使用測試規則驗證資料匯入作業

支援的國家/地區:

Google Security Operations 精選偵測功能包含一組測試規則集,可協助您確認每個規則集所需的資料格式是否正確。

這些測試規則位於「受管理偵測測試」類別。每個規則集都會驗證測試裝置收到的資料是否符合指定類別的規則所預期的格式。

規則集名稱 說明
Google Cloud 代管偵測測試 確認 Google Cloud 資料已從 Cloud Threats 類別支援的裝置成功擷取。
詳情請參閱「驗證 Cloud Threats 類別的資料擷取作業 Google Cloud 」。
Chrome Enterprise 受管理偵測測試 確認系統已從 Chrome Enterprise 威脅類別支援的裝置成功擷取資料。
詳情請參閱「驗證 Chrome Enterprise Threats 類別的資料擷取作業」。
AWS Managed Detection Testing 確認系統已從 Cloud Threats 類別支援的裝置,成功擷取 AWS 資料。
詳情請參閱「驗證 Cloud Threats 類別的 AWS 資料擷取作業」。
Linux 受管理偵測測試 確認資料已從 Linux 威脅類別支援的裝置成功擷取。
詳情請參閱「驗證 Linux 威脅類別的資料擷取作業」。
Windows 受管理偵測測試 確認系統已從 Windows 威脅類別支援的裝置成功擷取資料。
詳情請參閱「驗證 Windows 威脅類別的資料擷取作業」。
Office 365 資料偵測測試 確認資料是否正確擷取,以及格式是否正確,可對 Office 365 資料使用精選偵測功能。
詳情請參閱「驗證 Office 365 類別的資料擷取作業」。
Okta 資料偵測測試 確認資料是否正確擷取,以及格式是否正確,以便使用 Okta 資料的精選偵測功能。
詳情請參閱「驗證 Okta Threats 類別的資料擷取作業」。

請按照本文中的步驟進行測試及驗證,確保系統正確擷取傳入的資料,且資料格式正確無誤。

驗證 Google Cloud 「Cloud Threats」類別的資料擷取作業

這些規則可協助驗證 Google SecOps 精選偵測功能是否正常擷取記錄資料。

請按照下列步驟,使用下列規則測試資料:

  • Cloud Audit Metadata Testing 規則:如要觸發這項規則,請將不重複的預期自訂中繼資料鍵新增至任何傳送資料給 Google SecOps 的 Compute Engine 虛擬機器。

  • Cloud DNS 測試規則:如要觸發這項規則,請在可存取網際網路並將記錄資料傳送至 Google SecOps 的任何虛擬機器中,對網域 (chronicle.security) 執行 DNS 查詢。

  • SCC 管理的偵測測試規則:如要觸發這些規則,請在 Google Cloud 控制台中執行多項動作。

  • Cloud Kubernetes Node Testing 規則:如要觸發這項規則,請建立將記錄資料傳送至 Google SecOps 的測試專案,並在現有的 Google Kubernetes Engine 叢集中建立專屬節點集區。

步驟 1:啟用測試規則

  1. 登入 Google SecOps
  2. 開啟「精選偵測」頁面
  3. 依序點選「規則與偵測項目」>「規則集」
  4. 展開「受管理偵測測試」部分。你可能需要捲動頁面。
  5. 按一下清單中的「受管理偵測測試」Google Cloud ,開啟詳細資料頁面。
  6. 針對「Cloud Managed Detection Testing」規則,同時啟用「狀態」和「快訊」

步驟 2:傳送 Cloud Audit 中繼資料測試規則的資料

如要觸發測試,請完成下列步驟:

  1. 在機構中選擇專案。
  2. 前往 Compute Engine,然後選擇專案中的虛擬機器。
  3. 在虛擬機器中,按一下「編輯」,然後在「自訂中繼資料」部分執行下列步驟:
    1. 按一下「新增項目」
    2. 輸入下列資訊:
      • 鍵:GCTI_ALERT_VALIDATION_TEST_KEY
      • 值:works
    3. 按一下 [儲存]
  4. 請按照下列步驟確認是否已觸發快訊:

    1. 登入 Google SecOps
    2. 開啟「精選偵測」頁面,然後按一下「資訊主頁」
    3. 檢查偵測清單中是否已觸發 ur_tst_Google Cloud_Cloud_Audit_Metadata 規則。

步驟 3:傳送資料以符合「Cloud DNS 測試」規則

重要事項:您必須以所選專案中的 IAM 使用者身分執行下列步驟,該專案必須有權存取 Compute Engine 虛擬機器。

如要觸發測試,請完成下列步驟:

  1. 在機構中選擇專案。
  2. 前往 Compute Engine,然後選擇專案中的虛擬機器。
    • 如果是 Linux 虛擬機器,請確認您有安全殼層 (SSH) 存取權。
    • 如果是 Windows 虛擬機器,請確認您有遠端桌面通訊協定 (RDP) 存取權。
  3. 按一下「SSH (Linux)」或「RDP (Microsoft Windows)」,即可存取虛擬機器。
  4. 請按照下列其中一個步驟傳送測試資料:

    • Linux 虛擬機器:使用 SSH 存取虛擬機器後,請執行下列任一指令:nslookup chronicle.securityhost chronicle.security

      如果指令失敗,請使用下列其中一個指令,在虛擬機器上安裝 dnsutils

      • sudo apt-get install dnsutils (適用於 Debian/Ubuntu)
      • dnf install bind-utils (適用於 RedHat/CentOS)
      • yum install bind-utils
    • Microsoft Windows 虛擬機器:使用 RDP 存取虛擬機器後,請前往任何已安裝的瀏覽器,並瀏覽 https://chronicle.security

  5. 請按照下列步驟確認是否已觸發快訊:

    1. 登入 Google SecOps
    2. 開啟「精選偵測」頁面,然後按一下「資訊主頁」
    3. 確認偵測清單中已觸發 ur_tst_Google Cloud_Cloud_DNS_Test_Rule 規則。

步驟 4:傳送「Cloud Kubernetes Node Testing」規則的資料

重要事項:您必須以所選專案中的 IAM 使用者身分執行下列步驟,才能存取 Google Kubernetes Engine 資源。如要進一步瞭解如何建立區域叢集和節點集區,請參閱建立具有單一區域節點集區的區域叢集。這些測試規則旨在驗證從 KUBERNETES_NODE 記錄類型擷取的資料。

如要觸發測試規則,請完成下列步驟:

  1. 在機構中建立名為 chronicle-kube-test-project 的專案。這個專案僅供測試。
  2. 前往 Google Cloud 控制台的「Google Kubernetes Engine」頁面。
    前往 Google Kubernetes Engine 頁面
  3. 按一下「建立」,在專案中建立新的區域叢集。
  4. 根據貴機構需求設定叢集。
  5. 按一下 「Add node pool」(新增節點集區)
  6. 將節點集區命名為 kube-node-validation,然後將集區大小調整為每個區域 1 個節點。
  7. 刪除測試資源:
    1. 建立 kube-node-validation 節點集區後,請刪除該節點集區。
    2. 刪除 chronicle-kube-test-project 測試專案。
  8. 登入 Google SecOps

  9. 開啟「精選偵測」頁面,然後按一下「資訊主頁」

  10. 確認偵測清單中已觸發 tst_Google Cloud_Kubernetes_Node 規則。

  11. 確認偵測清單中已觸發 tst_Google Cloud_Kubernetes_CreateNodePool 規則。

步驟 5:傳送資料以供 SCC 管理的偵測測試規則使用

這個步驟中的子步驟會驗證 Security Command Center 發現項目和相關資料是否正確擷取,以及格式是否符合預期。

「受管理偵測測試」類別下的「SCC 受管理偵測測試」規則集,可讓您確認「CDIR SCC 強化」規則集所需的資料已傳送至 Google SecOps,且格式正確無誤。

每項測試規則都會驗證收到的資料是否符合規則預期的格式。 您在 Google Cloud 環境中執行動作,傳送會產生 Google SecOps 快訊的資料。

請務必完成本文件下列章節,以便設定 Google Cloud 服務的登入記錄、收集 Security Command Center 進階版發現項目,以及將 Security Command Center 發現項目傳送至 Google SecOps:

如要進一步瞭解本節所述的 Security Command Center 快訊,請參閱 Security Command Center 文件「調查及因應威脅」。

觸發 CDIR SCC 持續性測試規則

如要在 Google SecOps 中傳送會觸發這項快訊的資料,請按照下列步驟操作:

  1. 在 Google Cloud 控制台中,建立新的 VM 執行個體,並暫時指派具有「編輯者」權限的 Compute Engine 預設服務帳戶。測試完成後,請移除這項設定。

  2. 新的執行個體可用時,請將「存取權範圍」指派為「允許完全存取所有 API」

  3. 建立新的服務帳戶,並提供下列資訊:

    • 將「服務帳戶名稱」設為 scc-test
    • 將「服務帳戶 ID」設為 scc-test
    • 您也可以選擇輸入服務帳戶的「Description」(說明)

    如要瞭解如何建立服務帳戶,請參閱「建立服務帳戶」一文。

  4. 使用 SSH 連線至先前步驟中建立的測試執行個體,然後執行下列 gcloud 指令:

    gcloud projects add-iam-policy-binding PROJECT_NAME
    --member="serviceAccount:scc-test@PROJECT_NAME.iam.gserviceaccount.com"
    --role="roles/owner`"
    

    PROJECT_NAME 替換為執行 Compute Engine 執行個體的專案名稱,以及建立 scc-test 帳戶的專案名稱。

    系統應會觸發「Persistence: IAM Anomalous Grant」(持續性:IAM 異常授權) Security Command Center 快訊。

  5. 登入 Google SecOps,然後開啟「警報和 IOC」頁面。

  6. 您應該會看到名為「Test SCC Alert: IAM Anomalous Grant given to test account」(測試 SCC 快訊:授予測試帳戶的 IAM 異常授權) 的 Google SecOps 快訊。

  7. 開啟 Google Cloud 控制台,然後執行下列操作:

    • 從 IAM 和管理控制台移除 scc-test 測試帳戶存取權。
    • 使用「服務帳戶」入口網站刪除服務帳戶。
    • 刪除您剛建立的 VM 執行個體。

觸發 CDIR SCC 惡意軟體測試規則

如要在 Google SecOps 中傳送會觸發這項快訊的資料,請按照下列步驟操作:

  1. 在 Google Cloud 控制台中,使用 SSH 連線至安裝 curl 指令的任何 VM 執行個體。

  2. 執行下列指令:

      curl etd-malware-trigger.goog
    

    執行這項指令後,Security Command Center 應會觸發「惡意軟體:不良網域」警報。

  3. 登入 Google SecOps,然後開啟「警報和 IOC」頁面。

  4. 確認您是否看到名為「Test SCC Alert: Malware Bad Domain」(測試 SCC 快訊:惡意軟體不良網域) 的 Google SecOps 快訊。

觸發 CDIR SCC 規避防護功能測試規則

如要在 Google SecOps 中傳送會觸發這項快訊的資料,請按照下列步驟操作:

  1. 使用有權在機構層級修改 VPC Service Control 範圍的帳戶登入 Google Cloud 控制台。

  2. 在 Google Cloud 控制台中,前往「VPC Service Controls」頁面。

    前往 VPC Service Controls

  3. 按一下「+ 新增邊界」,然後在「詳細資料」頁面中設定下列欄位:

    • Perimeter 名稱scc_test_perimeter
    • 將「範圍類型」設為「一般範圍 (預設)」
    • 將「設定類型」設為「強制執行」
  4. 在左側導覽選單中,選取「3 Restricted Services」(3 項受限服務)

  5. 在「Specify services to restrict」(指定要限制的服務) 對話方塊中,選取「Google Compute Engine API」,然後按一下「Add Google Compute Engine API」(新增 Google Compute Engine API)

  6. 在左側導覽列中,按一下「建立邊界」

  7. 如要修改範圍,請前往「VPC Service Perimeters」頁面。 如要進一步瞭解如何存取這個頁面,請參閱「列出及說明服務範圍」。

  8. 選取 scc_test_perimeter,然後選取「編輯範圍」

  9. 在「受限服務」下方,按一下「刪除」圖示,移除「Google Compute Engine API」服務。這應該會觸發 SCC 中的「規避防護功能:修改 VPC Service Controls 範圍」快訊。

  10. 登入 Google SecOps,然後開啟「警報和 IOC」頁面。

  11. 確認您是否看到名為「Test SCC Alert: Modify VPC Service Control Test Alert」的 Google SecOps 快訊

觸發 CDIR SCC Exfiltration 測試規則

如要在 Google SecOps 中傳送會觸發這項快訊的資料,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的 Google Cloud 專案,然後開啟 BigQuery。

    前往 BigQuery

  2. 建立含有下列資料的 CSV 檔案,然後儲存至主目錄:

    column1, column2, column3
    data1, data2, data3
    data4, data5, data6
    data7, data8, data9
    
  3. 在左側導覽區中,選擇「建立資料集」

  4. 設定下列設定,然後按一下「建立資料集」

    • 「資料集 ID」設為 scc_test_dataset
    • 「位置類型」設為「多區域」
    • 啟用資料表到期時間:請勿選取這個選項。

    如要進一步瞭解如何建立資料集,請參閱 BigQuery 文件「建立資料集」。

  5. 在左側導覽中,按一下「scc_test_dataset」右側的「」圖示,然後選取「建立表格」

  6. 建立資料表並設定下列設定:

    • 「使用下列資料建立資料表」:設為「上傳」
    • 選取檔案:瀏覽至主目錄,然後選取您先前建立的 CSV 檔案。
    • 檔案格式:設為 CSV
    • 「資料集」:設為 css_test_dataset
    • 資料表類型:設為「原生資料表」
  7. 其他欄位都保留預設設定,然後點選「建立資料表」

    如要進一步瞭解如何建立資料表,請參閱「建立及使用資料表」。

  8. 在資源清單中選取 css_test_dataset 表格,然後按一下「查詢」並選擇「在新分頁中開啟」

  9. 執行以下查詢:

    SELECT * FROM TABLE_NAME LIMIT 1000`
    

    TABLE_NAME 替換為完整資料表名稱。

  10. 查詢執行完畢後,按一下「儲存結果」,然後選擇「Google 雲端硬碟中的 CSV」。這應該會觸發「Exfiltration: BigQuery Exfiltration to Google Drive」(外洩:BigQuery 資料外洩至 Google 雲端硬碟) 安全中心快訊。Security Command Center 發現項目應傳送至 Google SecOps,並觸發 Google SecOps 快訊。

  11. 登入 Google SecOps,然後開啟「警報和 IOC」頁面。

  12. 確認您是否看到名為「Test SCC Alert: BigQuery Exfiltration to Google Drive」(測試 SCC 快訊:BigQuery 資料外洩至 Google 雲端硬碟) 的 Google SecOps 快訊

步驟 6:停用測試規則

完成後,請停用「受管理偵測測試」Google Cloud 規則。

  1. 登入 Google SecOps
  2. 開啟「精選偵測」頁面
  3. 針對 Google Cloud 受管理偵測測試規則,停用「狀態」和「快訊」

驗證 Chrome Enterprise 威脅類別的資料擷取作業

Chrome Enterprise 測試規則會驗證 Chrome Enterprise 記錄是否正常運作,以利 Google SecOps 策劃的偵測作業。這項測試會使用安全瀏覽測試網址,該網址應會顯示網路釣魚警告。

步驟 1:啟用測試規則

如要啟用測試規則,請按照下列步驟操作:

  1. 登入 Google SecOps
  2. 開啟「精選偵測」頁面
  3. 展開「受管理偵測測試」部分。你可能需要捲動頁面。
  4. 按一下清單中的「Chrome Enterprise Managed Detection Testing」,開啟詳細資料頁面。
  5. 針對 Chrome Enterprise Managed Detection Testing 規則,同時啟用「狀態」和「快訊」

步驟 2:從受管理的 Chrome 瀏覽器傳送測試資料

如要觸發 Chrome Enterprise 測試規則,請按照下列步驟操作:

  1. 開啟由 Chrome Enterprise 帳戶管理的 Chrome 瀏覽器。
  2. 開啟新分頁並前往安全瀏覽測試網址,您應該會看到警告訊息。
  3. 關閉瀏覽器。

步驟 3:確認是否已觸發快訊

確認存取安全瀏覽測試網址時,是否觸發 Google SecOps 中的 tst_chrome_enterprise_phishing_url 規則。這表示 Chrome Enterprise 記錄檔正在傳送資料,符合預期。

如要在 Google SecOps 中驗證快訊,請按照下列步驟操作:

  1. 登入 Google SecOps
  2. 開啟「精選偵測」頁面
  3. 點選「Dashboard」(資訊主頁)
  4. 確認偵測清單中已觸發 tst_chrome_enterprise_phishing_url 規則。

步驟 4:停用測試規則

完成測試後,請停用 Chrome Enterprise 受管理偵測測試規則:

  1. 登入 Google SecOps
  2. 開啟「精選偵測」頁面
  3. 針對 Chrome Enterprise Managed Detection Testing 規則,停用「狀態」和「警報」

確認 Cloud Threats 類別的 AWS 資料擷取作業

您可以使用 AWS Managed Detection Testing 測試規則,確認 AWS 資料是否已擷取至 Google SecOps。這些測試規則有助於驗證 AWS 資料是否已擷取,以及格式是否符合預期。設定 AWS 資料的擷取作業後,請在 AWS 中執行應會觸發測試規則的動作。

  • 在偵測引擎中啟用這些規則的使用者,必須具備 curatedRuleSetDeployments.batchUpdate IAM 權限。
  • 執行傳送 AWS 資料步驟的使用者,必須具備 AWS IAM 權限,才能編輯所選帳戶中 EC2 執行個體的標記。如要進一步瞭解如何為 EC2 執行個體加上標記,請參閱 AWS 文件「為 Amazon EC2 資源加上標記」。

啟用 AWS Managed Detection Testing 測試規則

  1. 在 Google SecOps 中,依序點選「Detections」(偵測項目) >「Rules & Detections」(規則與偵測項目)開啟「精選偵測項目」頁面
  2. 依序選取「Managed Detection Testing」 >「AWS Managed Detection Testing」
  3. 為「廣泛」和「精確」規則啟用「狀態」和「警告」

確認 AWS 中的標記動作會觸發測試規則

請按照下列步驟操作,確認 AWS 中的標記動作會觸發規則集。

步驟 1:在 AWS 中產生記錄事件。

  1. 在 AWS 環境中選擇帳戶。
  2. 前往 EC2 資訊主頁,然後選擇帳戶中的執行個體。
  3. 在 EC2 執行個體中,依序點選「Actions」(動作) >「Instance Settings」(執行個體設定),然後在「Manage Tags」(管理標記) 區段下方執行下列操作:
    1. 按一下「新增代碼」
    2. 輸入下列資訊:
    3. 金鑰GCTI_ALERT_VALIDATION_TEST_KEY
    4. 價值works
    5. 按一下 [儲存]

如需更多詳細資訊,請參閱「新增或移除 EC2 執行個體標記」。

步驟 2:確認測試快訊已觸發。

完成上一個步驟中的工作後,請確認 AWS CloudTrail 測試規則是否已觸發。這表示系統已記錄 CloudTrail 記錄,並如預期傳送至 Google SecOps。請按照下列步驟驗證快訊:

  1. 在 Google SecOps 中,依序點選「Detections」(偵測項目) >「Rules & Detections」(規則與偵測項目)開啟「精選偵測項目」頁面
  2. 點選「Dashboard」(資訊主頁)
  3. 在偵測結果清單中,確認 tst_AWS_Cloud_Trail_Tag 規則已觸發。

確認 AWS GuardDuty 範例發現項目會觸發測試規則

為確保 GuardDuty 快訊在您的環境中正常運作,您可以將 GuardDuty 樣本結果傳送至 Google SecOps。

步驟 1:產生 GuardDuty 範例發現項目資料。

  1. 前往 AWS 控制台首頁。
  2. 在「Security, Identity, and Compliance」(安全性、身分識別和法規遵循) 下方,開啟 GuardDuty
  3. 前往 GuardDuty 的「設定」
  4. 按一下「產生範例結果」

如要進一步瞭解如何產生 GuardDuty 發現項目範例,請參閱在 GuardDuty 中產生發現項目範例

步驟 2:確認測試警報已觸發。

  1. 在 Google SecOps 中,依序點選「偵測」>「規則與偵測項目」開啟「精選偵測項目」頁面
  2. 點選「Dashboard」(資訊主頁)
  3. 檢查偵測清單中是否已觸發「AWS CloudTrail Test Rule」

停用 AWS 代管偵測測試規則集

  1. 在 Google SecOps 中,依序點選「偵測」>「規則與偵測項目」開啟「精選偵測項目」頁面
  2. 選取「Managed Detection Testing」 >「AWs Managed Detection Testing」規則。
  3. 針對「廣泛」和「精確」規則,停用「狀態」和「警告」

驗證 Linux 威脅類別的資料匯入作業

Linux 受管理偵測測試規則會驗證 Linux 系統的記錄功能是否正常運作,以利 Google SecOps 精選偵測功能使用。測試時,您需要在 Linux 環境中使用 Bash 提示字元執行各種指令,任何有權存取 Linux Bash 提示字元的使用者都能進行測試。

步驟 1:啟用測試規則

  1. 登入 Google SecOps
  2. 開啟「精選偵測」頁面
  3. 依序點選「規則與偵測項目」>「規則集」
  4. 展開「受管理偵測測試」部分。你可能需要捲動頁面。
  5. 在清單中點選「Linux Managed Detection Testing」,開啟詳細資料頁面。
  6. 針對「Linux Managed Detection Testing」規則,同時啟用「狀態」和「快訊」

步驟 2:從 Linux 裝置傳送測試資料

如要觸發 Linux 受管理偵測測試規則,請按照下列步驟操作:

  1. 存取資料傳送至 Google SecOps 的任何 Linux 裝置。
  2. 以任何使用者身分開啟新的 Linux Bash 提示字元指令列介面。
  3. 輸入下列指令,然後按下 Enter 鍵:

    /bin/echo hello_chronicle_world!

注意:您必須使用 echo 二進位檔,而非 Linux Shell 內建的 echo 指令。

  1. 輸入下列指令,然後按下 Enter 鍵:

    sudo useradd test_chronicle_account

  2. 移除上一個步驟中建立的測試帳戶。執行下列指令:

    sudo userdel test_chronicle_account

  3. 輸入下列指令,然後按下 Enter 鍵:

    su

  4. 系統提示輸入密碼時,請輸入任意隨機字串。請注意,系統會顯示 su: Authentication failure 訊息。

  5. 關閉 Bash 視窗。

步驟 3:確認 Google SecOps 中是否已觸發快訊

確認指令已在 Google SecOps 中觸發 tst_linux_echotst_linux_failed_su_logintst_linux_test_account_creation 規則。這表示 Linux 記錄檔已如預期寫入及傳送。 如要在 Google SecOps 中驗證快訊,請執行下列步驟:

  1. 登入 Google SecOps
  2. 開啟「精選偵測」頁面
  3. 點選「Dashboard」(資訊主頁)
  4. 確認偵測清單中已觸發 tst_linux_echotst_linux_failed_su_logintst_linux_test_account_creation 規則。

步驟 4:停用測試規則

完成後,請停用「Linux Managed Detection Testing」規則。

  1. 登入 Google SecOps
  2. 開啟「精選偵測」頁面
  3. 針對「Linux Managed Detection Testing」(Linux 受管理偵測測試) 規則,停用「Status」(狀態) 和「Alerting」(警示)

驗證 Windows Threats 類別的資料匯入作業

Windows Echo Test Rule 會驗證 Microsoft Windows 記錄是否正常運作,以利 Google SecOps 精選偵測功能使用。這項測試需要在 Microsoft Windows 環境中使用命令提示字元,以預期且不重複的字串執行 echo 指令。

只要使用者有權存取 Windows 命令提示字元,就能以該使用者身分登入並執行測試。

步驟 1:啟用測試規則

  1. 登入 Google SecOps
  2. 開啟「精選偵測」頁面
  3. 展開「受管理偵測測試」部分。你可能需要捲動頁面。
  4. 在清單中點選「Windows Managed Detection Testing」,開啟詳細資料頁面。
  5. 針對「Windows Managed Detection Testing」規則,同時啟用「狀態」和「快訊」

步驟 2:從 Windows 裝置傳送測試資料

如要觸發 Windows Echo Test Rule,請按照下列步驟操作:

  1. 存取會產生資料的任何裝置,這些資料將傳送至 Google SecOps。
  2. 以任何使用者身分開啟新的 Microsoft Windows 命令提示字元視窗。
  3. 輸入下列不區分大小寫的指令,然後按下 Enter 鍵:

    cmd.exe /c "echo hello_chronicle_world!"
    
  4. 關閉命令提示字元視窗。

步驟 3:確認是否已觸發快訊

確認指令已在 Google SecOps 中觸發 tst_Windows_Echo 規則。 這表示 Microsoft Windows 記錄檔正在正常傳送資料。 如要在 Google SecOps 中驗證快訊,請執行下列步驟:

  1. 登入 Google SecOps
  2. 開啟「精選偵測」頁面
  3. 點選「Dashboard」(資訊主頁)
  4. 確認偵測清單中已觸發 tst_Windows_Echo 規則。

    注意:Google SecOps 顯示快訊時會稍微延遲。

步驟 4:停用測試規則

完成後,請停用「Windows Managed Detection Testing」規則。

  1. 登入 Google SecOps
  2. 開啟「精選偵測」頁面
  3. 針對「Windows Managed Detection Testing」(Windows 受管理偵測測試) 規則,停用「狀態」和「警報」

驗證 Office 365 資料類別的資料匯入作業

確認資料已正確擷取,且格式正確,可使用 Office 365 資料的精選偵測項目。

步驟 1:擷取 Office 365 資料

您必須從 Google SecOps 擷取指示中列出的每個資料來源擷取資料,才能獲得最大的規則涵蓋範圍。如要進一步瞭解如何擷取 Office 365 服務的資料,請參閱「收集 Microsoft Office 365 記錄」。

步驟 2:驗證 Office 365 資料匯入作業

透過 Google SecOps 資料擷取和健康狀態資訊主頁,您可以查看所有透過 SIEM 擷取功能擷取到 Google SecOps 的資料類型、量和健康狀態。

您也可以使用 Office 365 受管理偵測測試規則,驗證 Office 365 資料的擷取作業。設定擷取作業後,請在 Office 365 中執行動作,觸發測試規則。這些規則可確保資料正確無誤地擷取,並採用適當格式,以便使用 Office 365 資料的精選偵測功能。

步驟 3:啟用 Azure 受控偵測測試的測試規則

  1. 在 Google SecOps 中,依序點選「Detections」 >「Rules & Detections」,即可開啟「精選偵測項目」頁面和規則集

  2. 依序選取「Managed Detection Testing」>「Office 365 Managed Detection Testing」

  3. 為「廣泛」和「精確」規則啟用「狀態」和「警告」

步驟 4:傳送使用者動作資料,觸發測試規則

如要確認資料是否如預期擷取,請建立具有特定名稱的收件匣規則,確認這些動作會觸發測試規則。如要瞭解如何在 Outlook 中建立收件匣規則,請參閱「在 Outlook 中使用規則管理電子郵件訊息」。

如要在 Outlook 365 中建立收件匣規則,請使用「郵件」部分的「規則」功能。你也可以在電子郵件上按一下滑鼠右鍵來建立規則。

步驟 5:使用「規則」功能建立收件匣規則

以下列舉使用「規則」功能建立收件匣規則的用途:

測試規則 1

  1. 按一下「郵件」,然後選取「規則」
  2. 輸入規則名稱 GoogleSecOpsTest
  3. 從清單中選取條件。
  4. 從清單中選取動作。
  5. 視需要按一下「新增條件」或「新增動作」,新增其他條件或動作。
  6. 按一下 [確定]

測試規則 2

  1. 前往 SharePoint 或 OneDrive。
  2. 在搜尋列中輸入 GoogleSecOpsTest

驗證結果

請按照下列步驟,確認 Google SecOps 中已建立快訊:

  1. 在 Google SecOps 中,依序點選「偵測項目」>「規則與偵測項目」開啟「精選偵測項目」頁面
  2. 點選「Dashboard」(資訊主頁)
  3. 在偵測結果清單中,確認已觸發下列規則:
    • tst_o365_email.yl2
    • tst_of65_sharepoint_onedrive.yl2
  4. 確認資料已傳送並觸發規則後,請停用在「測試規則 1」中建立的收件匣規則。

驗證 Okta 威脅類別的資料匯入作業

確認資料是否正確擷取,以及格式是否正確,以便使用 Okta 資料的精選偵測功能。

步驟 1:擷取 Okta 資料

為確保規則涵蓋範圍達到最大值,您必須從 Google SecOps 擷取指示中列出的每個資料來源擷取資料。如要進一步瞭解如何擷取 Okta 服務的資料,請參閱「收集 Okta 記錄」。

步驟 2:驗證 Okta 資料的匯入作業

透過 Google SecOps 資料擷取和健康狀態資訊主頁,您可以查看所有透過 SIEM 擷取功能擷取到 Google SecOps 的資料類型、量和健康狀態。

您也可以使用 Okta Managed Detection 測試規則,驗證 Office 365 資料的擷取作業。設定擷取作業後,請在 Office 365 中執行動作,觸發測試規則。這些規則可確保資料正確無誤地擷取,並採用適當格式,以便使用 Office 365 資料的精選偵測功能。

步驟 3:啟用 Okta 管理的偵測測試規則

  1. 在 Google SecOps 中,依序點選「Detections」 >「Rules & Detections」,即可開啟「精選偵測項目」頁面和規則集

  2. 依序選取「Managed Detection Testing」>「Office 365 Managed Detection Testing」

  3. 為「廣泛」和「精確」規則啟用「狀態」和「警告」

步驟 4:傳送使用者動作資料,觸發測試規則

如要確認資料是否如預期擷取,請建立具有特定名稱的收件匣規則,確認這些動作會觸發測試規則。接著,系統會為不明使用者觸發 Okta 登入失敗事件。

測試規則 1

  1. 存取 Okta 租戶網址。
  2. 在「Username」(使用者名稱) 欄位中輸入 GoogleSecOpsTest

  3. 在「Password」(密碼) 欄位中輸入任意字串。

  4. 按一下 [登入]

驗證結果

如要確認 Google SecOps 中已建立快訊,請按照下列步驟操作: 1. 在 Google SecOps 中,依序點選「偵測項目」>「規則與偵測項目」開啟「精選偵測項目」頁面。 1. 按一下「資訊主頁」。 1. 在偵測結果清單中,確認已觸發下列規則: * Okta Unknown User Login Test (tst_okta_login_by_unknown_user.yl2) 需要更多協助嗎?向社群成員和 Google SecOps 專業人員尋求答案。