Descripción general de la categoría Amenazas de nube

Compatible con:

En este documento, se proporciona una descripción general de los conjuntos de reglas de la categoría Amenazas de Cloud, las fuentes de datos requeridas y la configuración que puedes usar para ajustar las alertas que genera cada conjunto de reglas. Estos conjuntos de reglas ayudan a identificar amenazas en entornos de Google Cloud con datos de Google Cloud y en entornos de AWS con datos de AWS.

Descripciones de los conjuntos de reglas

Los siguientes conjuntos de reglas están disponibles en la categoría Amenazas en la nube.

La sigla CDIR significa Detección, investigación y respuesta en la nube.

Detecciones seleccionadas para Google Cloud datos

Los conjuntos de reglas deGoogle Cloud ayudan a identificar amenazas en Google Cloud entornos con datos de eventos y contexto, y los siguientes conjuntos de reglas:

  • Acción de administrador: Actividad asociada con acciones administrativas que se consideran sospechosas, pero que pueden ser legítimas según el uso de la organización.
  • CDIR SCC Enhanced Exfiltration: Contiene reglas que identifican el contexto y correlacionan los resultados de robo de datos de Security Command Center con otras fuentes de registros, como los registros de Registros de auditoría de Cloud, el contexto de Sensitive Data Protection, el contexto de BigQuery y los registros de configuración incorrecta de Security Command Center.
  • Evasión de defensa mejorada de SCC de CDIR: Contiene reglas que se adaptan al contexto y que correlacionan los resultados de evasión o defensa de Security Command Center con datos de otras fuentes de datos deGoogle Cloud , como los registros de auditoría de Cloud.
  • Software malicioso mejorado de SCC de CDIR: Contiene reglas que tienen en cuenta el contexto y que correlacionan los resultados de software malicioso de Security Command Center con datos como la ocurrencia de direcciones IP y dominios, y sus puntuaciones de prevalencia, además de otras fuentes de datos, como los registros de Cloud DNS.
  • Persistencia mejorada de SCC de CDIR: Contiene reglas que tienen en cuenta el contexto y que correlacionan los resultados de persistencia de Security Command Center con datos de fuentes como los registros de Cloud DNS y los registros de análisis de IAM.
  • CDIR SCC Enhanced Privilege Escalation: Contiene reglas que se adaptan al contexto y que correlacionan los resultados de la escalada de privilegios de Security Command Center con datos de varias otras fuentes de datos, como los registros de auditoría de Cloud.
  • CDIR SCC Credential Access: Contiene reglas que tienen en cuenta el contexto y que correlacionan los resultados de acceso a credenciales de Security Command Center con datos de varias otras fuentes de datos, como los registros de auditoría de Cloud
  • CDIR SCC Enhanced Discovery: Contiene reglas que se adaptan al contexto y que correlacionan los resultados de la derivación de Security Command Center Discovery con datos de fuentes como los servicios de Google Cloud y los registros de auditoría de Cloud.
  • CDIR SCC Brute Force: Contiene reglas que tienen en cuenta el contexto y que correlacionan los resultados de la derivación de ataques de fuerza bruta de Security Command Center con datos como los registros de Cloud DNS.
  • CDIR SCC Data Destruction: Contiene reglas que tienen en cuenta el contexto y que correlacionan los resultados de la derivación de destrucción de datos de Security Command Center con datos de varias otras fuentes de datos, como los registros de auditoría de Cloud.
  • CDIR SCC Inhibit System Recovery: Contiene reglas conscientes del contexto que correlacionan los resultados de Inhibit System Recovery de Security Command Center con datos de varias otras fuentes de datos, como los registros de auditoría de Cloud.
  • CDIR SCC Execution: Contiene reglas que tienen en cuenta el contexto y que correlacionan los resultados de la ejecución de Security Command Center con datos de varias otras fuentes de datos, como los registros de auditoría de Cloud.
  • CDIR SCC Initial Access: Contiene reglas que tienen en cuenta el contexto y que correlacionan los resultados de acceso inicial de Security Command Center con datos de varias otras fuentes de datos, como los registros de auditoría de Cloud.
  • CDIR SCC Impair Defenses: Contiene reglas conscientes del contexto que correlacionan los resultados de Impair Defenses de Security Command Center con datos de varias otras fuentes de datos, como los registros de auditoría de Cloud.
  • CDIR SCC Impact: Contiene reglas que detectan los resultados de Impact de Security Command Center con una clasificación de gravedad crítica, alta, media y baja.
  • IDS de Cloud del SCC de CDIR: Contiene reglas que detectan los hallazgos del sistema de detección de intrusiones de Cloud desde Security Command Center con una clasificación de gravedad crítica, alta, media y baja.
  • CDIR SCC Cloud Armor: Contiene reglas que detectan los hallazgos de Google Cloud Armor desde Security Command Center.
  • Módulo personalizado de SCC de CDIR: Contiene reglas que detectan los resultados del módulo personalizado de Event Threat Detection de Security Command Center.
  • Herramienta de hackeo en la nube: Se detectó actividad desde plataformas de seguridad ofensivas conocidas o desde herramientas o software ofensivos que usan agentes de amenazas en el mundo real y que se dirigen específicamente a recursos de la nube.
  • Extorsión de Cloud SQL: Detecta la actividad asociada con el robo o la exfiltración de datos dentro de las bases de datos de Cloud SQL.
  • Herramientas sospechosas de Kubernetes: Detecta el comportamiento de reconocimiento y explotación de las herramientas de Kubernetes de código abierto.
  • Abuso de RBAC de Kubernetes: Detecta la actividad de Kubernetes asociada con el abuso de controles de acceso basados en roles (RBAC) que intentan elevación de privilegios o realizar movimientos laterales.
  • Acciones sensibles de certificados de Kubernetes: Detecta las acciones de los certificados de Kubernetes y las solicitudes de firma de certificados (CSR) que se podrían usar para establecer persistencia o derivar privilegios.
  • Abuso de IAM: Actividad asociada con el abuso de roles y permisos de IAM para escalar privilegios o moverse lateralmente dentro de un proyecto de Cloud determinado o en una organización de Cloud.
  • Posible actividad de robo de datos: Detecta la actividad asociada con un posible robo de datos.
  • Enmascaramiento de recursos: Detecta Google Cloud recursos creados con nombres o características de otro recurso o tipo de recurso. Esto se podría usar para enmascarar la actividad maliciosa que realiza el recurso o dentro de él, con la intención de parecer legítimo.
  • Amenazas sin servidores : Detecta la actividad asociada con un posible compromiso o abuso de los recursos sin servidores en Google Cloud, como Cloud Run y las funciones de Cloud Run.
  • Interrupción del servicio: Detecta acciones destructivas o disruptivas que, si se realizan en un entorno de producción en funcionamiento, pueden causar una interrupción significativa. El comportamiento detectado es común y, probablemente, benigno en los entornos de prueba y desarrollo.
  • Comportamiento sospechoso: Actividad que se considera poco común y sospechosa en la mayoría de los entornos.
  • Cambio de infraestructura sospechoso: Detecta modificaciones en la infraestructura de producción que se alinean con tácticas de persistencia conocidas.
  • Configuración debilitada: Actividad asociada con la debilitación o degradación de un control de seguridad. Se considera sospechoso y potencialmente legítimo según el uso de la organización.
  • Posible robo de datos de usuarios con información privilegiada desde Chrome: Detecta la actividad asociada con posibles comportamientos de amenazas de usuarios con información privilegiada, como el robo de datos o la pérdida de datos potencialmente sensibles fuera de una organización de Google Workspace. Esto incluye los comportamientos de Chrome que se consideran anómalos en comparación con un modelo de referencia de 30 días.
  • Posible robo de datos de fuentes internas desde Drive: Detecta la actividad asociada con posibles comportamientos de amenazas internas, como el robo de datos o la pérdida de datos potencialmente sensibles fuera de una organización de Google Workspace. Esto incluye los comportamientos de Drive que se consideran anómalos en comparación con un modelo de referencia de 30 días.
  • Posible robo de datos de usuarios con información privilegiada desde Gmail: Detecta la actividad asociada con posibles comportamientos de amenazas de usuarios con información privilegiada, como el robo de datos o la pérdida de datos potencialmente sensibles fuera de una organización de Google Workspace. Esto incluye los comportamientos de Gmail que se consideran anómalos en comparación con un modelo de referencia de 30 días.
  • Posible vulneración de la cuenta de Workspace: Detecta comportamientos de amenazas internas que indican que la cuenta podría haberse vulnerado y que podrían generar intentos de escalamiento de privilegios o de movimiento lateral dentro de una organización de Google Workspace. Esto incluiría comportamientos que se consideran poco frecuentes o anómalos en comparación con un modelo de referencia de 30 días.
  • Acciones administrativas sospechosas de Workspace: Detecta comportamientos que indiquen una posible evasión, una baja de seguridad o comportamientos inusuales y anómalos que nunca se hayan visto en los últimos 30 días por parte de usuarios con privilegios más altos, como administradores.

Tipos de dispositivos y registros compatibles

En las siguientes secciones, se describen los datos necesarios que requieren los conjuntos de reglas de la categoría Amenazas en la nube.

Para transferir datos de Google Cloud servicios, consulta Cómo transferir registros de Cloud a Google Security Operations. Comunícate con tu representante de Google Security Operations si necesitas recopilar estos registros con un mecanismo diferente.

Google Security Operations proporciona analizadores predeterminados que analizan y normalizan los registros sin procesar de los servicios de Google Cloud para crear registros de la AUA con los datos que requieren estos conjuntos de reglas.

Para obtener una lista de todas las fuentes de datos compatibles con las Operaciones de seguridad de Google, consulta Análisis predeterminados compatibles.

Todos los conjuntos de reglas

Para usar cualquier conjunto de reglas, te recomendamos que recopiles los Google Cloud registros de auditoría de Cloud. Algunas reglas requieren que los clientes habiliten el registro de Cloud DNS. Asegúrate de que los Google Cloud servicios estén configurados para registrar datos en los siguientes registros:

Conjunto de reglas de ransomware de Cloud SQL

Para usar el conjunto de reglas de secuestro de Cloud SQL, te recomendamos que recopiles los siguientes Google Cloud datos:

Conjuntos de reglas mejorados de SCC de CDIR

Todos los conjuntos de reglas que comienzan con el nombre CDIR SCC Enhanced usan los resultados de Security Command Center Premium contextualizados con varias otras fuentes de registros Google Cloud , incluidas las siguientes:

  • Registros de auditoría de Cloud
  • Registros de Cloud DNS
  • Análisis de Identity and Access Management (IAM)
  • Contexto de Sensitive Data Protection
  • Contexto de BigQuery
  • Contexto de Compute Engine

Para usar los conjuntos de reglas de CDIR SCC Enhanced, te recomendamos que recopiles los siguientes Google Cloud datos:

  • Datos de registro que se muestran en la sección Todos los conjuntos de reglas

  • Los siguientes datos de registro, enumerados por nombre del producto y etiqueta de transferencia de Google Security Operations:

    • BigQuery (GCP_BIGQUERY_CONTEXT)
    • Compute Engine (GCP_COMPUTE_CONTEXT)
    • IAM (GCP_IAM_CONTEXT)
    • Protección de datos sensibles (GCP_DLP_CONTEXT)
    • Registros de auditoría de Cloud (GCP_CLOUDAUDIT)
    • Actividad de Google Workspace (WORKSPACE_ACTIVITY)
    • Consultas de Cloud DNS (GCP_DNS)

  • Las siguientes clases de resultados de Security Command Center, enumeradas por identificador findingClass y etiqueta de transferencia de Google Security Operations:

    • Threat (GCP_SECURITYCENTER_THREAT)
    • Misconfiguration (GCP_SECURITYCENTER_MISCONFIGURATION)
    • Vulnerability (GCP_SECURITYCENTER_VULNERABILITY)
    • SCC Error (GCP_SECURITYCENTER_ERROR)

Los conjuntos de reglas de CDIR SCC mejorado también dependen de los datos de los Google Cloud servicios. Para enviar los datos necesarios a Google Security Operations, asegúrate de completar lo siguiente:

Los siguientes conjuntos de reglas crean una detección cuando se identifican hallazgos de Event Threat Detection de Security Command Center, Google Cloud Armor, Security Command Center Sensitive Actions Service y módulos personalizados para Event Threat Detection:

  • IDS de Cloud de SCC de CDIR
  • CDIR SCC Cloud Armor
  • Impacto de SCC en CDIR
  • Persistencia mejorada de SCC de CDIR
  • Evasión de defensas mejorada de SCC de CDIR
  • Módulo personalizado de SCC de CDIR

Conjunto de reglas de herramientas sospechosas de Kubernetes

Para usar el conjunto de reglas Herramientas sospechosas de Kubernetes, te recomendamos que recopiles los datos que se indican en la sección Todos los conjuntos de reglas. Asegúrate de que los servicios de Google Cloud estén configurados para registrar datos en los registros de nodos de Google Kubernetes Engine (GKE).

Conjunto de reglas de abuso del RBAC de Kubernetes

Para usar el conjunto de reglas Abuso de RBAC de Kubernetes, te recomendamos que recopiles los registros de auditoría de Cloud, que se enumeran en la sección Todos los conjuntos de reglas.

Conjunto de reglas de Acciones sensibles de certificados de Kubernetes

Para usar el conjunto de reglas Acciones sensibles a certificados de Kubernetes, te recomendamos que recopiles los registros de auditoría de Cloud, que se enumeran en la sección Todos los conjuntos de reglas.

Conjuntos de reglas relacionados con Google Workspace

Los siguientes conjuntos de reglas detectan patrones en los datos de Google Workspace:

  • Posible robo de datos de usuarios con información privilegiada desde Chrome
  • Posible robo de datos de usuarios con información privilegiada desde Drive
  • Posible robo de datos de fuentes internas de Gmail
  • Posible vulneración de la cuenta de Workspace
  • Acciones administrativas sospechosas de Workspace

Estos conjuntos de reglas requieren los siguientes tipos de registros, enumerados por nombre de producto y etiqueta de transferencia de Google Security Operations:

  • Actividades de Workspace (WORKSPACE_ACTIVITY)
  • Alertas de Workspace (WORKSPACE_ALERTS)
  • Dispositivos ChromeOS de Workspace (WORKSPACE_CHROMEOS)
  • Dispositivos móviles de Workspace (WORKSPACE_MOBILE)
  • Usuarios de Workspace (WORKSPACE_USERS)
  • Administración en la nube para el navegador Google Chrome (CHROME_MANAGEMENT)
  • Registros de Gmail (GMAIL_LOGS)

Para transferir los datos necesarios, haz lo siguiente:

Conjunto de reglas de amenazas sin servidores

Los registros de Cloud Run incluyen registros de solicitudes y de contenedores, que se transfieren como el tipo de registro GCP_RUN en las operaciones de seguridad de Google. Los registros de GCP_RUN se pueden transferir mediante la transferencia directa o con feeds y Cloud Storage. Para obtener filtros de registro específicos y más detalles sobre la transferencia, consulta Cómo exportar Google Cloud registros a Google Security Operations. El siguiente filtro de exportación exporta los Google Cloud registros de Cloud Run (GCP_RUN), además de los registros predeterminados a través del mecanismo de transferencia directa y a través de Cloud Storage y sumideros:

log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)

Detecciones seleccionadas para conjuntos de reglas de AWS

Los conjuntos de reglas de AWS de esta categoría ayudan a identificar amenazas en los entornos de AWS con datos de eventos y contexto, y los siguientes conjuntos de reglas:

  • AWS - Compute: Detecta actividad anómala en torno a los recursos de procesamiento de AWS, como EC2 y Lambda.
  • AWS - Datos: Detecta la actividad de AWS asociada con recursos de datos, como las instantáneas de RDS o los buckets de S3 que se ponen a disposición del público.
  • AWS - GuardDuty: Alertas de AWS GuardDuty adaptadas al contexto para comportamiento, acceso a credenciales, criptominería, descubrimiento, evasión, ejecución, robo de información, impacto, acceso inicial, software malicioso, pruebas de penetración, persistencia, política, escalamiento de privilegios y acceso no autorizado.
  • AWS: Hacktools: Detecta el uso de herramientas de hackeo en un entorno de AWS, como escáneres, kits de herramientas y frameworks.
  • AWS: Identidad: Detecciones de actividad de AWS asociada con IAM y actividad de autenticación, como accesos inusuales desde varias ubicaciones geográficas, creación de roles demasiado permisivos o actividad de IAM desde herramientas sospechosas.
  • AWS: Registro y supervisión: Detecta la actividad de AWS relacionada con la inhabilitación de servicios de registro y supervisión, como CloudTrail, CloudWatch y GuardDuty.
  • AWS: Red: Detecta alteraciones no seguras en la configuración de red de AWS, como grupos de seguridad y firewalls.
  • AWS: Organización: Detecta la actividad de AWS asociada con tu organización, como la adición o eliminación de cuentas, y eventos inesperados relacionados con el uso de la región.
  • AWS - Secretos: Detecta la actividad de AWS asociada con secretos, tokens y contraseñas, como la eliminación de secretos de KMS o de Secrets Manager.

Tipos de dispositivos y registros compatibles con AWS

Estos conjuntos de reglas se probaron y son compatibles con las siguientes fuentes de datos de Google Security Operations, que se enumeran por nombre del producto y etiqueta de transferencia.

Consulta Configura la transferencia de datos de AWS para obtener información sobre cómo configurar la transferencia de datos de AWS.

Para obtener una lista de todas las fuentes de datos compatibles, consulta Sintetizadores predeterminados compatibles.

En las siguientes secciones, se describen los datos necesarios que requieren los conjuntos de reglas que identifican patrones en los datos.

Puedes transferir datos de AWS con un bucket de Amazon Simple Storage Service (Amazon S3) como tipo de fuente o, de manera opcional, con Amazon S3 y Amazon Simple Queue Service (Amazon SQS). En un nivel alto, deberás hacer lo siguiente:

Consulta Cómo transferir registros de AWS a Google Security Operations para obtener los pasos detallados necesarios para configurar los servicios de AWS y un feed de Google Security Operations para transferir datos de AWS.

Puedes usar las reglas de prueba de pruebas de detección administradas por AWS para verificar que los datos de AWS se transfieran al SIEM de Google Security Operations. Estas reglas de prueba ayudan a verificar si los datos de registro de AWS se transfieren como se espera. Después de configurar la transferencia de datos de AWS, realizas acciones en AWS que deberían activar las reglas de prueba.

Consulta Cómo verificar la transferencia de datos de AWS para la categoría Amenazas en la nube para obtener información sobre cómo verificar la transferencia de datos de AWS con las reglas de prueba de Pruebas de detección administradas por AWS.

Detecciones seleccionadas para datos de Azure

Ciertos conjuntos de reglas de esta categoría están diseñados para funcionar con datos de Azure y, así, identificar amenazas en entornos de Azure con datos de eventos, datos de contexto y alertas. Entre ellas, se incluyen las siguientes:

  • Azure - Procesamiento: Detecta actividad anómala relacionada con los recursos de procesamiento de Azure, como Kubernetes y máquinas virtuales (VM).
  • Azure: Datos: Detecta la actividad asociada con recursos de datos, como permisos de Azure Blob, modificaciones y invitaciones a usuarios externos para usar los servicios de Azure en el usuario.
  • Azure - Defender for Cloud: Identifica las alertas recibidas de Microsoft Defender for Cloud consciente del contexto relacionadas con el comportamiento del usuario, el acceso a credenciales, la criptominería, el descubrimiento, la evasión, la ejecución, la extracción, el impacto, el acceso inicial, el software malicioso, las pruebas de penetración, la persistencia, la política, la elevación de privilegios o el acceso no autorizado en todos los servicios en la nube de Azure.
  • Azure - Hacktools: Detecta el uso de herramientas de hackeo en un entorno de Azure, como anonimizadores de Tor y VPN, escáneres y kits de herramientas de equipos de ataque.
  • Azure - Identity: Detecta la actividad relacionada con la autenticación y la autorización, lo que indica un comportamiento inusual, como el acceso simultáneo desde varias ubicaciones geográficas, políticas de administración de acceso demasiado permisivas o actividad de RBAC de Azure desde herramientas sospechosas.
  • Azure: Registro y supervisión: Detecta la actividad relacionada con la inhabilitación de los servicios de registro y supervisión en Azure.
  • Azure: Red: Detecta alteraciones no seguras y notables en los dispositivos o la configuración de red de Azure, como grupos de seguridad o firewalls, el firewall de aplicaciones web de Azure y las políticas de denegación del servicio.
  • Azure: Organización: Detecta la actividad asociada con tu organización, como la adición o eliminación de suscripciones y cuentas.
  • Azure - Secrets: Detecta la actividad asociada con secretos, tokens y contraseñas (por ejemplo, modificaciones en Azure Key Vault o en las claves de acceso de la cuenta de almacenamiento).

Dispositivos compatibles y tipos de registro obligatorios para Azure

Estos conjuntos de reglas se probaron y son compatibles con las siguientes fuentes de datos, que se enumeran por nombre de producto y etiqueta de transferencia de SecOps de Google.

Transferir datos de Azure y Microsoft Entra ID

Debes transferir datos de cada fuente de datos para tener la máxima cobertura de reglas. Consulta la siguiente documentación para obtener información sobre cómo transferir datos desde cada fuente.

En la siguiente sección, se describe cómo verificar la transferencia de datos de Azure con reglas de prueba predefinidas.

Verifica la transferencia de datos de Azure

El panel de estado y transferencia de datos de Google SecOps te permite ver información sobre el tipo, el volumen y el estado de todos los datos que se transfieren a Google SecOps con las funciones de transferencia de SIEM.

También puedes usar las reglas de prueba de Azure Managed Detection Testing para verificar la transferencia de datos de Azure. Después de configurar la transferencia, realizas acciones en el portal de Azure que deberían activar las reglas de prueba. Su objetivo es verificar que los datos se transfieran y estén en el formato esperado para usar las detecciones seleccionadas para los datos de Azure.

Habilita las reglas de prueba de la detección administrada de Azure

  1. En Google Security Operations, haz clic en Detección > Reglas y detecciones para abrir la página Detecciones seleccionadas.
  2. Selecciona Pruebas de detección administrada > Pruebas de detección administrada de Azure.
  3. Habilita Estado y Alertas para las reglas Generales y Precisas.

Envía datos de acciones del usuario para activar las reglas de prueba

Para verificar que los datos se transfieran como se espera, crea un usuario y accede para verificar que estas acciones activen las reglas de prueba. Para obtener información sobre cómo crear usuarios en el ID de Microsoft Entra, consulta Cómo crear, invitar y borrar usuarios.

  1. En Azure, crea un nuevo usuario de Microsoft Entra ID.

    1. Navega al portal de Azure.
    2. Abre Microsoft Entra ID.
    3. Haz clic en Agregar y, luego, en Crear usuario nuevo. Para definir al usuario, haz lo siguiente:
      1. Ingresa la siguiente información:
        • Nombre principal de usuario: GCTI_ALERT_VALIDATION
        • Nombre principal de usuario: GCTI_ALERT_VALIDATION
        • Nombre visible: GCTI_ALERT_VALIDATION
      2. Selecciona Generar contraseña automáticamente para generar una contraseña automáticamente para este usuario.
      3. Selecciona la casilla de verificación Account Enabled.
      4. Abre la pestaña Revisar y crear.
      5. Recuerda la contraseña generada automáticamente. La usarás en los próximos pasos.
      6. Haz clic en Crear.
    4. Abre una ventana del navegador en modo incógnito y, luego, navega al portal de Azure.
    5. Accede con el usuario y la contraseña que creaste recientemente.
    6. Cambia la contraseña del usuario.
    7. Inscríbete en la autenticación de varios factores (MFA) de acuerdo con la política de tu organización.
    8. Asegúrate de salir correctamente del portal de Azure.

  2. Para verificar que se creen alertas en Google Security Operations, haz lo siguiente:

    1. En Google Security Operations, haz clic en Detección > Reglas y detecciones para abrir la página Detección seleccionada.

    2. Haz clic en Panel.

    3. En la lista de detecciones, verifica que se hayan activado las siguientes reglas:

      • tst_azure_ad_user_creation
      • tst_azure_ad_user_login

  3. Después de confirmar que se envían los datos y que se activan estas reglas, desactiva o anula la aprovisionación de la cuenta de usuario.

Envía alertas de muestra para activar las reglas de prueba

Sigue estos pasos para verificar que la generación de alertas de seguridad de muestra en Azure active las reglas de prueba. Para obtener más información sobre cómo generar alertas de seguridad de muestra en Microsoft Defender for Cloud, consulta Validación de alertas en Microsoft Defender for Cloud.

  1. En el portal de Azure, navega a Todos los servicios.
  2. En Seguridad, abre Microsoft Defender for Cloud.
  3. Navega a Alertas de seguridad.
  4. Haz clic en Alertas de muestra y, luego, haz lo siguiente:
    1. Selecciona tu suscripción.
    2. Selecciona todos para Defender for Cloud Plans.
    3. Haz clic en Crear alertas de muestra.
  5. Verifica que se activen las alertas de prueba.
  6. En Google Security Operations, haz clic en Detección > Reglas y detecciones para abrir la página Detección seleccionada.
  7. Haz clic en Panel.
  8. En la lista de detecciones, verifica que se hayan activado las siguientes reglas:
    • tst_azure_activity
    • tst_azure_defender_for_cloud_alerts

Ejecuta una solicitud GET a la API en el Explorador de Microsoft Graph para activar las reglas de prueba

Sigue estos pasos para verificar que la generación de alertas de seguridad de muestra en Azure active las reglas de prueba.

  1. Navega al Explorador de Microsoft Graph.
  2. Asegúrate de que esté seleccionado el inquilino adecuado en la esquina superior derecha.
  3. Haga clic en Ejecutar consulta.
  4. Verifica que se activen las alertas de prueba.
  5. En Google Security Operations, haz clic en Detección > Reglas y detecciones para abrir la página Detección seleccionada.
  6. Haz clic en Panel.
  7. En la lista de detecciones, verifica que se haya activado la regla tst_microsoft_graph_api_get_activity.

Inhabilita los conjuntos de reglas de pruebas de detección administrada de Azure

  1. En Google Security Operations, haz clic en Detección > Reglas y detecciones para abrir la página Detección seleccionada.
  2. Selecciona las reglas Pruebas de detección administrada > Pruebas de detección administrada de Azure.
  3. Inhabilita Estado y Alertas para las reglas Generales y Precisas.

Cómo ajustar las alertas que muestran los conjuntos de reglas

Puedes reducir la cantidad de detecciones que genera una regla o un conjunto de reglas con las exclusiones de reglas.

Una exclusión de reglas define los criterios que se usan para excluir un evento de la evaluación del conjunto de reglas o de reglas específicas del conjunto. Crea una o más exclusiones de reglas para ayudar a reducir el volumen de detecciones. Consulta Configura exclusiones de reglas para obtener información sobre cómo hacerlo.

¿Qué sigue?