Ringkasan Kategori Ancaman Cloud

Dokumen ini memberikan ringkasan kumpulan aturan dalam kategori Cloud Threats, sumber data yang diperlukan, dan konfigurasi yang dapat Anda gunakan untuk menyesuaikan pemberitahuan yang dihasilkan oleh setiap kumpulan aturan. Kumpulan aturan ini membantu mengidentifikasi ancaman di lingkungan Google Cloud menggunakan data Google Cloud dan di lingkungan AWS menggunakan data AWS.

Deskripsi kumpulan aturan

Kumpulan aturan berikut tersedia di kategori Cloud Threats.

• Kumpulan aturan untuk Google Cloud data

• Kumpulan aturan untuk data AWS

Singkatan CDIR adalah singkatan dari Cloud Detection, Investigation, and Response.

Deteksi pilihan untuk Google Cloud data

Kumpulan aturanGoogle Cloud membantu mengidentifikasi ancaman di lingkungan Google Cloud menggunakan data peristiwa dan konteks, serta menyertakan kumpulan aturan berikut:

• Tindakan Admin: Aktivitas yang terkait dengan tindakan administratif, yang dianggap mencurigakan, tetapi berpotensi sah, bergantung pada penggunaan organisasi.
• Pemindahan Tidak Sah yang Ditingkatkan SCC CDIR: Berisi aturan berbasis konteks yang menghubungkan temuan Pemindahan Tidak Sah Security Command Center dengan sumber log lainnya, seperti log Cloud Audit Logs, konteks Sensitive Data Protection, konteks BigQuery, dan log Konfigurasi Salah Security Command Center.
• CDIR SCC Enhanced Defense Evasion: Berisi aturan kontekstual yang menghubungkan temuan Evasion atau Defense Evasion Security Command Center dengan data dari sumber dataGoogle Cloud lain seperti Cloud Audit Logs.
• Malware Enhanced CDIR SCC: Berisi aturan berbasis konteks yang menghubungkan temuan Malware Security Command Center dengan data seperti kemunculan alamat IP dan domain serta skor prevalensi, selain sumber data lainnya seperti log Cloud DNS.
• Persistensi yang Ditingkatkan SCC CDIR: Berisi aturan berbasis konteks yang menghubungkan temuan Persistensi Security Command Center dengan data dari sumber seperti log Cloud DNS dan log analisis IAM.
• CDIR SCC Enhanced Privilege Escalation: Berisi aturan berbasis konteks yang menghubungkan temuan Eskalasi hak istimewa Security Command Center dengan data dari beberapa sumber data lainnya, seperti Cloud Audit Logs.
• CDIR SCC Credential Access: Berisi aturan kontekstual yang menghubungkan temuan Akses Kredensial Security Command Center dengan data dari beberapa sumber data lainnya, seperti Log Audit Cloud
• Penemuan yang Ditingkatkan SCC CDIR: Berisi aturan berbasis konteks yang menghubungkan temuan eskalasi Penemuan Security Command Center dengan data dari sumber seperti Google Cloud layanan dan Cloud Audit Logs.
• CDIR SCC Brute Force: Berisi aturan berbasis konteks yang menghubungkan temuan eskalasi Brute Force Security Command Center dengan data seperti log Cloud DNS.
• CDIR SCC Data Destruction: Berisi aturan berbasis konteks yang menghubungkan temuan eskalasi Penghancuran Data Security Command Center dengan data dari beberapa sumber data lainnya, seperti Cloud Audit Logs.
• CDIR SCC Inhibit System Recovery: Berisi aturan berbasis konteks yang menghubungkan temuan Security Command Center Inhibit System Recovery dengan data dari beberapa sumber data lainnya seperti Cloud Audit Logs.
• Eksekusi SCC CDIR: Berisi aturan berbasis konteks yang menghubungkan temuan Eksekusi Security Command Center dengan data dari beberapa sumber data lainnya seperti Cloud Audit Logs.
• Akses Awal CDIR SCC: Berisi aturan kontekstual yang menghubungkan temuan Akses Awal Security Command Center dengan data dari beberapa sumber data lainnya seperti Log Audit Cloud.
• CDIR SCC Impair Defenses: Berisi aturan berbasis konteks yang menghubungkan temuan Impair Defenses Security Command Center dengan data dari beberapa sumber data lain seperti Cloud Audit Logs.
• Dampak SCC CDIR: Berisi aturan yang mendeteksi temuan Dampak dari Security Command Center dengan klasifikasi tingkat keparahan Kritis, Tinggi, Sedang, dan Rendah.
• CDIR SCC Cloud IDS: Berisi aturan yang mendeteksi temuan Cloud Intrusion Detection System dari Security Command Center dengan klasifikasi tingkat keparahan Kritis, Tinggi, Sedang, dan Rendah.
• CDIR SCC Cloud Armor: Berisi aturan yang mendeteksi temuan Google Cloud Armor dari Security Command Center.
• Modul Kustom CDIR SCC: Berisi aturan yang mendeteksi temuan modul kustom Event Threat Detection dari Security Command Center.
• Cloud Hacktool: Aktivitas yang terdeteksi dari platform keamanan ofensif yang diketahui atau dari alat atau software ofensif yang digunakan secara bebas oleh pelaku ancaman yang secara khusus menargetkan resource cloud.
• Pencurian Data Cloud SQL: Mendeteksi aktivitas yang terkait dengan eksfiltrasi atau pencurian data dalam database Cloud SQL.
• Alat Mencurigakan Kubernetes: Mendeteksi perilaku pengintaian dan eksploitasi dari alat Kubernetes open source.
• Penyalahgunaan RBAC Kubernetes: Mendeteksi aktivitas Kubernetes yang terkait dengan penyalahgunaan kontrol akses berbasis peran (RBAC) yang mencoba eskalasi hak istimewa atau pergerakan lateral.
• Tindakan Sensitif Sertifikat Kubernetes: Mendeteksi tindakan Sertifikat Kubernetes dan Permintaan Penandatanganan Sertifikat (CSR) yang dapat digunakan untuk membuat persistensi atau mengeskalasi hak istimewa.
• Penyalahgunaan IAM: Aktivitas yang terkait dengan penyalahgunaan peran dan izin IAM untuk meningkatkan hak istimewa atau berpindah secara lateral dalam project Cloud tertentu atau di seluruh organisasi Cloud.
• Potensi Aktivitas Eksfiltrasi: Mendeteksi aktivitas yang terkait dengan potensi eksfiltrasi data.
• Penyamaran Resource: Mendeteksi Google Cloud resource yang dibuat dengan nama atau karakteristik resource atau jenis resource lain. Hal ini dapat digunakan untuk menyamarkan aktivitas berbahaya yang dilakukan oleh atau dalam resource, dengan niat untuk tampak sah.
• Serverless Threats : Mendeteksi aktivitas yang terkait dengan potensi kompromi atau penyalahgunaan resource Serverless di Google Cloud, seperti Cloud Run dan fungsi Cloud Run.
• Gangguan Layanan: Mendeteksi tindakan destruktif atau mengganggu yang, jika dilakukan di lingkungan produksi yang berfungsi, dapat menyebabkan penonaktifan yang signifikan. Perilaku yang terdeteksi umum terjadi dan kemungkinan tidak berbahaya di lingkungan pengujian dan pengembangan.
• Perilaku Mencurigakan: Aktivitas yang dianggap tidak biasa dan mencurigakan di sebagian besar lingkungan.
• Perubahan Infrastruktur yang Mencurigakan: Mendeteksi modifikasi pada infrastruktur produksi yang selaras dengan taktik persistensi yang diketahui
• Konfigurasi yang Dilemahkan: Aktivitas yang terkait dengan melemahkan atau menurunkan kualitas kontrol keamanan. Dianggap mencurigakan, berpotensi sah, bergantung pada penggunaan organisasi.
• Potensi Pemindahan Data Pihak Internal dari Chrome: Mendeteksi aktivitas yang terkait dengan potensi perilaku ancaman pihak internal seperti pemindahan data atau kehilangan data yang berpotensi sensitif di luar organisasi Google Workspace. Hal ini mencakup perilaku dari Chrome yang dianggap anomali dibandingkan dengan dasar pengukuran 30 hari.
• Potensi Pemindahan Data Pihak Internal dari Drive: Mendeteksi aktivitas yang terkait dengan potensi perilaku ancaman pihak internal seperti pemindahan data yang tidak sah atau hilangnya data yang berpotensi sensitif di luar organisasi Google Workspace. Hal ini mencakup perilaku dari Drive yang dianggap anomali dibandingkan dengan dasar pengukuran 30 hari.
• Potensi Pemindahan Data Pihak Internal dari Gmail: Mendeteksi aktivitas yang terkait dengan potensi perilaku ancaman pihak internal seperti pemindahan data atau hilangnya data yang berpotensi sensitif di luar organisasi Google Workspace. Hal ini mencakup perilaku dari Gmail yang dianggap anomali dibandingkan dengan dasar pengukuran 30 hari.
• Potensi Penyusupan Akun Workspace: Mendeteksi perilaku ancaman pihak internal yang menunjukkan bahwa akun tersebut berpotensi disusupi dan dapat menyebabkan upaya eskalasi hak istimewa atau upaya pergerakan lateral dalam organisasi Google Workspace. Hal ini akan mencakup perilaku yang dianggap jarang atau anomali dibandingkan dengan dasar pengukuran 30 hari.
• Tindakan Administratif Workspace yang Mencurigakan: Mendeteksi perilaku yang menunjukkan potensi pengelakan, penurunan keamanan, atau perilaku langka dan anomali yang belum pernah terlihat dalam 30 hari terakhir dari pengguna dengan hak istimewa yang lebih tinggi seperti administrator.

Perangkat dan jenis log yang didukung

Bagian berikut menjelaskan data yang diperlukan oleh kumpulan aturan dalam kategori Cloud Threats.

Untuk menyerap data dari layanan Google Cloud , lihat Menyerap log Cloud ke Google Security Operations. Hubungi perwakilan Google Security Operations jika Anda perlu mengumpulkan log ini menggunakan mekanisme yang berbeda.

Google Security Operations menyediakan parser default yang mengurai dan menormalisasi log mentah dari layanan Google Cloud untuk membuat data UDM dengan data yang diperlukan oleh kumpulan aturan ini.

Untuk daftar semua sumber data yang didukung Google Security Operations, lihat Parser default yang didukung.

Semua kumpulan aturan

Untuk menggunakan kumpulan aturan apa pun, sebaiknya kumpulkan Google Cloud Cloud Audit Logs. Aturan tertentu mewajibkan pelanggan mengaktifkan logging Cloud DNS. Pastikan layanan Google Cloud dikonfigurasi untuk mencatat data ke log berikut:

• Cloud Audit Logs
• Log Cloud DNS

Kumpulan aturan Tebusan Cloud SQL

Untuk menggunakan kumpulan aturan Pencurian Data Cloud SQL, sebaiknya kumpulkan data Google Cloud berikut:

• Data log yang tercantum di bagian Semua kumpulan aturan.
• Log Cloud SQL.

Kumpulan aturan CDIR SCC Enhanced

Semua kumpulan aturan yang dimulai dengan nama CDIR SCC Enhanced menggunakan temuan Security Command Center Premium yang dikontekstualisasikan dengan beberapa sumber log Google Cloud lainnya, termasuk yang berikut:

• Cloud Audit Logs
• Log Cloud DNS
• Analisis Identity and Access Management (IAM)
• Konteks Sensitive Data Protection
• Konteks BigQuery
• Konteks Compute Engine

Untuk menggunakan kumpulan aturan CDIR SCC Enhanced, sebaiknya kumpulkan data Google Cloud berikut:

• Data log yang tercantum di bagian Semua set aturan.

• Data log berikut, yang tercantum berdasarkan nama produk dan label penyerapan Google Security Operations:

  • BigQuery (GCP_BIGQUERY_CONTEXT)
  • Compute Engine (GCP_COMPUTE_CONTEXT)
  • IAM (GCP_IAM_CONTEXT)
  • Perlindungan Data Sensitif (GCP_DLP_CONTEXT)
  • Cloud Audit Logs (GCP_CLOUDAUDIT)
  • Aktivitas Google Workspace (WORKSPACE_ACTIVITY)
  • Kueri Cloud DNS (GCP_DNS)

• Kelas temuan Security Command Center berikut, yang tercantum berdasarkan ID findingClass dan label penyerapan Google Security Operations:

  • Threat (GCP_SECURITYCENTER_THREAT)
  • Misconfiguration (GCP_SECURITYCENTER_MISCONFIGURATION)
  • Vulnerability (GCP_SECURITYCENTER_VULNERABILITY)
  • SCC Error (GCP_SECURITYCENTER_ERROR)

Kumpulan aturan CDIR SCC Enhanced juga bergantung pada data dari Google Cloud layanan. Untuk mengirim data yang diperlukan ke Google Security Operations, pastikan Anda menyelesaikan hal berikut:

• Aktifkan logging untuk produk dan layanan Google Cloud yang diperlukan.
• Mengaktifkan Security Command Center Premium dan layanan terkait.
• Konfigurasikan Penyerapan log Google Cloud ke Google Security Operations.
• Konfigurasikan ekspor temuan Event Threat Detection ke Google Security Operations. Secara default, semua temuan Security Command Center akan diserap. Lihat Mengekspor temuan Security Command Center untuk mengetahui informasi selengkapnya tentang cara parser default Google Security Operations memetakan kolom data.
• Aktifkan Cloud Audit Logs dan konfigurasikan ekspor Cloud Audit Logs ke Google Security Operations. Lihat Mengumpulkan Cloud Audit Logs untuk mengetahui informasi selengkapnya.
• Aktifkan log Google Workspace dan kirim log ini ke Google Security Operations. Lihat Mengumpulkan log Google Workspace untuk mengetahui informasi selengkapnya.
• Konfigurasikan ekspor Google Cloud metadata aset, dan data terkait konteks, ke Google Security Operations. Lihat Mengekspor Google Cloud Metadata Aset ke Google Security Operations dan Mengekspor data Perlindungan Data Sensitif ke Google Security Operations untuk mengetahui informasi selengkapnya.

Kumpulan aturan berikut akan membuat deteksi saat temuan dari Event Threat Detection Security Command Center, Google Cloud Armor, Security Command Center Sensitive Actions Service, dan Modul kustom untuk Event Threat Detection diidentifikasi:

• Cloud IDS CDIR SCC
• Cloud Armor CDIR SCC
• Dampak SCC CDIR
• Persistensi yang Ditingkatkan CDIR SCC
• Penghindaran Pertahanan yang Ditingkatkan CDIR SCC
• Modul Kustom CDIR SCC

Kumpulan aturan Alat Mencurigakan Kubernetes

Untuk menggunakan kumpulan aturan Alat Mencurigakan Kubernetes, sebaiknya kumpulkan data yang tercantum di bagian Semua kumpulan aturan. Pastikan layanan Google Cloud dikonfigurasi untuk mencatat data ke Log Node Google Kubernetes Engine (GKE)

Kumpulan aturan Penyalahgunaan RBAC Kubernetes

Untuk menggunakan kumpulan aturan Penyalahgunaan RBAC Kubernetes, sebaiknya kumpulkan Cloud Audit Logs, yang tercantum di bagian Semua kumpulan aturan.

Kumpulan aturan Tindakan Sensitif Sertifikat Kubernetes

Untuk menggunakan kumpulan aturan Tindakan Sensitif Sertifikat Kubernetes, sebaiknya kumpulkan Cloud Audit Logs, yang tercantum di bagian Semua kumpulan aturan.

Kumpulan aturan terkait Google Workspace

Set aturan berikut mendeteksi pola dalam data Google Workspace:

• Potensi Pemindahan Data dari Pihak Internal dari Chrome
• Potensi Pemindahan Data Pihak Internal yang Tidak Sah dari Drive
• Potensi Pemindahan Data Orang Dalam dari Gmail
• Kemungkinan Penyusupan Akun Workspace
• Tindakan Administratif Workspace yang Mencurigakan

Kumpulan aturan ini memerlukan jenis log berikut, yang tercantum berdasarkan nama produk dan label penyerapan Google Security Operations:

• Aktivitas Ruang Kerja (WORKSPACE_ACTIVITY)
• Notifikasi Workspace (WORKSPACE_ALERTS)
• Perangkat ChromeOS Workspace (WORKSPACE_CHROMEOS)
• Perangkat Seluler Workspace (WORKSPACE_MOBILE)
• Pengguna Workspace (WORKSPACE_USERS)
• Pengelolaan Cloud Browser Google Chrome (CHROME_MANAGEMENT)
• Log Gmail (GMAIL_LOGS)

Untuk menyerap data yang diperlukan, lakukan hal berikut:

• Kumpulkan data yang tercantum di bagian Semua kumpulan aturan dalam dokumen ini.

• Lihat Menyerap data Google Workspace ke Google Security Operations untuk mengumpulkan log WORKSPACE_ACTIVITY, WORKSPACE_CHROMEOS, CHROME_MANAGEMENT, dan GMAIL.

• Lihat Mengumpulkan log Google Workspace untuk menyerap log berikut:

  • WORKSPACE_ALERTS
  • WORKSPACE_MOBILE
  • WORKSPACE_USERS

Kumpulan aturan Serverless Threats

• Kumpulkan data yang tercantum di bagian Semua kumpulan aturan dalam dokumen ini.
• Log Cloud Run (GCP_RUN).

Log Cloud Run mencakup Log permintaan dan log Penampung yang diserap sebagai jenis log GCP_RUN di Google Security Operations. Log GCP_RUN dapat diserap menggunakan penyerapan langsung atau menggunakan Feed dan Cloud Storage. Untuk filter log tertentu dan detail penyerapan selengkapnya, lihat Mengekspor Google Cloud Log ke Google Security Operations. Filter ekspor berikut mengekspor log Google Cloud Cloud Run (GCP_RUN), selain log default melalui mekanisme penyerapan langsung serta melalui Cloud Storage dan Sink:

log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)

Deteksi pilihan untuk kumpulan aturan AWS

Kumpulan aturan AWS dalam kategori ini membantu mengidentifikasi ancaman di lingkungan AWS menggunakan data peristiwa dan konteks, serta mencakup kumpulan aturan berikut:

• AWS - Compute: Mendeteksi aktivitas abnormal seputar resource komputasi AWS seperti EC2 dan Lambda.
• AWS - Data: Mendeteksi aktivitas AWS yang terkait dengan resource data seperti ringkasan RDS atau bucket S3 yang tersedia untuk publik.
• AWS - GuardDuty: Notifikasi AWS GuardDuty yang kontekstual untuk Perilaku, Akses Kredensial, Cryptomining, Penemuan, Pengelakan, Eksekusi, Eksfiltrasi, Dampak, Akses Awal, Malware, Pengujian Penembusan, Persistensi, Kebijakan, Eskalasi Hak Istimewa, dan Akses Tidak Sah.
• AWS - Hacktools: Mendeteksi penggunaan Hacktools di lingkungan AWS seperti pemindai, toolkit, dan framework.
• AWS - Identity: Deteksi untuk aktivitas AWS yang terkait dengan aktivitas IAM dan autentikasi seperti login yang tidak biasa dari beberapa lokasi geografis, pembuatan peran yang terlalu permisif, atau aktivitas IAM dari alat yang mencurigakan.
• AWS - Logging and Monitoring: Mendeteksi aktivitas AWS yang terkait dengan penonaktifan layanan logging dan pemantauan, seperti CloudTrail, CloudWatch, dan GuardDuty.
• AWS - Jaringan: Mendeteksi perubahan yang tidak aman pada setelan jaringan AWS seperti grup keamanan dan firewall.
• AWS - Organisasi: Mendeteksi aktivitas AWS yang terkait dengan organisasi Anda, seperti penambahan atau penghapusan akun, dan peristiwa tak terduga yang terkait dengan penggunaan region.
• AWS - Secrets: Mendeteksi aktivitas AWS yang terkait dengan secret, token, dan sandi, seperti penghapusan secret KMS atau secret Secrets Manager.

Perangkat dan jenis log yang didukung untuk AWS

Kumpulan aturan ini telah diuji dan didukung dengan sumber data Google Security Operations berikut, yang tercantum berdasarkan nama produk dan label penyerapan.

• AWS CloudTrail (AWS_CLOUDTRAIL)
• AWS GuardDuty (GUARDDUTY)
• AWS EC2 HOSTS (AWS_EC2_HOSTS)
• AWS EC2 INSTANCES (AWS_EC2_INSTANCES)
• AWS EC2 VPCS (AWS_EC2_VPCS)
• AWS IAM (IAM) (AWS_IAM)

Lihat Mengonfigurasi penyerapan data AWS untuk mengetahui informasi tentang menyiapkan penyerapan data AWS.

Untuk mengetahui daftar semua sumber data yang didukung, lihat Parser default yang didukung.

Bagian berikut menjelaskan data yang diperlukan oleh kumpulan aturan yang mengidentifikasi pola dalam data.

Anda dapat menyerap data AWS menggunakan bucket Amazon Simple Storage Service (Amazon S3) sebagai jenis sumber atau, secara opsional, menggunakan Amazon S3 dengan Amazon Simple Queue Service (Amazon SQS). Pada level yang tinggi, Anda harus melakukan hal berikut:

• Konfigurasikan Amazon S3 atau Amazon S3 dengan Amazon SQS untuk mengumpulkan data log.
• Mengonfigurasi Feed Operasi Keamanan Google untuk menyerap data dari Amazon S3 atau Amazon SQS

Lihat Menyerap log AWS ke Google Security Operations untuk mengetahui langkah-langkah mendetail yang diperlukan untuk mengonfigurasi layanan AWS dan mengonfigurasi Feed Google Security Operations untuk menyerap data AWS.

Anda dapat menggunakan aturan pengujian Pengujian Deteksi yang Dikelola AWS untuk memverifikasi bahwa data AWS dimasukkan ke SIEM Google Security Operations. Aturan pengujian ini membantu memverifikasi apakah data log AWS diproses seperti yang diharapkan. Setelah menyiapkan penyerapan data AWS, Anda melakukan tindakan di AWS yang akan memicu aturan pengujian.

Lihat Memverifikasi penyerapan data AWS untuk kategori Cloud Threats untuk mengetahui informasi tentang cara memverifikasi penyerapan data AWS menggunakan aturan pengujian AWS Managed Detection Testing.

Deteksi pilihan untuk data Azure

Kumpulan aturan tertentu dalam kategori ini dirancang untuk berfungsi dengan data Azure guna mengidentifikasi ancaman di lingkungan Azure menggunakan data peristiwa, data konteks, dan pemberitahuan. Hal ini mencakup:

• Azure - Compute: Mendeteksi aktivitas abnormal yang terkait dengan resource komputasi Azure, seperti Kubernetes dan virtual machine (VM).
• Azure - Data: Mendeteksi aktivitas yang terkait dengan resource data seperti izin blob, perubahan, dan undangan Azure kepada pengguna eksternal untuk menggunakan layanan Azure di tenant.
• Azure - Defender for Cloud: Mengidentifikasi pemberitahuan yang diterima dari Microsoft Defender for Cloud berbasis konteks yang terkait dengan perilaku pengguna, akses kredensial, penambangan kripto, penemuan, pengelakan, eksekusi, ekstraksi, dampak, akses awal, malware, pengujian penetrasi, persistensi, kebijakan, eskalasi hak istimewa, atau akses tidak sah di semua layanan cloud Azure.
• Azure - Hacktools: Mendeteksi penggunaan alat peretasan di lingkungan Azure, seperti anonimizer Tor dan VPN, pemindai, dan toolkit tim merah.
• Azure - Identity: Mendeteksi aktivitas yang terkait dengan autentikasi dan otorisasi, yang menunjukkan perilaku tidak biasa seperti akses serentak dari beberapa lokasi geografis, kebijakan pengelolaan akses yang terlalu permisif, atau aktivitas RBAC Azure dari alat yang mencurigakan.
• Azure - Logging and Monitoring: Mendeteksi aktivitas yang terkait dengan penonaktifan layanan logging dan pemantauan dalam Azure.
• Azure - Jaringan: Mendeteksi perubahan yang tidak aman dan signifikan pada perangkat atau setelan jaringan Azure, seperti grup keamanan atau firewall, Azure Web Application Firewall, dan kebijakan denial of service.
• Azure - Organisasi: Mendeteksi aktivitas yang terkait dengan organisasi Anda, seperti penambahan atau penghapusan langganan dan akun.
• Azure - Secrets: Mendeteksi aktivitas yang terkait dengan secret, token, dan sandi (misalnya, modifikasi pada Azure Key Vault atau kunci akses akun penyimpanan).

Perangkat yang didukung dan jenis log yang diperlukan untuk Azure

Set aturan ini telah diuji dan didukung dengan sumber data berikut, yang tercantum menurut nama produk dan label penyerapan Google SecOps.

• Layanan Cloud Azure (AZURE_ACTIVITY)
• Microsoft Entra ID, sebelumnya Azure Active Directory (AZURE_AD)
• Log audit Microsoft Entra ID, sebelumnya log audit Azure AD (AZURE_AD_AUDIT)
• Microsoft Defender for Cloud (MICROSOFT_GRAPH_ALERT)
• Aktivitas Microsoft Graph API (MICROSOFT_GRAPH_ACTIVITY_LOGS)

Menyerap data Azure dan Microsoft Entra ID

Anda harus menyerap data dari setiap sumber data untuk memiliki cakupan aturan maksimum. Lihat dokumentasi berikut untuk mengetahui informasi tentang cara menyerap data dari setiap sumber.

• Mengambil log Aktivitas Azure Monitor dari Layanan Cloud Azure.
• Mengumpulkan data Microsoft Entra ID (sebelumnya disebut Azure AD), termasuk hal berikut:
  • Log Microsoft Entra ID
  • Log audit Microsoft Entra ID
  • Data konteks Microsoft Entra ID
• Kumpulkan log pemberitahuan Microsoft Graph Security API untuk Mengambil log Microsoft Defender for Cloud menggunakan Microsoft Graph Security API.
• Mengumpulkan log aktivitas Microsoft Graph API untuk Mengambil log Aktivitas Microsoft Graph API menggunakan Microsoft Graph API.

Bagian berikut menjelaskan cara memverifikasi penyerapan data Azure menggunakan aturan pengujian standar.

Memverifikasi penyerapan data Azure

Dasbor Status dan Proses Transfer Data Google SecOps memungkinkan Anda melihat informasi tentang jenis, volume, dan status semua data yang ditransfer ke Google SecOps menggunakan fitur transfer SIEM.

Anda juga dapat menggunakan aturan pengujian Azure Managed Detection Testing untuk memverifikasi penyerapan data Azure. Setelah menyiapkan penyerapan, Anda akan melakukan tindakan di portal Azure yang akan memicu aturan pengujian. Pengujian ini dimaksudkan untuk memverifikasi bahwa data diserap dan dalam format yang diharapkan untuk menggunakan deteksi yang diseleksi untuk data Azure.

Mengaktifkan aturan pengujian Azure Managed Detection Testing

1. Di Google Security Operations, klik Detections > Rules & Detections untuk membuka halaman Curated Detections.
2. Pilih Pengujian Deteksi Terkelola > Pengujian Deteksi Terkelola Azure.
3. Aktifkan Status dan Pemberitahuan untuk aturan Luas dan Teliti.

Mengirim data tindakan pengguna untuk memicu aturan pengujian

Untuk memverifikasi bahwa data diserap seperti yang diharapkan, buat pengguna dan login untuk memverifikasi bahwa tindakan ini memicu aturan pengujian. Untuk informasi tentang cara membuat pengguna di Microsoft Entra ID, lihat Cara membuat, mengundang, dan menghapus pengguna.

1. Di Azure, buat pengguna Microsoft Entra ID baru.

   1. Buka portal Azure.
   2. Buka Microsoft Entra ID.
   3. Klik Tambahkan, lalu Buat Pengguna Baru. Lakukan hal berikut untuk menentukan pengguna:
      1. Masukkan informasi berikut:
         • Nama akun utama pengguna: GCTI_ALERT_VALIDATION
         • Nama akun utama pengguna: GCTI_ALERT_VALIDATION
         • Nama tampilan: GCTI_ALERT_VALIDATION
      2. Pilih Buat Sandi Otomatis untuk membuat sandi secara otomatis bagi pengguna ini.
      3. Centang kotak Account Enabled.
      4. Buka tab Tinjau + Buat.
      5. Ingat sandi yang dibuat secara otomatis. Anda akan menggunakannya di langkah mendatang.
      6. Klik Buat.
   4. Buka jendela browser dalam mode Samaran, lalu buka portal Azure.
   5. Login dengan pengguna dan sandi yang baru dibuat.
   6. Ubah sandi pengguna.
   7. Daftar ke autentikasi multi-faktor (MFA) sesuai dengan kebijakan organisasi Anda.
   8. Pastikan Anda berhasil logout dari portal Azure.

2. Lakukan tindakan berikut untuk memverifikasi bahwa pemberitahuan dibuat di Google Security Operations:

   1. Di Google Security Operations, klik Detections > Rules & Detections untuk membuka halaman Curated Detections.

   2. Klik Dasbor.

   3. Dalam daftar deteksi, pastikan aturan berikut dipicu:

      • tst_azure_ad_user_creation
      • tst_azure_ad_user_login

3. Setelah Anda mengonfirmasi bahwa data dikirim dan aturan ini dipicu, nonaktifkan atau batalkan penyediaan akun pengguna.

Mengirim contoh pemberitahuan untuk memicu aturan pengujian

Lakukan langkah-langkah berikut untuk memverifikasi bahwa pembuatan contoh pemberitahuan keamanan di Azure memicu aturan pengujian. Untuk mengetahui informasi selengkapnya tentang cara membuat contoh pemberitahuan keamanan di Microsoft Defender for Cloud, lihat Validasi pemberitahuan di Microsoft Defender for Cloud.

1. Di Portal Azure, buka Semua Layanan.
2. Di bagian Keamanan, buka Microsoft Defender for Cloud.
3. Buka Pemberitahuan Keamanan.
4. Klik Sample Alerts, lalu lakukan tindakan berikut:
   1. Pilih langganan Anda.
   2. Pilih semua untuk Paket Defender for Cloud.
   3. Klik Buat Contoh Pemberitahuan.
5. Pastikan pemberitahuan pengujian dipicu.
6. Di Google Security Operations, klik Detections > Rules & Detections untuk membuka halaman Curated Detections.
7. Klik Dasbor.
8. Dalam daftar deteksi, pastikan aturan berikut dipicu:
   • tst_azure_activity
   • tst_azure_defender_for_cloud_alerts

Jalankan permintaan GET API di Microsoft Graph Explorer untuk memicu aturan pengujian

Lakukan langkah-langkah berikut untuk memverifikasi bahwa pembuatan contoh pemberitahuan keamanan di Azure memicu aturan pengujian.

1. Buka Microsoft Graph Explorer.
2. Pastikan tenant yang sesuai dipilih di pojok kanan atas.
3. Klik Run Query.
4. Pastikan pemberitahuan pengujian dipicu.
5. Di Google Security Operations, klik Detections > Rules & Detections untuk membuka halaman Curated Detections.
6. Klik Dasbor.
7. Dalam daftar deteksi, pastikan aturan tst_microsoft_graph_api_get_activity dipicu.

Menonaktifkan kumpulan aturan Pengujian Deteksi Terkelola Azure

1. Di Google Security Operations, klik Detection > Rules & Detections untuk membuka halaman Curated Detections.
2. Pilih aturan Pengujian Deteksi Terkelola > Pengujian Deteksi Terkelola Azure.
3. Nonaktifkan Status dan Pemberitahuan untuk aturan Luas dan Teliti.

Menyesuaikan pemberitahuan yang ditampilkan oleh kumpulan aturan

Anda dapat mengurangi jumlah deteksi yang dihasilkan aturan atau kumpulan aturan menggunakan pengecualian aturan.

Pengecualian aturan menentukan kriteria yang digunakan untuk mengecualikan peristiwa agar tidak dievaluasi oleh kumpulan aturan, atau oleh aturan tertentu dalam kumpulan aturan. Buat satu atau beberapa pengecualian aturan untuk membantu mengurangi volume deteksi. Lihat Mengonfigurasi pengecualian aturan untuk mengetahui informasi tentang cara melakukannya.

Langkah berikutnya

• Menyerap log Google Cloud
• Menyerap log AWS
• Menyelidiki pemberitahuan

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.