Visão geral da categoria "Ameaças na nuvem"

Este documento fornece uma visão geral dos conjuntos de regras na categoria Ameaças do Cloud, as fontes de dados necessárias e a configuração que pode ser usada para ajustar os alertas gerados por cada conjunto de regras. Esses conjuntos de regras ajudam a identificar ameaças em ambientes Google Cloud usando dados Google Cloud e em ambientes da AWS usando dados da AWS.

Descrições do conjunto de regras

Os conjuntos de regras a seguir estão disponíveis na categoria "Ameaças na nuvem".

• Conjuntos de regras para Google Cloud dados

• Conjuntos de regras para dados da AWS

A abreviação CDIR significa Detecção, investigação e resposta na nuvem.

Detecções selecionadas para Google Cloud dados

Os conjuntos de regrasGoogle Cloud ajudam a identificar ameaças em ambientes Google Cloud usando dados de eventos e contexto e incluem os seguintes conjuntos de regras:

• Ação do administrador: atividade associada a ações administrativas, considerada suspeita, mas potencialmente legítima, dependendo do uso organizacional.
• Exfiltração aprimorada do CDIR SCC: contém regras sensíveis ao contexto que correlacionam as descobertas de exfiltração do Security Command Center com outras origens de registro, como registros do Registros de auditoria do Cloud, contexto de Proteção de Dados Sensíveis, contexto do BigQuery e registros de configuração incorreta do Security Command Center.
• CDIR SCC Enhanced Defense Evasion: contém regras sensíveis ao contexto que correlacionam as descobertas de evasão ou de defesa do Security Command Center com dados de outras Google Cloud fontes de dados, como os Registros de auditoria do Cloud.
• Malware aprimorado do CDIR SCC: contém regras sensíveis ao contexto que correlacionam as descobertas de malware do Security Command Center com dados como a ocorrência de endereços IP e domínios e as pontuações de prevalência, além de outras fontes de dados, como registros Cloud DNS.
• Persistência aprimorada do CDIR SCC: contém regras com reconhecimento de contexto que correlacionam as descobertas de persistência do Security Command Center com dados de fontes como registros do Cloud DNS e registros de análise do IAM.
• Escalação de privilégios aprimorada do CDIR SCC: contém regras com base no contexto que correlacionam as descobertas de elevação de privilégios do Security Command Center com dados de várias outras fontes de dados, como os registros de auditoria do Cloud.
• Acesso a credenciais do CDIR SCC: contém regras com base no contexto que correlacionam as descobertas de acesso a credenciais do Security Command Center com dados de várias outras fontes de dados, como os registros de auditoria do Cloud.
• Descoberta aprimorada do CDIR SCC: contém regras sensíveis ao contexto que correlacionam as descobertas de escalonamento do Security Command Center com dados de fontes como os serviços Google Cloud e os registros de auditoria do Cloud.
• Força bruta do CDIR SCC: contém regras com base no contexto que correlacionam as descobertas de escalonamento de força bruta do Security Command Center com dados como os registros do Cloud DNS.
• Destruição de dados do CDIR SCC: contém regras com base no contexto que correlacionam as descobertas de escalonamento de destruição de dados do Security Command Center com dados de várias outras fontes, como os Registros de auditoria do Cloud.
• CDIR SCC Inhibit System Recovery: contém regras com base no contexto que correlacionam as descobertas do Security Command Center Inhibit System Recovery com dados de várias outras fontes de dados, como os registros de auditoria do Cloud.
• Execução do CDIR SCC: contém regras com reconhecimento de contexto que correlacionam as descobertas de execução do Security Command Center com dados de várias outras fontes, como os Registros de auditoria do Cloud.
• CDIR SCC Initial Access: contém regras sensíveis ao contexto que correlacionam as descobertas do Initial Access do Security Command Center com dados de várias outras fontes, como os Registros de auditoria do Cloud.
• CDIR SCC Impair Defenses: contém regras com base no contexto que correlacionam as descobertas do Security Command Center Impair Defenses com dados de várias outras fontes, como os registros de auditoria do Cloud.
• Impacto do CDIR SCC: contém regras que detectam descobertas de impacto do Security Command Center com classificação de gravidade crítica, alta, média e baixa.
• CDIR SCC Cloud IDS: contém regras que detectam descobertas do sistema de detecção de intrusões do Cloud do Security Command Center com classificação de severidade crítica, alta, média e baixa.
• CDIR SCC Cloud Armor: contém regras que detectam as descobertas do Google Cloud Armor no Security Command Center.
• Módulo personalizado do CDIR SCC: contém regras que detectam descobertas do módulo personalizado do Event Threat Detection no Security Command Center.
• Cloud Hacktool: atividade detectada em plataformas de segurança ofensivas conhecidas ou em ferramentas ou softwares ofensivos usados por agentes de ameaças que visam especificamente recursos de nuvem.
• Resgate do Cloud SQL: detecta atividades associadas à exfiltração ou ao resgate de dados nos bancos de dados do Cloud SQL.
• Ferramentas suspeitas do Kubernetes: detecta o comportamento de reconhecimento e exploração de ferramentas de código aberto do Kubernetes.
• Abuso do RBAC do Kubernetes: detecta a atividade do Kubernetes associada ao abuso de controles de acesso baseados em função (RBAC, na sigla em inglês) que tentam privilégios de escalonamento ou movimento lateral.
• Ações sensíveis a certificados do Kubernetes: detecta ações de certificados e solicitações de assinatura de certificado (CSR) do Kubernetes que podem ser usadas para estabelecer persistência ou escalonar privilégios.
• Abuso de IAM: atividade associada ao abuso de papéis e permissões do IAM para potencialmente elevar privilégios ou mover lateralmente em um determinado projeto do Cloud ou em uma organização do Cloud.
• Possível atividade de exfiltração: detecta atividades associadas a possíveis exfiltrações de dados.
• Mascaramento de recursos: detecta Google Cloud recursos criados com nomes ou características de outro recurso ou tipo de recurso. Isso pode ser usado para mascarar atividades maliciosas realizadas pelo recurso ou dentro dele, com a intenção de parecer legítimo.
• Ameaças sem servidor : detecta atividades associadas a possíveis comprometimentos ou abusos de recursos sem servidor no Google Cloud, como o Cloud Run e as funções do Cloud Run.
• Interrupção do serviço: detecta ações destrutivas ou prejudiciais que, se realizadas em um ambiente de produção funcional, podem causar uma interrupção significativa. O comportamento detectado é comum e provavelmente benigno em ambientes de teste e desenvolvimento.
• Comportamento suspeito: atividade que é considerada incomum e suspeita na maioria dos ambientes.
• Mudança de infraestrutura suspeita: detecta modificações na infraestrutura de produção que estão alinhadas a táticas de persistência conhecidas.
• Configuração enfraquecida: atividade associada ao enfraquecimento ou à degradação de um controle de segurança. Considerado suspeito, potencialmente legítimo, dependendo do uso organizacional.
• Possível exfiltração de dados de pessoas com informações privilegiadas do Chrome: detecta atividades associadas a possíveis comportamentos de ameaça de pessoas com informações privilegiadas, como exfiltração de dados ou perda de dados potencialmente sensíveis fora de uma organização do Google Workspace. Isso inclui comportamentos do Chrome considerados anormais em comparação com um período de referência de 30 dias.
• Possível exfiltração de dados de pessoas com informações privilegiadas do Drive: detecta atividades associadas a possíveis comportamentos de ameaças internas, como exfiltração de dados ou perda de dados potencialmente sensíveis fora de uma organização do Google Workspace. Isso inclui comportamentos do Drive considerados anormais em comparação com um período de referência de 30 dias.
• Possível exfiltração de dados internos do Gmail: detecta atividades associadas a possíveis comportamentos de ameaças internas, como exfiltração de dados ou perda de dados potencialmente sensíveis fora de uma organização do Google Workspace. Isso inclui comportamentos do Gmail considerados anormais em comparação com uma linha de base de 30 dias.
• Possível comprometimento da conta do Workspace: detecta comportamentos de ameaça interna que indicam que a conta pode ter sido comprometida e pode levar a tentativas de elevação de privilégios ou de movimento lateral em uma organização do Google Workspace. Isso inclui comportamentos considerados raros ou anormais em comparação com um período de referência de 30 dias.
• Ações administrativas suspeitas do Workspace: detecte comportamentos que indicam possíveis evasões, downgrades de segurança ou comportamentos raros e anormais nunca vistos nos últimos 30 dias de usuários com privilégios mais altos, como administradores.

Dispositivos e tipos de registro compatíveis

As seções a seguir descrevem os dados necessários para os conjuntos de regras na categoria Ameaças do Cloud.

Para ingerir dados de Google Cloud serviços, consulte Ingerir registros do Cloud para as operações de segurança do Google. Entre em contato com seu representante do Google Security Operations se precisar coletar esses registros usando um mecanismo diferente.

O Google Security Operations oferece analisadores padrão que analisam e normalizam registros brutos de Google Cloud serviços para criar registros do UDM com dados necessários por esses conjuntos de regras.

Para conferir uma lista de todas as fontes de dados compatíveis com as Operações de segurança do Google, consulte Analisadores padrão compatíveis.

Todos os conjuntos de regras

Para usar qualquer conjunto de regras, recomendamos que você colete Google Cloud registros de auditoria do Cloud. Algumas regras exigem que os clientes ativem o registro do Cloud DNS. Verifique se os serviços Google Cloud estão configurados para registrar dados nos seguintes registros:

• Registros de auditoria do Cloud
• Registros do Cloud DNS

Conjunto de regras de resgate do Cloud SQL

Para usar o conjunto de regras de resgate do Cloud SQL, recomendamos que você colete os seguintes dados Google Cloud :

• Dados de registro listados na seção Todos os conjuntos de regras.
• Registros do Cloud SQL.

Conjuntos de regras aprimoradas do SCC do CDIR

Todos os conjuntos de regras que começam com o nome CDIR SCC Enhanced usam as descobertas do Security Command Center Premium contextualizadas com várias outras Google Cloud fontes de registro, incluindo:

• Registros de auditoria do Cloud
• Registros do Cloud DNS
• Análise do Identity and Access Management (IAM)
• Contexto da Proteção de Dados Sensíveis
• Contexto do BigQuery
• Contexto do Compute Engine

Para usar os conjuntos de regras CDIR SCC Enhanced, recomendamos que você colete os seguintes dados Google Cloud :

• Dados de registro listados na seção Todos os conjuntos de regras.

• Os dados de registro a seguir, listados por nome do produto e rótulo de ingestão do Google Security Operations:

  • BigQuery (GCP_BIGQUERY_CONTEXT)
  • Compute Engine (GCP_COMPUTE_CONTEXT)
  • IAM (GCP_IAM_CONTEXT)
  • Proteção de dados sensíveis (GCP_DLP_CONTEXT)
  • Registros de auditoria do Cloud (GCP_CLOUDAUDIT)
  • Atividade do Google Workspace (WORKSPACE_ACTIVITY)
  • Consultas do Cloud DNS (GCP_DNS)

• As seguintes classes de descobertas do Security Command Center, listadas pelo identificador findingClass e pelo rótulo de transferência do Google Security Operations:

  • Threat (GCP_SECURITYCENTER_THREAT)
  • Misconfiguration (GCP_SECURITYCENTER_MISCONFIGURATION)
  • Vulnerability (GCP_SECURITYCENTER_VULNERABILITY)
  • SCC Error (GCP_SECURITYCENTER_ERROR)

Os conjuntos de regras do CDIR SCC Enhanced também dependem de dados de Google Cloud serviços. Para enviar os dados necessários ao Google Security Operations, siga estas etapas:

• Ative a geração de registros para os produtos e serviços Google Cloud necessários.
• Ative o Security Command Center Premium e os serviços relacionados.
• Configure a Ingestão de registros do Google Cloud no Google Security Operations.
• Configure a exportação das descobertas do Event Threat Detection para o Google Security Operations. Por padrão, todas as descobertas do Security Command Center são processadas. Consulte Como exportar descobertas do Security Command Center para mais informações sobre como os analisadores padrão do Google Security Operations mapeiam os campos de dados.
• Ative os Registros de auditoria do Cloud e configure a exportação deles para o Google Security Operations. Consulte Coletar Registros de auditoria do Cloud para mais informações.
• Ative os registros do Google Workspace e envie-os ao Google Security Operations. Consulte Coletar registros do Google Workspace para mais informações.
• Configure a exportação de metadados de Google Cloud ativos e dados relacionados ao contexto para o Google Security Operations. Consulte Como exportar metadados de recursos Google Cloud para o Google Security Operations e Como exportar dados de proteção de dados sensíveis para o Google Security Operations para mais informações.

Os conjuntos de regras a seguir criam uma detecção quando as descobertas do Event Threat Detection do Security Command Center, do Google Cloud Armor, do Serviço de ações sensíveis do Security Command Center e dos módulos personalizados do Event Threat Detection são identificadas:

• Cloud IDS do CDIR SCC
• Cloud Armor do CDIR SCC
• Impacto do SCC do CDIR
• Persistência aprimorada do CDIR SCC
• Evasão de defesa aprimorada do CDIR SCC
• Módulo personalizado do CDIR SCC

Conjunto de regras de ferramentas suspeitas do Kubernetes

Para usar o conjunto de regras Ferramentas suspeitas do Kubernetes, recomendamos coletar os dados listados na seção Todos os conjuntos de regras. Verifique se os Google Cloud serviços estão configurados para registrar dados nos Registros de nó do Google Kubernetes Engine (GKE).

Conjunto de regras de abuso do RBAC do Kubernetes

Para usar o conjunto de regras de abuso do RBAC do Kubernetes, recomendamos que você colete os Registros de auditoria do Cloud, listados na seção Todos os conjuntos de regras.

Conjunto de regras de ações sensíveis a certificados do Kubernetes

Para usar o conjunto de regras Ações sensíveis a certificados do Kubernetes, recomendamos que você colete os Registros de auditoria do Cloud, listados na seção Todos os conjuntos de regras.

Conjuntos de regras relacionados ao Google Workspace

Os seguintes conjuntos de regras detectam padrões nos dados do Google Workspace:

• Possível exfiltração de dados internos do Chrome
• Possível exfiltração de dados internos do Drive
• Possível exfiltração de dados internos do Gmail
• Possível comprometimento da conta do Workspace
• Ações administrativas suspeitas no Workspace

Esses conjuntos de regras exigem os seguintes tipos de registro, listados por nome do produto e rótulo de transferência do Google Security Operations:

• Atividades do Workspace (WORKSPACE_ACTIVITY)
• Alertas do Workspace (WORKSPACE_ALERTS)
• Dispositivos ChromeOS do Workspace (WORKSPACE_CHROMEOS)
• Dispositivos móveis do Workspace (WORKSPACE_MOBILE)
• Usuários do Workspace (WORKSPACE_USERS)
• Gerenciamento de nuvem do navegador Google Chrome (CHROME_MANAGEMENT)
• Registros do Gmail (GMAIL_LOGS)

Para transferir os dados necessários, faça o seguinte:

• Colete os dados listados na seção Todos os conjuntos de regras deste documento.

• Consulte Importar dados do Google Workspace para o Google Security Operations para coletar registros de WORKSPACE_ACTIVITY, WORKSPACE_CHROMEOS, CHROME_MANAGEMENT e GMAIL.

• Consulte Coletar registros do Google Workspace para processar os seguintes registros:

  • WORKSPACE_ALERTS
  • WORKSPACE_MOBILE
  • WORKSPACE_USERS

Conjunto de regras de ameaças sem servidor

• Colete os dados listados na seção Todos os conjuntos de regras deste documento.
• Registros do Cloud Run (GCP_RUN).

Os registros do Cloud Run incluem registros de solicitação e de contêiner, que são processados como o tipo de registro GCP_RUN no Google Security Operations. Os registros GCP_RUN podem ser ingeridos usando a ingestão direta ou usando feeds e o Cloud Storage. Para filtros de registro específicos e mais detalhes de ingestão, consulte Como exportar Google Cloud registros para as operações de segurança do Google. O filtro de exportação a seguir exporta registros do Google Cloud Cloud Run (GCP_RUN), além dos registros padrão, pelo mecanismo de transferência direta, pelo Cloud Storage e pelos coletores:

log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)

Deteções selecionadas para conjuntos de regras da AWS

Os conjuntos de regras da AWS nesta categoria ajudam a identificar ameaças em ambientes da AWS usando dados de eventos e contexto e incluem os seguintes conjuntos de regras:

• AWS - Compute: detecta atividades anormais em recursos de computação da AWS, como EC2 e Lambda.
• AWS - Data: detecta a atividade da AWS associada a recursos de dados, como snapshots do RDS ou buckets do S3 disponibilizados publicamente.
• AWS - GuardDuty: alertas do AWS GuardDuty com base no contexto para comportamento, acesso a credenciais, mineração de criptomoedas, descoberta, evasão, execução, exfiltração, impacto, acesso inicial, malware, teste de penetração, persistência, política, escalonamento de privilégios e acesso não autorizado.
• AWS - Hacktools: detecta o uso de Hacktools em um ambiente da AWS, como scanners, kits de ferramentas e frameworks.
• AWS - Identidade: detecções de atividade da AWS associadas ao IAM e à atividade de autenticação, como logins incomuns de vários locais geográficos, criação de papéis excessivamente permissivos ou atividade do IAM de ferramentas suspeitas.
• AWS: geração de registros e monitoramento: detecta a atividade da AWS relacionada à desativação de serviços de geração de registros e monitoramento, como CloudTrail, CloudWatch e GuardDuty.
• AWS - Rede: detecta alterações não seguras nas configurações de rede da AWS, como grupos de segurança e firewalls.
• AWS – Organização: detecta a atividade da AWS associada à sua organização, como adição ou remoção de contas e eventos inesperados relacionados ao uso da região.
• AWS Secrets: detecta a atividade da AWS associada a segredos, tokens e senhas, como a exclusão de segredos do KMS ou do Secrets Manager.

Dispositivos e tipos de registro compatíveis com a AWS

Esses conjuntos de regras foram testados e são compatíveis com as seguintes fontes de dados do Google Security Operations, listadas por nome do produto e rótulo de transferência:

• AWS CloudTrail (AWS_CLOUDTRAIL)
• AWS GuardDuty (GUARDDUTY)
• AWS EC2 HOSTS (AWS_EC2_HOSTS)
• INSTÂNCIAS DO AWS EC2 (AWS_EC2_INSTANCES)
• AWS EC2 VPCs (AWS_EC2_VPCS)
• AWS IAM (IAM) (AWS_IAM)

Consulte Configurar a ingestão de dados da AWS para informações sobre como configurar a ingestão de dados da AWS.

Para conferir uma lista de todas as fontes de dados compatíveis, consulte Analisadores padrão compatíveis.

As seções a seguir descrevem os dados necessários para conjuntos de regras que identificam padrões nos dados.

É possível transferir dados da AWS usando um bucket do Amazon Simple Storage Service (Amazon S3) como um tipo de origem ou, opcionalmente, usando o Amazon S3 com o Amazon Simple Queue Service (Amazon SQS). Em um nível alto, você precisa fazer o seguinte:

• Configure o Amazon S3 ou o Amazon S3 com o Amazon SQS para coletar dados de registro.
• Configure um feed de operações de segurança do Google para ingerir dados do Amazon S3 ou do Amazon SQS.

Consulte Como transferir logs da AWS para o Google Security Operations para conferir as etapas detalhadas necessárias para configurar os serviços da AWS e um feed do Google Security Operations para transferir dados da AWS.

É possível usar as regras de teste do AWS Managed Detection Testing para verificar se os dados da AWS estão sendo transferidos para o SIEM de operações de segurança do Google. Essas regras de teste ajudam a verificar se os dados de registro da AWS estão sendo ingeridos conforme o esperado. Depois de configurar a ingestão de dados da AWS, você realiza ações na AWS que acionam as regras de teste.

Consulte Verificar a ingestão de dados da AWS para a categoria Ameaças à Nuvem para informações sobre como verificar a ingestão de dados da AWS usando as regras de teste do Teste de Detecção Gerenciada da AWS.

Deteções selecionadas para dados do Azure

Alguns conjuntos de regras desta categoria foram criados para funcionar com dados do Azure e identificar ameaças em ambientes do Azure usando dados de eventos, dados de contexto e alertas. Eles incluem o seguinte:

• Azure: computação: detecta atividades anormais relacionadas aos recursos de computação do Azure, como Kubernetes e máquinas virtuais (VMs).
• Azure: dados: detecta atividades associadas a recursos de dados, como permissões, modificações e convites de blobs do Azure para que usuários externos usem os serviços do Azure no locatário.
• Azure – Defender para Cloud: identifica alertas recebidos do Microsoft Defender para Cloud com base no contexto relacionados a comportamento do usuário, acesso a credenciais, criptomineração, descoberta, evasão, execução, exfiltração, impacto, acesso inicial, malware, teste de penetração, persistência, política, elevação de privilégios ou acesso não autorizado em todos os serviços de nuvem do Azure.
• Azure – Hacktools: detecta o uso de ferramentas de hacking em um ambiente do Azure, como anonimizadores do Tor e VPN, scanners e kits de ferramentas de red teaming.
• Azure – Identidade: detecta atividades relacionadas à autenticação e autorização, indicando comportamento incomum, como acesso simultâneo de vários locais geográficos, políticas de gerenciamento de acesso excessivamente permissivas ou atividade do RBAC do Azure de ferramentas suspeitas.
• Azure: geração de registros e monitoramento: detecta atividades relacionadas à desativação de serviços de geração de registros e monitoramento no Azure.
• Azure: rede: detecta alterações não seguras e significativas em dispositivos ou configurações de rede do Azure, como grupos de segurança ou firewalls, o firewall de aplicativos da Web do Azure e políticas de negação de serviço.
• Azure: organização: detecta atividades associadas à sua organização, como adição ou remoção de assinaturas e contas.
• Azure – Secrets: detecta atividades associadas a segredos, tokens e senhas, por exemplo, modificações no Azure Key Vault ou nas chaves de acesso da conta de armazenamento.

Dispositivos compatíveis e tipos de registro necessários para o Azure

Esses conjuntos de regras foram testados e são compatíveis com as seguintes fontes de dados, listadas por nome do produto e rótulo de transferência do Google SecOps.

• Serviços de nuvem do Azure (AZURE_ACTIVITY)
• ID do Microsoft Entra, antigo Azure Active Directory (AZURE_AD).
• Registros de auditoria do ID do Microsoft Entra, anteriormente registros de auditoria do Azure AD (AZURE_AD_AUDIT).
• Microsoft Defender para nuvem (MICROSOFT_GRAPH_ALERT)
• Atividade da API Microsoft Graph (MICROSOFT_GRAPH_ACTIVITY_LOGS)

Receber dados do Azure e do ID do Microsoft Entra

É necessário transferir dados de todas as origens para ter a cobertura máxima de regras. Consulte a documentação a seguir para saber como transferir dados de cada origem.

• Importar registros de atividade do Azure Monitor dos serviços de nuvem do Azure.
• Coletar dados do ID do Microsoft Entra (antigo Azure AD), incluindo o seguinte:
  • Registros do Microsoft Entra ID
  • Registros de auditoria do Microsoft Entra ID
  • Dados de contexto do Microsoft Entra ID
• Colete registros de alerta da API Microsoft Graph Security para ingerir registros do Microsoft Defender para nuvem usando a API Microsoft Graph Security.
• Colete registros de atividade da API Microsoft Graph para processar registros de atividade da API Microsoft Graph usando a API Microsoft Graph.

A seção a seguir descreve como verificar a ingestão de dados do Azure usando regras de teste predefinidas.

Verificar a ingestão de dados do Azure

O painel de transferência e integridade de dados do Google SecOps mostra informações sobre o tipo, o volume e a integridade de todos os dados que estão sendo transferidos para o Google SecOps usando recursos de transferência de SIEM.

Você também pode usar as regras de teste do Azure Managed Detection Testing para verificar a ingestão de dados do Azure. Depois de configurar a transferência, você realiza ações no portal do Azure que acionam as regras de teste. O objetivo é verificar se os dados foram ingeridos e estão no formato esperado para usar as detecções selecionadas para dados do Azure.

Ativar as regras de teste do Azure Managed Detection Testing

1. No Google Security Operations, clique em Detections > Rules & Detections para abrir a página "Detecções selecionadas".
2. Selecione Teste de detecção gerenciada > Teste de detecção gerenciada do Azure.
3. Ative Status e Alerta para as regras Ampla e Precisa.

Enviar dados de ação do usuário para acionar as regras de teste

Para verificar se os dados estão sendo processados conforme o esperado, crie um usuário e faça login para verificar se essas ações acionaram as regras de teste. Para informações sobre como criar usuários no Microsoft Entra ID, consulte Como criar, convidar e excluir usuários.

1. No Azure, crie um novo usuário do Microsoft Entra ID.

   1. Acesse o portal do Azure.
   2. Abra o Microsoft Entra ID.
   3. Clique em Adicionar e em Criar novo usuário. Siga estas etapas para definir o usuário:
      1. Digite as informações a seguir:
         • Nome principal do usuário: GCTI_ALERT_VALIDATION
         • Nome principal do usuário: GCTI_ALERT_VALIDATION
         • Nome de exibição: GCTI_ALERT_VALIDATION
      2. Selecione Gerar senha automaticamente para gerar uma senha para esse usuário.
      3. Marque a caixa de seleção Conta ativada.
      4. Abra a guia Revisar + criar.
      5. Lembre-se da senha gerada automaticamente. Você vai usar isso nas próximas etapas.
      6. Clique em Criar.
   4. Abra uma janela de navegação anônima e acesse o portal do Azure.
   5. Faça login com o usuário e a senha recém-criados.
   6. Mude a senha do usuário.
   7. Inscreva-se na autenticação multifator (MFA) de acordo com a política da sua organização.
   8. Saia do portal do Azure.

2. Siga estas etapas para verificar se os alertas foram criados no Google Security Operations:

   1. No Google Security Operations, clique em Detections > Rules & Detections para abrir a página Curated Detections.

   2. Clique em Painel.

   3. Na lista de detecções, verifique se as seguintes regras foram acionadas:

      • tst_azure_ad_user_creation
      • tst_azure_ad_user_login

3. Depois de confirmar que os dados foram enviados e que essas regras foram acionadas, desative ou remova a provisão da conta do usuário.

Enviar alertas de exemplo para acionar as regras de teste

Siga as etapas abaixo para verificar se a geração de alertas de segurança de amostra no Azure aciona as regras de teste. Para mais informações sobre como gerar alertas de segurança de exemplo no Microsoft Defender para nuvem, consulte Validação de alertas no Microsoft Defender para nuvem.

1. No portal do Azure, navegue até Todos os serviços.
2. Em Segurança, abra o Microsoft Defender para Nuvem.
3. Acesse Alertas de segurança.
4. Clique em Alertas de exemplo e faça o seguinte:
   1. Selecione sua assinatura.
   2. Selecione todos para os planos do Defender para nuvem.
   3. Clique em Criar alertas de exemplo.
5. Verifique se os alertas de teste são acionados.
6. No Google Security Operations, clique em Detections > Rules & Detections para abrir a página Curated Detections.
7. Clique em Painel.
8. Na lista de detecções, verifique se as seguintes regras foram acionadas:
   • tst_azure_activity
   • tst_azure_defender_for_cloud_alerts

Executar uma solicitação de API GET no Microsoft Graph Explorer para acionar as regras de teste

Siga as etapas abaixo para verificar se a geração de alertas de segurança de amostra no Azure aciona as regras de teste.

1. Acesse o Microsoft Graph Explorer.
2. Verifique se o locatário correto está selecionado no canto superior direito.
3. Selecione Executar consulta.
4. Verifique se os alertas de teste são acionados.
5. No Google Security Operations, clique em Detections > Rules & Detections para abrir a página Curated Detections.
6. Clique em Painel.
7. Na lista de detecções, verifique se a regra tst_microsoft_graph_api_get_activity foi acionada.

Desativar os conjuntos de regras de teste de detecção gerenciada do Azure

1. No Google Security Operations, clique em Detecção > Regras e detecções para abrir a página Detecções selecionadas.
2. Selecione as regras Teste de detecção gerenciada > Teste de detecção gerenciada do Azure.
3. Desative Status e Alerta para as regras Ampla e Precisa.

Como ajustar os alertas retornados pelos conjuntos de regras

É possível reduzir o número de detecções geradas por uma regra ou um conjunto de regras usando exclusões de regras.

Uma exclusão de regra define os critérios usados para impedir que um evento seja avaliado pelo conjunto de regras ou por regras específicas. Crie uma ou mais regras de exclusão para reduzir o volume de detecções. Consulte Configurar exclusões de regras para saber como fazer isso.

A seguir

• Ingestão de Google Cloud registros
• Ingestão de registros da AWS
• Investigar um alerta