Memverifikasi penyerapan data menggunakan aturan pengujian

Didukung di:

Deteksi yang dikurasi Google Security Operations mencakup serangkaian set aturan pengujian yang membantu Anda memverifikasi bahwa data yang diperlukan untuk setiap set aturan berada dalam format yang benar.

Aturan pengujian ini berada di kategori Pengujian Deteksi Terkelola. Setiap set aturan memvalidasi bahwa data yang diterima oleh perangkat pengujian berada dalam format yang diharapkan oleh aturan untuk kategori yang ditentukan tersebut.

Nama kumpulan aturan Deskripsi
Google Cloud Pengujian Deteksi Terkelola Memverifikasi bahwa data berhasil diserap dari perangkat yang didukung oleh kategori Ancaman Cloud. Google Cloud
Lihat Memverifikasi penyerapan data untuk kategori Cloud Threats Google Cloud untuk mengetahui informasi selengkapnya.
Pengujian Deteksi Terkelola Chrome Enterprise Memverifikasi bahwa data berhasil diserap dari perangkat yang didukung oleh kategori Ancaman Chrome Enterprise.
Lihat Memverifikasi penyerapan data untuk kategori Ancaman Chrome Enterprise untuk mengetahui informasi selengkapnya.
Pengujian Deteksi Terkelola AWS Memverifikasi bahwa data AWS berhasil diserap dari perangkat yang didukung oleh kategori Ancaman Cloud.
Lihat Memverifikasi penyerapan data AWS untuk kategori Ancaman Cloud untuk mengetahui informasi selengkapnya.
Pengujian Deteksi Terkelola Linux Memverifikasi bahwa data berhasil diserap dari perangkat yang didukung oleh kategori Ancaman Linux.
Lihat Memverifikasi penyerapan data untuk kategori Ancaman Linux untuk mengetahui informasi selengkapnya.
Pengujian Deteksi Terkelola Windows Memverifikasi bahwa data berhasil diserap dari perangkat yang didukung oleh kategori Ancaman Windows.
Lihat Memverifikasi penyerapan data untuk kategori Ancaman Windows untuk mengetahui informasi selengkapnya.
Pengujian Deteksi Data Office 365 Memverifikasi bahwa data dimasukkan dengan benar dan dalam format yang tepat untuk menggunakan deteksi pilihan untuk data Office 365.
Lihat Verifikasi penyerapan data untuk kategori Office 365 untuk mengetahui informasi selengkapnya.
Pengujian Deteksi Data Okta Memverifikasi bahwa data dimasukkan dengan benar dan dalam format yang tepat untuk menggunakan deteksi yang dikurasi untuk data Okta.
Lihat Memverifikasi penyerapan data untuk kategori Ancaman Okta untuk mengetahui informasi selengkapnya.

Ikuti langkah-langkah dalam dokumen ini untuk menguji dan memverifikasi bahwa data yang masuk dicerna dengan benar dan dalam format yang benar.

Memverifikasi Google Cloud penyerapan data untuk kategori Cloud Threats

Aturan ini membantu memverifikasi apakah data log diserap seperti yang diharapkan untuk Deteksi Terkurasi Google SecOps.

Gunakan aturan berikut untuk menguji data dengan langkah-langkah yang akan dijelaskan:

  • Aturan Pengujian Metadata Audit Cloud: Untuk memicu aturan ini, tambahkan kunci Metadata Kustom yang unik dan diharapkan ke virtual machine Compute Engine yang mengirimkan data ke Google SecOps.

  • Aturan Pengujian Cloud DNS: Untuk memicu aturan ini, lakukan pencarian DNS ke domain (chronicle.security) dalam virtual machine mana pun yang memiliki akses ke internet dan mengirim data log ke Google SecOps.

  • Aturan Pengujian Deteksi yang Dikelola SCC: Untuk memicu aturan ini, lakukan beberapa tindakan di konsol Google Cloud .

  • Aturan Pengujian Node Kubernetes Cloud: Untuk memicu aturan ini, buat project pengujian yang mengirim data log ke Google SecOps, dan buat node pool unik dalam cluster Google Kubernetes Engine yang ada.

Langkah 1. Aktifkan aturan pengujian

  1. Login ke Google SecOps.
  2. Buka halaman Deteksi yang Dikurasi.
  3. Klik Aturan & Deteksi > Set Aturan.
  4. Luaskan bagian Managed Detection Testing. Anda mungkin perlu men-scroll halaman.
  5. Klik Google Cloud Pengujian Deteksi Terkelola dalam daftar untuk membuka halaman detail.
  6. Aktifkan Status dan Pemberitahuan untuk aturan Pengujian Deteksi Terkelola Cloud.

Langkah 2. Mengirim data untuk aturan Pengujian Metadata Audit Cloud

Untuk memicu pengujian, selesaikan langkah-langkah berikut:

  1. Pilih project dalam organisasi Anda.
  2. Buka Compute Engine, lalu pilih virtual machine dalam project.
  3. Di dalam virtual machine, klik Edit, lalu lakukan langkah-langkah berikut di bagian Custom MetaData:
    1. Klik Tambahkan Item.
    2. Masukkan informasi berikut:
      • Kunci: GCTI_ALERT_VALIDATION_TEST_KEY
      • Nilai: works
    3. Klik Simpan.

  4. Lakukan langkah-langkah berikut untuk memverifikasi bahwa pemberitahuan dipicu:

    1. Login ke Google SecOps.
    2. Buka halaman Deteksi yang Dikurasi, lalu klik Dasbor.
    3. Periksa apakah aturan ur_tst_Google Cloud_Cloud_Audit_Metadata dipicu dalam daftar deteksi.

Langkah 3. Mengirim data untuk aturan Pengujian Cloud DNS

Penting: Langkah-langkah berikut harus dilakukan sebagai pengguna IAM di project yang dipilih yang memiliki akses ke virtual machine Compute Engine.

Untuk memicu pengujian, selesaikan langkah-langkah berikut:

  1. Pilih project dalam organisasi Anda.
  2. Buka Compute Engine, lalu pilih mesin virtual dalam project.
    • Jika berupa mesin virtual Linux, pastikan Anda memiliki akses Secure Shell (SSH).
    • Jika berupa mesin virtual Windows, pastikan Anda memiliki akses Remote Desktop Protocol (RDP).
  3. Klik SSH (Linux) atau RDP (Microsoft Windows) untuk mengakses mesin virtual.

  4. Kirim data pengujian menggunakan salah satu langkah berikut:

    • Mesin virtual Linux: Setelah mengakses mesin virtual menggunakan SSH, jalankan salah satu perintah berikut: nslookup chronicle.security atau host chronicle.security

      Jika perintah gagal, instal dnsutils di virtual machine menggunakan salah satu perintah berikut:

      • sudo apt-get install dnsutils (untuk Debian/Ubuntu)
      • dnf install bind-utils (untuk RedHat/CentOS)
      • yum install bind-utils

    • Mesin virtual Microsoft Windows: Setelah mengakses mesin virtual menggunakan RDP, buka browser yang terinstal dan buka https://chronicle.security.

  5. Lakukan langkah-langkah berikut untuk memverifikasi bahwa pemberitahuan dipicu:

    1. Login ke Google SecOps.
    2. Buka halaman Deteksi yang Dikurasi, lalu klik Dasbor.
    3. Periksa apakah aturan ur_tst_Google Cloud_Cloud_DNS_Test_Rule dipicu dalam daftar deteksi.

Langkah 4. Mengirim data untuk aturan Pengujian Node Kubernetes Cloud

Penting: Langkah-langkah berikut harus dilakukan sebagai pengguna IAM di project yang dipilih yang memiliki akses ke resource Google Kubernetes Engine. Untuk mengetahui informasi selengkapnya tentang cara membuat cluster dan node pool regional, lihat Membuat cluster regional dengan node pool satu zona. Aturan pengujian ini dimaksudkan untuk memverifikasi penyerapan data dari jenis log KUBERNETES_NODE.

Untuk memicu aturan pengujian, selesaikan langkah-langkah berikut:

  1. Buat project dalam organisasi Anda, yang bernama chronicle-kube-test-project. Project ini hanya digunakan untuk pengujian.
  2. Buka halaman Google Kubernetes Engine di konsol Google Cloud .
    Buka halaman Google Kubernetes Engine
  3. Klik Create untuk membuat cluster regional baru dalam project.
  4. Konfigurasi cluster sesuai persyaratan organisasi Anda.
  5. Klik Add node pool.
  6. Beri nama node pool kube-node-validation, lalu sesuaikan ukuran pool menjadi 1 node per zona.
  7. Hapus resource pengujian:
    1. Setelah kumpulan node kube-node-validation dibuat, hapus kumpulan node tersebut.
    2. Hapus project pengujian chronicle-kube-test-project.

  8. Login ke Google SecOps.

  9. Buka halaman Deteksi yang Dikurasi, lalu klik Dasbor.

  10. Periksa apakah aturan tst_Google Cloud_Kubernetes_Node dipicu dalam daftar deteksi.

  11. Periksa apakah aturan tst_Google Cloud_Kubernetes_CreateNodePool dipicu dalam daftar deteksi.

Langkah 5. Mengirim data untuk aturan Pengujian Deteksi yang Dikelola SCC

Sublangkah dalam langkah ini memverifikasi bahwa temuan Security Command Center, dan data terkait, dimasukkan dengan benar dan dalam format yang diharapkan.

Kumpulan aturan Pengujian Deteksi yang Dikelola SCC dalam kategori Pengujian Deteksi yang Dikelola memungkinkan Anda memverifikasi bahwa data yang diperlukan untuk kumpulan aturan CDIR SCC yang Ditingkatkan dikirim ke Google SecOps dan dalam format yang benar.

Setiap aturan pengujian memvalidasi bahwa data diterima dalam format yang diharapkan oleh aturan. Anda melakukan tindakan di lingkungan Google Cloud Anda untuk mengirim data yang akan menghasilkan pemberitahuan Google SecOps.

Pastikan untuk menyelesaikan bagian berikut dalam dokumen ini yang diperlukan untuk mengonfigurasi layanan login, mengumpulkan temuan Premium Security Command Center, dan mengirim temuan Security Command Center ke Google SecOps: Google Cloud

Untuk mempelajari lebih lanjut pemberitahuan Security Command Center yang dijelaskan di bagian ini, lihat dokumen Security Command Center Menyelidiki dan Merespons Ancaman.

Memicu aturan pengujian Persistensi CDIR SCC

Untuk mengirim data yang memicu pemberitahuan ini di Google SecOps, lakukan langkah-langkah berikut:

  1. Di konsol Google Cloud , buat instance VM baru dan tetapkan akun layanan default Compute Engine dengan hak istimewa Editor untuk sementara. Anda akan menghapusnya setelah pengujian selesai.

  2. Saat instance baru tersedia, tetapkan Cakupan Akses ke Izinkan Akses Penuh ke semua API.

  3. Buat akun layanan baru dengan informasi berikut:

    • Tetapkan Service account name ke scc-test.
    • Tetapkan Service account ID ke scc-test.
    • Atau, masukkan Deskripsi untuk akun layanan.

    Lihat dokumen Membuat akun layanan untuk mengetahui informasi tentang cara membuat akun layanan.

  4. Hubungkan menggunakan SSH ke instance pengujian yang dibuat pada langkah sebelumnya, lalu jalankan perintah gcloud berikut:

    gcloud projects add-iam-policy-binding PROJECT_NAME
--member="serviceAccount:scc-test@PROJECT_NAME.iam.gserviceaccount.com"
--role="roles/owner`"

    Ganti PROJECT_NAME dengan nama project tempat instance Compute Engine berjalan dan tempat akun scc-test dibuat.

    Pemberitahuan Security Command Center Persistence: IAM Anomalous Grant akan diaktifkan.

  5. Login ke Google SecOps, lalu buka halaman Alerts & IOCs.

  6. Anda akan melihat pemberitahuan Google SecOps berjudul Test SCC Alert: IAM Anomalous Grant given to test account.

  7. Buka konsol Google Cloud , lalu lakukan hal berikut:

    • Hapus akses akun uji coba scc-test dari IAM dan Konsol Admin.
    • Hapus akun layanan menggunakan portal Service Accounts.
    • Hapus instance VM yang baru saja Anda buat.

Memicu aturan pengujian Malware SCC CDIR

Untuk mengirim data yang memicu pemberitahuan ini di Google SecOps, lakukan langkah-langkah berikut:

  1. Di konsol Google Cloud , hubungkan menggunakan SSH ke instance VM mana pun tempat perintah curl diinstal.

  2. Jalankan perintah berikut:

      curl etd-malware-trigger.goog

    Setelah Anda menjalankan perintah ini, pemberitahuan Security Command Center Malware: Domain Buruk akan muncul.

  3. Login ke Google SecOps, lalu buka halaman Alert & IOC.

  4. Pastikan Anda melihat pemberitahuan Google SecOps berjudul Test SCC Alert: Malware Bad Domain.

Memicu aturan pengujian CDIR SCC Defense Evasion

Untuk mengirim data yang memicu pemberitahuan ini di Google SecOps, lakukan langkah-langkah berikut:

  1. Login ke konsol Google Cloud menggunakan akun yang memiliki akses di tingkat organisasi untuk mengubah Perimeter Kontrol Layanan VPC.

  2. Di konsol Google Cloud , buka halaman VPC Service Controls.

    Buka Kontrol Layanan VPC

  3. Klik +Perimeter Baru dan konfigurasi kolom berikut di halaman Detail:

    • Judul Perimeter: scc_test_perimeter.
    • Jenis perimeter ke Perimeter reguler (default).
    • Jenis Konfigurasi ke Diterapkan.

  4. Di navigasi sebelah kiri, pilih 3 Layanan yang Dibatasi.

  5. Dalam dialog Specify services to restrict, pilih Google Compute Engine API, lalu klik Add Google Compute Engine API.

  6. Di navigasi sebelah kiri, klik Buat Perimeter.

  7. Untuk mengubah perimeter, buka halaman Perimeter Layanan VPC. Untuk mengetahui informasi yang lebih mendetail tentang cara mengakses halaman ini, lihat Mencantumkan dan menjelaskan perimeter layanan.

  8. Pilih scc_test_perimeter, lalu pilih Edit Perimeter.

  9. Di bagian Layanan yang Dibatasi, klik ikon Hapus untuk menghapus layanan Google Compute Engine API. Tindakan ini akan memicu pemberitahuan Defense Evasion: Modify VPC Service Control Perimeter di SCC.

  10. Login ke Google SecOps, lalu buka halaman Alert & IOC.

  11. Verifikasi bahwa Anda melihat pemberitahuan Google SecOps berjudul Test SCC Alert: Modify VPC Service Control Test Alert.

Memicu aturan pengujian Pemindahan Data SCC CDIR

Untuk mengirim data yang memicu pemberitahuan ini di Google SecOps, lakukan langkah-langkah berikut:

  1. Di Google Cloud konsol, buka Google Cloud project, lalu buka BigQuery.

    Buka BigQuery

  2. Buat file CSV dengan data berikut, lalu simpan ke direktori beranda Anda:

    column1, column2, column3
data1, data2, data3
data4, data5, data6
data7, data8, data9

  3. Di navigasi sebelah kiri, pilih Buat Set Data.

  4. Tetapkan konfigurasi berikut, lalu klik Create Dataset:

    • Dataset ID ditetapkan ke scc_test_dataset.
    • Jenis lokasi ditetapkan ke Multi-region.
    • Aktifkan Masa berlaku tabel: jangan pilih opsi ini.

    Untuk mengetahui informasi yang lebih mendetail tentang cara membuat set data, lihat dokumen BigQuery Membuat set data.

  5. Di navigasi kiri, di sebelah kanan scc_test_dataset, klik ikon , lalu pilih Buat Tabel.

  6. Buat tabel dan tetapkan konfigurasi berikut:

    • Buat tabel dari: setel ke Upload.
    • Pilih file: buka direktori beranda Anda dan pilih file CSV yang Anda buat sebelumnya.
    • Format file: ditetapkan ke CSV.
    • Dataset: ditetapkan ke css_test_dataset.
    • Jenis tabel: tetapkan ke Tabel asli.

  7. Setujui konfigurasi default untuk semua kolom lainnya, lalu klik Buat Tabel.

    Untuk mengetahui informasi yang lebih mendetail tentang cara membuat tabel, lihat Membuat dan menggunakan tabel.

  8. Di daftar resource, pilih tabel css_test_dataset, lalu klik Query dan pilih in New Tab.

  9. Jalankan kueri berikut:

    SELECT * FROM TABLE_NAME LIMIT 1000`

    Ganti TABLE_NAME dengan nama tabel yang sepenuhnya memenuhi syarat.

  10. Setelah kueri dijalankan, klik Simpan Hasil, lalu pilih CSV di Google Drive. Tindakan ini akan memicu pemberitahuan Security Command Center Exfiltrasi: Exfiltrasi BigQuery ke Google Drive. Temuan Security Command Center harus dikirim ke Google SecOps dan memicu pemberitahuan Google SecOps.

  11. Login ke Google SecOps, lalu buka halaman Alerts & IOCs.

  12. Pastikan Anda melihat pemberitahuan Google SecOps berjudul Test SCC Alert: BigQuery Exfiltration to Google Drive.

Langkah 6. Menonaktifkan aturan pengujian

Setelah selesai, nonaktifkan aturan Google Cloud Pengujian Deteksi Terkelola.

  1. Login ke Google SecOps.
  2. Buka halaman Deteksi yang Dikurasi.
  3. Nonaktifkan Status dan Pemberitahuan untuk aturan Google Cloud Pengujian Deteksi Terkelola.

Memverifikasi penyerapan data untuk kategori Ancaman Chrome Enterprise

Aturan Pengujian Chrome Enterprise memverifikasi bahwa logging Chrome Enterprise berfungsi dengan benar untuk deteksi yang dikurasi Google SecOps. Pengujian ini menggunakan URL pengujian Safe Browsing yang seharusnya menampilkan peringatan phishing.

Langkah 1. Aktifkan aturan pengujian

Untuk mengaktifkan aturan pengujian, lakukan hal berikut:

  1. Login ke Google SecOps.
  2. Buka halaman Deteksi yang Dikurasi.
  3. Luaskan bagian Managed Detection Testing. Anda mungkin perlu men-scroll halaman.
  4. Klik Pengujian Deteksi Terkelola Chrome Enterprise dalam daftar untuk membuka halaman detail.
  5. Aktifkan Status dan Pemberitahuan untuk aturan Pengujian Deteksi Terkelola Chrome Enterprise.

Langkah 2. Mengirim data pengujian dari browser Chrome terkelola

Untuk memicu aturan pengujian Chrome Enterprise, lakukan hal berikut:

  1. Buka browser Chrome yang dikelola oleh akun Chrome Enterprise.
  2. Buka tab baru dan buka URL pengujian Safe Browsing; Anda akan melihat pesan peringatan.
  3. Tutup browser.

Langkah 3. Memastikan bahwa pemberitahuan telah dipicu

Konfirmasi bahwa mengakses URL pengujian Safe Browsing memicu aturan tst_chrome_enterprise_phishing_url di Google SecOps. Hal ini menunjukkan bahwa logging Chrome Enterprise mengirimkan data seperti yang diharapkan.

Untuk memverifikasi pemberitahuan di Google SecOps, lakukan hal berikut:

  1. Login ke Google SecOps.
  2. Buka halaman Deteksi yang Dikurasi.
  3. Klik Dasbor.
  4. Pastikan aturan tst_chrome_enterprise_phishing_url dipicu dalam daftar deteksi.

Langkah 4. Menonaktifkan aturan pengujian

Setelah selesai menguji, nonaktifkan aturan Pengujian Deteksi Terkelola Chrome Enterprise:

  1. Login ke Google SecOps.
  2. Buka halaman Deteksi yang Dikurasi.
  3. Nonaktifkan Status dan Pemberitahuan untuk aturan Pengujian Deteksi yang Dikelola Chrome Enterprise.

Memverifikasi penyerapan data AWS untuk kategori Ancaman Cloud

Anda dapat menggunakan aturan pengujian AWS Managed Detection Testing untuk memverifikasi bahwa data AWS sedang di-ingest ke Google SecOps. Aturan pengujian ini membantu memverifikasi bahwa data AWS telah di-ingest dan dalam format yang diharapkan. Setelah menyiapkan penyerapan data AWS, Anda melakukan tindakan di AWS yang akan memicu aturan pengujian.

  • Pengguna yang mengaktifkan aturan ini di Detection Engine harus memiliki izin IAM curatedRuleSetDeployments.batchUpdate.
  • Pengguna yang melakukan langkah-langkah untuk mengirim data AWS harus memiliki izin IAM AWS untuk mengedit tag instance EC2 di akun yang dipilih. Untuk mengetahui informasi selengkapnya tentang pemberian tag pada instance EC2, lihat dokumen AWS Memberi tag pada resource Amazon EC2 Anda.

Aktifkan aturan pengujian AWS Managed Detection Testing

  1. Di Google SecOps, klik Deteksi > Aturan & Deteksi untuk membuka halaman Deteksi yang Dikurasi.
  2. Pilih Managed Detection Testing > AWS Managed Detection Testing.
  3. Mengaktifkan Status dan Pemberitahuan untuk aturan Luas dan Presisi.

Memastikan tindakan tag di AWS memicu aturan pengujian

Lakukan langkah-langkah berikut untuk memverifikasi bahwa tindakan tag di AWS memicu set aturan.

Langkah 1. Buat peristiwa log di AWS.

  1. Pilih akun dalam lingkungan AWS Anda.
  2. Buka Dasbor EC2, lalu pilih Instance dalam akun.
  3. Di dalam Instance EC2, klik Actions > Instance Settings, dan lakukan hal berikut di bagian Manage Tags:
    1. Klik Tambahkan tag baru.
    2. Masukkan informasi sebagai berikut:
    3. Kunci: GCTI_ALERT_VALIDATION_TEST_KEY
    4. Nilai: works
    5. Klik Simpan.

Untuk mengetahui informasi yang lebih mendetail, lihat Menambahkan atau menghapus tag instance EC2.

Langkah 2. Pastikan pemberitahuan pengujian dipicu.

Setelah menjalankan tugas di langkah sebelumnya, pastikan aturan AWS CloudTrail Test Rule dipicu. Hal ini menunjukkan bahwa log CloudTrail direkam dan dikirim ke Google SecOps seperti yang diharapkan. Lakukan langkah-langkah berikut untuk memverifikasi pemberitahuan:

  1. Di Google SecOps, klik Deteksi > Aturan & Deteksi untuk membuka halaman Deteksi yang Dikurasi.
  2. Klik Dasbor.
  3. Dalam daftar deteksi, periksa apakah aturan tst_AWS_Cloud_Trail_Tag dipicu.

Memverifikasi bahwa temuan contoh AWS GuardDuty memicu aturan pengujian

Untuk memastikan pemberitahuan GuardDuty akan berfungsi sebagaimana mestinya di lingkungan Anda, Anda dapat mengirimkan temuan sampel GuardDuty ke Google SecOps.

Langkah 1. Buat data temuan sampel GuardDuty.

  1. Buka beranda Konsol AWS.
  2. Di bagian Security, Identity, and Compliance, buka GuardDuty.
  3. Buka Settings GuardDuty.
  4. Klik Generate Sample findings.

Untuk mengetahui informasi selengkapnya tentang cara membuat temuan GuardDuty contoh, lihat Membuat temuan contoh di GuardDuty.

Langkah 2. Pastikan peringatan pengujian dipicu.

  1. Di Google SecOps, klik Detection > Rules & Detections untuk membuka halaman Curated Detections.
  2. Klik Dasbor.
  3. Periksa apakah AWS CloudTrail Test Rule dipicu dalam daftar deteksi.

Menonaktifkan set aturan Pengujian Deteksi Terkelola AWS

  1. Di Google SecOps, klik Detection > Rules & Detections untuk membuka halaman Curated Detections.
  2. Pilih aturan Managed Detection Testing > AWs Managed Detection Testing.
  3. Nonaktifkan Status dan Pemberitahuan untuk aturan Luas dan Presisi.

Memverifikasi penyerapan data untuk kategori Ancaman Linux

Aturan Pengujian Deteksi Terkelola Linux memverifikasi bahwa logging di sistem Linux berfungsi dengan benar untuk deteksi pilihan Google SecOps. Pengujian ini melibatkan penggunaan prompt Bash di lingkungan Linux untuk menjalankan berbagai perintah dan dapat dilakukan oleh pengguna mana pun yang memiliki akses ke prompt Bash Linux.

Langkah 1. Aktifkan aturan pengujian

  1. Login ke Google SecOps.
  2. Buka halaman Deteksi yang Dikurasi.
  3. Klik Aturan & Deteksi > Set Aturan.
  4. Luaskan bagian Managed Detection Testing. Anda mungkin perlu men-scroll halaman.
  5. Klik Pengujian Deteksi Terkelola Linux dalam daftar untuk membuka halaman detail.
  6. Aktifkan Status dan Pemberitahuan untuk aturan Pengujian Deteksi Terkelola Linux.

Langkah 2. Mengirim data pengujian dari perangkat Linux

Untuk memicu aturan pengujian Pengujian Deteksi Terkelola Linux, lakukan langkah-langkah berikut:

  1. Akses perangkat Linux tempat data dikirim ke Google SecOps.
  2. Buka antarmuka command line prompt Bash Linux baru sebagai pengguna mana pun.

  3. Masukkan perintah berikut, lalu tekan Enter:

    /bin/echo hello_chronicle_world!

Catatan:Anda harus menggunakan biner echo, bukan perintah echo bawaan shell Linux.

  1. Masukkan perintah berikut, lalu tekan Enter:

    sudo useradd test_chronicle_account

  2. Hapus akun pengujian yang dibuat pada langkah sebelumnya. Jalankan perintah berikut:

    sudo userdel test_chronicle_account

  3. Masukkan perintah berikut, lalu tekan Enter:

    su

  4. Saat diminta memasukkan sandi, masukkan string acak. Perhatikan bahwa pesan su: Authentication failure ditampilkan.

  5. Tutup jendela Bash.

Langkah 3. Pastikan pemberitahuan dipicu di Google SecOps

Pastikan bahwa perintah memicu aturan tst_linux_echo, tst_linux_failed_su_login, dan tst_linux_test_account_creation di Google SecOps. Hal ini menunjukkan bahwa log Linux ditulis dan dikirim seperti yang diharapkan. Untuk memverifikasi pemberitahuan di Google SecOps, lakukan langkah-langkah berikut:

  1. Login ke Google SecOps.
  2. Buka halaman Deteksi yang Dikurasi.
  3. Klik Dasbor.

  4. Pastikan aturan tst_linux_echo, tst_linux_failed_su_login, dan tst_linux_test_account_creation dipicu dalam daftar deteksi.

Langkah 4. Menonaktifkan aturan pengujian

Setelah selesai, nonaktifkan aturan Pengujian Deteksi Terkelola Linux.

  1. Login ke Google SecOps.
  2. Buka halaman Deteksi yang Dikurasi.
  3. Nonaktifkan Status dan Pemberitahuan untuk aturan Pengujian Deteksi Terkelola Linux.

Memverifikasi penyerapan data untuk kategori Ancaman Windows

Aturan Pengujian Gema Windows memverifikasi bahwa logging Microsoft Windows berfungsi dengan benar untuk deteksi pilihan Google SecOps. Pengujian ini melibatkan penggunaan command prompt di lingkungan Microsoft Windows untuk menjalankan perintah echo dengan string yang diharapkan dan unik.

Anda dapat menjalankan pengujian saat login sebagai pengguna mana pun yang memiliki akses ke Command Prompt Windows.

Langkah 1. Aktifkan aturan pengujian

  1. Login ke Google SecOps.
  2. Buka halaman Deteksi yang Dikurasi.
  3. Luaskan bagian Managed Detection Testing. Anda mungkin perlu men-scroll halaman.
  4. Klik Pengujian Deteksi Terkelola Windows dalam daftar untuk membuka halaman detail.
  5. Aktifkan Status dan Pemberitahuan untuk aturan Pengujian Deteksi Terkelola Windows.

Langkah 2. Mengirim data pengujian dari perangkat Windows

Untuk memicu Windows Echo Test Rule, lakukan langkah-langkah berikut:

  1. Akses perangkat apa pun yang menghasilkan data yang akan dikirim ke Google SecOps.
  2. Buka jendela Command Prompt Microsoft Windows baru sebagai pengguna mana pun.

  3. Masukkan perintah berikut yang tidak peka huruf besar/kecil, lalu tekan Enter:

    cmd.exe /c "echo hello_chronicle_world!"

  4. Tutup jendela Command Prompt.

Langkah 3. Memastikan bahwa pemberitahuan telah dipicu

Pastikan bahwa perintah memicu aturan tst_Windows_Echo di Google SecOps. Hal ini menunjukkan bahwa logging Microsoft Windows mengirim data seperti yang diharapkan. Untuk memverifikasi pemberitahuan di Google SecOps, lakukan langkah-langkah berikut:

  1. Login ke Google SecOps.
  2. Buka halaman Deteksi yang Dikurasi.
  3. Klik Dasbor.

  4. Pastikan aturan tst_Windows_Echo dipicu dalam daftar deteksi.

    Catatan: Akan ada sedikit penundaan sebelum pemberitahuan ditampilkan di Google SecOps.

Langkah 4. Menonaktifkan aturan pengujian

Setelah selesai, nonaktifkan aturan Pengujian Deteksi yang Dikelola Windows.

  1. Login ke Google SecOps.
  2. Buka halaman Deteksi yang Dikurasi.
  3. Nonaktifkan Status dan Pemberitahuan untuk aturan Pengujian Deteksi Terkelola Windows.

Memverifikasi penyerapan data untuk kategori data Office 365

Pastikan data dimasukkan dengan benar dan dalam format yang tepat untuk menggunakan deteksi yang dikurasi untuk data Office 365.

Langkah 1. Menyerap data Office 365

Anda harus menyerap data dari setiap sumber data yang tercantum dalam petunjuk penyerapan Google SecOps untuk mendapatkan cakupan aturan maksimum. Untuk mengetahui informasi selengkapnya tentang cara menyerap data untuk layanan Office 365, lihat Mengumpulkan log Microsoft Office 365.

Langkah 2. Memverifikasi penyerapan data Office 365

Dasbor Penyerapan dan Kesehatan Data Google SecOps memungkinkan Anda melihat informasi tentang jenis, volume, dan kesehatan semua data yang diserap ke Google SecOps menggunakan fitur penyerapan SIEM.

Anda juga dapat menggunakan aturan pengujian Deteksi Terkelola Office 365 untuk memverifikasi penyerapan data Office 365. Setelah penyerapan disiapkan, Anda memicu aturan pengujian dengan melakukan tindakan dalam Office 365. Aturan ini memastikan bahwa data diserap dengan benar dan dalam format yang tepat untuk menggunakan deteksi yang dikurasi untuk data Office 365.

Langkah 3. Aktifkan aturan pengujian Azure Managed Detection Testing

  1. Di Google SecOps, klik Detections > Rules & Detections untuk Membuka halaman Curated Detections dan set aturan.

  2. Pilih Managed Detection Testing > Office 365 Managed Detection Testing.

  3. Aktifkan Status dan Pemberitahuan untuk aturan Luas dan Presisi.

Langkah 4. Mengirim data tindakan pengguna untuk memicu aturan pengujian

Untuk memverifikasi bahwa data diserap seperti yang diharapkan, buat aturan kotak masuk dengan nama tertentu untuk memverifikasi bahwa tindakan ini memicu aturan pengujian. Untuk mengetahui informasi tentang cara membuat aturan kotak masuk di Outlook, lihat Mengelola pesan email menggunakan aturan di Outlook.

Untuk membuat aturan kotak masuk di Outlook 365, Anda dapat menggunakan fitur Aturan di bagian Mail. Anda juga dapat membuat aturan dengan mengklik kanan email.

Langkah 5. Membuat aturan kotak masuk menggunakan fitur Aturan

Berikut adalah beberapa kasus penggunaan untuk membuat aturan kotak masuk menggunakan fitur Aturan:

Aturan Pengujian 1

  1. Klik Mail, lalu pilih Aturan.
  2. Masukkan GoogleSecOpsTest untuk nama aturan.
  3. Pilih kondisi dari daftar.
  4. Pilih tindakan dari daftar.
  5. Klik Tambahkan kondisi atau Tambahkan tindakan untuk menambahkan kondisi atau tindakan lainnya, sesuai kebutuhan.
  6. Klik Oke.

Aturan Pengujian 2

  1. Buka SharePoint atau OneDrive.
  2. Di kotak penelusuran, masukkan GoogleSecOpsTest.

Memvalidasi hasil

Lakukan langkah-langkah berikut untuk memverifikasi bahwa pemberitahuan dibuat di Google SecOps:

  1. Di Google SecOps, klik Deteksi > Aturan & Deteksi untuk membuka halaman Deteksi yang Dikurasi.
  2. Klik Dasbor.
  3. Dalam daftar deteksi, periksa apakah aturan berikut dipicu:
    • tst_o365_email.yl2
    • tst_of65_sharepoint_onedrive.yl2
  4. Setelah Anda mengonfirmasi bahwa data dikirim dan aturan dipicu, nonaktifkan aturan kotak masuk yang dibuat di Test Rule 1.

Memverifikasi penyerapan data untuk kategori Ancaman Okta

Memverifikasi bahwa data dimasukkan dengan benar dan dalam format yang tepat untuk menggunakan deteksi yang dikurasi untuk data Okta.

Langkah 1. Menyerap data Okta

Untuk memastikan cakupan aturan maksimum, Anda harus menyerap data dari setiap sumber data yang tercantum dalam petunjuk penyerapan Google SecOps. Untuk mengetahui informasi selengkapnya tentang cara menyerap data untuk layanan Okta, lihat Mengumpulkan log Okta.

Langkah 2. Memverifikasi penyerapan data Okta

Dasbor Penyerapan dan Kesehatan Data Google SecOps memungkinkan Anda melihat informasi tentang jenis, volume, dan kesehatan semua data yang diserap ke Google SecOps menggunakan fitur penyerapan SIEM.

Anda juga dapat menggunakan aturan pengujian Deteksi Terkelola Okta untuk memverifikasi penyerapan data Office 365. Setelah penyerapan disiapkan, Anda memicu aturan pengujian dengan melakukan tindakan dalam Office 365. Aturan ini memastikan bahwa data diserap dengan benar dan dalam format yang tepat untuk menggunakan deteksi yang dikurasi untuk data Office 365.

Langkah 3. Mengaktifkan aturan Pengujian Deteksi Terkelola Okta

  1. Di Google SecOps, klik Detections > Rules & Detections untuk Membuka halaman Curated Detections dan set aturan.

  2. Pilih Managed Detection Testing > Office 365 Managed Detection Testing.

  3. Aktifkan Status dan Pemberitahuan untuk aturan Luas dan Presisi.

Langkah 4. Mengirim data tindakan pengguna untuk memicu aturan pengujian

Untuk memverifikasi bahwa data diserap seperti yang diharapkan, buat aturan kotak masuk dengan nama tertentu untuk memverifikasi bahwa tindakan ini memicu aturan pengujian. Peristiwa ini kemudian akan memicu peristiwa login Okta yang gagal untuk pengguna yang tidak dikenal.

Aturan Pengujian 1

  1. Akses URL tenant Okta Anda.

  2. Di kolom Nama Pengguna, masukkan GoogleSecOpsTest.

  3. Di kolom Password, masukkan string apa pun.

  4. Klik Sign In.

Memvalidasi hasil

Lakukan langkah-langkah berikut untuk memverifikasi bahwa pemberitahuan dibuat di Google SecOps: 1. Di Google SecOps, klik Deteksi > Aturan & Deteksi untuk membuka halaman Deteksi yang Dikurasi. 1. Klik Dasbor. 1. Dalam daftar deteksi, periksa apakah aturan berikut dipicu: * Okta Unknown User Login Test (tst_okta_login_by_unknown_user.yl2) Perlu bantuan lebih lanjut? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.