Esta página foi traduzida pela API Cloud Translation.

Verificar a ingestão de dados usando regras de teste

Compatível com:

Google SecOps SIEM

As detecções selecionadas do Google Security Operations incluem um conjunto de conjuntos de regras de teste que ajudam você a verificar se os dados necessários para cada conjunto de regras estão no formato correto.

Essas regras de teste estão na categoria Teste de detecção gerenciada. Cada grupo de regras valida se os dados recebidos pelo dispositivo de teste estão em um formato esperado pelas regras para essa categoria especificada.

Nome do conjunto de regras	Descrição
Google Cloud Teste de detecção gerenciada	Verifica se os dados Google Cloud foram ingeridos com sucesso de dispositivos compatíveis com a categoria "Ameaças na nuvem". Consulte Verificar a ingestão de dados Google Cloud para a categoria "Ameaças na nuvem" para mais informações.
Teste de detecção gerenciada do Chrome Enterprise	Verifica se os dados foram ingeridos com sucesso de dispositivos compatíveis com a categoria "Ameaças do Chrome Enterprise". Consulte Verificar a ingestão de dados na categoria "Ameaças do Chrome Enterprise" para mais informações.
Teste de detecção gerenciada da AWS	Verifica se os dados da AWS são ingeridos com sucesso de dispositivos compatíveis com a categoria "Ameaças na nuvem". Consulte Verificar a ingestão de dados da AWS para a categoria "Ameaças na nuvem" para mais informações.
Teste de detecção gerenciada do Linux	Verifica se os dados foram ingeridos com sucesso de dispositivos compatíveis com a categoria "Ameaças do Linux". Consulte Verificar a ingestão de dados para a categoria "Ameaças do Linux" para mais informações.
Teste de detecção gerenciada do Windows	Verifica se os dados foram ingeridos com sucesso de dispositivos compatíveis com a categoria "Ameaças do Windows". Consulte Verificar a ingestão de dados para a categoria "Ameaças do Windows" para mais informações.
Teste de detecção de dados do Office 365	Verifica se os dados são ingeridos corretamente e estão no formato adequado para usar detecções selecionadas para dados do Office 365. Consulte Verificar a ingestão de dados da categoria do Office 365 para mais informações.
Teste de detecção de dados do Okta	Verifica se os dados são ingeridos corretamente e estão no formato adequado para usar detecções selecionadas para dados do Okta. Consulte Verificar a ingestão de dados para a categoria "Ameaças do Okta" para mais informações.

Siga as etapas deste documento para testar e verificar se os dados recebidos são ingeridos corretamente e estão no formato adequado.

Verificar a ingestão de dados Google Cloud para a categoria "Ameaças na nuvem"

Essas regras ajudam a verificar se os dados de registro estão sendo ingeridos como esperado para as detecções selecionadas do Google SecOps.

Use as regras a seguir para testar dados com as etapas abaixo:

Regra Teste de metadados de auditoria do Cloud: para acionar essa regra, adicione uma chave de metadados personalizados exclusiva e esperada a qualquer máquina virtual do Compute Engine que esteja enviando dados para o Google SecOps.
Regra de teste do Cloud DNS: para acionar essa regra, faça uma busca DNS no domínio (chronicle.security) em qualquer máquina virtual que tenha acesso à Internet e esteja enviando dados de registro para o Google SecOps.
Regras de teste de detecção gerenciado pelo SCC: para acionar essas regras, realize várias ações no console do Google Cloud .
Regra Teste de nós do Kubernetes no Cloud: para acionar essa regra, crie um projeto de teste que esteja enviando dados de registro para o Google SecOps e crie um pool de nós exclusivo em um cluster do Google Kubernetes Engine.

Etapa 1. Ativar as regras de teste

Faça login no Google SecOps.
Abra a página "Detecções selecionadas".
Clique em Regras e detecções > Conjuntos de regras.
Expanda a seção Teste de detecção gerenciada. Talvez seja necessário rolar a página.
Clique em Google Cloud Teste de detecção gerenciada na lista para abrir a página de detalhes.
Ative Status e Alertas para as regras de Teste de detecção gerenciado na nuvem.

Etapa 2. Enviar dados para a regra de teste de metadados do Cloud Audit

Para acionar o teste, siga estas etapas:

Escolha um projeto na sua organização.
Acesse Compute Engine e escolha uma máquina virtual no projeto.
Na máquina virtual, clique em Editar e siga estas etapas na seção Metadados personalizados:
1. Clique em Adicionar item.
2. Digite as informações a seguir:
  - Chave: GCTI_ALERT_VALIDATION_TEST_KEY
  - Valor: works
3. Clique em Salvar.
Siga estas etapas para verificar se o alerta foi acionado:
1. Faça login no Google SecOps.
2. Abra a página "Detecções selecionadas" e clique em Painel.
3. Verifique se a regra ur_tst_Google Cloud_Cloud_Audit_Metadata foi acionada na lista de detecção.

Etapa 3. Enviar dados para a regra Teste do Cloud DNS

Importante:as etapas a seguir precisam ser realizadas como um usuário do IAM no projeto escolhido que tem acesso a uma máquina virtual do Compute Engine.

Para acionar o teste, siga estas etapas:

Escolha um projeto na sua organização.
Acesse o Compute Engine e escolha uma máquina virtual no projeto.
- Se for uma máquina virtual Linux, verifique se você tem acesso ao Secure Shell (SSH).
- Se for uma máquina virtual do Windows, verifique se você tem acesso ao protocolo de área de trabalho remota (RDP).
Clique em SSH (Linux) ou RDP (Microsoft Windows) para acessar a máquina virtual.
Envie dados de teste usando uma destas etapas:
- Máquina virtual Linux: depois de acessar a máquina virtual usando SSH, execute um destes comandos: nslookup chronicle.security ou host chronicle.security
  
  Se o comando falhar, instale o dnsutils na máquina virtual usando um dos comandos a seguir:
  - sudo apt-get install dnsutils (para Debian/Ubuntu)
  - dnf install bind-utils (para RedHat/CentOS)
  - yum install bind-utils
- Máquina virtual do Microsoft Windows: depois de acessar a máquina virtual usando o RDP, acesse qualquer navegador instalado e navegue até https://chronicle.security.
Siga estas etapas para verificar se o alerta foi acionado:
1. Faça login no Google SecOps.
2. Abra a página "Detecções selecionadas" e clique em Painel.
3. Verifique se a regra ur_tst_Google Cloud_Cloud_DNS_Test_Rule foi acionada na lista de detecção.

Etapa 4. Enviar dados para regras de teste de nós do Kubernetes no Cloud

Importante:as etapas a seguir precisam ser realizadas como um usuário do IAM no projeto escolhido que tem acesso aos recursos do Google Kubernetes Engine. Para informações mais detalhadas sobre como criar clusters regionais e pools de nós, consulte Criar um cluster regional com um pool de nós de zona única. Essas regras de teste têm como objetivo verificar a ingestão de dados do tipo de registro KUBERNETES_NODE.

Para acionar as regras de teste, siga estas etapas:

Crie um projeto na sua organização chamado chronicle-kube-test-project. Este projeto é usado apenas para testes.
Acesse a página do Google Kubernetes Engine no Google Cloud console.
Acessar a página do Google Kubernetes Engine
Clique em Criar para criar um cluster regional no projeto.
Configure o cluster de acordo com os requisitos da sua organização.
Clique em Adicionar pool de nós.
Nomeie o pool de nós como kube-node-validation e ajuste o tamanho do pool para um nó por zona.
Exclua os recursos de teste:
1. Depois que o pool de nós kube-node-validation for criado, exclua-o.
2. Exclua o projeto de teste chronicle-kube-test-project.
Faça login no Google SecOps.
Abra a página "Detecções selecionadas" e clique em Painel.
Verifique se a regra tst_Google Cloud_Kubernetes_Node foi acionada na lista de detecção.
Verifique se a regra tst_Google Cloud_Kubernetes_CreateNodePool foi acionada na lista de detecção.

Etapa 5. Enviar dados para regras de teste de detecção gerenciado pelo SCC

As subetapas desta etapa verificam se as descobertas do Security Command Center e os dados relacionados são ingeridos corretamente e no formato esperado.

Os conjuntos de regras de Teste de detecção gerenciada do SCC na categoria Teste de detecção gerenciada permitem verificar se os dados necessários para os conjuntos de regras CDIR SCC Enhanced são enviados ao Google SecOps e estão no formato correto.

Cada regra de teste valida se os dados são recebidos em um formato esperado pelas regras. Você realiza ações no seu ambiente Google Cloud para enviar dados que vão gerar um alerta do Google SecOps.

Conclua as seções a seguir deste documento, necessárias para configurar o registro em serviços do Google Cloud , coletar descobertas do Security Command Center Premium e enviar descobertas do Security Command Center para o Google SecOps:

Para saber mais sobre os alertas do Security Command Center descritos nesta seção, consulte o documento do Security Command Center Investigação e resposta a ameaças.

Acionar a regra de teste de persistência do CDIR SCC

Para enviar dados que acionam esse alerta no Google SecOps, siga estas etapas:

No console Google Cloud , crie uma instância de VM e atribua temporariamente a conta de serviço padrão do Compute Engine com privilégios de Editor. Você vai remover isso depois que o teste for concluído.
Quando a nova instância estiver disponível, atribua o Escopo de acesso a Permitir acesso total a todas as APIs.
Crie uma conta de serviço com as seguintes informações:
- Defina o Nome da conta de serviço como scc-test.
- Defina o ID da conta de serviço como scc-test.
- Se quiser, digite uma Descrição para a conta de serviço.
Consulte o documento Criar contas de serviço para saber como fazer isso.
Conecte-se usando SSH à instância de teste criada na etapa anterior e execute o seguinte comando gcloud:
```
gcloud projects add-iam-policy-binding PROJECT_NAME
--member="serviceAccount:scc-test@PROJECT_NAME.iam.gserviceaccount.com"
--role="roles/owner`"
```
Substitua PROJECT_NAME pelo nome do projeto em que a instância do Compute Engine está sendo executada e em que a conta scc-test foi criada.

O alerta do Security Command Center Persistência: concessão anômala do IAM será acionado.
Faça login no Google SecOps e abra a página Alertas e IOCs.
Você vai ver um alerta do Google SecOps chamado Alerta de teste do SCC: concessão anômala de IAM dada à conta de teste.
Abra o console Google Cloud e faça o seguinte:
- Remova o acesso da conta de teste scc-test do IAM e do Admin Console.
- Exclua a conta de serviço usando o portal Contas de serviço.
- Exclua a instância de VM que você acabou de criar.

Acionar a regra de teste de malware do SCC CDIR

Para enviar dados que acionam esse alerta no Google SecOps, siga estas etapas:

No console Google Cloud , conecte-se usando SSH a qualquer instância de VM em que o comando curl esteja instalado.
Execute o seguinte comando:
```
  curl etd-malware-trigger.goog
```
Depois de executar esse comando, o alerta do Security Command Center Malware: Bad Domain será acionado.
Faça login no Google SecOps e abra a página Alertas e IOCs.
Verifique se você vê um alerta do Google SecOps intitulado Test SCC Alert: Malware Bad Domain.

Acionar a regra de teste de evasão de defesa do CDIR SCC

Para enviar dados que acionam esse alerta no Google SecOps, siga estas etapas:

Faça login no Google Cloud console usando uma conta com acesso no nível da organização para modificar os perímetros do VPC Service Controls.
No console Google Cloud , acesse a página VPC Service Controls.

Acessar o VPC Service Controls
Clique em + Novo perímetro e configure os seguintes campos na página Detalhes:
- Título do perímetro: scc_test_perimeter.
- Tipo de perímetro para Perímetro regular (padrão).
- Tipo de configuração para Aplicado.
No painel de navegação à esquerda, selecione 3 Serviços restritos.
Na caixa de diálogo Especificar serviços a serem restringidos, selecione API Google Compute Engine e clique em Adicionar API Google Compute Engine.
Na navegação à esquerda, clique em Criar perímetro.
Para modificar o perímetro, acesse a página Perímetros de serviço da VPC. Para mais detalhes sobre como acessar essa página, consulte Listar e descrever perímetros de serviço.
Selecione scc_test_perimeter e clique em Editar perímetro.
Em Serviços restritos, clique no ícone Excluir para remover o serviço da API Google Compute Engine. Isso vai acionar o alerta Evasão de defesa: modificar o perímetro do VPC Service Control no SCC.
Faça login no Google SecOps e abra a página Alertas e IOCs.
Verifique se você vê um alerta do Google SecOps intitulado Alerta de teste do SCC: modificar o alerta de teste do VPC Service Control.

Acionar a regra de teste de exfiltração do CDIR SCC

Para enviar dados que acionam esse alerta no Google SecOps, siga estas etapas:

No console Google Cloud , acesse um projeto Google Cloud e abra o BigQuery.

Acessar o BigQuery

Crie um arquivo CSV com os seguintes dados e salve-o no diretório inicial:

column1, column2, column3
data1, data2, data3
data4, data5, data6
data7, data8, data9

Na navegação à esquerda, escolha Criar conjunto de dados.
Defina a seguinte configuração e clique em Criar conjunto de dados:
- ID do conjunto de dados definido como scc_test_dataset.
- Tipo de local definido como Multirregional.
- Ativar expiração da tabela: não selecione essa opção.
Para mais informações sobre como criar um conjunto de dados, consulte o documento do BigQuery Como criar conjuntos de dados.
Na navegação à esquerda, à direita de scc_test_dataset, clique no ícone e selecione Criar tabela.
Crie uma tabela e defina a seguinte configuração:
- Criar tabela de: defina como Fazer upload.
- Selecionar arquivo: navegue até seu diretório inicial e selecione o arquivo CSV que você criou antes.
- Formato de arquivo: defina como CSV.
- Conjunto de dados: defina como css_test_dataset.
- Tipo de tabela: defina como Tabela nativa.
Aceite a configuração padrão para todos os outros campos e clique em Criar tabela.

Para mais informações sobre como criar uma tabela, consulte Criar e usar tabelas.
Na lista de recursos, selecione a tabela css_test_dataset, clique em Consulta e escolha em uma nova guia.
Execute a seguinte consulta:
```
SELECT * FROM TABLE_NAME LIMIT 1000`
```
Substitua TABLE_NAME pelo nome totalmente qualificado da tabela.
Depois que a consulta for executada, clique em Salvar resultados e escolha CSV no Google Drive. Isso vai acionar o alerta do Security Command Center Exfiltração: exfiltração do BigQuery para o Google Drive. A descoberta do Security Command Center precisa ser enviada ao Google SecOps e acionar um alerta do Google SecOps.
Faça login no Google SecOps e abra a página Alertas e IOCs.
Verifique se você vê um alerta do Google SecOps intitulado Alerta de teste do SCC: exfiltração do BigQuery para o Google Drive.

Etapa 6. Desativar as regras de teste

Quando terminar, desative as regras de Google Cloud teste de detecção gerenciado.

Faça login no Google SecOps.
Abra a página "Detecções selecionadas".
Desative Status e Alertas para as regras de teste de detecção gerenciada do Google Cloud .

Verificar a ingestão de dados na categoria "Ameaças do Chrome Enterprise"

A regra de teste do Chrome Enterprise verifica se o registro em log do Chrome Enterprise está funcionando corretamente para detecções selecionadas do Google SecOps. Esse teste usa um URL de teste da Navegação segura que deve mostrar um aviso de phishing.

Etapa 1. Ativar as regras de teste

Para ativar as regras de teste, faça o seguinte:

Faça login no Google SecOps.
Abra a página Detecções selecionadas.
Expanda a seção Teste de detecção gerenciada. Talvez seja necessário rolar a página.
Clique em Teste de detecção gerenciada do Chrome Enterprise na lista para abrir a página de detalhes.
Ative Status e Alertas para as regras de Teste de detecção gerenciada do Chrome Enterprise.

Etapa 2. Enviar dados de teste de um navegador Chrome gerenciado

Para acionar a regra de teste do Chrome Enterprise, faça o seguinte:

Abra um navegador Chrome gerenciado por uma conta do Chrome Enterprise.
Abra uma nova guia e acesse o URL de teste da Navegação segura. Uma mensagem de aviso vai aparecer.
Feche o navegador.

Etapa 3. Verificar se um alerta foi acionado

Confirme se o acesso ao URL de teste da Navegação Segura acionou a regra tst_chrome_enterprise_phishing_url no Google SecOps. Isso indica que o registro em log do Chrome Enterprise está enviando dados, como esperado.

Para verificar o alerta no Google SecOps, faça o seguinte:

Faça login no Google SecOps.
Abra a página Detecções selecionadas.
Clique em Painel.
Verifique se a regra tst_chrome_enterprise_phishing_url foi acionada na lista de detecção.

Etapa 4. Desativar as regras de teste

Quando terminar o teste, desative as regras de teste de detecção gerenciada do Chrome Enterprise:

Faça login no Google SecOps.
Abra a página Detecções selecionadas.
Desative Status e Alertas para as regras de teste de detecção gerenciada do Chrome Enterprise.

Verificar a ingestão de dados da AWS para a categoria "Ameaças na nuvem"

Você pode usar as regras de teste do AWS Managed Detection Testing para verificar se os dados da AWS estão sendo ingeridos no Google SecOps. Essas regras de teste ajudam a verificar se os dados da AWS foram ingeridos e estão no formato esperado. Depois de configurar a ingestão de dados da AWS, realize ações na AWS que acionem as regras de teste.

O usuário que ativa essas regras no Detection Engine precisa ter a permissão do IAM curatedRuleSetDeployments.batchUpdate.
O usuário que realiza as etapas para enviar dados da AWS precisa ter as permissões do IAM da AWS para editar as tags de uma instância do EC2 na conta escolhida. Para mais informações sobre como marcar instâncias do EC2, consulte o documento da AWS Marcar recursos do Amazon EC2.

Ative as regras de teste do AWS Managed Detection Testing

No Google SecOps, clique em Detecções > Regras e detecções para abrir a página "Detecções selecionadas".
Selecione Teste de detecção gerenciado > Teste de detecção gerenciado da AWS.
Ative Status e Alertas para as regras Geral e Precisa.

Verificar se as ações de tag na AWS acionam a regra de teste

Siga estas etapas para verificar se as ações de tag na AWS acionam o conjunto de regras.

Etapa 1. Gere um evento de registro na AWS.

Escolha uma conta no seu ambiente da AWS.
Acesse o painel do EC2 e escolha uma instância na conta.
Na instância do EC2, clique em Ações > Configurações da instância e faça o seguinte na seção Gerenciar tags:
1. Clique em Adicionar nova tag.
2. Digite as seguintes informações:
3. Chave: GCTI_ALERT_VALIDATION_TEST_KEY
4. Valor: works
5. Clique em Salvar.

Para mais informações, consulte Adicionar ou remover tags de instâncias do EC2.

Etapa 2. Verifique se os alertas de teste são acionados.

Depois de realizar a tarefa na etapa anterior, verifique se a regra AWS CloudTrail Test Rule foi acionada. Isso indica que os registros do CloudTrail foram gravados e enviados ao Google SecOps conforme o esperado. Siga estas etapas para verificar o alerta:

No Google SecOps, clique em Detecções > Regras e detecções para abrir a página "Detecções selecionadas".
Clique em Painel.
Na lista de detecções, verifique se a regra tst_AWS_Cloud_Trail_Tag foi acionada.

Verificar se as descobertas de amostra do AWS GuardDuty acionam regras de teste

Para garantir que os alertas do GuardDuty funcionem conforme o esperado no seu ambiente, envie descobertas de amostra do GuardDuty para o Google SecOps.

Etapa 1. Gerar dados de descobertas de amostra do GuardDuty.

Navegue até a página inicial do console da AWS.
Em Segurança, identidade e compliance, abra GuardDuty.
Acesse as Configurações do GuardDuty.
Clique em Gerar descobertas de amostra.

Para mais informações sobre como gerar descobertas de amostra do GuardDuty, consulte Gerar descobertas de amostra no GuardDuty.

Etapa 2. Verifique se os alertas de teste foram acionados.

No Google SecOps, clique em Detecção > Regras e detecções para abrir a página "Detecções selecionadas".
Clique em Painel.
Verifique se a regra de teste do AWS CloudTrail foi acionada na lista de detecção.

Desativar os conjuntos de regras de teste de detecção gerenciada da AWS

No Google SecOps, clique em Detecção > Regras e detecções para abrir a página "Detecções selecionadas".
Selecione as regras Teste de detecção gerenciado > Teste de detecção gerenciado do AWS.
Desative Status e Alertas para as regras Geral e Precisa.

Verificar a ingestão de dados para a categoria "Ameaças do Linux"

As regras de teste de detecção gerenciada do Linux verificam se o registro em um sistema Linux está funcionando corretamente para as detecções selecionadas do Google SecOps. Os testes envolvem o uso do prompt do Bash em um ambiente Linux para executar vários comandos e podem ser realizados por qualquer usuário que tenha acesso ao prompt do Bash do Linux.

Etapa 1. Ativar as regras de teste

Faça login no Google SecOps.
Abra a página "Detecções selecionadas".
Clique em Regras e detecções > Conjuntos de regras.
Expanda a seção Teste de detecção gerenciada. Talvez seja necessário rolar a página.
Clique em Teste de detecção gerenciada do Linux na lista para abrir a página de detalhes.
Ative Status e Alertas para as regras de Teste de detecção gerenciada do Linux.

Etapa 2. Enviar dados de teste de um dispositivo Linux

Para acionar as regras de teste de detecção gerenciada do Linux, siga estas etapas:

Acesse qualquer dispositivo Linux em que os dados estejam sendo enviados para o Google SecOps.
Abra uma nova interface de linha de comando do prompt do Linux Bash como qualquer usuário.
Digite o seguinte comando e pressione Enter:

/bin/echo hello_chronicle_world!

Observação:use o binário echo, em vez do shell do Linux, comando echo integrado.

Digite o seguinte comando e pressione Enter:

sudo useradd test_chronicle_account
Remova a conta de teste criada na etapa anterior. Execute o seguinte comando:

sudo userdel test_chronicle_account
Digite o seguinte comando e pressione Enter:

su
Quando a senha for solicitada, insira qualquer string aleatória. A mensagem su: Authentication failure é exibida.
Feche a janela do Bash.

Etapa 3. Verificar se os alertas foram acionados no Google SecOps

Verifique se o comando acionou as regras tst_linux_echo, tst_linux_failed_su_login e tst_linux_test_account_creation no Google SecOps. Isso indica que os registros do Linux estão sendo gravados e enviados como esperado. Para verificar o alerta no Google SecOps, siga estas etapas:

Faça login no Google SecOps.
Abra a página "Detecções selecionadas".
Clique em Painel.
Verifique se as regras tst_linux_echo, tst_linux_failed_su_login e tst_linux_test_account_creation foram acionadas na lista de detecção.

Observação: pode haver um pequeno atraso antes que o alerta seja exibido no Google SecOps.

Etapa 4. Desativar as regras de teste

Quando terminar, desative as regras de Teste de detecção gerenciada do Linux.

Faça login no Google SecOps.
Abra a página "Detecções selecionadas".
Desative Status e Alertas para as regras de Teste de detecção gerenciada do Linux.

Verificar a ingestão de dados na categoria "Ameaças do Windows"

A regra de teste de eco do Windows verifica se o registro em log do Microsoft Windows está funcionando corretamente para as detecções selecionadas do Google SecOps. O teste envolve o uso do prompt de comando em um ambiente Microsoft Windows para executar o comando echo com uma string esperada e exclusiva.

Você pode executar o teste conectado como qualquer usuário que tenha acesso ao prompt de comando do Windows.

Etapa 1. Ativar as regras de teste

Faça login no Google SecOps.
Abra a página "Detecções selecionadas".
Expanda a seção Teste de detecção gerenciada. Talvez seja necessário rolar a página.
Clique em Teste de detecção gerenciada do Windows na lista para abrir a página de detalhes.
Ative Status e Alertas para as regras de Teste de detecção gerenciada do Windows.

Etapa 2. Enviar dados de teste de um dispositivo Windows

Para acionar a regra de teste de eco do Windows, siga estas etapas:

Acesse qualquer dispositivo que gere dados a serem enviados ao Google SecOps.
Abra uma nova janela do prompt de comando do Microsoft Windows como qualquer usuário.
Digite o seguinte comando, que não diferencia maiúsculas de minúsculas, e pressione Enter:
```
cmd.exe /c "echo hello_chronicle_world!"
```
Feche a janela "Prompt de Comando".

Etapa 3. Verificar se um alerta foi acionado

Verifique se o comando acionou a regra tst_Windows_Echo no Google SecOps. Isso indica que o registro do Microsoft Windows está enviando dados conforme o esperado. Para verificar o alerta no Google SecOps, siga estas etapas:

Faça login no Google SecOps.
Abra a página "Detecções selecionadas".
Clique em Painel.
Verifique se a regra tst_Windows_Echo foi acionada na lista de detecção.

Observação:pode haver um pequeno atraso até que o alerta seja exibido no Google SecOps.

Etapa 4. Desativar as regras de teste

Quando terminar, desative as regras de Teste de detecção gerenciado pelo Windows.

Faça login no Google SecOps.
Abra a página "Detecções selecionadas".
Desative Status e Alertas para as regras de Teste de detecção gerenciada do Windows.

Verificar a ingestão de dados para a categoria de dados do Office 365

Verifique se os dados estão sendo ingeridos corretamente e no formato adequado para usar detecções selecionadas para dados do Office 365.

Etapa 1. Ingerir dados do Office 365

É necessário ingerir dados de todas as fontes listadas nas instruções de ingestão do Google SecOps para ter a cobertura máxima de regras. Para mais informações sobre como ingerir dados dos serviços do Office 365, consulte Coletar registros do Microsoft Office 365.

Etapa 2. Verificar a ingestão de dados do Office 365

O painel de integridade e ingestão de dados do Google SecOps permite conferir informações sobre o tipo, o volume e a integridade de todos os dados ingeridos no Google SecOps usando recursos de ingestão do SIEM.

Também é possível usar regras de teste de detecção gerenciada do Office 365 para verificar a ingestão de dados do Office 365. Depois que a ingestão é configurada, você aciona as regras de teste realizando ações no Office 365. Essas regras garantem que os dados sejam ingeridos corretamente e estejam no formato adequado para usar detecções selecionadas com dados do Office 365.

Etapa 3. Ativar as regras de teste do teste de detecção gerenciada do Azure

No Google SecOps, clique em Detecções > Regras e detecções para abrir a página de detecções selecionadas e conjuntos de regras.

Selecione Teste de detecção gerenciada > Teste de detecção gerenciada do Office 365.

Ative Status e Alertas para as regras Amplas e Precisas.

Etapa 4. Enviar dados de ação do usuário para acionar as regras de teste

Para verificar se os dados estão sendo ingeridos conforme o esperado, crie uma regra da caixa de entrada com um nome específico para verificar se essas ações acionam as regras de teste. Para informações sobre como criar regras de caixa de entrada no Outlook, consulte Gerenciar mensagens de e-mail usando regras no Outlook.

Para criar uma regra de caixa de entrada no Outlook 365, use o recurso "Regras" na seção "E-mail". Você também pode criar uma regra clicando com o botão direito do mouse em um e-mail.

Etapa 5. Criar uma regra da caixa de entrada usando o recurso "Regras"

Confira alguns casos de uso para criar uma regra da caixa de entrada usando o recurso "Regras":

Regra de teste 1

Clique em E-mail e selecione Regras.

Insira GoogleSecOpsTest como o nome da regra.

Selecione uma condição na lista.

Selecione uma ação na lista.

Clique em Adicionar uma condição ou Adicionar uma ação para incluir outras condições ou ações, conforme necessário.

Clique em OK.

Regra de teste 2

Acesse o SharePoint ou o OneDrive.

Na barra de pesquisa, digite GoogleSecOpsTest.

Validar resultados

Faça o seguinte para verificar se os alertas são criados no Google SecOps:

No Google SecOps, clique em Detecções > Regras e detecções para abrir a página "Detecções selecionadas".

Clique em Painel.

Na lista de detecções, verifique se as seguintes regras foram acionadas:

tst_o365_email.yl2

tst_of65_sharepoint_onedrive.yl2

Depois de confirmar que os dados foram enviados e as regras acionadas, desative a regra da caixa de entrada criada em Regra de teste 1.

Verificar a ingestão de dados para a categoria "Ameaças do Okta"

Verifica se os dados são ingeridos corretamente e estão no formato adequado para usar detecções selecionadas para dados do Okta.

Etapa 1. Ingerir dados do Okta

Para garantir a cobertura máxima das regras, ingira dados de todas as fontes listadas nas instruções de ingestão do Google SecOps. Para mais informações sobre como ingerir dados para serviços do Okta, consulte Coletar registros do Okta.

Etapa 2. Verificar a ingestão de dados do Okta

O painel de integridade e ingestão de dados do Google SecOps permite conferir informações sobre o tipo, o volume e a integridade de todos os dados ingeridos no Google SecOps usando recursos de ingestão do SIEM.

Você também pode usar as regras de teste de detecção gerenciada do Okta para verificar a ingestão de dados do Office 365. Depois que a ingestão é configurada, você aciona as regras de teste realizando ações no Office 365. Essas regras garantem que os dados sejam ingeridos corretamente e estejam no formato adequado para usar detecções selecionadas com dados do Office 365.

Etapa 3. Ativar as regras de teste de detecção gerenciada do Okta

No Google SecOps, clique em Detecções > Regras e detecções para abrir a página de detecções selecionadas e conjuntos de regras.

Selecione Teste de detecção gerenciada > Teste de detecção gerenciada do Office 365.

Ative Status e Alertas para as regras Amplas e Precisas.

Etapa 4. Enviar dados de ação do usuário para acionar as regras de teste

Para verificar se os dados estão sendo ingeridos conforme o esperado, crie uma regra da caixa de entrada com um nome específico para verificar se essas ações acionam as regras de teste. Esse evento vai acionar um evento de login do Okta com falha para um usuário desconhecido.

Regra de teste 1

Acesse o URL do locatário do Okta.

No campo Nome de usuário, digite GoogleSecOpsTest.

No campo Senha, insira qualquer string.

Clique em Fazer login.

Validar resultados

Faça o seguinte para verificar se os alertas foram criados no Google SecOps: 1. No Google SecOps, clique em Detecções > Regras e detecções para abrir a página "Detecções selecionadas". 1. Clique em Painel. 1. Na lista de detecções, verifique se as seguintes regras foram acionadas: * Teste de login de usuário desconhecido do Okta (tst_okta_login_by_unknown_user.yl2) Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.