Panoramica della categoria Cloud Threats
Questo documento fornisce una panoramica degli insiemi di regole nella categoria Minacce cloud, delle origini dati richieste e della configurazione che puoi utilizzare per ottimizzare gli avvisi generati da ogni insieme di regole. Questi insiemi di regole aiutano a identificare le minacce negli Google Cloud ambienti che utilizzano Google Cloud i dati e negli ambienti AWS che utilizzano i dati AWS.
Descrizioni dei set di regole
Nella categoria Minacce cloud sono disponibili i seguenti insiemi di regole.
L'abbreviazione CDIR sta per Cloud Detection, Investigation, and Response (rilevamento, indagine e risposta cloud).
Rilevamenti selezionati per i dati Google Cloud
IGoogle Cloud set di regole aiutano a identificare le minacce negli Google Cloud ambienti utilizzando i dati di eventi e contesto e includono i seguenti set di regole:
- Azione amministrativa: attività associata ad azioni amministrative, ritenute مشکوکe, ma potenzialmente legittime a seconda dell'utilizzo dell'organizzazione.
- CDIR SCC Enhanced Exfiltration: contiene regole sensibili al contesto che correlano i risultati di esfiltrazione di Security Command Center con altre origini log, come i log di Cloud Audit Logs, il contesto Sensitive Data Protection, il contesto BigQuery e i log di mancata configurazione di Security Command Center.
- CDIR SCC Enhanced Defense Evasion: contiene regole basate sul contesto che correlano i risultati di Evasion o Defense Evasion di Security Command Center con i dati di altreGoogle Cloud origini dati come Cloud Audit Logs.
- CDIR SCC Enhanced Malware: contiene regole basate sul contesto che correlano i risultati relativi al malware di Security Command Center con dati quali l'occorrenza di indirizzi IP e domini e i relativi punteggi di prevalenza, oltre ad altre origini dati come i log di Cloud DNS.
- CDIR SCC Enhanced Persistence: contiene regole basate sul contesto che correlano i risultati della persistenza di Security Command Center con i dati di origini come i log di Cloud DNS e i log di analisi IAM.
- CDIR SCC Enhanced Privilege Escalation: contiene regole basate sul contesto che correlano i risultati di riassegnazione dei privilegi di Security Command Center con i dati di diverse altre origini dati, come Cloud Audit Logs.
- CDIR SCC Credential Access: contiene regole sensibili al contesto che correlano i risultati relativi all'accesso alle credenziali di Security Command Center con i dati di diverse altre origini dati, come Cloud Audit Logs
- Rilevamento avanzato di CDIR SCC: contiene regole basate sul contesto che correlano i risultati della riassegnazione di Security Command Center Discovery con i dati di origini come Google Cloud i servizi e Cloud Audit Logs.
- CDIR SCC Brute Force: contiene regole sensibili al contesto che correlano i risultati di riassegnazione per attacco di forza bruta di Security Command Center con dati quali i log di Cloud DNS.
- CDIR SCC Data Destruction: contiene regole basate sul contesto che correlano i risultati di riassegnazione della distruzione dei dati di Security Command Center con i dati di diverse altre origini dati, come Cloud Audit Logs.
- CDIR SCC Inhibit System Recovery: contiene regole basate sul contesto che correlano i risultati di Inhibit System Recovery di Security Command Center con i dati di diverse altre origini dati, come Cloud Audit Logs.
- CDIR SCC Execution: contiene regole basate sul contesto che correlano i risultati di esecuzione di Security Command Center con i dati di diverse altre origini dati, come Cloud Audit Logs.
- CDIR SCC Accesso iniziale: contiene regole basate sul contesto che correlano i risultati di Accesso iniziale di Security Command Center con i dati di diverse altre origini dati, come Cloud Audit Logs.
- CDIR SCC Impair Defenses: contiene regole basate sul contesto che correlano i risultati di Impair Defenses di Security Command Center con i dati di diverse altre origini dati, come Cloud Audit Logs.
- CDIR SCC Impact: contiene regole che rilevano i risultati Impact di Security Command Center con una classificazione di gravità Critica, Alta, Media e Bassa.
- CDIR SCC Cloud IDS: contiene regole che rilevano i risultati Cloud Intrusion Detection System da Security Command Center con una classificazione di gravità Critica, Alta, Media e Bassa.
- CDIR SCC Cloud Armor: contiene regole che rilevano i risultati di Google Cloud Armor da Security Command Center.
- Modulo personalizzato CDIR SCC: contiene regole che rilevano i risultati del modulo personalizzato di Event Threat Detection da Security Command Center.
- Hacktool cloud: attività rilevate da piattaforme di sicurezza offensive note o da strumenti o software offensivi utilizzati in modo non controllato da utenti malintenzionati che hanno come target specifico le risorse cloud.
- Ransom Cloud SQL: rileva le attività associate all'esfiltrazione o al riscatto di dati all'interno dei database Cloud SQL.
- Strumenti Kubernetes sospetti: rileva il comportamento di ricognizione ed esecuzione di exploit da parte degli strumenti Kubernetes open source.
- Abuso del RBAC di Kubernetes: rileva l'attività di Kubernetes associata all'abuso del controllo degli accessi basato su ruoli (RBAC) che tenta l'escalation dei privilegi o il movimento laterale.
- Azioni sensibili dei certificati Kubernetes: rileva le azioni dei certificati Kubernetes e delle richieste di firma del certificato (CSR) che potrebbero essere utilizzate per stabilire la persistenza o la riassegnazione dei privilegi.
- Abuso di IAM: attività associate all'abuso di ruoli e autorizzazioni IAM per eseguire potenzialmente la riassegnazione dei privilegi o spostarsi lateralmente all'interno di un determinato progetto Cloud o in un'organizzazione Cloud.
- Attività di esfiltrazione potenziale: rileva le attività associate alla potenziale esfiltrazione di dati.
- Mascariatura delle risorse: rileva Google Cloud le risorse create con nomi o caratteristiche di un'altra risorsa o di un altro tipo di risorsa. Questo potrebbe essere utilizzato per mascherare attività dannose eseguite dalla risorsa o al suo interno, con l'intenzione di apparire legittime.
- Minacce serverless : rileva le attività associate a potenziali compromessi o abusi delle risorse serverless in Google Cloud, ad esempio Cloud Run e le funzioni Cloud Run.
- Interruzione del servizio: rileva azioni dannose o di interruzione che, se eseguite in un ambiente di produzione funzionante, possono causare un'interruzione significativa. Il comportamento rilevato è comune e probabilmente innocuo negli ambienti di test e sviluppo.
- Comportamento sospetto: attività ritenute insolite e sospette nella maggior parte degli ambienti.
- Modifica dell'infrastruttura sospetta: rileva le modifiche all'infrastruttura di produzione in linea con le tattiche di persistenza note
- Configurazione indebolita: attività associata all'indebolimento o al degrado di un controllo di sicurezza. Ritenute sospette, potenzialmente legittime a seconda dell'uso dell'organizzazione.
- Possibile esfiltrazione di dati da parte di addetti ai lavori da Chrome: rileva le attività associate a potenziali comportamenti di minaccia da parte di addetti ai lavori, come l'esfiltrazione di dati o la perdita di dati potenzialmente sensibili al di fuori di un'organizzazione Google Workspace. Sono inclusi i comportamenti di Chrome considerati anomali rispetto a una linea di base di 30 giorni.
- Possibile esfiltrazione di dati da parte di addetti ai lavori da Drive: rileva le attività associate a potenziali comportamenti di minaccia da parte di addetti ai lavori, come l'esfiltrazione di dati o la perdita di dati potenzialmente sensibili al di fuori di un'organizzazione Google Workspace. Sono inclusi i comportamenti di Drive considerati anomali rispetto a un valore di riferimento di 30 giorni.
- Possibile esfiltrazione di dati da parte di addetti ai lavori da Gmail: rileva le attività associate a potenziali comportamenti di minaccia da parte di addetti ai lavori, come l'esfiltrazione di dati o la perdita di dati potenzialmente sensibili al di fuori di un'organizzazione Google Workspace. Sono inclusi i comportamenti di Gmail considerati anomali rispetto a un valore di riferimento di 30 giorni.
- Potenziale compromissione dell'account Workspace: rileva comportamenti di minacce interne che indicano che l'account potrebbe essere stato potenzialmente compromesso e che potrebbero verificarsi tentativi di riassegnazione dei privilegi o di spostamento laterale all'interno di un'organizzazione Google Workspace. Sono inclusi i comportamenti considerati rari o anomali rispetto a un valore di riferimento di 30 giorni.
- Azioni amministrative di Workspace sospette: rileva comportamenti che indicano potenziali evasioni, downgrade della sicurezza o comportamenti rari e anomali mai osservati negli ultimi 30 giorni da parte di utenti con privilegi più elevati, come gli amministratori.
Dispositivi e tipi di log supportati
Le sezioni seguenti descrivono i dati richiesti dagli insiemi di regole nella categoria Cloud Threats.
Per importare i dati dai Google Cloud servizi, consulta Importare i log di Cloud in Google Security Operations. Contatta il tuo rappresentante di Google Security Operations se devi raccogliere questi log utilizzando un altro meccanismo.
Google Security Operations fornisce analizzatori predefiniti che analizzano e normalizzano i log non elaborati Google Cloud dei servizi per creare record UDM con i dati richiesti da questi insiemi di regole.
Per un elenco di tutte le origini dati supportate da Google Security Operations, consulta Parsatori predefiniti supportati.
Tutti i set di regole
Per utilizzare qualsiasi insieme di regole, ti consigliamo di raccogliere Google Cloud gli audit log di Cloud. Alcune regole richiedono che i clienti abilitino il logging di Cloud DNS. Assicurati che i servizi siano configurati per registrare i dati nei seguenti log: Google Cloud
Set di regole Ransom per Cloud SQL
Per utilizzare il set di regole Cloud SQL Ransom, ti consigliamo di raccogliere i seguenti Google Cloud dati:
- Dati dei log elencati nella sezione Tutti gli insiemi di regole.
- Log Cloud SQL.
Set di regole SCC avanzate CDIR
Tutti gli insiemi di regole che iniziano con il nome CDIR SCC Enhanced utilizzano i risultati di Security Command Center Premium con il contesto di diverse altre sorgenti Google Cloud log, tra cui:
- Cloud Audit Logs
- Log di Cloud DNS
- Analisi di Identity and Access Management (IAM)
- Contesto di Sensitive Data Protection
- Contesto BigQuery
- Contesto Compute Engine
Per utilizzare gli insiemi di regole CDIR SCC Enhanced, ti consigliamo di raccogliere i seguenti dati Google Cloud :
- Dati dei log elencati nella sezione Tutti gli insieme di regole.
I seguenti dati dei log, elencati in base al nome del prodotto e all'etichetta di importazione di Google Security Operations:
- BigQuery (
GCP_BIGQUERY_CONTEXT
) - Compute Engine (
GCP_COMPUTE_CONTEXT
) - IAM (
GCP_IAM_CONTEXT
) - Sensitive Data Protection (
GCP_DLP_CONTEXT
) - Cloud Audit Logs (
GCP_CLOUDAUDIT
) - Attività di Google Workspace (
WORKSPACE_ACTIVITY
) - Query Cloud DNS (
GCP_DNS
)
- BigQuery (
Le seguenti classi di risultati di Security Command Center, elencate per identificatore
findingClass
ed etichetta di importazione di Google Security Operations:Threat
(GCP_SECURITYCENTER_THREAT
)Misconfiguration
(GCP_SECURITYCENTER_MISCONFIGURATION
)Vulnerability
(GCP_SECURITYCENTER_VULNERABILITY
)SCC Error
(GCP_SECURITYCENTER_ERROR
)
Gli insiemi di regole CDIR SCC Enhanced dipendono anche dai dati dei Google Cloud servizi. Per inviare i dati richiesti a Google Security Operations, assicurati di completare quanto segue:
- Abilita il logging per i prodotti e i servizi Google Cloud richiesti.
- Abilita Security Command Center Premium e i servizi correlati.
- Configura l'importazione dei Google Cloud log in Google Security Operations.
- Configura l'esportazione dei risultati di Event Threat Detection in Google Security Operations. Per impostazione predefinita, vengono importati tutti i risultati di Security Command Center. Per saperne di più su come gli analizzatori predefiniti di Google Security Operations mappano i campi di dati, consulta Esportazione dei risultati di Security Command Center.
- Abilita Cloud Audit Logs e configura l'esportazione di Cloud Audit Logs in Google Security Operations. Per ulteriori informazioni, consulta Raccogliere gli audit log di Cloud.
- Attiva i log di Google Workspace e inviali a Google Security Operations. Per ulteriori informazioni, consulta Raccogliere i log di Google Workspace.
- Configura l'esportazione dei Google Cloud metadati degli asset e dei dati relativi al contesto in Google Security Operations. Per ulteriori informazioni, consulta Esportazione dei metadati Google Cloud delle risorse in Google Security Operations e Esportazione dei dati di protezione dei dati sensibili in Google Security Operations.
I seguenti insiemi di regole creano un rilevamento quando vengono identificati risultati di Event Threat Detection di Security Command Center, Google Cloud Armor, Security Command Center Sensitive Actions Service e moduli personalizzati per Event Threat Detection:
- Cloud IDS di CDIR SCC
- CDIR SCC Cloud Armor
- Impatto del CDIR sugli SCC
- Persistenza avanzata SCC CDIR
- CDIR SCC Enhanced Defense Evasion
- Modulo personalizzato SCC CDIR
Set di regole per gli strumenti sospetti di Kubernetes
Per utilizzare il set di regole Strumenti sospetti Kubernetes, ti consigliamo di raccogliere i dati elencati nella sezione Tutti i set di regole. Assicurati che Google Cloud i servizi siano configurati per registrare i dati nei log dei nodi di Google Kubernetes Engine (GKE)
Set di regole relative agli abusi di Kubernetes RBAC
Per utilizzare il set di regole Abuso RBAC Kubernetes, ti consigliamo di raccogliere i log di controllo cloud elencati nella sezione Tutti i set di regole.
Set di regole per le azioni sensibili dei certificati Kubernetes
Per utilizzare l'insieme di regole Azioni sensibili relative ai certificati Kubernetes, ti consigliamo di raccogliere i log di controllo di Cloud elencati nella sezione Tutti gli insiemi di regole.
Insiemi di regole relativi a Google Workspace
I seguenti insiemi di regole rilevano schemi nei dati di Google Workspace:
- Potenziale esfiltrazione di dati degli addetti ai lavori da Chrome
- Potenziale esfiltrazione di dati da parte di addetti ai lavori da Drive
- Potenziale esfiltrazione di dati privilegiati da Gmail
- Potenziale compromissione dell'account Workspace
- Azioni amministrative di Workspace sospette
Questi insiemi di regole richiedono i seguenti tipi di log, elencati in base al nome del prodotto e all'etichetta di importazione di Google Security Operations:
- Attività di Workspace (
WORKSPACE_ACTIVITY
) - Avvisi di Workspace (
WORKSPACE_ALERTS
) - Dispositivi ChromeOS di Workspace (
WORKSPACE_CHROMEOS
) - Dispositivi mobili Workspace (
WORKSPACE_MOBILE
) - Utenti di Workspace (
WORKSPACE_USERS
) - Google Chrome Browser Cloud Management (
CHROME_MANAGEMENT
) - Log di Gmail (
GMAIL_LOGS
)
Per importare i dati richiesti:
Raccogli i dati elencati nella sezione Tutti gli insiemi di regole di questo documento.
Consulta Importare i dati di Google Workspace in Google Security Operations per raccogliere i log
WORKSPACE_ACTIVITY
,WORKSPACE_CHROMEOS
,CHROME_MANAGEMENT
eGMAIL
.Consulta Raccogliere i log di Google Workspace per importare i seguenti log:
WORKSPACE_ALERTS
WORKSPACE_MOBILE
WORKSPACE_USERS
Serie di regole relative alle minacce serverless
- Raccogli i dati elencati nella sezione Tutti gli insiemi di regole di questo documento.
- Log di Cloud Run (
GCP_RUN
).
I log di Cloud Run includono log delle richieste e log dei container che vengono importati come tipo di log GCP_RUN
in Google Security Operations. I log di GCP_RUN
possono essere importati utilizzando l'importazione diretta o
tramite Feed e Cloud Storage. Per filtri dei log specifici e ulteriori dettagli sull'importazione, consulta Esportare Google Cloud i log in Google Security Operations. Il seguente
filtro di esportazione esporta i log di Google Cloud Cloud Run (GCP_RUN
), oltre ai log predefiniti sia tramite il meccanismo di importazione diretta sia tramite
Cloud Storage e
sink:
log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)
Rilevamenti selezionati per i set di regole AWS
I set di regole AWS in questa categoria aiutano a identificare le minacce negli ambienti AWS utilizzando dati sugli eventi e sul contesto e includono i seguenti set di regole:
- AWS - Compute: rileva attività anomale relative alle risorse di calcolo AWS come EC2 e Lambda.
- AWS - Dati: rileva l'attività AWS associata alle risorse di dati come gli snapshot RDS o i bucket S3 resi disponibili pubblicamente.
- AWS - GuardDuty: avvisi AWS GuardDuty sensibili al contesto per comportamento, accesso alle credenziali, criptominazione, rilevamento, evasione, esecuzione, esfiltrazione, impatto, accesso iniziale, malware, test di penetrazione, persistenza, criteri, riassegnazione dei privilegi e accesso non autorizzato.
- AWS - Hacktools: rileva l'utilizzo di hacktool in un ambiente AWS, come scanner, toolkit e framework.
- AWS - Identity: rilevamenti per attività AWS associate ad attività IAM e di autenticazione, come accessi insoliti da più località geografiche, creazione di ruoli eccessivamente permissivi o attività IAM da strumenti sospetti.
- AWS - Logging e monitoraggio: rileva l'attività AWS relativa alla disattivazione di servizi di logging e monitoraggio, come CloudTrail, CloudWatch e GuardDuty.
- AWS - Network: rileva alterazioni non sicure alle impostazioni di rete AWS, come gruppi di sicurezza e firewall.
- AWS - Organization: rileva l'attività AWS associata alla tua organizzazione, come l'aggiunta o la rimozione di account ed eventi imprevisti relativi all'utilizzo della regione.
- AWS - Secrets: rileva l'attività AWS associata a secret, token e password, ad esempio l'eliminazione di secret KMS o di secret di Secrets Manager.
Dispositivi e tipi di log supportati per AWS
Questi insiemi di regole sono stati testati e sono supportati dalle seguenti origini dati di Google Security Operations, elencate in base al nome del prodotto e all'etichetta di importazione.
- AWS CloudTrail (
AWS_CLOUDTRAIL
) - AWS GuardDuty (
GUARDDUTY
) - HOST AWS EC2 (
AWS_EC2_HOSTS
) - ISTANZE AWS EC2 (
AWS_EC2_INSTANCES
) - VPC AWS EC2 (
AWS_EC2_VPCS
) - AWS IAM (IAM) (
AWS_IAM
)
Per informazioni sulla configurazione dell'importazione dei dati AWS, consulta Configurare l'importazione dei dati AWS.
Per un elenco di tutte le origini dati supportate, consulta Parsatori predefiniti supportati.
Le sezioni seguenti descrivono i dati richiesti dagli insiemi di regole che identificano i pattern nei dati.
Puoi importare i dati AWS utilizzando un bucket Amazon Simple Storage Service (Amazon S3) come tipo di origine o, facoltativamente, utilizzando Amazon S3 con Amazon Simple Queue Service (Amazon SQS). In linea generale, dovrai:
- Configura Amazon S3 o Amazon S3 con Amazon SQS per raccogliere i dati dei log.
- Configura un feed Google Security Operations per importare i dati da Amazon S3 o Amazon SQS
Consulta Importare i log AWS in Google Security Operations per conoscere i passaggi dettagliati necessari per configurare i servizi AWS e un feed di Google Security Operations per importare i dati AWS.
Puoi utilizzare le regole di test AWS Managed Detection Testing per verificare che i dati AWS siano importati nel SIEM di Google Security Operations. Queste regole di test consentono di verificare se i dati dei log AWS vengono importati come previsto. Dopo aver configurato l'importazione dei dati AWS, esegui azioni in AWS che dovrebbero attivare le regole di test.
Consulta Verificare l'importazione dati AWS per la categoria Cloud Threats per informazioni su come verificare l'importazione dei dati AWS utilizzando le regole di test AWS Managed Detection Testing.
Rilevamenti selezionati per i dati di Azure
Alcuni insiemi di regole in questa categoria sono progettati per funzionare con i dati di Azure al fine di identificare le minacce negli ambienti Azure utilizzando dati sugli eventi, dati di contesto e avvisi. Sono inclusi i seguenti tipi:
- Azure - Compute: rileva attività anomale relative alle risorse di calcolo di Azure, come Kubernetes e macchine virtuali (VM).
- Azure - Dati: rileva le attività associate alle risorse di dati, ad esempio autorizzazioni, modifiche e inviti di blob di Azure a utenti esterni per utilizzare i servizi Azure nel tenant.
- Azure - Defender for Cloud: identifica gli avvisi ricevuti da Microsoft Defender for Cloud basati sul contesto relativi a comportamento utente, accesso alle credenziali, cryptomining, rilevamento, evasione, esecuzione, esfiltrazione, impatto, accesso iniziale, malware, test di penetrazione, persistenza, criteri, escalation dei privilegi o accesso non autorizzato su tutti i servizi cloud di Azure.
- Azure - Hacktools: rileva l'utilizzo di strumenti di hacking in un ambiente Azure, come anonimizzatori Tor e VPN, scanner e kit di strumenti per i red team.
- Azure - Identity: rileva attività relative all'autenticazione e all'autorizzazione, indicando comportamenti insoliti come l'accesso simultaneo da più località geografiche, criteri di gestione dell'accesso eccessivamente permissivi o attività di Azure RBAC da strumenti sospetti.
- Azure - Logging e monitoraggio: rileva le attività relative alla disattivazione di servizi di logging e monitoraggio in Azure.
- Azure - Network: rileva alterazioni non sicure e significative a impostazioni o dispositivi di rete di Azure, ad esempio gruppi di sicurezza o firewall, Azure Web Application Firewall e criteri di denial of service.
- Azure - Organization: rileva l'attività associata alla tua organizzazione, ad esempio l'aggiunta o la rimozione di abbonamenti e account.
- Azure - Secrets: rileva l'attività associata a segreti, token e password (ad esempio le modifiche ad Azure Key Vault o alle chiavi di accesso dell'account di archiviazione).
Dispositivi supportati e tipi di log richiesti per Azure
Questi insiemi di regole sono stati testati e sono supportati dalle seguenti origini dati, elencate per nome del prodotto e etichetta di importazione di Google SecOps.
- Servizi cloud Azure
(
AZURE_ACTIVITY
) - Microsoft Entra ID,
in precedenza Azure Active Directory (
AZURE_AD
) - Log di controllo di Microsoft Entra ID,
in precedenza log di controllo di Azure AD (
AZURE_AD_AUDIT
) - Microsoft Defender for Cloud
(
MICROSOFT_GRAPH_ALERT
) - API Microsoft Graph Activity
(
MICROSOFT_GRAPH_ACTIVITY_LOGS
)
Importa i dati di Azure e Microsoft Entra ID
Per avere una copertura massima delle regole, devi importare i dati da ogni origine dati. Consulta la seguente documentazione per informazioni su come importare i dati da ogni origine.
- Importa i log delle attività di Azure Monitor da Azure Cloud Services.
- Raccogliere i dati di Microsoft Entra ID
(in precedenza Azure AD), tra cui:
- Log di Microsoft Entra ID
- Log di controllo di Microsoft Entra ID
- Dati di contesto di Microsoft Entra ID
- Raccogli i log degli avvisi dell'API Microsoft Graph Security per importare i log di Microsoft Defender for Cloud utilizzando l'API Microsoft Graph Security.
- Raccogliere i log delle attività dell'API Microsoft Graph per importare i log delle attività dell'API Microsoft Graph utilizzando l'API Microsoft Graph.
La sezione seguente descrive come verificare l'importazione dei dati di Azure utilizzando regole di test predefinite.
Verificare l'importazione dei dati di Azure
La dashboard Stato e importazione dei dati di Google SecOps consente di visualizzare informazioni sul tipo, sul volume e sullo stato di tutti i dati importati in Google SecOps utilizzando le funzionalità di importazione SIEM.
Puoi anche utilizzare le regole di test di Azure Managed Detection Testing per verificare l'importazione dei dati di Azure. Dopo aver configurato l'importazione, esegui azioni nel portale Azure che dovrebbero attivare le regole di test. Hanno lo scopo di verificare che i dati vengano importati e siano nel formato previsto per utilizzare i rilevamenti selezionati per i dati di Azure.
Attiva le regole di test di Azure Managed Detection Testing
- In Google Security Operations, fai clic su Rilevamento > Regole e rilevamenti per aprire la pagina Rilevamento selezionati.
- Seleziona Test di rilevamento gestito > Test di rilevamento gestito da Azure.
- Attiva sia Stato che Avvisi per le regole Generali e Precise.
Invia i dati sulle azioni utente per attivare le regole di test
Per verificare che i dati vengano importati come previsto, crea un utente e accedi per verificare che queste azioni attivino le regole di test. Per informazioni sulla creazione di utenti in Microsoft Entra ID, consulta Come creare, invitare ed eliminare gli utenti.
In Azure, crea un nuovo utente Microsoft Entra ID.
- Vai al portale di Azure.
- Apri Microsoft Entra ID.
- Fai clic su Aggiungi, quindi su Crea nuovo utente.
Per definire l'utente:
- Inserisci le seguenti informazioni:
- Nome principale utente:
GCTI_ALERT_VALIDATION
- Nome principale utente:
GCTI_ALERT_VALIDATION
- Nome visualizzato:
GCTI_ALERT_VALIDATION
- Nome principale utente:
- Seleziona Genera automaticamente password per generare automaticamente una password per questo utente.
- Seleziona la casella di controllo Account abilitato.
- Apri la scheda Rivedi e crea.
- Ricorda la password generata automaticamente. Lo utilizzerai nei passaggi successivi.
- Fai clic su Crea.
- Inserisci le seguenti informazioni:
- Apri una finestra del browser in modalità di navigazione in incognito, quindi vai al portale di Azure.
- Accedi con l'utente e la password appena creati.
- Modifica la password dell'utente.
- Registrati all'autenticazione a più fattori (MFA) in base alle norme della tua organizzazione.
- Assicurati di aver eseguito correttamente la disconnessione dal portale di Azure.
Per verificare che gli avvisi vengano creati in Google Security Operations:
In Google Security Operations, fai clic su Rilevamento > Regole e rilevamenti per aprire la pagina Rilevamento selezionati.
Fai clic su Dashboard.
Nell'elenco dei rilevamenti, verifica che siano state attivate le seguenti regole:
- tst_azure_ad_user_creation
- tst_azure_ad_user_login
Dopo aver verificato che i dati vengono inviati e che queste regole vengono attivate, disattiva o esegui il deprovisioning dell'account utente.
Invia avvisi di esempio per attivare le regole di test
Per verificare che la generazione di avvisi di sicurezza di esempio in Azure attivi le regole di test, svolgi i passaggi che seguono. Per ulteriori informazioni sulla generazione di avvisi di sicurezza di esempio in Microsoft Defender for Cloud, consulta Convalida degli avvisi in Microsoft Defender for Cloud.
- Nel portale di Azure, vai a Tutti i servizi.
- In Sicurezza, apri Microsoft Defender for Cloud.
- Vai ad Avvisi sulla sicurezza.
- Fai clic su Avvisi di esempio e segui questi passaggi:
- Seleziona il tuo abbonamento.
- Seleziona Tutti per Defender for Cloud Plans.
- Fai clic su Crea avvisi di esempio.
- Verifica che gli avvisi di test vengano attivati.
- In Google Security Operations, fai clic su Rilevamento > Regole e rilevamenti per aprire la pagina Rilevamento selezionati.
- Fai clic su Dashboard.
- Nell'elenco dei rilevamenti, verifica che siano state attivate le seguenti regole:
- tst_azure_activity
- tst_azure_defender_for_cloud_alerts
Esegui una richiesta API GET in Microsoft Graph Explorer per attivare le regole di test
Per verificare che la generazione di avvisi di sicurezza di esempio in Azure attivi le regole di test, svolgi i passaggi che seguono.
- Vai a Microsoft Graph Explorer.
- Assicurati che sia selezionato il tenant appropriato nell'angolo in alto a destra.
- Fai clic su Esegui query.
- Verifica che gli avvisi di test vengano attivati.
- In Google Security Operations, fai clic su Rilevamento > Regole e rilevamenti per aprire la pagina Rilevamento selezionati.
- Fai clic su Dashboard.
- Nell'elenco dei rilevamenti, controlla che sia stata attivata la regola tst_microsoft_graph_api_get_activity.
Disattiva i set di regole di test di rilevamento gestito di Azure
- In Google Security Operations, fai clic su Rilevamento > Regole e rilevamenti per aprire la pagina Rilevamenti selezionati.
- Seleziona le regole Test di rilevamento gestito > Test di rilevamento gestito da Azure.
- Disattiva sia Stato sia Avvisi per le regole Generali e Precise.
Avvisi di ottimizzazione restituiti dai set di regole
Puoi ridurre il numero di rilevamenti generati da una regola o da un insieme di regole utilizzando le esclusioni di regole.
Un'esclusione di regole definisce i criteri utilizzati per impedire la valutazione di un evento da parte del insieme di regole o da regole specifiche al suo interno. Crea una o più esclusioni di regole per contribuire a ridurre il volume dei rilevamenti. Per informazioni su come eseguire questa operazione, consulta Configurare le esclusioni delle regole.