito AWS	Verifica che i dati AWS vengano inseriti correttamente dai dispositivi supportati dalla categoria Minacce cloud. Per ulteriori informazioni, consulta Verificare l'importazione dati AWS per la categoria Minacce cloud.
Test di rilevamento gestito di Linux	Verifica che i dati vengano inseriti correttamente dai dispositivi supportati dalla categoria Minacce Linux. Per saperne di più, consulta Verificare l'importazione dati per la categoria Minacce Linux.
Test di rilevamento gestito di Windows	Verifica che i dati vengano inseriti correttamente dai dispositivi supportati dalla categoria Minacce di Windows. Per saperne di più, consulta Verificare l'importazione dati per la categoria Minacce Windows.
Test di rilevamento dei dati di Office 365	Verifica che i dati vengano inseriti correttamente e siano nel formato appropriato per utilizzare i rilevamenti curati per i dati di Office 365. Per ulteriori informazioni, consulta Verificare l'importazione dati per la categoria Office 365.
Test di rilevamento dei dati Okta	Verifica che i dati vengano inseriti correttamente e siano nel formato appropriato per utilizzare i rilevamenti curati per i dati Okta. Per ulteriori informazioni, consulta Verificare l'importazione dati per la categoria Minacce di Okta.

Segui i passaggi descritti in questo documento per testare e verificare che i dati in entrata vengano importati correttamente e siano nel formato corretto.

Verifica Google Cloud dell'importazione dei dati per la categoria Minacce cloud

Queste regole aiutano a verificare se i dati di log vengono inseriti come previsto per le rilevazioni curate di Google SecOps.

Utilizza le seguenti regole per testare i dati con i passaggi successivi:

Regola Test dei metadati di Cloud Audit: per attivare questa regola, aggiungi una chiave di metadati personalizzati univoca e prevista a qualsiasi macchina virtuale Compute Engine che invia dati a Google SecOps.
Regola Test DNS di Cloud: per attivare questa regola, esegui una ricerca DNS del dominio (chronicle.security) all'interno di qualsiasi macchina virtuale che abbia accesso a internet e che invii dati di log a Google SecOps.
Regole di test di rilevamento gestito di SCC: per attivare queste regole, esegui più azioni nella console Google Cloud .
Regola Test dei nodi Kubernetes cloud: per attivare questa regola, crea un progetto di test che invia dati di log a Google SecOps e crea un pool di nodi univoco in un cluster Google Kubernetes Engine esistente.

Passaggio 1: Attiva le regole di test

Accedi a Google SecOps.
Apri la pagina Rilevamenti curati.
Fai clic su Regole e rilevamenti > Set di regole.
Espandi la sezione Test di rilevamento gestito. Potrebbe essere necessario scorrere la pagina.
Fai clic su Google Cloud Test di rilevamento gestito nell'elenco per aprire la pagina dei dettagli.
Attiva sia Stato che Avvisi per le regole Cloud Managed Detection Testing.

Passaggio 2: Invia dati per la regola di test dei metadati di Cloud Audit

Per attivare il test, completa i seguenti passaggi:

Scegli un progetto all'interno della tua organizzazione.
Vai a Compute Engine e scegli una macchina virtuale all'interno del progetto.
All'interno della macchina virtuale, fai clic su Modifica, quindi segui questi passaggi nella sezione Metadati personalizzati:
1. Fai clic su Aggiungi elemento.
2. Inserisci le seguenti informazioni:
  - Chiave: GCTI_ALERT_VALIDATION_TEST_KEY
  - Valore: works
3. Fai clic su Salva.
Per verificare che l'avviso sia stato attivato, procedi nel seguente modo:
1. Accedi a Google SecOps.
2. Apri la pagina Rilevamenti curati, quindi fai clic su Dashboard.
3. Verifica che la regola ur_tst_Google Cloud_Cloud_Audit_Metadata sia stata attivata nell'elenco di rilevamento.

Passaggio 3: Invia dati per la regola Test di Cloud DNS

Importante: i seguenti passaggi devono essere eseguiti come utente IAM nel progetto scelto che ha accesso a una macchina virtuale Compute Engine.

Per attivare il test, completa i seguenti passaggi:

Scegli un progetto all'interno della tua organizzazione.
Vai a Compute Engine, quindi scegli una macchina virtuale all'interno del progetto.
- Se si tratta di una macchina virtuale Linux, assicurati di avere l'accesso Secure Shell (SSH).
- Se si tratta di una macchina virtuale Windows, assicurati di avere l'accesso al Remote Desktop Protocol (RDP).
Fai clic su SSH (Linux) o RDP (Microsoft Windows) per accedere alla macchina virtuale.
Invia i dati di test utilizzando uno dei seguenti passaggi:
- Macchina virtuale Linux: dopo aver eseguito l'accesso alla macchina virtuale tramite SSH, esegui uno di questi comandi: nslookup chronicle.security o host chronicle.security
  
  Se il comando non va a buon fine, installa dnsutils sulla macchina virtuale utilizzando uno dei seguenti comandi:
  - sudo apt-get install dnsutils (per Debian/Ubuntu)
  - dnf install bind-utils (per RedHat/CentOS)
  - yum install bind-utils
- Macchina virtuale Microsoft Windows: dopo aver eseguito l'accesso alla macchina virtuale utilizzando RDP, vai a un browser installato e vai a https://chronicle.security.
Per verificare che l'avviso sia stato attivato, procedi nel seguente modo:
1. Accedi a Google SecOps.
2. Apri la pagina Rilevamenti curati, quindi fai clic su Dashboard.
3. Verifica che la regola ur_tst_Google Cloud_Cloud_DNS_Test_Rule sia stata attivata nell'elenco di rilevamento.

Passaggio 4: Invia dati per le regole di Cloud Kubernetes Node Testing

Importante: i seguenti passaggi devono essere eseguiti come utente IAM nel progetto scelto che ha accesso alle risorse Google Kubernetes Engine. Per informazioni più dettagliate sulla creazione di cluster regionali e node pool, consulta Creare un cluster regionale con un node pool a zona singola. Queste regole di test hanno lo scopo di verificare l'importazione dati dal tipo di log KUBERNETES_NODE.

Per attivare le regole di test, completa i seguenti passaggi:

Crea un progetto all'interno della tua organizzazione denominato chronicle-kube-test-project. Questo progetto viene utilizzato solo per i test.
Vai alla pagina Google Kubernetes Engine nella console Google Cloud .
Vai alla pagina Google Kubernetes Engine
Fai clic su Crea per creare un nuovo cluster regionale nel progetto.
Configura il cluster in base ai requisiti della tua organizzazione.
Fai clic su Aggiungi pool di nodi.
Assegna al pool di nodi il nome kube-node-validation, quindi regola le dimensioni del pool in modo che contenga un nodo per zona.
Elimina le risorse di test:
1. Dopo aver creato il pool di nodi kube-node-validation, eliminalo.
2. Elimina il progetto di test chronicle-kube-test-project.
Accedi a Google SecOps.
Apri la pagina Rilevamenti curati, quindi fai clic su Dashboard.
Verifica che la regola tst_Google Cloud_Kubernetes_Node sia stata attivata nell'elenco di rilevamento.
Verifica che la regola tst_Google Cloud_Kubernetes_CreateNodePool sia stata attivata nell'elenco di rilevamento.

Passaggio 5: Invia dati per le regole di test di rilevamento gestito da SCC

I passaggi secondari di questo passaggio verificano che i risultati di Security Command Center e i dati correlati vengano importati correttamente e nel formato previsto.

I set di regole Test di rilevamento gestito SCC nella categoria Test di rilevamento gestito ti consentono di verificare che i dati richiesti per i set di regole CDIR SCC Enhanced vengano inviati a Google SecOps e siano nel formato corretto.

Ogni regola di test verifica che i dati vengano ricevuti in un formato previsto dalle regole. Esegui azioni nel tuo ambiente Google Cloud per inviare dati che genereranno un avviso di Google SecOps.

Assicurati di completare le seguenti sezioni di questo documento necessarie per configurare i servizi di logging in Google Cloud , raccogliere i risultati di Security Command Center Premium e inviare i risultati di Security Command Center a Google SecOps:

Per scoprire di più sugli avvisi di Security Command Center descritti in questa sezione, consulta il documento di Security Command Center Investigating and Responding to Threats.

Attiva la regola di test di persistenza CDIR SCC

Per inviare dati che attivano questo avviso in Google SecOps, segui questi passaggi:

Nella console Google Cloud , crea una nuova istanza VM e assegna temporaneamente il account di servizio predefinito di Compute Engine con privilegi Editor. Rimuoverai questo codice al termine del test.
Quando la nuova istanza è disponibile, assegna l'ambito di accesso a Consenti l'accesso completo a tutte le API.
Crea un nuovo account di servizio con le seguenti informazioni:
- Imposta Nome service account su scc-test.
- Imposta ID service account su scc-test.
- (Facoltativo) Inserisci una Descrizione per il account di servizio.
Per informazioni su come creare service account, consulta il documento Creare service account.
Connettiti utilizzando SSH all'istanza di test creata nel passaggio precedente, quindi esegui il seguente comando gcloud:
```
gcloud projects add-iam-policy-binding PROJECT_NAME
--member="serviceAccount:scc-test@PROJECT_NAME.iam.gserviceaccount.com"
--role="roles/owner`"
```
Sostituisci PROJECT_NAME con il nome del progetto in cui è in esecuzione l'istanza Compute Engine e in cui è stato creato l'account scc-test.

Viene attivato l'avviso Persistenza: concessione anomala IAM di Security Command Center.
Accedi a Google SecOps e poi apri la pagina Avvisi e indicatori di compromissione.
Dovresti visualizzare un avviso di Google SecOps intitolato Test SCC Alert: IAM Anomalous Grant given to test account.
Apri la Google Cloud console e procedi nel seguente modo:
- Rimuovi l'accesso all'account di test scc-test da IAM e dalla Console di amministrazione.
- Elimina il account di servizio utilizzando il portale Service Accounts.
- Elimina l'istanza VM che hai appena creato.

Attiva la regola di test del malware CDIR SCC

Per inviare dati che attivano questo avviso in Google SecOps, segui questi passaggi:

Nella console Google Cloud , connettiti tramite SSH a qualsiasi istanza VM in cui è installato il comando curl.
Esegui questo comando:
```
  curl etd-malware-trigger.goog
```
Dopo aver eseguito questo comando, dovrebbe attivarsi l'avviso di Security Command Center Malware: Bad Domain.
Accedi a Google SecOps, poi apri la pagina Avvisi e IOC.
Verifica di visualizzare un avviso di Google SecOps intitolato Test SCC Alert: Malware Bad Domain.

Attivare la regola di test CDIR SCC Defense Evasion

Per inviare dati che attivano questo avviso in Google SecOps, segui questi passaggi:

Accedi alla console Google Cloud utilizzando un account con accesso a livello di organizzazione per modificare i perimetri Controlli di servizio VPC.
Nella console Google Cloud , vai alla pagina Controlli di servizio VPC.

Vai a Controlli di servizio VPC
Fai clic su + Nuovo perimetro e configura i seguenti campi nella pagina Dettagli:
- Titolo perimetro: scc_test_perimeter.
- Tipo di perimetro su Perimetro regolare (predefinito).
- Tipo configurazione su Applicato in modo forzato.
Nel menu di navigazione a sinistra, seleziona 3 Servizi con limitazioni.
Nella finestra di dialogo Specifica i servizi da limitare, seleziona API Google Compute Engine e poi fai clic su Aggiungi API Google Compute Engine.
Nel riquadro di navigazione a sinistra, fai clic su Crea perimetro.
Per modificare il perimetro, vai alla pagina Perimetri di servizio VPC. Per informazioni più dettagliate su come accedere a questa pagina, consulta Elencare e descrivere i perimetri di servizio.
Seleziona scc_test_perimeter, poi Modifica perimetro.
Nella sezione Servizi con limitazioni, fai clic sull'icona Elimina per rimuovere il servizio API Google Compute Engine. In questo modo dovrebbe essere attivato l'avviso Defense Evasion: Modify VPC Service Control Perimeter in SCC.
Accedi a Google SecOps, poi apri la pagina Avvisi e IOC.
Verifica di visualizzare un avviso di Google SecOps intitolato Test SCC Alert: Modify VPC Service Control Test Alert.

Attivare la regola di test di esfiltrazione CDIR SCC

Per inviare dati che attivano questo avviso in Google SecOps, segui questi passaggi:

Nella Google Cloud console, vai a un Google Cloud progetto e poi apri BigQuery.

Vai a BigQuery

Crea un file CSV con i seguenti dati e salvalo nella tua home directory:

column1, column2, column3
data1, data2, data3
data4, data5, data6
data7, data8, data9

Nel menu di navigazione a sinistra, scegli Crea set di dati.
Imposta la seguente configurazione, quindi fai clic su Crea set di dati:
- ID set di dati impostato su scc_test_dataset.
- Tipo di località impostato su Più regioni.
- Abilita scadenza della tabella: non selezionare questa opzione.
Per informazioni più dettagliate sulla creazione di un set di dati, consulta il documento BigQuery Creazione di set di dati.
Nel menu di navigazione a sinistra, a destra di scc_test_dataset, fai clic sull'icona , poi seleziona Crea tabella.
Crea una tabella e imposta la seguente configurazione:
- Crea tabella da: imposta Caricamento.
- Seleziona file: sfoglia la directory principale e seleziona il file CSV che hai creato in precedenza.
- Formato file: impostalo su CSV.
- Set di dati: impostato su css_test_dataset.
- Tipo di tabella: impostato su Tabella nativa.
Accetta la configurazione predefinita per tutti gli altri campi e fai clic su Crea tabella.

Per informazioni più dettagliate sulla creazione di una tabella, vedi Creare e utilizzare tabelle.
Nell'elenco delle risorse, seleziona la tabella css_test_dataset, quindi fai clic su Query e scegli In una nuova scheda.
Esegui questa query:
```
SELECT * FROM TABLE_NAME LIMIT 1000`
```
Sostituisci TABLE_NAME con il nome completo della tabella.
Dopo l'esecuzione della query, fai clic su Salva risultati e poi scegli CSV in Google Drive. In questo modo dovrebbe essere attivato l'avviso di Security Command Center Esfiltrazione: esfiltrazione di BigQuery in Google Drive. Il risultato di Security Command Center deve essere inviato a Google SecOps e attivare un avviso di Google SecOps.
Accedi a Google SecOps e poi apri la pagina Avvisi e indicatori di compromissione.
Verifica di visualizzare un avviso di Google SecOps intitolato Test SCC Alert: BigQuery Exfiltration to Google Drive.

Passaggio 6: Disattiva le regole di test

Al termine, disattiva le regole Google Cloud Test di rilevamento gestito.

Accedi a Google SecOps.
Apri la pagina Rilevamenti curati.
Disattiva sia Stato che Avvisi per le regole di Google Cloud test di rilevamento gestito.

Verificare l'importazione dati per la categoria Minacce di Chrome Enterprise

La regola di test di Chrome Enterprise verifica che la registrazione di Chrome Enterprise funzioni correttamente per i rilevamenti curati di Google SecOps. Questo test utilizza un URL di test di Navigazione sicura che dovrebbe mostrare un avviso di phishing.

Passaggio 1: Attiva le regole di test

Per attivare le regole di test:

Accedi a Google SecOps.
Apri la pagina Rilevamenti selezionati.
Espandi la sezione Test di rilevamento gestito. Potrebbe essere necessario scorrere la pagina.
Fai clic su Test di rilevamento gestito di Chrome Enterprise nell'elenco per aprire la pagina dei dettagli.
Attiva sia Stato sia Avvisi per le regole di test di rilevamento gestito di Chrome Enterprise.

Passaggio 2: Inviare dati di test da un browser Chrome gestito

Per attivare la regola di test di Chrome Enterprise:

Apri un browser Chrome gestito da un account Chrome Enterprise.
Apri una nuova scheda e vai all'URL di test della Navigazione sicura; dovresti visualizzare un messaggio di avviso.
Chiudi il browser.

Passaggio 3: Verifica che sia stato attivato un avviso

Verifica che l'accesso all'URL di test di Navigazione sicura abbia attivato la regola tst_chrome_enterprise_phishing_url in Google SecOps. Ciò indica che la registrazione di Chrome Enterprise sta inviando dati, come previsto.

Per verificare l'avviso in Google SecOps:

Accedi a Google SecOps.
Apri la pagina Rilevamenti selezionati.
Fai clic su Dashboard.
Verifica che la regola tst_chrome_enterprise_phishing_url sia stata attivata nell'elenco di rilevamento.

Passaggio 4: Disattiva le regole di test

Al termine del test, disattiva le regole di test di rilevamento gestito di Chrome Enterprise:

Accedi a Google SecOps.
Apri la pagina Rilevamenti selezionati.
Disattiva sia Stato che Avvisi per le regole di test di rilevamento gestito di Chrome Enterprise.

Verifica l'importazione dati AWS per la categoria Minacce cloud

Puoi utilizzare le regole di test AWS Managed Detection Testing per verificare che i dati AWS vengano inseriti in Google SecOps. Queste regole di test consentono di verificare che i dati AWS siano stati importati e siano nel formato previsto. Dopo aver configurato l'importazione dei dati AWS, esegui azioni in AWS che dovrebbero attivare le regole di test.

L'utente che attiva queste regole in Detection Engine deve disporre dell'autorizzazione IAM curatedRuleSetDeployments.batchUpdate.
L'utente che esegue i passaggi per inviare i dati AWS deve disporre delle autorizzazioni AWS IAM per modificare i tag di un'istanza EC2 nell'account scelto. Per maggiori informazioni sul tagging delle istanze EC2, consulta il documento AWS Tagga le risorse Amazon EC2.

Abilita le regole di test di AWS Managed Detection Testing

In Google SecOps, fai clic su Rilevamenti > Regole e rilevamenti per aprire la pagina Rilevamenti curati.
Seleziona Test di rilevamento gestito > Test di rilevamento gestito AWS.
Ha attivato sia lo Stato che gli Avvisi per le regole Generali e Precise.

Verifica che le azioni dei tag in AWS attivino la regola di test

Per verificare che le azioni dei tag in AWS attivino il set di regole, segui questi passaggi.

Passaggio 1: Genera un evento di log in AWS.

Scegli un account all'interno del tuo ambiente AWS.
Vai alla dashboard EC2, quindi scegli un'istanza all'interno dell'account.
All'interno dell'istanza EC2, fai clic su Azioni > Impostazioni istanza ed esegui le seguenti operazioni nella sezione Gestisci tag:
1. Fai clic su Aggiungi nuovo tag.
2. Inserisci le seguenti informazioni:
3. Key: GCTI_ALERT_VALIDATION_TEST_KEY
4. Valore: works
5. Fai clic su Salva.

Per informazioni più dettagliate, vedi Aggiungere o rimuovere tag delle istanze EC2.

Passaggio 2: Verifica che gli avvisi di test vengano attivati.

Dopo aver eseguito l'attività nel passaggio precedente, verifica che la regola AWS CloudTrail Test Rule venga attivata. Ciò indica che i log di CloudTrail sono stati registrati e inviati a Google SecOps come previsto. Per verificare l'avviso, procedi nel seguente modo:

In Google SecOps, fai clic su Rilevamenti > Regole e rilevamenti per aprire la pagina Rilevamenti curati.
Fai clic su Dashboard.
Nell'elenco dei rilevamenti, controlla che sia stata attivata la regola tst_AWS_Cloud_Trail_Tag.

Verifica che i risultati di esempio di AWS GuardDuty attivino le regole di test

Per assicurarti che gli avvisi di GuardDuty funzionino come previsto nel tuo ambiente, puoi inviare risultati di esempio di GuardDuty a Google SecOps.

Passaggio 1: Genera dati di risultati di esempio di GuardDuty.

Vai alla home page della console AWS.
Nella sezione Sicurezza, identità e conformità, apri GuardDuty.
Vai alle Impostazioni di GuardDuty.
Fai clic su Genera risultati di esempio.

Per ulteriori informazioni su come generare risultati di esempio di GuardDuty, consulta Generare risultati di esempio in GuardDuty.

Passaggio 2: Verifica che gli avvisi di prova siano stati attivati.

In Google SecOps, fai clic su Rilevamento > Regole e rilevamenti per aprire la pagina Rilevamenti curati.
Fai clic su Dashboard.
Controlla che AWS CloudTrail Test Rule sia stata attivata nell'elenco di rilevamento.

Disattiva i set di regole di test di rilevamento gestito da AWS

In Google SecOps, fai clic su Rilevamento > Regole e rilevamenti per aprire la pagina Rilevamenti curati.
Seleziona le regole Test di rilevamento gestito > Test di rilevamento gestito AWS.
Disattiva sia Stato che Avvisi per le regole Generali e Precise.

Verifica l'importazione dati per la categoria Minacce Linux

Le regole di test di rilevamento gestito di Linux verificano che l'accesso a un sistema Linux funzioni correttamente per i rilevamenti curati di Google SecOps. I test prevedono l'utilizzo del prompt Bash in un ambiente Linux per eseguire vari comandi e possono essere eseguiti da qualsiasi utente che abbia accesso al prompt Bash di Linux.

Passaggio 1: Attiva le regole di test

Accedi a Google SecOps.
Apri la pagina Rilevamenti curati.
Fai clic su Regole e rilevamenti > Set di regole.
Espandi la sezione Test di rilevamento gestito. Potrebbe essere necessario scorrere la pagina.
Fai clic su Test di rilevamento gestito di Linux nell'elenco per aprire la pagina dei dettagli.
Attiva sia Stato che Avvisi per le regole di test di rilevamento gestito di Linux.

Passaggio 2: Inviare dati di test da un dispositivo Linux

Per attivare le regole di test Linux Managed Detection Testing, segui questi passaggi:

Accedi a qualsiasi dispositivo Linux in cui i dati vengono inviati a Google SecOps.
Apri una nuova interfaccia a riga di comando del prompt Bash di Linux come qualsiasi utente.
Inserisci il seguente comando, quindi premi Invio:

/bin/echo hello_chronicle_world!

Nota:devi utilizzare il binario echo anziché il comando echo integrato nella shell Linux.

Inserisci il seguente comando, quindi premi Invio:

sudo useradd test_chronicle_account
Rimuovi l'account di test creato nel passaggio precedente. Esegui questo comando:

sudo userdel test_chronicle_account
Inserisci il seguente comando, quindi premi Invio:

su
Quando ti viene richiesta la password, inserisci una stringa casuale. Nota che viene visualizzato il messaggio su: Authentication failure.
Chiudi la finestra Bash.

Passaggio 3: Verifica che gli avvisi siano stati attivati in Google SecOps

Verifica che il comando abbia attivato le regole tst_linux_echo, tst_linux_failed_su_login e tst_linux_test_account_creation in Google SecOps. Ciò indica che i log di Linux vengono scritti e inviati come previsto. Per verificare l'avviso in Google SecOps, segui questi passaggi:

Accedi a Google SecOps.
Apri la pagina Rilevamenti curati.
Fai clic su Dashboard.
Verifica che le regole tst_linux_echo, tst_linux_failed_su_login e tst_linux_test_account_creation siano state attivate nell'elenco di rilevamento.

Nota: potrebbe verificarsi un leggero ritardo prima che l'avviso venga visualizzato in Google SecOps.

Passaggio 4: Disattiva le regole di test

Al termine, disattiva le regole Linux Managed Detection Testing.

Accedi a Google SecOps.
Apri la pagina Rilevamenti curati.
Disattiva sia Stato che Avvisi per le regole di test di rilevamento gestito di Linux.

Verifica l'importazione dati per la categoria Minacce Windows

La regola di test dell'eco di Windows verifica che la registrazione di Microsoft Windows funzioni correttamente per i rilevamenti curati di Google SecOps. Il test prevede l'utilizzo del prompt dei comandi in un ambiente Microsoft Windows per eseguire il comando echo con una stringa univoca e prevista.

Puoi eseguire il test dopo aver eseguito l'accesso come qualsiasi utente che abbia accesso al prompt dei comandi di Windows.

Passaggio 1: Attiva le regole di test

Accedi a Google SecOps.
Apri la pagina Rilevamenti curati.
Espandi la sezione Test di rilevamento gestito. Potrebbe essere necessario scorrere la pagina.
Fai clic su Test di rilevamento gestito di Windows nell'elenco per aprire la pagina dei dettagli.
Attiva sia Stato che Avvisi per le regole Test di rilevamento gestito di Windows.

Passaggio 2: Inviare dati di test da un dispositivo Windows

Per attivare la regola di test dell'eco di Windows, segui questi passaggi:

Accedi a qualsiasi dispositivo che genera dati da inviare a Google SecOps.
Apri una nuova finestra del prompt dei comandi di Microsoft Windows come qualsiasi utente.
Inserisci il seguente comando senza distinzione tra maiuscole e minuscole, quindi premi Invio:
```
cmd.exe /c "echo hello_chronicle_world!"
```
Chiudi la finestra del prompt dei comandi.

Passaggio 3: Verifica che sia stato attivato un avviso

Verifica che il comando abbia attivato la regola tst_Windows_Echo in Google SecOps. Ciò indica che la registrazione di Microsoft Windows invia i dati come previsto. Per verificare l'avviso in Google SecOps, segui questi passaggi:

Accedi a Google SecOps.
Apri la pagina Rilevamenti curati.
Fai clic su Dashboard.
Verifica che la regola tst_Windows_Echo sia stata attivata nell'elenco di rilevamento.

Nota:la visualizzazione dell'avviso in Google SecOps subirà un leggero ritardo.

Passaggio 4: Disattiva le regole di test

Al termine, disattiva le regole Windows Managed Detection Testing.

Accedi a Google SecOps.
Apri la pagina Rilevamenti curati.
Disabilita sia Stato che Avvisi per le regole di Test di rilevamento gestito di Windows.

Verificare l'importazione dati per la categoria di dati Office 365

Verifica che i dati vengano inseriti correttamente e siano nel formato appropriato per utilizzare le rilevazioni curate per i dati di Office 365.

Passaggio 1: Importare i dati di Office 365

Per ottenere la massima copertura delle regole, devi importare i dati da ogni origine dati elencata nelle istruzioni di importazione di Google SecOps. Per saperne di più su come importare i dati per i servizi Office 365, consulta Raccogliere i log di Microsoft Office 365.

Passaggio 2: Verificare l'importazione dei dati di Office 365

La dashboard Ingestione e integrità dei dati di Google SecOps ti consente di visualizzare informazioni sul tipo, sul volume e sull'integrità di tutti i dati inseriti in Google SecOps utilizzando le funzionalità di inserimento SIEM.

Puoi anche utilizzare le regole di test di rilevamento gestito di Office 365 per verificare l'importazione dei dati di Office 365. Una volta configurata l'importazione, attivi le regole di test eseguendo azioni in Office 365. Queste regole garantiscono che i dati vengano importati correttamente e siano nel formato appropriato per utilizzare le rilevazioni curate per i dati di Office 365.

Passaggio 3: Abilitare le regole di test di Azure Managed Detection Testing

In Google SecOps, fai clic su Rilevamenti > Regole e rilevamenti per aprire la pagina Rilevamenti selezionati e i set di regole.
Seleziona Test di rilevamento gestito > Test di rilevamento gestito di Office 365.
Attiva sia Stato che Avvisi per le regole Generali e Precise.

Passaggio 4: Invia i dati delle azioni degli utenti per attivare le regole di test

Per verificare che i dati vengano importati come previsto, crea una regola della posta in arrivo con un nome specifico per verificare che queste azioni attivino le regole di test. Per informazioni sulla creazione di regole per la posta in arrivo in Outlook, vedi Gestire i messaggi email utilizzando le regole in Outlook.

Per creare una regola per la posta in arrivo in Outlook 365, puoi utilizzare la funzionalità Regole nella sezione Posta. Puoi anche creare una regola facendo clic con il tasto destro del mouse su un'email.

Passaggio 5: Creare una regola della posta in arrivo utilizzando la funzionalità Regole

Ecco alcuni casi d'uso per la creazione di una regola della posta in arrivo utilizzando la funzionalità Regole:

Test Rule 1

Fai clic su Posta e seleziona Regole.
Inserisci GoogleSecOpsTest come nome della regola.
Seleziona una condizione dall'elenco.
Seleziona un'azione dall'elenco.
Fai clic su Aggiungi una condizione o Aggiungi un'azione per aggiungere altre condizioni o azioni, se necessario.
Fai clic su OK.

Test Rule 2

Vai a SharePoint o OneDrive.
Nella barra di ricerca, inserisci GoogleSecOpsTest.

Convalida risultati

Per verificare che gli avvisi vengano creati in Google SecOps:

In Google SecOps, fai clic su Rilevamenti > Regole e rilevamenti per aprire la pagina Rilevamenti curati.
Fai clic su Dashboard.
Nell'elenco dei rilevamenti, verifica che siano state attivate le seguenti regole:
- tst_o365_email.yl2
- tst_of65_sharepoint_onedrive.yl2
Dopo aver confermato l'invio dei dati e l'attivazione delle regole, disattiva la regola della posta in arrivo creata in Test Rule 1.

Verifica l'importazione dati per la categoria Okta Threat

Verifica che i dati vengano inseriti correttamente e siano nel formato appropriato per utilizzare le rilevazioni curate per i dati Okta.

Passaggio 1: Importa i dati di Okta

Per garantire la massima copertura delle regole, devi importare i dati da ogni origine dati elencata nelle istruzioni di importazione di Google SecOps. Per ulteriori informazioni su come importare i dati per i servizi Okta, consulta Raccogliere i log di Okta.

Passaggio 2: Verificare l'importazione dei dati di Okta

Puoi anche utilizzare le regole di test di Okta Managed Detection per verificare l'importazione dei dati di Office 365. Una volta configurata l'importazione, attivi le regole di test eseguendo azioni in Office 365. Queste regole garantiscono che i dati vengano importati correttamente e siano nel formato appropriato per utilizzare le rilevazioni curate per i dati di Office 365.

Passaggio 3: Abilitare le regole di test di rilevamento gestito di Okta

In Google SecOps, fai clic su Rilevamenti > Regole e rilevamenti per aprire la pagina Rilevamenti selezionati e i set di regole.
Seleziona Test di rilevamento gestito > Test di rilevamento gestito di Office 365.
Attiva sia Stato che Avvisi per le regole Generali e Precise.

Passaggio 4: Invia i dati delle azioni degli utenti per attivare le regole di test

Per verificare che i dati vengano importati come previsto, crea una regola della posta in arrivo con un nome specifico per verificare che queste azioni attivino le regole di test. Questo evento attiverà un evento di accesso a Okta non riuscito per un utente sconosciuto.

Test Rule 1

Accedi all'URL del tenant Okta.
Nel campo Nome utente, inserisci GoogleSecOpsTest.
Nel campo Password, inserisci una stringa qualsiasi.
Fai clic su Accedi.

Convalida risultati

Per verificare che gli avvisi vengano creati in Google SecOps: 1. In Google SecOps, fai clic su Rilevamenti > Regole e rilevamenti per aprire la pagina Rilevamenti curati. 1. Fai clic su Dashboard. 1. Nell'elenco dei rilevamenti, verifica che siano state attivate le seguenti regole: * Okta Unknown User Login Test (tst_okta_login_by_unknown_user.yl2) Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.