Panoramica della categoria Cloud Threats

Supportato in:

Questo documento fornisce una panoramica degli insiemi di regole nella categoria Minacce cloud, delle origini dati richieste e della configurazione che puoi utilizzare per ottimizzare gli avvisi generati da ogni insieme di regole. Questi insiemi di regole aiutano a identificare le minacce negli Google Cloud ambienti che utilizzano Google Cloud i dati e negli ambienti AWS che utilizzano i dati AWS.

Descrizioni dei set di regole

Nella categoria Minacce cloud sono disponibili i seguenti insiemi di regole.

L'abbreviazione CDIR sta per Cloud Detection, Investigation, and Response (rilevamento, indagine e risposta cloud).

Rilevamenti selezionati per i dati Google Cloud

IGoogle Cloud set di regole aiutano a identificare le minacce negli Google Cloud ambienti utilizzando i dati di eventi e contesto e includono i seguenti set di regole:

  • Azione amministrativa: attività associata ad azioni amministrative, ritenute مشکوکe, ma potenzialmente legittime a seconda dell'utilizzo dell'organizzazione.
  • CDIR SCC Enhanced Exfiltration: contiene regole sensibili al contesto che correlano i risultati di esfiltrazione di Security Command Center con altre origini log, come i log di Cloud Audit Logs, il contesto Sensitive Data Protection, il contesto BigQuery e i log di mancata configurazione di Security Command Center.
  • CDIR SCC Enhanced Defense Evasion: contiene regole basate sul contesto che correlano i risultati di Evasion o Defense Evasion di Security Command Center con i dati di altreGoogle Cloud origini dati come Cloud Audit Logs.
  • CDIR SCC Enhanced Malware: contiene regole basate sul contesto che correlano i risultati relativi al malware di Security Command Center con dati quali l'occorrenza di indirizzi IP e domini e i relativi punteggi di prevalenza, oltre ad altre origini dati come i log di Cloud DNS.
  • CDIR SCC Enhanced Persistence: contiene regole basate sul contesto che correlano i risultati della persistenza di Security Command Center con i dati di origini come i log di Cloud DNS e i log di analisi IAM.
  • CDIR SCC Enhanced Privilege Escalation: contiene regole basate sul contesto che correlano i risultati di riassegnazione dei privilegi di Security Command Center con i dati di diverse altre origini dati, come Cloud Audit Logs.
  • CDIR SCC Credential Access: contiene regole sensibili al contesto che correlano i risultati relativi all'accesso alle credenziali di Security Command Center con i dati di diverse altre origini dati, come Cloud Audit Logs
  • Rilevamento avanzato di CDIR SCC: contiene regole basate sul contesto che correlano i risultati della riassegnazione di Security Command Center Discovery con i dati di origini come Google Cloud i servizi e Cloud Audit Logs.
  • CDIR SCC Brute Force: contiene regole sensibili al contesto che correlano i risultati di riassegnazione per attacco di forza bruta di Security Command Center con dati quali i log di Cloud DNS.
  • CDIR SCC Data Destruction: contiene regole basate sul contesto che correlano i risultati di riassegnazione della distruzione dei dati di Security Command Center con i dati di diverse altre origini dati, come Cloud Audit Logs.
  • CDIR SCC Inhibit System Recovery: contiene regole basate sul contesto che correlano i risultati di Inhibit System Recovery di Security Command Center con i dati di diverse altre origini dati, come Cloud Audit Logs.
  • CDIR SCC Execution: contiene regole basate sul contesto che correlano i risultati di esecuzione di Security Command Center con i dati di diverse altre origini dati, come Cloud Audit Logs.
  • CDIR SCC Accesso iniziale: contiene regole basate sul contesto che correlano i risultati di Accesso iniziale di Security Command Center con i dati di diverse altre origini dati, come Cloud Audit Logs.
  • CDIR SCC Impair Defenses: contiene regole basate sul contesto che correlano i risultati di Impair Defenses di Security Command Center con i dati di diverse altre origini dati, come Cloud Audit Logs.
  • CDIR SCC Impact: contiene regole che rilevano i risultati Impact di Security Command Center con una classificazione di gravità Critica, Alta, Media e Bassa.
  • CDIR SCC Cloud IDS: contiene regole che rilevano i risultati Cloud Intrusion Detection System da Security Command Center con una classificazione di gravità Critica, Alta, Media e Bassa.
  • CDIR SCC Cloud Armor: contiene regole che rilevano i risultati di Google Cloud Armor da Security Command Center.
  • Modulo personalizzato CDIR SCC: contiene regole che rilevano i risultati del modulo personalizzato di Event Threat Detection da Security Command Center.
  • Hacktool cloud: attività rilevate da piattaforme di sicurezza offensive note o da strumenti o software offensivi utilizzati in modo non controllato da utenti malintenzionati che hanno come target specifico le risorse cloud.
  • Ransom Cloud SQL: rileva le attività associate all'esfiltrazione o al riscatto di dati all'interno dei database Cloud SQL.
  • Strumenti Kubernetes sospetti: rileva il comportamento di ricognizione ed esecuzione di exploit da parte degli strumenti Kubernetes open source.
  • Abuso del RBAC di Kubernetes: rileva l'attività di Kubernetes associata all'abuso del controllo degli accessi basato su ruoli (RBAC) che tenta l'escalation dei privilegi o il movimento laterale.
  • Azioni sensibili dei certificati Kubernetes: rileva le azioni dei certificati Kubernetes e delle richieste di firma del certificato (CSR) che potrebbero essere utilizzate per stabilire la persistenza o la riassegnazione dei privilegi.
  • Abuso di IAM: attività associate all'abuso di ruoli e autorizzazioni IAM per eseguire potenzialmente la riassegnazione dei privilegi o spostarsi lateralmente all'interno di un determinato progetto Cloud o in un'organizzazione Cloud.
  • Attività di esfiltrazione potenziale: rileva le attività associate alla potenziale esfiltrazione di dati.
  • Mascariatura delle risorse: rileva Google Cloud le risorse create con nomi o caratteristiche di un'altra risorsa o di un altro tipo di risorsa. Questo potrebbe essere utilizzato per mascherare attività dannose eseguite dalla risorsa o al suo interno, con l'intenzione di apparire legittime.
  • Minacce serverless : rileva le attività associate a potenziali compromessi o abusi delle risorse serverless in Google Cloud, ad esempio Cloud Run e le funzioni Cloud Run.
  • Interruzione del servizio: rileva azioni dannose o di interruzione che, se eseguite in un ambiente di produzione funzionante, possono causare un'interruzione significativa. Il comportamento rilevato è comune e probabilmente innocuo negli ambienti di test e sviluppo.
  • Comportamento sospetto: attività ritenute insolite e sospette nella maggior parte degli ambienti.
  • Modifica dell'infrastruttura sospetta: rileva le modifiche all'infrastruttura di produzione in linea con le tattiche di persistenza note
  • Configurazione indebolita: attività associata all'indebolimento o al degrado di un controllo di sicurezza. Ritenute sospette, potenzialmente legittime a seconda dell'uso dell'organizzazione.
  • Possibile esfiltrazione di dati da parte di addetti ai lavori da Chrome: rileva le attività associate a potenziali comportamenti di minaccia da parte di addetti ai lavori, come l'esfiltrazione di dati o la perdita di dati potenzialmente sensibili al di fuori di un'organizzazione Google Workspace. Sono inclusi i comportamenti di Chrome considerati anomali rispetto a una linea di base di 30 giorni.
  • Possibile esfiltrazione di dati da parte di addetti ai lavori da Drive: rileva le attività associate a potenziali comportamenti di minaccia da parte di addetti ai lavori, come l'esfiltrazione di dati o la perdita di dati potenzialmente sensibili al di fuori di un'organizzazione Google Workspace. Sono inclusi i comportamenti di Drive considerati anomali rispetto a un valore di riferimento di 30 giorni.
  • Possibile esfiltrazione di dati da parte di addetti ai lavori da Gmail: rileva le attività associate a potenziali comportamenti di minaccia da parte di addetti ai lavori, come l'esfiltrazione di dati o la perdita di dati potenzialmente sensibili al di fuori di un'organizzazione Google Workspace. Sono inclusi i comportamenti di Gmail considerati anomali rispetto a un valore di riferimento di 30 giorni.
  • Potenziale compromissione dell'account Workspace: rileva comportamenti di minacce interne che indicano che l'account potrebbe essere stato potenzialmente compromesso e che potrebbero verificarsi tentativi di riassegnazione dei privilegi o di spostamento laterale all'interno di un'organizzazione Google Workspace. Sono inclusi i comportamenti considerati rari o anomali rispetto a un valore di riferimento di 30 giorni.
  • Azioni amministrative di Workspace sospette: rileva comportamenti che indicano potenziali evasioni, downgrade della sicurezza o comportamenti rari e anomali mai osservati negli ultimi 30 giorni da parte di utenti con privilegi più elevati, come gli amministratori.

Dispositivi e tipi di log supportati

Le sezioni seguenti descrivono i dati richiesti dagli insiemi di regole nella categoria Cloud Threats.

Per importare i dati dai Google Cloud servizi, consulta Importare i log di Cloud in Google Security Operations. Contatta il tuo rappresentante di Google Security Operations se devi raccogliere questi log utilizzando un altro meccanismo.

Google Security Operations fornisce analizzatori predefiniti che analizzano e normalizzano i log non elaborati Google Cloud dei servizi per creare record UDM con i dati richiesti da questi insiemi di regole.

Per un elenco di tutte le origini dati supportate da Google Security Operations, consulta Parsatori predefiniti supportati.

Tutti i set di regole

Per utilizzare qualsiasi insieme di regole, ti consigliamo di raccogliere Google Cloud gli audit log di Cloud. Alcune regole richiedono che i clienti abilitino il logging di Cloud DNS. Assicurati che i servizi siano configurati per registrare i dati nei seguenti log: Google Cloud

Set di regole Ransom per Cloud SQL

Per utilizzare il set di regole Cloud SQL Ransom, ti consigliamo di raccogliere i seguenti Google Cloud dati:

Set di regole SCC avanzate CDIR

Tutti gli insiemi di regole che iniziano con il nome CDIR SCC Enhanced utilizzano i risultati di Security Command Center Premium con il contesto di diverse altre sorgenti Google Cloud log, tra cui:

  • Cloud Audit Logs
  • Log di Cloud DNS
  • Analisi di Identity and Access Management (IAM)
  • Contesto di Sensitive Data Protection
  • Contesto BigQuery
  • Contesto Compute Engine

Per utilizzare gli insiemi di regole CDIR SCC Enhanced, ti consigliamo di raccogliere i seguenti dati Google Cloud :

  • Dati dei log elencati nella sezione Tutti gli insieme di regole.

  • I seguenti dati dei log, elencati in base al nome del prodotto e all'etichetta di importazione di Google Security Operations:

    • BigQuery (GCP_BIGQUERY_CONTEXT)
    • Compute Engine (GCP_COMPUTE_CONTEXT)
    • IAM (GCP_IAM_CONTEXT)
    • Sensitive Data Protection (GCP_DLP_CONTEXT)
    • Cloud Audit Logs (GCP_CLOUDAUDIT)
    • Attività di Google Workspace (WORKSPACE_ACTIVITY)
    • Query Cloud DNS (GCP_DNS)

  • Le seguenti classi di risultati di Security Command Center, elencate per identificatore findingClass ed etichetta di importazione di Google Security Operations:

    • Threat (GCP_SECURITYCENTER_THREAT)
    • Misconfiguration (GCP_SECURITYCENTER_MISCONFIGURATION)
    • Vulnerability (GCP_SECURITYCENTER_VULNERABILITY)
    • SCC Error (GCP_SECURITYCENTER_ERROR)

Gli insiemi di regole CDIR SCC Enhanced dipendono anche dai dati dei Google Cloud servizi. Per inviare i dati richiesti a Google Security Operations, assicurati di completare quanto segue:

I seguenti insiemi di regole creano un rilevamento quando vengono identificati risultati di Event Threat Detection di Security Command Center, Google Cloud Armor, Security Command Center Sensitive Actions Service e moduli personalizzati per Event Threat Detection:

  • Cloud IDS di CDIR SCC
  • CDIR SCC Cloud Armor
  • Impatto del CDIR sugli SCC
  • Persistenza avanzata SCC CDIR
  • CDIR SCC Enhanced Defense Evasion
  • Modulo personalizzato SCC CDIR

Set di regole per gli strumenti sospetti di Kubernetes

Per utilizzare il set di regole Strumenti sospetti Kubernetes, ti consigliamo di raccogliere i dati elencati nella sezione Tutti i set di regole. Assicurati che Google Cloud i servizi siano configurati per registrare i dati nei log dei nodi di Google Kubernetes Engine (GKE)

Set di regole relative agli abusi di Kubernetes RBAC

Per utilizzare il set di regole Abuso RBAC Kubernetes, ti consigliamo di raccogliere i log di controllo cloud elencati nella sezione Tutti i set di regole.

Set di regole per le azioni sensibili dei certificati Kubernetes

Per utilizzare l'insieme di regole Azioni sensibili relative ai certificati Kubernetes, ti consigliamo di raccogliere i log di controllo di Cloud elencati nella sezione Tutti gli insiemi di regole.

Insiemi di regole relativi a Google Workspace

I seguenti insiemi di regole rilevano schemi nei dati di Google Workspace:

  • Potenziale esfiltrazione di dati degli addetti ai lavori da Chrome
  • Potenziale esfiltrazione di dati da parte di addetti ai lavori da Drive
  • Potenziale esfiltrazione di dati privilegiati da Gmail
  • Potenziale compromissione dell'account Workspace
  • Azioni amministrative di Workspace sospette

Questi insiemi di regole richiedono i seguenti tipi di log, elencati in base al nome del prodotto e all'etichetta di importazione di Google Security Operations:

  • Attività di Workspace (WORKSPACE_ACTIVITY)
  • Avvisi di Workspace (WORKSPACE_ALERTS)
  • Dispositivi ChromeOS di Workspace (WORKSPACE_CHROMEOS)
  • Dispositivi mobili Workspace (WORKSPACE_MOBILE)
  • Utenti di Workspace (WORKSPACE_USERS)
  • Google Chrome Browser Cloud Management (CHROME_MANAGEMENT)
  • Log di Gmail (GMAIL_LOGS)

Per importare i dati richiesti:

Serie di regole relative alle minacce serverless

I log di Cloud Run includono log delle richieste e log dei container che vengono importati come tipo di log GCP_RUN in Google Security Operations. I log di GCP_RUN possono essere importati utilizzando l'importazione diretta o tramite Feed e Cloud Storage. Per filtri dei log specifici e ulteriori dettagli sull'importazione, consulta Esportare Google Cloud i log in Google Security Operations. Il seguente filtro di esportazione esporta i log di Google Cloud Cloud Run (GCP_RUN), oltre ai log predefiniti sia tramite il meccanismo di importazione diretta sia tramite Cloud Storage e sink:

log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)

Rilevamenti selezionati per i set di regole AWS

I set di regole AWS in questa categoria aiutano a identificare le minacce negli ambienti AWS utilizzando dati sugli eventi e sul contesto e includono i seguenti set di regole:

  • AWS - Compute: rileva attività anomale relative alle risorse di calcolo AWS come EC2 e Lambda.
  • AWS - Dati: rileva l'attività AWS associata alle risorse di dati come gli snapshot RDS o i bucket S3 resi disponibili pubblicamente.
  • AWS - GuardDuty: avvisi AWS GuardDuty sensibili al contesto per comportamento, accesso alle credenziali, criptominazione, rilevamento, evasione, esecuzione, esfiltrazione, impatto, accesso iniziale, malware, test di penetrazione, persistenza, criteri, riassegnazione dei privilegi e accesso non autorizzato.
  • AWS - Hacktools: rileva l'utilizzo di hacktool in un ambiente AWS, come scanner, toolkit e framework.
  • AWS - Identity: rilevamenti per attività AWS associate ad attività IAM e di autenticazione, come accessi insoliti da più località geografiche, creazione di ruoli eccessivamente permissivi o attività IAM da strumenti sospetti.
  • AWS - Logging e monitoraggio: rileva l'attività AWS relativa alla disattivazione di servizi di logging e monitoraggio, come CloudTrail, CloudWatch e GuardDuty.
  • AWS - Network: rileva alterazioni non sicure alle impostazioni di rete AWS, come gruppi di sicurezza e firewall.
  • AWS - Organization: rileva l'attività AWS associata alla tua organizzazione, come l'aggiunta o la rimozione di account ed eventi imprevisti relativi all'utilizzo della regione.
  • AWS - Secrets: rileva l'attività AWS associata a secret, token e password, ad esempio l'eliminazione di secret KMS o di secret di Secrets Manager.

Dispositivi e tipi di log supportati per AWS

Questi insiemi di regole sono stati testati e sono supportati dalle seguenti origini dati di Google Security Operations, elencate in base al nome del prodotto e all'etichetta di importazione.

Per informazioni sulla configurazione dell'importazione dei dati AWS, consulta Configurare l'importazione dei dati AWS.

Per un elenco di tutte le origini dati supportate, consulta Parsatori predefiniti supportati.

Le sezioni seguenti descrivono i dati richiesti dagli insiemi di regole che identificano i pattern nei dati.

Puoi importare i dati AWS utilizzando un bucket Amazon Simple Storage Service (Amazon S3) come tipo di origine o, facoltativamente, utilizzando Amazon S3 con Amazon Simple Queue Service (Amazon SQS). In linea generale, dovrai:

  • Configura Amazon S3 o Amazon S3 con Amazon SQS per raccogliere i dati dei log.
  • Configura un feed Google Security Operations per importare i dati da Amazon S3 o Amazon SQS

Consulta Importare i log AWS in Google Security Operations per conoscere i passaggi dettagliati necessari per configurare i servizi AWS e un feed di Google Security Operations per importare i dati AWS.

Puoi utilizzare le regole di test AWS Managed Detection Testing per verificare che i dati AWS siano importati nel SIEM di Google Security Operations. Queste regole di test consentono di verificare se i dati dei log AWS vengono importati come previsto. Dopo aver configurato l'importazione dei dati AWS, esegui azioni in AWS che dovrebbero attivare le regole di test.

Consulta Verificare l'importazione dati AWS per la categoria Cloud Threats per informazioni su come verificare l'importazione dei dati AWS utilizzando le regole di test AWS Managed Detection Testing.

Rilevamenti selezionati per i dati di Azure

Alcuni insiemi di regole in questa categoria sono progettati per funzionare con i dati di Azure al fine di identificare le minacce negli ambienti Azure utilizzando dati sugli eventi, dati di contesto e avvisi. Sono inclusi i seguenti tipi:

  • Azure - Compute: rileva attività anomale relative alle risorse di calcolo di Azure, come Kubernetes e macchine virtuali (VM).
  • Azure - Dati: rileva le attività associate alle risorse di dati, ad esempio autorizzazioni, modifiche e inviti di blob di Azure a utenti esterni per utilizzare i servizi Azure nel tenant.
  • Azure - Defender for Cloud: identifica gli avvisi ricevuti da Microsoft Defender for Cloud basati sul contesto relativi a comportamento utente, accesso alle credenziali, cryptomining, rilevamento, evasione, esecuzione, esfiltrazione, impatto, accesso iniziale, malware, test di penetrazione, persistenza, criteri, escalation dei privilegi o accesso non autorizzato su tutti i servizi cloud di Azure.
  • Azure - Hacktools: rileva l'utilizzo di strumenti di hacking in un ambiente Azure, come anonimizzatori Tor e VPN, scanner e kit di strumenti per i red team.
  • Azure - Identity: rileva attività relative all'autenticazione e all'autorizzazione, indicando comportamenti insoliti come l'accesso simultaneo da più località geografiche, criteri di gestione dell'accesso eccessivamente permissivi o attività di Azure RBAC da strumenti sospetti.
  • Azure - Logging e monitoraggio: rileva le attività relative alla disattivazione di servizi di logging e monitoraggio in Azure.
  • Azure - Network: rileva alterazioni non sicure e significative a impostazioni o dispositivi di rete di Azure, ad esempio gruppi di sicurezza o firewall, Azure Web Application Firewall e criteri di denial of service.
  • Azure - Organization: rileva l'attività associata alla tua organizzazione, ad esempio l'aggiunta o la rimozione di abbonamenti e account.
  • Azure - Secrets: rileva l'attività associata a segreti, token e password (ad esempio le modifiche ad Azure Key Vault o alle chiavi di accesso dell'account di archiviazione).

Dispositivi supportati e tipi di log richiesti per Azure

Questi insiemi di regole sono stati testati e sono supportati dalle seguenti origini dati, elencate per nome del prodotto e etichetta di importazione di Google SecOps.

Importa i dati di Azure e Microsoft Entra ID

Per avere una copertura massima delle regole, devi importare i dati da ogni origine dati. Consulta la seguente documentazione per informazioni su come importare i dati da ogni origine.

La sezione seguente descrive come verificare l'importazione dei dati di Azure utilizzando regole di test predefinite.

Verificare l'importazione dei dati di Azure

La dashboard Stato e importazione dei dati di Google SecOps consente di visualizzare informazioni sul tipo, sul volume e sullo stato di tutti i dati importati in Google SecOps utilizzando le funzionalità di importazione SIEM.

Puoi anche utilizzare le regole di test di Azure Managed Detection Testing per verificare l'importazione dei dati di Azure. Dopo aver configurato l'importazione, esegui azioni nel portale Azure che dovrebbero attivare le regole di test. Hanno lo scopo di verificare che i dati vengano importati e siano nel formato previsto per utilizzare i rilevamenti selezionati per i dati di Azure.

Attiva le regole di test di Azure Managed Detection Testing

  1. In Google Security Operations, fai clic su Rilevamento > Regole e rilevamenti per aprire la pagina Rilevamento selezionati.
  2. Seleziona Test di rilevamento gestito > Test di rilevamento gestito da Azure.
  3. Attiva sia Stato che Avvisi per le regole Generali e Precise.

Invia i dati sulle azioni utente per attivare le regole di test

Per verificare che i dati vengano importati come previsto, crea un utente e accedi per verificare che queste azioni attivino le regole di test. Per informazioni sulla creazione di utenti in Microsoft Entra ID, consulta Come creare, invitare ed eliminare gli utenti.

  1. In Azure, crea un nuovo utente Microsoft Entra ID.

    1. Vai al portale di Azure.
    2. Apri Microsoft Entra ID.
    3. Fai clic su Aggiungi, quindi su Crea nuovo utente. Per definire l'utente:
      1. Inserisci le seguenti informazioni:
        • Nome principale utente: GCTI_ALERT_VALIDATION
        • Nome principale utente: GCTI_ALERT_VALIDATION
        • Nome visualizzato: GCTI_ALERT_VALIDATION
      2. Seleziona Genera automaticamente password per generare automaticamente una password per questo utente.
      3. Seleziona la casella di controllo Account abilitato.
      4. Apri la scheda Rivedi e crea.
      5. Ricorda la password generata automaticamente. Lo utilizzerai nei passaggi successivi.
      6. Fai clic su Crea.
    4. Apri una finestra del browser in modalità di navigazione in incognito, quindi vai al portale di Azure.
    5. Accedi con l'utente e la password appena creati.
    6. Modifica la password dell'utente.
    7. Registrati all'autenticazione a più fattori (MFA) in base alle norme della tua organizzazione.
    8. Assicurati di aver eseguito correttamente la disconnessione dal portale di Azure.

  2. Per verificare che gli avvisi vengano creati in Google Security Operations:

    1. In Google Security Operations, fai clic su Rilevamento > Regole e rilevamenti per aprire la pagina Rilevamento selezionati.

    2. Fai clic su Dashboard.

    3. Nell'elenco dei rilevamenti, verifica che siano state attivate le seguenti regole:

      • tst_azure_ad_user_creation
      • tst_azure_ad_user_login

  3. Dopo aver verificato che i dati vengono inviati e che queste regole vengono attivate, disattiva o esegui il deprovisioning dell'account utente.

Invia avvisi di esempio per attivare le regole di test

Per verificare che la generazione di avvisi di sicurezza di esempio in Azure attivi le regole di test, svolgi i passaggi che seguono. Per ulteriori informazioni sulla generazione di avvisi di sicurezza di esempio in Microsoft Defender for Cloud, consulta Convalida degli avvisi in Microsoft Defender for Cloud.

  1. Nel portale di Azure, vai a Tutti i servizi.
  2. In Sicurezza, apri Microsoft Defender for Cloud.
  3. Vai ad Avvisi sulla sicurezza.
  4. Fai clic su Avvisi di esempio e segui questi passaggi:
    1. Seleziona il tuo abbonamento.
    2. Seleziona Tutti per Defender for Cloud Plans.
    3. Fai clic su Crea avvisi di esempio.
  5. Verifica che gli avvisi di test vengano attivati.
  6. In Google Security Operations, fai clic su Rilevamento > Regole e rilevamenti per aprire la pagina Rilevamento selezionati.
  7. Fai clic su Dashboard.
  8. Nell'elenco dei rilevamenti, verifica che siano state attivate le seguenti regole:
    • tst_azure_activity
    • tst_azure_defender_for_cloud_alerts

Esegui una richiesta API GET in Microsoft Graph Explorer per attivare le regole di test

Per verificare che la generazione di avvisi di sicurezza di esempio in Azure attivi le regole di test, svolgi i passaggi che seguono.

  1. Vai a Microsoft Graph Explorer.
  2. Assicurati che sia selezionato il tenant appropriato nell'angolo in alto a destra.
  3. Fai clic su Esegui query.
  4. Verifica che gli avvisi di test vengano attivati.
  5. In Google Security Operations, fai clic su Rilevamento > Regole e rilevamenti per aprire la pagina Rilevamento selezionati.
  6. Fai clic su Dashboard.
  7. Nell'elenco dei rilevamenti, controlla che sia stata attivata la regola tst_microsoft_graph_api_get_activity.

Disattiva i set di regole di test di rilevamento gestito di Azure

  1. In Google Security Operations, fai clic su Rilevamento > Regole e rilevamenti per aprire la pagina Rilevamenti selezionati.
  2. Seleziona le regole Test di rilevamento gestito > Test di rilevamento gestito da Azure.
  3. Disattiva sia Stato sia Avvisi per le regole Generali e Precise.

Avvisi di ottimizzazione restituiti dai set di regole

Puoi ridurre il numero di rilevamenti generati da una regola o da un insieme di regole utilizzando le esclusioni di regole.

Un'esclusione di regole definisce i criteri utilizzati per impedire la valutazione di un evento da parte del insieme di regole o da regole specifiche al suo interno. Crea una o più esclusioni di regole per contribuire a ridurre il volume dei rilevamenti. Per informazioni su come eseguire questa operazione, consulta Configurare le esclusioni delle regole.

Passaggi successivi