Übersicht über die Kategorie „Cloud-Bedrohungen“

Unterstützt in:

Dieses Dokument bietet einen Überblick über die Regelsätze in der Kategorie „Cloud Threats“, die erforderlichen Datenquellen und die Konfiguration, mit der Sie die von den einzelnen Regelsätzen generierten Benachrichtigungen optimieren können. Mit diesen Regelsätzen lassen sich Bedrohungen in Google Cloud-Umgebungen mit Google Cloud -Daten und in AWS-Umgebungen mit AWS-Daten erkennen.

Beschreibungen von Regelsätzen

Die folgenden Regelsätze sind in der Kategorie „Cloud-Bedrohungen“ verfügbar.

Die Abkürzung CDIR steht für Cloud Detection, Investigation, and Response (Erkennung, Untersuchung und Reaktion in der Cloud).

Ausgewählte Erkennungen für Google Cloud -Daten

Google Cloud Regelsätze helfen dabei, Bedrohungen in Google Cloud Umgebungen mithilfe von Ereignis- und Kontextdaten zu erkennen. Sie umfassen die folgenden Regelsätze:

  • Administratoraktion: Aktivität im Zusammenhang mit Administratoraktionen, die als verdächtig, aber je nach Nutzung der Organisation potenziell legitim eingestuft werden.
  • CDIR SCC Enhanced Exfiltration: Enthält kontextbezogene Regeln, mit denen Security Command Center-Ergebnisse zur Datenexfiltration mit anderen Logquellen korreliert werden, einschließlich Cloud-Audit-Logs, Sensitive Data Protection-Kontext, BigQuery-Kontext und Security Command Center-Logs zu Fehlkonfigurationen.
  • CDIR SCC Enhanced Defense Evasion: Enthält kontextbezogene Regeln, die Security Command Center-Ergebnisse zu Umgehung oder Defense Evasion mit Daten aus anderenGoogle Cloud -Datenquellen, einschließlich Cloud-Audit-Logs, in Beziehung setzen.
  • CDIR SCC Enhanced Malware: Enthält kontextbezogene Regeln, die Security Command Center-Malware-Ergebnisse mit Daten korrelieren, einschließlich des Vorkommens von IP-Adressen und Domains sowie deren Häufigkeitswerten, zusätzlich zu anderen Datenquellen wie Cloud DNS-Logs.
  • CDIR SCC Enhanced Persistence: Enthält kontextbezogene Regeln, die Security Command Center-Ergebnisse zur Persistenz mit Daten aus Quellen wie Cloud DNS-Logs und IAM-Analyse-Logs korrelieren.
  • CDIR SCC Enhanced Privilege Escalation: Enthält kontextbezogene Regeln, die Security Command Center-Ergebnisse zur Berechtigungseskalierung mit Daten aus verschiedenen anderen Datenquellen, einschließlich Cloud-Audit-Logs, in Beziehung setzen.
  • CDIR SCC Credential Access: Enthält kontextbezogene Regeln, mit denen Security Command Center-Ergebnisse zum Anmeldedatenzugriff mit Daten aus verschiedenen anderen Datenquellen korreliert werden, einschließlich Cloud-Audit-Logs.
  • CDIR SCC Enhanced Discovery: Enthält kontextbezogene Regeln, die Eskalierungsergebnisse von Security Command Center Discovery mit Daten aus Quellen wie Google Cloud Diensten und Cloud-Audit-Logs korrelieren.
  • CDIR SCC Brute Force: Enthält kontextbezogene Regeln, die Security Command Center-Ergebnisse zur Brute-Force-Eskalierung mit Daten korrelieren, einschließlich Cloud DNS-Logs.
  • CDIR SCC Data Destruction: Enthält kontextbezogene Regeln, die Eskalierungsergebnisse zur Datenvernichtung in Security Command Center mit Daten aus verschiedenen anderen Datenquellen korrelieren, einschließlich Cloud-Audit-Logs.
  • CDIR SCC Inhibit System Recovery: Enthält kontextbezogene Regeln, die Security Command Center-Ergebnisse vom Typ „Inhibit System Recovery“ mit Daten aus verschiedenen anderen Datenquellen, einschließlich Cloud-Audit-Logs, in Beziehung setzen.
  • CDIR SCC Execution: Enthält kontextbezogene Regeln, die Security Command Center-Ausführungsergebnisse mit Daten aus verschiedenen anderen Datenquellen korrelieren, einschließlich Cloud-Audit-Logs.
  • CDIR SCC Initial Access: Enthält kontextbezogene Regeln, mit denen Security Command Center-Ergebnisse zum ersten Zugriff mit Daten aus verschiedenen anderen Datenquellen, einschließlich Cloud-Audit-Logs, korreliert werden.
  • CDIR SCC Impair Defenses: Enthält kontextbezogene Regeln, die Security Command Center-Ergebnisse vom Typ „Impair Defenses“ mit Daten aus verschiedenen anderen Datenquellen, einschließlich Cloud-Audit-Logs, korrelieren.
  • CDIR SCC Impact: Enthält Regeln, mit denen Impact-Ergebnisse aus Security Command Center mit der Schweregradklassifizierung „Kritisch“, „Hoch“, „Mittel“ und „Niedrig“ erkannt werden.
  • CDIR SCC Cloud IDS: Enthält Regeln, mit denen Cloud Intrusion Detection System-Ergebnisse aus Security Command Center mit den Schweregraden „Kritisch“, „Hoch“, „Mittel“ und „Niedrig“ erkannt werden.
  • CDIR SCC Cloud Armor: Enthält Regeln, mit denen Google Cloud Armor-Ergebnisse aus Security Command Center erkannt werden.
  • CDIR SCC Custom Module: Enthält Regeln, mit denen Ergebnisse benutzerdefinierter Event Threat Detection-Module aus Security Command Center erkannt werden.
  • Cloud-Hacktool: Es wurden Aktivitäten von bekannten offensiven Sicherheitsplattformen oder von offensiven Tools oder Software erkannt, die von Angreifern in der Praxis verwendet werden und speziell auf Cloud-Ressourcen ausgerichtet sind.
  • Cloud SQL Ransom: Erkennt Aktivitäten, die mit der Exfiltration oder dem Ransomware-Angriff auf Daten in Cloud SQL-Datenbanken in Verbindung stehen.
  • Kubernetes Suspicious Tools: Erkennt Aufklärungs- und Ausnutzungsverhalten von Open-Source-Kubernetes-Tools.
  • Kubernetes RBAC Abuse: Erkennt Kubernetes-Aktivitäten, die mit dem Missbrauch der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) in Verbindung stehen und auf Rechteausweitung oder laterale Bewegung abzielen.
  • Kubernetes Certificate Sensitive Actions: Erkennt Aktionen für Kubernetes-Zertifikate und Anfragen zur Zertifikatssignierung (Certificate Signing Requests, CSRs), die verwendet werden könnten, um Persistenz zu erreichen oder Berechtigungen zu eskalieren.
  • IAM-Missbrauch: Aktivitäten im Zusammenhang mit dem Missbrauch von IAM-Rollen und -Berechtigungen, um möglicherweise Berechtigungen zu eskalieren oder sich lateral innerhalb eines bestimmten Cloud-Projekts oder in einer Cloud-Organisation zu bewegen.
  • Potenzielle Exfiltrationsaktivität: Erkennt Aktivitäten, die mit einem potenziellen Datenabfluss in Verbindung stehen.
  • Ressourcen-Masquerading: Erkennt Google Cloud Ressourcen, die mit Namen oder Merkmalen einer anderen Ressource oder eines anderen Ressourcentyps erstellt wurden. Dies könnte dazu verwendet werden, schädliche Aktivitäten zu verschleiern, die von oder innerhalb der Ressource ausgeführt werden, um legitim zu erscheinen.
  • Serverless Threats : Erkennt Aktivitäten, die mit einer potenziellen Kompromittierung oder einem potenziellen Missbrauch von serverlosen Ressourcen in Google Cloud, einschließlich Cloud Run und Cloud Run Functions, in Verbindung stehen.
  • Dienstunterbrechung: Erkennen Sie destruktive oder störende Aktionen, die in einer funktionierenden Produktionsumgebung einen erheblichen Ausfall verursachen können. Das erkannte Verhalten ist in Test- und Entwicklungsumgebungen üblich und wahrscheinlich harmlos.
  • Verdächtiges Verhalten: Aktivitäten, die in den meisten Umgebungen als ungewöhnlich und verdächtig gelten.
  • Verdächtige Infrastrukturänderung: Erkennt Änderungen an der Produktionsinfrastruktur, die mit bekannten Persistenzstrategien übereinstimmen
  • Geschwächte Konfiguration: Aktivität, die mit der Schwächung oder Beeinträchtigung einer Sicherheitskontrolle in Verbindung steht. Als verdächtig eingestuft, je nach Organisationsnutzung potenziell legitim.
  • Potenzielle Daten-Exfiltration durch Insider über Chrome: Erkennt Aktivitäten, die mit potenziellen Insiderbedrohungen in Verbindung stehen, einschließlich Daten-Exfiltration oder Verlust potenziell sensibler Daten außerhalb einer Google Workspace-Organisation. Dazu gehören Verhaltensweisen in Chrome, die im Vergleich zu einer 30‑Tage-Baseline als anomal gelten.
  • Potenzielle Insider-Datenexfiltration aus Drive: Erkennt Aktivitäten, die mit potenziellen Insider-Bedrohungen in Verbindung stehen, einschließlich Datenexfiltration oder Verlust potenziell sensibler Daten außerhalb einer Google Workspace-Organisation. Dazu gehören Verhaltensweisen in Drive, die im Vergleich zu einer 30‑Tages-Baseline als anomal gelten.
  • Potenzielle Insider-Datenexfiltration aus Gmail: Erkennt Aktivitäten, die mit potenziellen Insider-Bedrohungen in Verbindung stehen, einschließlich Datenexfiltration oder Verlust potenziell vertraulicher Daten außerhalb einer Google Workspace-Organisation. Dazu gehören Verhaltensweisen in Gmail, die im Vergleich zu einer 30-Tage-Baseline als anomal gelten.
  • Potenzieller Missbrauch von Workspace-Konten: Erkennt Insider-Bedrohungen, die darauf hindeuten, dass das Konto möglicherweise manipuliert wurde. Dies kann zu Versuchen führen, Berechtigungen zu eskalieren oder sich innerhalb einer Google Workspace-Organisation seitlich zu bewegen. Dazu gehören Verhaltensweisen, die im Vergleich zu einer 30‑Tages-Baseline als selten oder anomal gelten.
  • Verdächtige Administratoraktionen in Workspace: Erkennen von Verhaltensweisen, die auf potenzielle Umgehungen, Sicherheitsdowngrades oder seltene und anomale Verhaltensweisen hinweisen, die in den letzten 30 Tagen bei Nutzern mit höheren Berechtigungen, einschließlich Administratoren, noch nie beobachtet wurden.

Unterstützte Geräte und Protokolltypen

In den folgenden Abschnitten werden die erforderlichen Daten beschrieben, die von Regelsätzen in der Kategorie „Cloud-Bedrohungen“ benötigt werden.

Informationen zum Aufnehmen von Daten aus Google Cloud -Diensten finden Sie unter Cloud-Logs in Google SecOps aufnehmen. Wenden Sie sich an Ihren Google SecOps-Ansprechpartner, wenn Sie diese Protokolle mit einem anderen Mechanismus erfassen müssen.

Google SecOps bietet Standardparser, die Rohlogs aus Google Cloud -Diensten parsen und normalisieren, um UDM-Datensätze mit Daten zu erstellen, die für diese Regelsätze erforderlich sind.

Eine Liste aller von Google SecOps unterstützten Datenquellen finden Sie unter Unterstützte Standardparser.

Alle Regelsätze

Wenn Sie ein Regelset verwenden möchten, empfehlen wir, Google CloudCloud-Audit-Logs zu erfassen. Für bestimmte Regeln müssen Kunden das Cloud DNS-Logging aktivieren. Achten Sie darauf, dass die Google Cloud -Dienste so konfiguriert sind, dass Daten in den folgenden Logs aufgezeichnet werden:

Cloud SQL-Regelsatz für Ransomware

Wenn Sie das Cloud SQL Ransom-Regelset verwenden möchten, empfehlen wir, die folgenden Google Cloud Daten zu erfassen:

Erweiterte CDIR SCC-Regelsätze

Für alle Regelsätze, die mit dem Namen CDIR SCC Enhanced beginnen, werden Security Command Center Premium-Ergebnisse verwendet, die mit mehreren anderen Google Cloud Log-Quellen in Kontext gesetzt werden, darunter:

  • Cloud-Audit-Logs
  • Cloud DNS-Logs
  • Analyse der Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM)
  • Kontext für den Schutz sensibler Daten
  • BigQuery-Kontext
  • Compute Engine-Kontext

Wenn Sie die Regelsätze CDIR SCC Enhanced verwenden möchten, empfehlen wir, die folgenden Google Cloud Daten zu erheben:

  • Logdaten, die im Bereich Alle Regelsätze aufgeführt sind.

  • Die folgenden Logdaten, sortiert nach Produktname und Google SecOps-Aufnahmelabel:

    • BigQuery (GCP_BIGQUERY_CONTEXT)
    • Compute Engine (GCP_COMPUTE_CONTEXT)
    • IAM (GCP_IAM_CONTEXT)
    • Schutz sensibler Daten (GCP_DLP_CONTEXT)
    • Cloud-Audit-Logs (GCP_CLOUDAUDIT)
    • Google Workspace-Aktivität (WORKSPACE_ACTIVITY)
    • Cloud DNS-Abfragen (GCP_DNS)

  • Die folgenden Security Command Center-Ergebnisklassen, sortiert nach findingClass-Kennung und Google SecOps-Aufnahmelabel:

    • Threat (GCP_SECURITYCENTER_THREAT)
    • Misconfiguration (GCP_SECURITYCENTER_MISCONFIGURATION)
    • Vulnerability (GCP_SECURITYCENTER_VULNERABILITY)
    • SCC Error (GCP_SECURITYCENTER_ERROR)

Die CDIR SCC Enhanced-Regelsätze hängen auch von Daten aus Google Cloud -Diensten ab. Damit Sie die erforderlichen Daten an Google SecOps senden können, müssen Sie Folgendes tun:

Die folgenden Regelsätze erstellen eine Erkennung, wenn Ergebnisse aus Security Command Center Event Threat Detection, Google Cloud Armor, Security Command Center Sensitive Actions Service und benutzerdefinierten Modulen für Event Threat Detection ermittelt werden:

  • CDIR SCC Cloud IDS
  • CDIR SCC Cloud Armor
  • Auswirkungen von CDIR SCC
  • CDIR SCC Enhanced Persistence
  • CDIR SCC Enhanced Defense Evasion
  • CDIR SCC Custom Module

Regelsatz für verdächtige Kubernetes-Tools

Wenn Sie den Regelsatz Kubernetes Suspicious Tools verwenden möchten, empfehlen wir, die im Abschnitt Alle Regelsätze aufgeführten Daten zu erheben. Achten Sie darauf, dass die Google Cloud-Dienste so konfiguriert sind, dass Daten in GKE-Knotenlogs aufgezeichnet werden.

Kubernetes RBAC Abuse-Regelsatz

Wenn Sie den Regelsatz Kubernetes RBAC Abuse verwenden möchten, empfehlen wir, die Cloud-Audit-Logs zu erfassen, die im Abschnitt Alle Regelsätze aufgeführt sind.

Regelsatz für vertrauliche Kubernetes-Zertifikatsaktionen

Wenn Sie den Regelsatz Kubernetes Certificate Sensitive Actions verwenden möchten, empfehlen wir, die Cloud-Audit-Logs zu erfassen, die im Abschnitt Alle Regelsätze aufgeführt sind.

Regelsätze für Google Workspace

Mit den folgenden Regelsätzen werden Muster in Google Workspace-Daten erkannt:

  • Potenzielle Daten-Exfiltration durch Insider über Chrome
  • Potenzielle Daten-Exfiltration durch Insider aus Drive
  • Potenzielle Insider-Daten-Exfiltration aus Gmail
  • Mögliche Manipulation von Workspace-Konten
  • Verdächtige administrative Aktionen in Workspace

Für diese Regelsätze sind die folgenden Logtypen erforderlich, die nach Produktname und Google SecOps-Aufnahmelabel aufgeführt sind:

  • Workspace-Aktivitäten (WORKSPACE_ACTIVITY)
  • Workspace-Benachrichtigungen (WORKSPACE_ALERTS)
  • Workspace ChromeOS-Geräte (WORKSPACE_CHROMEOS)
  • Workspace-Mobilgeräte (WORKSPACE_MOBILE)
  • Workspace-Nutzer (WORKSPACE_USERS)
  • Google Chrome-Verwaltung über die Cloud (CHROME_MANAGEMENT)
  • Gmail-Protokolle (GMAIL_LOGS)

So nehmen Sie die erforderlichen Daten auf:

Regelsatz für serverlose Bedrohungen

Cloud Run-Logs enthalten Anfrage- und Containerlogs, die als Logtyp GCP_RUN in Google SecOps aufgenommen werden. GCP_RUN-Logs können über die direkte Erfassung oder über Feeds und Cloud Storage aufgenommen werden. Spezifische Logfilter und weitere Details zur Aufnahme finden Sie unter Google Cloud Logs in Google SecOps exportieren. Mit dem folgenden Exportfilter werden zusätzlich zu den Standardlogs sowohl über den Mechanismus für die direkte Aufnahme als auch über Cloud Storage und Senken Google Cloud Cloud Run-Logs (GCP_RUN) exportiert:

log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)

Ausgewählte Erkennungen für AWS-Regelsätze

AWS-Regelsätze in dieser Kategorie helfen dabei, Bedrohungen in AWS-Umgebungen mithilfe von Ereignis- und Kontextdaten zu erkennen. Sie umfassen die folgenden Regelsätze:

  • AWS – Compute: Erkennt anomale Aktivitäten im Zusammenhang mit AWS-Computing-Ressourcen, einschließlich EC2 und Lambda.
  • AWS – Daten: Erkennt AWS-Aktivitäten, die mit Datenressourcen verknüpft sind, einschließlich öffentlich verfügbar gemachter RDS-Snapshots oder S3-Buckets.
  • AWS – GuardDuty: Kontextbezogene AWS GuardDuty-Benachrichtigungen für Verhalten, Anmeldedatenzugriff, Kryptomining, Erkennung, Umgehung, Ausführung, Exfiltration, Auswirkungen, Erstanmeldung, Malware, Penetrationstests, Persistenz, Richtlinie, Rechteausweitung und unbefugter Zugriff.
  • AWS – Hacktools: Erkennt die Verwendung von Hacktools in einer AWS-Umgebung, z. B. Scanner, Toolkits und Frameworks.
  • AWS – Identität: Erkennungen für AWS-Aktivitäten im Zusammenhang mit IAM und Authentifizierungsaktivitäten, einschließlich ungewöhnlicher Anmeldungen von mehreren geografischen Standorten, Erstellung von Rollen mit zu vielen Berechtigungen oder IAM-Aktivitäten von verdächtigen Tools.
  • AWS – Logging und Monitoring: Erkennt AWS-Aktivitäten im Zusammenhang mit der Deaktivierung von Logging- und Monitoring-Diensten, einschließlich CloudTrail, CloudWatch und GuardDuty.
  • AWS – Netzwerk: Erkennt unsichere Änderungen an AWS-Netzwerkeinstellungen wie Sicherheitsgruppen und Firewalls.
  • AWS – Organisation: Erkennt AWS-Aktivitäten, die mit Ihrer Organisation verknüpft sind, einschließlich des Hinzufügens oder Entfernens von Konten und unerwarteter Ereignisse im Zusammenhang mit der Regionsnutzung.
  • AWS – Secrets: Erkennt AWS-Aktivitäten im Zusammenhang mit Secrets, Tokens und Passwörtern, einschließlich des Löschens von KMS-Secrets oder Secrets Manager-Secrets.

Unterstützte Geräte und Logtypen für AWS

Diese Regelsätze wurden getestet und werden mit den folgenden Google SecOps-Datenquellen unterstützt, die nach Produktname und Erfassungslabel aufgeführt sind.

Informationen zum Einrichten der Aufnahme von AWS-Daten finden Sie unter Aufnahme von AWS-Daten konfigurieren.

Eine Liste aller unterstützten Datenquellen finden Sie unter Unterstützte Standardparser.

In den folgenden Abschnitten werden die erforderlichen Daten beschrieben, die von Regelsätzen benötigt werden, um Muster in Daten zu erkennen.

Sie können AWS-Daten aufnehmen, indem Sie einen Amazon S3-Bucket (Amazon Simple Storage Service) als Quelltyp verwenden oder optional Amazon S3 mit Amazon Simple Queue Service (Amazon SQS). Auf übergeordneter Ebene müssen Sie Folgendes tun:

  • Konfigurieren Sie Amazon S3 oder Amazon S3 mit Amazon SQS, um Logdaten zu erfassen.
  • Google SecOps-Feed konfigurieren, um Daten aus Amazon S3 oder Amazon SQS aufzunehmen

Eine detaillierte Anleitung zum Konfigurieren von AWS-Diensten und eines Google SecOps-Feeds zum Erfassen von AWS-Daten finden Sie unter AWS-Logs in Google SecOps aufnehmen.

Mit AWS Managed Detection Testing-Testregeln können Sie überprüfen, ob AWS-Daten in Google SecOps SIEM aufgenommen werden. Mit diesen Testregeln lässt sich überprüfen, ob AWS-Logdaten wie erwartet erfasst werden. Nachdem Sie die Aufnahme von AWS-Daten eingerichtet haben, führen Sie Aktionen in AWS aus, die die Testregeln auslösen sollten.

Informationen zum Überprüfen der Aufnahme von AWS-Daten mit AWS Managed Detection Testing-Testregeln finden Sie unter AWS-Datenaufnahme für die Kategorie „Cloud Threats“ überprüfen.

Ausgewählte Erkennungen für Azure-Daten

Bestimmte Regelsätze in dieser Kategorie sind für die Verwendung mit Azure-Daten konzipiert, um Bedrohungen in Azure-Umgebungen mithilfe von Ereignisdaten, Kontextdaten und Benachrichtigungen zu erkennen. Dazu gehören:

  • Azure – Compute: Erkennt anomale Aktivitäten im Zusammenhang mit Azure-Compute-Ressourcen, einschließlich Kubernetes und virtuellen Maschinen (VMs).
  • Azure – Daten: Erkennt Aktivitäten im Zusammenhang mit Datenressourcen, einschließlich Azure-Blobberechtigungen, Änderungen und Einladungen an externe Nutzer zur Verwendung von Azure-Diensten im Mandanten.
  • Azure – Defender for Cloud: Identifiziert Benachrichtigungen, die von kontextbezogenen Microsoft Defender for Cloud-Diensten in Bezug auf Nutzerverhalten, Anmeldedatenzugriff, Kryptomining, Erkennung, Umgehung, Ausführung, Exfiltration, Auswirkungen, Erstanmeldung, Malware, Penetrationstests, Persistenz, Richtlinien, Rechteausweitung oder unbefugten Zugriff auf alle Azure-Clouddienste empfangen wurden.
  • Azure – Hacktools: Erkennt die Verwendung von Hacking-Tools in einer Azure-Umgebung, einschließlich Tor- und VPN-Anonymisierern, Scannern und Red-Teaming-Toolkits.
  • Azure – Identität: Erkennt Aktivitäten im Zusammenhang mit Authentifizierung und Autorisierung, die auf ungewöhnliches Verhalten hinweisen, z. B. gleichzeitiger Zugriff von mehreren geografischen Standorten, zu permissive Zugriffsverwaltungsrichtlinien oder Azure RBAC-Aktivitäten von verdächtigen Tools.
  • Azure – Logging und Monitoring: Erkennt Aktivitäten im Zusammenhang mit dem Deaktivieren von Logging- und Monitoring-Diensten in Azure.
  • Azure – Netzwerk: Erkennt unsichere und wichtige Änderungen an Azure-Netzwerkgeräten oder -Einstellungen, einschließlich Sicherheitsgruppen oder Firewalls, Azure Web Application Firewall und Richtlinien für Denial-of-Service-Angriffe.
  • Azure – Organisation: Erkennt Aktivitäten, die mit Ihrer Organisation verknüpft sind, einschließlich des Hinzufügens oder Entfernens von Abos und Konten.
  • Azure – Secrets: Erkennt Aktivitäten im Zusammenhang mit Secrets, Tokens und Passwörtern, z. B. Änderungen an Azure Key Vault oder Speicherkonto-Zugriffsschlüsseln.

Unterstützte Geräte und erforderliche Protokolltypen für Azure

Diese Regelsätze wurden getestet und werden mit den folgenden Datenquellen unterstützt, die nach Produktname und Google SecOps-Aufnahmelabel aufgeführt sind.

Azure- und Microsoft Entra ID-Daten aufnehmen

Sie müssen Daten aus jeder Datenquelle aufnehmen, um eine maximale Regelabdeckung zu erreichen. In der folgenden Dokumentation finden Sie Informationen zum Erfassen von Daten aus den einzelnen Quellen.

Im folgenden Abschnitt wird beschrieben, wie Sie die Aufnahme von Azure-Daten mithilfe vordefinierter Testregeln überprüfen.

Aufnahme von Azure-Daten prüfen

Im Dashboard für Datenaufnahme und ‑integrität von Google SecOps können Sie Informationen zu Typ, Volumen und Integrität aller Daten sehen, die mit SIEM-Aufnahmefunktionen in Google SecOps aufgenommen werden.

Sie können auch Azure Managed Detection Testing-Testregeln verwenden, um die Aufnahme von Azure-Daten zu überprüfen. Nachdem Sie die Aufnahme eingerichtet haben, führen Sie Aktionen im Azure-Portal aus, die die Testregeln auslösen sollten. Sie sollen sicherstellen, dass Daten aufgenommen werden und das erwartete Format haben, damit die kuratierten Erkennungen für Azure-Daten verwendet werden können.

Testregeln für Managed Detection Testing in Azure aktivieren

  1. Klicken Sie in Google Security Operations auf Erkennungen > Regeln und Erkennungen, um die Seite „Kuratierte Erkennungen“ zu öffnen.
  2. Wählen Sie Managed Detection Testing > Azure Managed Detection Testing aus.
  3. Aktivieren Sie sowohl Status als auch Benachrichtigungen für die Regeln Allgemein und Präzise.

Daten zu Nutzeraktionen senden, um die Testregeln auszulösen

Um zu prüfen, ob Daten wie erwartet aufgenommen werden, erstellen Sie einen Nutzer und melden Sie sich an, um zu prüfen, ob diese Aktionen die Testregeln auslösen. Informationen zum Erstellen von Nutzern in Microsoft Entra ID finden Sie unter Nutzer erstellen, einladen und löschen.

  1. Erstellen Sie in Azure einen neuen Microsoft Entra ID-Nutzer.

    1. Rufen Sie das Azure-Portal auf.
    2. Öffnen Sie Microsoft Entra ID.
    3. Klicken Sie auf Hinzufügen und dann auf Neuen Nutzer erstellen. Gehen Sie so vor, um den Nutzer zu definieren:
      1. Geben Sie die folgenden Informationen ein:
        • Hauptnutzername: GCTI_ALERT_VALIDATION
        • Hauptnutzername: GCTI_ALERT_VALIDATION
        • Anzeigename: GCTI_ALERT_VALIDATION
      2. Wählen Sie Passwort automatisch generieren aus, um ein Passwort für diesen Nutzer automatisch generieren zu lassen.
      3. Klicken Sie das Kästchen Konto aktiviert an.
      4. Öffnen Sie den Tab Überprüfen und erstellen.
      5. Merken Sie sich das automatisch generierte Passwort. Sie benötigen sie für die folgenden Schritte.
      6. Klicken Sie auf Erstellen.
    4. Öffnen Sie ein Browserfenster im Inkognitomodus und rufen Sie dann das Azure-Portal auf.
    5. Melden Sie sich mit dem neu erstellten Nutzer und Passwort an.
    6. Ändern Sie das Nutzerpasswort.
    7. Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) gemäß den Richtlinien Ihrer Organisation.
    8. Achten Sie darauf, dass Sie sich erfolgreich vom Azure-Portal abmelden.

  2. So prüfen Sie, ob in Google Security Operations Warnungen erstellt werden:

    1. Klicken Sie in Google Security Operations auf Erkennungen > Regeln & Erkennungen, um die Seite Kuratierte Erkennungen zu öffnen.

    2. Klicken Sie auf Dashboard.

    3. Prüfen Sie in der Liste der erkannten Verstöße, ob die folgenden Regeln ausgelöst wurden:

      • tst_azure_ad_user_creation
      • tst_azure_ad_user_login

  3. Nachdem Sie bestätigt haben, dass Daten gesendet werden und diese Regeln ausgelöst werden, deaktivieren Sie das Nutzerkonto oder heben Sie die Bereitstellung auf.

Beispielbenachrichtigungen senden, um die Testregeln auszulösen

Führen Sie die folgenden Schritte aus, um zu überprüfen, ob durch das Generieren von Sicherheitsbeispielwarnungen in Azure die Testregeln ausgelöst werden. Weitere Informationen zum Generieren von Sicherheitsbeispielbenachrichtigungen in Microsoft Defender for Cloud finden Sie unter Benachrichtigungsvalidierung in Microsoft Defender for Cloud.

  1. Rufen Sie im Azure-Portal Alle Dienste auf.
  2. Öffnen Sie unter Sicherheit Microsoft Defender for Cloud.
  3. Rufen Sie Sicherheitswarnungen auf.
  4. Klicken Sie auf Beispielbenachrichtigungen und gehen Sie dann so vor:
    1. Wählen Sie Ihr Abo aus.
    2. Wählen Sie für Defender for Cloud-Pläne Alle aus.
    3. Klicken Sie auf Beispielbenachrichtigungen erstellen.
  5. Prüfen Sie, ob Testbenachrichtigungen ausgelöst werden.
  6. Klicken Sie in Google Security Operations auf Erkennungen > Regeln & Erkennungen, um die Seite Kuratierte Erkennungen zu öffnen.
  7. Klicken Sie auf Dashboard.
  8. Prüfen Sie in der Liste der erkannten Probleme, ob die folgenden Regeln ausgelöst wurden:
    • tst_azure_activity
    • tst_azure_defender_for_cloud_alerts

Führen Sie eine GET-API-Anfrage in Microsoft Graph Explorer aus, um die Testregeln auszulösen.

Führen Sie die folgenden Schritte aus, um zu überprüfen, ob durch das Generieren von Sicherheitsbeispielwarnungen in Azure die Testregeln ausgelöst werden.

  1. Rufen Sie den Microsoft Graph Explorer auf.
  2. Achten Sie darauf, dass rechts oben der richtige Mandant ausgewählt ist.
  3. Klicken Sie auf Abfrage ausführen.
  4. Prüfen Sie, ob Testbenachrichtigungen ausgelöst werden.
  5. Klicken Sie in Google Security Operations auf Erkennungen > Regeln & Erkennungen, um die Seite Kuratierte Erkennungen zu öffnen.
  6. Klicken Sie auf Dashboard.
  7. Prüfen Sie in der Liste der erkannten Elemente, ob die Regel tst_microsoft_graph_api_get_activity ausgelöst wurde.

Regelsätze für verwaltete Azure-Erkennungstests deaktivieren

  1. Klicken Sie in Google Security Operations auf Detection > Rules & Detections, um die Seite Curated Detections zu öffnen.
  2. Wählen Sie die Regeln für Managed Detection Testing > Azure Managed Detection Testing aus.
  3. Deaktivieren Sie sowohl Status als auch Benachrichtigungen für die Regeln Allgemein und Präzise.

Ausgewählte Erkennungen für Office 365-Daten

Office 365-Regelsätze in dieser Kategorie helfen dabei, Bedrohungen in Office 365-Umgebungen mithilfe von Ereignis- und Kontextdaten zu erkennen. Sie umfassen die folgenden Regelsätze:

  • Office 365 – Administrativ: Erkennt schädliche, verdächtige und risikoreiche Aktivitäten in Office 365, einschließlich Änderungen an Sicherungsrichtlinien, Microsoft Purview und ATP-Erkennungen.

  • Office 365 – eDiscovery: Erkennt schädliche, verdächtige und risikoreiche Aktivitäten in Office 365 eDiscovery, einschließlich Versuchen, nach Anmeldedaten oder anderen sensiblen Daten zu suchen.

  • Office 365 – E‑Mail: Erkennt schädliche, verdächtige und risikoreiche Aktivitäten in Office 365-E‑Mails, einschließlich Phishing-Versuchen, riskanten Änderungen an E‑Mail-Einstellungen und verdächtigen E‑Mail-Aktivitäten.

  • Office 365 – Forms: Erkennt schädliche, verdächtige und risikoreiche Aktivitäten in Office 365 Forms, einschließlich Phishing-Versuchen und Statusaktualisierungen für Forms-Konten.

  • Office 365 – Identität: Erkennt schädliche, verdächtige und risikoreiche Aktivitäten in Office 365 im Zusammenhang mit der Identitäts- und Zugriffsverwaltung, einschließlich potenziellen Token-Diebstahls, riskanter Authentifizierungskonfigurationen, MFA-Angriffen, Kennwortangriffen und bekannten Hacking-Tools.

  • Office 365 – SharePoint und OneDrive: Erkennt schädliche, verdächtige und risikoreiche Aktivitäten in Office 365 SharePoint und OneDrive, einschließlich Malware-Uploads, anonymer Dateifreigabe und Suchen nach Anmeldedaten und Finanzdaten.

  • Office 365 – Teams: Erkennt böswillige, verdächtige und risikoreiche Aktivitäten in Office 365 Teams, einschließlich der Identitätsverschleierung von Teams-Konten, des Exports von Aufzeichnungen und Transkripten.

Unterstützte Geräte und erforderliche Protokolltypen für Office 365

Diese Regelsätze wurden getestet und werden mit den folgenden Datenquellen unterstützt, die nach Produktname und Google SecOps-Aufnahmelabel aufgeführt sind:

Abgestimmte Erkennung für Okta-Regelsätze

Okta-Regelsätze in dieser Kategorie helfen dabei, Bedrohungen in Okta-Umgebungen zu erkennen, indem Ereignis- und Kontextdaten analysiert werden. Der Regelsatz umfasst Folgendes:

  • Okta: Erkennt eine Reihe von schädlichen und verdächtigen Aktivitäten, die auf der Okta-Plattform stattfinden, darunter MFA-Angriffe, Brute-Force-Versuche, Password Spraying, Anmeldeanomalien und mehr.

Unterstützte Geräte und erforderliche Protokolltypen für Okta

Diese Regelsätze wurden getestet und werden mit den folgenden Datenquellen unterstützt, die nach Produktname und Google SecOps-Aufnahmelabel aufgeführt sind:

Von Regelsätzen zurückgegebene Benachrichtigungen optimieren

Mit Regelausschlüssen können Sie die Anzahl der Erkennungen reduzieren, die durch eine Regel oder einen Regelsatz generiert werden.

Mit einem Regelausschluss werden die Kriterien definiert, anhand derer ein Ereignis nicht vom Regelsatz oder von bestimmten Regeln im Regelsatz ausgewertet wird. Erstellen Sie einen oder mehrere Regelausschlüsse, um die Anzahl der erkannten Verstöße zu reduzieren. Weitere Informationen dazu finden Sie unter Regelausschlüsse konfigurieren.

Nächste Schritte

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten