Présentation de la catégorie "Cloud Threats" (Menaces Cloud)

Compatible avec:

Ce document fournit un aperçu des ensembles de règles de la catégorie "Menaces Cloud", des sources de données requises et de la configuration que vous pouvez utiliser pour ajuster les alertes générées par chaque ensemble de règles. Ces ensembles de règles permettent d'identifier les menaces dans les environnements Google Cloudutilisant des données Google Cloud et dans les environnements AWS utilisant des données AWS.

Descriptions des ensembles de règles

Les ensembles de règles suivants sont disponibles dans la catégorie "Menaces Cloud".

L'abréviation CDIR signifie Cloud Detection, Investigation and Response (Détection, investigation et gestion des menaces dans le cloud).

Détections sélectionnées pour les données Google Cloud

LesGoogle Cloud ensembles de règles aident à identifier les menaces dans les Google Cloud environnements à l'aide de données d'événements et de contexte. Ils incluent les ensembles de règles suivants:

  • Action de l'administrateur: activité associée à des actions administratives, jugées suspectes, mais potentiellement légitimes en fonction de l'utilisation de l'organisation.
  • CDIR SCC Enhanced Exfiltration: contient des règles contextuelles qui corrèlent les résultats d'exfiltration de Security Command Center avec d'autres sources de journaux, telles que les journaux Cloud Audit Logs, le contexte de la protection des données sensibles, le contexte BigQuery et les journaux de mauvaise configuration de Security Command Center.
  • CDIR SCC Enhanced Defense Evasion: contient des règles contextuelles qui corrèlent les résultats d'évasion ou de défense d'évasion de Security Command Center avec les données d'autres sources de donnéesGoogle Cloud , telles que les journaux d'audit Cloud.
  • CDIR SCC Enhanced Malware (Logiciel malveillant amélioré de CDIR SCC) : contient des règles contextuelles qui corrèlent les résultats de logiciels malveillants de Security Command Center avec des données telles que l'occurrence d'adresses IP et de domaines, ainsi que leurs scores de prévalence, en plus d'autres sources de données telles que les journaux Cloud DNS.
  • Persistance améliorée de la clause contractuelle type CDIR: contient des règles tenant compte du contexte qui corrèlent les résultats de persistance de Security Command Center avec les données provenant de sources telles que les journaux Cloud DNS et les journaux d'analyse IAM.
  • CDIR SCC Enhanced Privilege Escalation (Éscalade de privilèges améliorée de CDIR SCC) : contient des règles contextuelles qui corrèlent les résultats d'escalade de privilèges de Security Command Center avec les données de plusieurs autres sources de données, telles que Cloud Audit Logs.
  • Accès aux identifiants SCC CDIR: contient des règles contextuelles qui corrèlent les résultats de l'accès aux identifiants de Security Command Center avec les données de plusieurs autres sources de données, telles que Cloud Audit Logs.
  • Découverte améliorée de la CDIR SCC: contient des règles sensibles au contexte qui corrèlent les résultats d'escalade de la découverte de Security Command Center avec les données provenant de sources telles que les services Google Cloud et les journaux d'audit Cloud.
  • CDIR SCC Brute Force (CDIR SCC Brute Force) : contient des règles contextuelles qui corrèlent les résultats d'escalade par force brute de Security Command Center avec des données telles que les journaux Cloud DNS.
  • CDIR SCC Destruction des données: contient des règles contextuelles qui corrèlent les résultats d'escalade de destruction des données de Security Command Center avec les données de plusieurs autres sources de données, telles que Cloud Audit Logs.
  • CDIR SCC Inhibit System Recovery (CDIR SCC Inhibit System Recovery) : contient des règles contextuelles qui corrèlent les résultats de la fonctionnalité Inhibit System Recovery (Empêcher la récupération du système) de Security Command Center avec les données de plusieurs autres sources de données, telles que Cloud Audit Logs.
  • CDIR SCC Execution (Exécution SCC CDIR) : contient des règles contextuelles qui mettent en corrélation les résultats d'exécution de Security Command Center avec les données de plusieurs autres sources de données, telles que Cloud Audit Logs.
  • CDIR SCC Initial Access: contient des règles contextuelles qui corrèlent les résultats de l'accès initial de Security Command Center avec les données de plusieurs autres sources de données, telles que Cloud Audit Logs.
  • CDIR SCC Impair Defenses: contient des règles contextuelles qui mettent en corrélation les résultats de Security Command Center "Impair Defenses" avec les données de plusieurs autres sources de données, telles que Cloud Audit Logs.
  • CDIR SCC Impact: contient des règles qui détectent les résultats Impact de Security Command Center avec une classification de gravité critique, élevée, moyenne et faible.
  • CDIR SCC Cloud IDS: contient des règles qui détectent les résultats de Cloud Intrusion Detection System de Security Command Center avec une classification de gravité critique, élevée, moyenne et faible.
  • CDIR SCC Cloud Armor: contient des règles qui détectent les résultats de Google Cloud Armor à partir de Security Command Center.
  • Module personnalisé SCC CDIR: contient des règles qui détectent les résultats du module personnalisé Event Threat Detection de Security Command Center.
  • Outil de piratage cloud: activité détectée à partir de plates-formes de sécurité offensives connues, ou à partir d'outils ou de logiciels offensifs utilisés dans la nature par des acteurs de la menace qui ciblent spécifiquement les ressources cloud.
  • Rançon Cloud SQL: détecte l'activité associée à l'exfiltration ou à la rançon de données dans les bases de données Cloud SQL.
  • Outils Kubernetes suspects: détecte le comportement de reconnaissance et d'exploitation des outils Kubernetes Open Source.
  • Utilisation abusive du RBAC Kubernetes: détecte l'activité Kubernetes associée à l'utilisation abusive du contrôle des accès basé sur les rôles (RBAC) qui tente d'élever les droits d'accès ou de passer d'un niveau à un autre.
  • Actions sensibles aux certificats Kubernetes: détecte les actions des certificats Kubernetes et des requêtes de signature de certificat (CSR) qui pourraient être utilisées pour établir une persistance ou accroître les privilèges.
  • Utilisation abusive d'IAM: activité associée à l'utilisation abusive des rôles et des autorisations IAM pour accroître potentiellement les droits d'accès ou effectuer des mouvements latéraux dans un projet Cloud donné ou dans une organisation Cloud.
  • Activité d'exfiltration potentielle: détecte l'activité associée à une exfiltration potentielle de données.
  • Masquage de ressources: détecte les ressources Google Cloud créées avec des noms ou des caractéristiques d'une autre ressource ou d'un autre type de ressource. Cela peut être utilisé pour masquer une activité malveillante effectuée par ou dans la ressource, dans le but de paraître légitime.
  • Menaces sans serveur : détecte l'activité associée à une compromission ou à un usage abusif potentiel des ressources sans serveur dans Google Cloud, telles que Cloud Run et les fonctions Cloud Run.
  • Interruption de service: détecte les actions destructrices ou perturbatrices qui, si elles sont effectuées dans un environnement de production fonctionnel, peuvent entraîner une panne importante. Le comportement détecté est courant et probablement bénin dans les environnements de test et de développement.
  • Comportement suspect: activité considérée comme inhabituelle et suspecte dans la plupart des environnements.
  • Modification suspecte de l'infrastructure: détecte les modifications de l'infrastructure de production qui correspondent à des tactiques de persistance connues.
  • Configuration affaiblie: activité associée à l'affaiblissement ou à la dégradation d'un contrôle de sécurité. Considéré comme suspect, potentiellement légitime en fonction de l'utilisation de l'organisation.
  • Exfiltration potentielle de données internes depuis Chrome: détecte l'activité associée à des comportements de menace interne potentiels, tels que l'exfiltration de données ou la perte de données potentiellement sensibles en dehors d'une organisation Google Workspace. Cela inclut les comportements de Chrome considérés comme anormaux par rapport à une référence de 30 jours.
  • Exfiltration potentielle de données internes depuis Drive: détecte l'activité associée à des comportements de menace interne potentiels, tels que l'exfiltration de données ou la perte de données potentiellement sensibles en dehors d'une organisation Google Workspace. Cela inclut les comportements de Drive considérés comme anormaux par rapport à une référence de 30 jours.
  • Exfiltration potentielle de données internes depuis Gmail: détecte l'activité associée à des comportements de menace interne potentiels, tels que l'exfiltration de données ou la perte de données potentiellement sensibles en dehors d'une organisation Google Workspace. Cela inclut les comportements Gmail considérés comme anormaux par rapport à une référence sur 30 jours.
  • Compte Workspace potentiellement piraté: détecte les comportements de menace interne indiquant que le compte a pu être piraté et peut entraîner des tentatives d'escalade de privilèges ou de mouvement latéral au sein d'une organisation Google Workspace. Cela inclut les comportements considérés comme rares ou anormaux par rapport à une référence de 30 jours.
  • Actions administratives Workspace suspectes: détecte les comportements indiquant une évasion potentielle, une dégradation de la sécurité ou des comportements rares et anormaux jamais observés au cours des 30 derniers jours de la part d'utilisateurs disposant de droits d'accès plus élevés, tels que les administrateurs.

Appareils et types de journaux compatibles

Les sections suivantes décrivent les données requises par les ensembles de règles de la catégorie "Menaces Cloud".

Pour ingérer des données à partir de services Google Cloud , consultez Ingérer des journaux Cloud dans Google Security Operations. Contactez votre représentant Google Security Operations si vous devez collecter ces journaux à l'aide d'un autre mécanisme.

Google Security Operations fournit des analyseurs par défaut qui analysent et normalisent les journaux bruts des services Google Cloud afin de créer des enregistrements UDM avec les données requises par ces ensembles de règles.

Pour obtenir la liste de toutes les sources de données compatibles avec Google Security Operations, consultez la section Analyseurs par défaut compatibles.

Tous les ensembles de règles

Pour utiliser un ensemble de règles, nous vous recommandons de collecter les Google CloudJournaux d'audit Cloud. Certaines règles exigent que les clients activent la journalisation Cloud DNS. Assurez-vous que les services sont configurés pour enregistrer les données dans les journaux suivants : Google Cloud

Ensemble de règles de rançon Cloud SQL

Pour utiliser l'ensemble de règles Cloud SQL Ransom, nous vous recommandons de collecter les données Google Cloud suivantes:

Ensembles de règles SCC CDIR améliorés

Tous les ensembles de règles commençant par le nom CDIR SCC Enhanced utilisent les résultats de Security Command Center Premium contextualisés avec plusieurs autres sources de journaux Google Cloud , y compris les suivantes:

  • Cloud Audit Logs
  • Journaux Cloud DNS
  • Analyse du Identity and Access Management (IAM)
  • Contexte de la protection des données sensibles
  • Contexte BigQuery
  • Contexte Compute Engine

Pour utiliser les ensembles de règles CDIR SCC Enhanced, nous vous recommandons de collecter les données Google Cloud suivantes:

  • Données de journal listées dans la section Tous les ensembles de règles.

  • Les données de journal suivantes, listées par nom de produit et étiquette d'ingestion Google Security Operations:

    • BigQuery (GCP_BIGQUERY_CONTEXT)
    • Compute Engine (GCP_COMPUTE_CONTEXT)
    • IAM (GCP_IAM_CONTEXT)
    • Protection des données sensibles (GCP_DLP_CONTEXT)
    • Cloud Audit Logs (GCP_CLOUDAUDIT)
    • Activité Google Workspace (WORKSPACE_ACTIVITY)
    • Requêtes Cloud DNS (GCP_DNS)

  • Les classes de résultats Security Command Center suivantes, listées par identifiant findingClass et étiquette d'ingestion Google Security Operations:

    • Threat (GCP_SECURITYCENTER_THREAT)
    • Misconfiguration (GCP_SECURITYCENTER_MISCONFIGURATION)
    • Vulnerability (GCP_SECURITYCENTER_VULNERABILITY)
    • SCC Error (GCP_SECURITYCENTER_ERROR)

Les ensembles de règles CDIR SCC Enhanced dépendent également des données des Google Cloud services. Pour envoyer les données requises à Google Security Operations, assurez-vous de procéder comme suit:

Les ensembles de règles suivants créent une détection lorsque des résultats issus de Event Threat Detection de Security Command Center, de Google Cloud Armor, du service d'actions sensibles de Security Command Center et des modules personnalisés pour Event Threat Detection sont identifiés:

  • Cloud IDS CDIR SCC
  • CDIR SCC Cloud Armor
  • Impact de SCC sur CDIR
  • Persistance améliorée du SCC CDIR
  • CDIR SCC Enhanced Defense Evasion
  • Module personnalisé SCC CDIR

Ensemble de règles Kubernetes sur les outils suspects

Pour utiliser l'ensemble de règles Outils suspects Kubernetes, nous vous recommandons de collecter les données indiquées dans la section Tous les ensembles de règles. Assurez-vous que les Google Cloudservices sont configurés pour enregistrer des données dans les journaux de nœuds Google Kubernetes Engine (GKE).

Ensemble de règles d'abus du RBAC Kubernetes

Pour utiliser l'ensemble de règles Utilisation abusive de RBAC Kubernetes, nous vous recommandons de collecter les journaux d'audit Cloud, listés dans la section Tous les ensembles de règles.

Ensemble de règles Kubernetes sur les actions sensibles aux certificats

Pour utiliser l'ensemble de règles Actions sensibles aux certificats Kubernetes, nous vous recommandons de collecter les journaux d'audit Cloud, listés dans la section Tous les ensembles de règles.

Ensembles de règles liés à Google Workspace

Les ensembles de règles suivants détectent des tendances dans les données Google Workspace:

  • Exfiltration potentielle de données internes depuis Chrome
  • Exfiltration potentielle de données internes depuis Drive
  • Exfiltration potentielle de données internes depuis Gmail
  • Piratage potentiel d'un compte Workspace
  • Actions administratives Workspace suspectes

Ces ensembles de règles nécessitent les types de journaux suivants, listés par nom de produit et par libellé d'ingestion Google Security Operations:

  • Activités Workspace (WORKSPACE_ACTIVITY)
  • Alertes Workspace (WORKSPACE_ALERTS)
  • Appareils ChromeOS Workspace (WORKSPACE_CHROMEOS)
  • Appareils mobiles Workspace (WORKSPACE_MOBILE)
  • Utilisateurs de Workspace (WORKSPACE_USERS)
  • Gestion cloud du navigateur Google Chrome (CHROME_MANAGEMENT)
  • Journaux Gmail (GMAIL_LOGS)

Pour ingérer les données requises, procédez comme suit:

Ensemble de règles sur les menaces sans serveur

Les journaux Cloud Run incluent les journaux de requêtes et les journaux de conteneur, qui sont ingérés en tant que type de journal GCP_RUN dans Google Security Operations. Les journaux GCP_RUN peuvent être ingérés à l'aide d'une ingestion directe ou à l'aide de flux et de Cloud Storage. Pour en savoir plus sur les filtres de journaux spécifiques et l'ingestion, consultez Exporter des journaux Google Cloud vers Google Security Operations. Le filtre d'exportation suivant exporte les journaux Google Cloud Cloud Run (GCP_RUN) en plus des journaux par défaut via le mécanisme d'ingestion directe, ainsi que via Cloud Storage et les récepteurs:

log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)

Détections sélectionnées pour les ensembles de règles AWS

Les ensembles de règles AWS de cette catégorie aident à identifier les menaces dans les environnements AWS à l'aide de données d'événement et de contexte. Ils incluent les ensembles de règles suivants:

  • AWS - Compute: détecte les activités anormales liées aux ressources de calcul AWS telles qu'EC2 et Lambda.
  • AWS – Données: détecte l'activité AWS associée aux ressources de données telles que les instantanés RDS ou les buckets S3 mis à la disposition du public.
  • AWS GuardDuty: alertes AWS GuardDuty contextuelles pour le comportement, l'accès aux identifiants, le minage de cryptomonnaies, la découverte, l'évasion, l'exécution, l'exfiltration, l'impact, l'accès initial, les logiciels malveillants, les tests d'intrusion, la persistance, les règles, l'escalade de privilèges et l'accès non autorisé.
  • AWS - Hacktools: détecte l'utilisation de Hacktools dans un environnement AWS, tels que les outils d'analyse, les kits d'outils et les frameworks.
  • AWS - Identity (AWS - Identité) : détections d'activités AWS associées à IAM et à l'activité d'authentification, telles que des connexions inhabituelles à partir de plusieurs zones géographiques, la création de rôles trop permissifs ou l'activité IAM à partir d'outils suspects.
  • AWS - Logging and Monitoring (AWS - Journalisation et surveillance) : détecte l'activité AWS liée à la désactivation des services de journalisation et de surveillance, tels que CloudTrail, CloudWatch et GuardDuty.
  • AWS - Network (AWS - Réseau) : détecte les modifications non sécurisées des paramètres réseau AWS, tels que les groupes de sécurité et les pare-feu.
  • AWS – Organisation: détecte l'activité AWS associée à votre organisation, comme l'ajout ou la suppression de comptes, et les événements inattendus liés à l'utilisation des régions.
  • AWS - Secrets: détecte l'activité AWS associée aux secrets, aux jetons et aux mots de passe, comme la suppression de secrets KMS ou de secrets Secrets Manager.

Appareils et types de journaux compatibles avec AWS

Ces ensembles de règles ont été testés et sont compatibles avec les sources de données Google Security Operations suivantes, listées par nom de produit et étiquette d'ingestion.

Pour en savoir plus sur la configuration de l'ingestion de données AWS, consultez Configurer l'ingestion de données AWS.

Pour obtenir la liste de toutes les sources de données compatibles, consultez la section Analyseurs par défaut compatibles.

Les sections suivantes décrivent les données requises par les ensembles de règles qui identifient des tendances dans les données.

Vous pouvez ingérer des données AWS à l'aide d'un bucket Amazon Simple Storage Service (Amazon S3) en tant que type de source ou, éventuellement, à l'aide d'Amazon S3 avec Amazon Simple Queue Service (Amazon SQS). En règle générale, vous devez effectuer les tâches suivantes:

  • Configurez Amazon S3 ou Amazon S3 avec Amazon SQS pour collecter les données de journal.
  • Configurer un flux Google Security Operations pour ingérer des données à partir d'Amazon S3 ou d'Amazon SQS

Consultez Ingérer des journaux AWS dans Google Security Operations pour connaître la procédure détaillée à suivre pour configurer les services AWS et un flux Google Security Operations afin d'ingérer des données AWS.

Vous pouvez utiliser les règles de test AWS Managed Detection Testing pour vérifier que les données AWS sont ingérées dans le SIEM Google Security Operations. Ces règles de test permettent de vérifier si les données de journal AWS sont ingérées comme prévu. Après avoir configuré l'ingestion des données AWS, vous effectuez des actions dans AWS qui devraient déclencher les règles de test.

Consultez Vérifier l'ingestion des données AWS pour la catégorie "Cloud Threats" pour savoir comment vérifier l'ingestion des données AWS à l'aide des règles de test AWS Managed Detection Testing.

Détections sélectionnées pour les données Azure

Certains ensembles de règles de cette catégorie sont conçus pour fonctionner avec les données Azure afin d'identifier les menaces dans les environnements Azure à l'aide de données d'événements, de données contextuelles et d'alertes. Voici quelques exemples:

  • Azure - Compute: détecte les activités anormales liées aux ressources de calcul Azure, telles que Kubernetes et les machines virtuelles (VM).
  • Azure - Données: détecte l'activité associée aux ressources de données, telles que les autorisations de blob Azure, les modifications et les invitations d'utilisateurs externes à utiliser les services Azure sur le locataire.
  • Azure - Defender for Cloud: identifie les alertes reçues de Microsoft Defender for Cloud contextuel concernant le comportement des utilisateurs, l'accès aux identifiants, le cryptomining, la découverte, l'évasion, l'exécution, l'exfiltration, l'impact, l'accès initial, les logiciels malveillants, les tests d'intrusion, la persistance, les règles, l'escalade de privilèges ou l'accès non autorisé sur l'ensemble des services cloud Azure.
  • Azure - Hacktools: détecte l'utilisation d'outils de piratage dans un environnement Azure, tels que des anonymiseurs Tor et VPN, des scanners et des kits d'outils d'équipe rouge.
  • Azure - Identity: détecte l'activité liée à l'authentification et à l'autorisation, ce qui indique un comportement inhabituel tel qu'un accès simultané depuis plusieurs zones géographiques, des règles de gestion des accès trop permissives ou une activité RBAC Azure provenant d'outils suspects.
  • Azure - Journalisation et surveillance: détecte l'activité liée à la désactivation des services de journalisation et de surveillance dans Azure.
  • Azure - Network (Azure - Réseau) : détecte les modifications non sécurisées et notables apportées aux appareils ou paramètres réseau Azure, tels que les groupes de sécurité ou les pare-feu, le pare-feu d'application Web Azure et les stratégies de déni de service.
  • Azure – Organisation: détecte l'activité associée à votre organisation, comme l'ajout ou la suppression d'abonnements et de comptes.
  • Azure - Secrets: détecte l'activité associée aux secrets, aux jetons et aux mots de passe (par exemple, les modifications apportées à Azure Key Vault ou aux clés d'accès des comptes de stockage).

Appareils compatibles et types de journaux requis pour Azure

Ces ensembles de règles ont été testés et sont compatibles avec les sources de données suivantes, listées par nom de produit et libellé d'ingestion Google SecOps.

Ingérer des données Azure et Microsoft Entra ID

Vous devez ingérer les données de chaque source de données pour bénéficier d'une couverture maximale des règles. Pour savoir comment ingérer des données à partir de chaque source, consultez la documentation suivante.

La section suivante explique comment vérifier l'ingestion de données Azure à l'aide de règles de test prédéfinies.

Vérifier l'ingestion des données Azure

Le tableau de bord "Ingestion et état des données" de Google SecOps vous permet d'afficher des informations sur le type, le volume et l'état de toutes les données ingérées dans Google SecOps à l'aide des fonctionnalités d'ingestion SIEM.

Vous pouvez également utiliser les règles de test Azure Managed Detection Testing pour vérifier l'ingestion des données Azure. Une fois l'ingestion configurée, vous effectuez des actions dans le portail Azure qui devraient déclencher les règles de test. Elles sont destinées à vérifier que les données sont ingérées et au format attendu pour utiliser les détections sélectionnées pour les données Azure.

Activer les règles de test de la détection gérée Azure

  1. Dans Google Security Operations, cliquez sur Détections > Règles et détections pour ouvrir la page "Détections sélectionnées".
  2. Sélectionnez Tests de détection gérée > Tests de détection gérée Azure.
  3. Activez à la fois État et Alerte pour les règles générales et précises.

Envoyer des données sur les actions des utilisateurs pour déclencher les règles de test

Pour vérifier que les données sont ingérées comme prévu, créez un utilisateur et connectez-vous pour vérifier que ces actions déclenchent les règles de test. Pour en savoir plus sur la création d'utilisateurs dans Microsoft Entra ID, consultez la section Créer, inviter et supprimer des utilisateurs.

  1. Dans Azure, créez un utilisateur Microsoft Entra ID.

    1. Accédez au portail Azure.
    2. Ouvrez Microsoft Entra ID.
    3. Cliquez sur Ajouter, puis sur Créer un utilisateur. Pour définir l'utilisateur, procédez comme suit :
      1. Saisissez les informations suivantes :
        • Nom principal de l'utilisateur: GCTI_ALERT_VALIDATION
        • Nom principal de l'utilisateur: GCTI_ALERT_VALIDATION
        • Nom à afficher : GCTI_ALERT_VALIDATION
      2. Sélectionnez Générer automatiquement un mot de passe pour générer automatiquement un mot de passe pour cet utilisateur.
      3. Cochez la case Compte activé.
      4. Ouvrez l'onglet Examen et création.
      5. N'oubliez pas le mot de passe généré automatiquement. Vous l'utiliserez dans les étapes suivantes.
      6. Cliquez sur Créer.
    4. Ouvrez une fenêtre de navigateur en mode navigation privée, puis accédez au portail Azure.
    5. Connectez-vous avec l'utilisateur et le mot de passe que vous venez de créer.
    6. Modifier le mot de passe de l'utilisateur
    7. Inscrivez-vous à l'authentification multifacteur (MFA) conformément aux règles de votre organisation.
    8. Assurez-vous de vous être bien déconnecté du portail Azure.

  2. Pour vérifier que des alertes sont créées dans Google Security Operations:

    1. Dans Google Security Operations, cliquez sur Detections > Rules & Detections (Détections et règles) pour ouvrir la page Curated Detections (Détections sélectionnées).

    2. Cliquez sur Tableau de bord.

    3. Dans la liste des détections, vérifiez que les règles suivantes ont été déclenchées:

      • tst_azure_ad_user_creation
      • tst_azure_ad_user_login

  3. Une fois que vous avez confirmé que les données sont envoyées et que ces règles sont déclenchées, désactivez ou désactivez le compte utilisateur.

Envoyer des exemples d'alertes pour déclencher les règles de test

Pour vérifier que la génération d'exemples d'alertes de sécurité dans Azure déclenche les règles de test, procédez comme suit : Pour en savoir plus sur la génération d'exemples d'alertes de sécurité dans Microsoft Defender pour le cloud, consultez Validation des alertes dans Microsoft Defender pour le cloud.

  1. Dans le portail Azure, accédez à Tous les services.
  2. Sous Sécurité, ouvrez Microsoft Defender pour le cloud.
  3. Accédez à Alertes de sécurité.
  4. Cliquez sur Exemples d'alertes, puis procédez comme suit :
    1. Sélectionnez votre abonnement.
    2. Sélectionnez Tout pour Plans Defender for Cloud.
    3. Cliquez sur Créer des exemples d'alertes.
  5. Vérifiez que les alertes de test sont déclenchées.
  6. Dans Google Security Operations, cliquez sur Detections > Rules & Detections (Détections et règles) pour ouvrir la page Curated Detections (Détections sélectionnées).
  7. Cliquez sur Tableau de bord.
  8. Dans la liste des détections, vérifiez que les règles suivantes ont été déclenchées :
    • tst_azure_activity
    • tst_azure_defender_for_cloud_alerts

Exécuter une requête API GET dans l'explorateur Microsoft Graph pour déclencher les règles de test

Pour vérifier que la génération d'exemples d'alertes de sécurité dans Azure déclenche les règles de test, procédez comme suit :

  1. Accédez à Microsoft Graph Explorer (Explorateur Microsoft Graph).
  2. Assurez-vous que le locataire approprié est sélectionné en haut à droite.
  3. Cliquez sur Exécuter la requête.
  4. Vérifiez que les alertes de test sont déclenchées.
  5. Dans Google Security Operations, cliquez sur Detections > Rules & Detections (Détections et règles) pour ouvrir la page Curated Detections (Détections sélectionnées).
  6. Cliquez sur Tableau de bord.
  7. Dans la liste des détections, vérifiez que la règle tst_microsoft_graph_api_get_activity a été déclenchée.

Désactiver les ensembles de règles de test de détection gérée Azure

  1. Dans Google Security Operations, cliquez sur Détection > Règles et détections pour ouvrir la page Détections sélectionnées.
  2. Sélectionnez les règles Tests de détection gérés > Tests de détection gérés Azure.
  3. Désactivez État et Alertes pour les règles générales et précises.

Alertes de réglage renvoyées par les ensembles de règles

Vous pouvez réduire le nombre de détections générées par une règle ou un ensemble de règles à l'aide d'exclusions de règles.

Une exclusion de règle définit les critères utilisés pour exclure un événement de l'évaluation par l'ensemble de règles ou par des règles spécifiques de l'ensemble de règles. Créez une ou plusieurs exclusions de règles pour réduire le volume de détections. Pour savoir comment procéder, consultez Configurer des exclusions de règles.

Étape suivante