Descripción general de la categoría de amenazas de Cloud

En este documento se ofrece una descripción general de los conjuntos de reglas de la categoría Amenazas en la nube, las fuentes de datos necesarias y la configuración que puedes usar para ajustar las alertas generadas por cada conjunto de reglas. Estos conjuntos de reglas ayudan a identificar amenazas en entornos de Google Cloud mediante datos de Google Cloud y en entornos de AWS mediante datos de AWS.

Descripciones de conjuntos de reglas

Los siguientes conjuntos de reglas están disponibles en la categoría Amenazas en la nube.

• Conjuntos de reglas para Google Cloud datos

• Conjuntos de reglas para datos de AWS

• Conjuntos de reglas para datos de Azure

• Conjuntos de reglas para datos de Office 365

• Conjuntos de reglas para datos de Okta

La abreviatura CDIR significa detección, investigación y respuesta en la nube.

Detecciones seleccionadas de datos de Google Cloud

LosGoogle Cloud conjuntos de reglas ayudan a identificar amenazas en Google Cloud entornos mediante datos de eventos y de contexto, e incluyen los siguientes conjuntos de reglas:

• Acción de administrador: actividad asociada a acciones administrativas que se consideran sospechosas, pero que pueden ser legítimas en función del uso de la organización.
• Exfiltración mejorada de CDIR SCC: contiene reglas contextuales que correlacionan los resultados de exfiltración de Security Command Center con otras fuentes de registros, incluidos los registros de auditoría de Cloud, el contexto de Protección de Datos Sensibles, el contexto de BigQuery y los registros de configuración incorrecta de Security Command Center.
• Evasión de defensas mejorada de CDIR SCC: contiene reglas contextuales que correlacionan los resultados de evasión de defensas o de evasión de Security Command Center con datos de otrasGoogle Cloud fuentes de datos, incluidos los registros de auditoría de Cloud.
• Malware mejorado de CDIR SCC: contiene reglas contextuales que correlacionan las detecciones de malware de Security Command Center con datos, como la aparición de direcciones IP y dominios, así como sus puntuaciones de prevalencia, además de otras fuentes de datos, como los registros de Cloud DNS.
• Persistencia mejorada de CDIR SCC: contiene reglas contextuales que correlacionan los resultados de persistencia de Security Command Center con datos de fuentes, incluidos los registros de Cloud DNS y los registros de análisis de IAM.
• Escalada de privilegios mejorada de CDIR SCC: contiene reglas contextuales que correlacionan los resultados de escalada de privilegios de Security Command Center con datos de otras fuentes de datos, incluidos los registros de auditoría de Cloud.
• Acceso a credenciales de CDIR SCC: contiene reglas contextuales que correlacionan los resultados de acceso a credenciales de Security Command Center con datos de otras fuentes de datos, incluidos los registros de auditoría de Cloud.
• Detección mejorada de CDIR SCC: contiene reglas contextuales que correlacionan los resultados de escalación de Detección de Security Command Center con datos de fuentes como los Google Cloud servicios y los registros de auditoría de Cloud.
• CDIR SCC Brute Force: contiene reglas contextuales que correlacionan los resultados de escalada de fuerza bruta de Security Command Center con datos, incluidos los registros de Cloud DNS.
• Destrucción de datos de CDIR SCC: contiene reglas contextuales que correlacionan los resultados de escalación de Destrucción de datos de Security Command Center con datos de otras fuentes de datos, incluidos los registros de auditoría de Cloud.
• CDIR SCC Inhibit System Recovery: contiene reglas contextuales que correlacionan los resultados de Inhibit System Recovery de Security Command Center con datos de otras fuentes de datos, incluidos los registros de auditoría de Cloud.
• Ejecución de CDIR SCC: contiene reglas contextuales que correlacionan los resultados de ejecución de Security Command Center con datos de otras fuentes de datos, incluidos los registros de auditoría de Cloud.
• Acceso inicial a CDIR SCC: contiene reglas contextuales que correlacionan los resultados de acceso inicial de Security Command Center con datos de otras fuentes de datos, incluidos los registros de auditoría de Cloud.
• CDIR SCC Impair Defenses: contiene reglas contextuales que correlacionan los resultados de Impair Defenses de Security Command Center con datos de otras fuentes, incluidos los registros de auditoría de Cloud.
• Impacto de CDIR en SCC: contiene reglas que detectan hallazgos de Impacto de Security Command Center con una clasificación de gravedad crítica, alta, media y baja.
• CDIR SCC Cloud IDS: contiene reglas que detectan resultados de Cloud Intrusion Detection System de Security Command Center con una clasificación de gravedad crítica, alta, media y baja.
• CDIR SCC Cloud Armor: contiene reglas que detectan resultados de Google Cloud Armor en Security Command Center.
• Módulo personalizado de CDIR SCC: contiene reglas que detectan los resultados de los módulos personalizados de Event Threat Detection en Security Command Center.
• Herramienta de hacking en la nube: se ha detectado actividad procedente de plataformas de seguridad ofensiva conocidas o de herramientas o software ofensivos que usan los agentes de amenazas en la naturaleza y que se dirigen específicamente a recursos en la nube.
• Ransom de Cloud SQL: detecta la actividad asociada a la exfiltración o el rescate de datos en bases de datos de Cloud SQL.
• Herramientas sospechosas de Kubernetes: detecta comportamientos de reconocimiento y explotación de herramientas de Kubernetes de código abierto.
• Abuso de RBAC de Kubernetes: detecta la actividad de Kubernetes asociada al abuso de controles de acceso basados en roles (RBAC) que intentan aumentar los privilegios o moverse lateralmente.
• Acciones sensibles de certificados de Kubernetes: detecta acciones de certificados de Kubernetes y solicitudes de firma de certificados (CSRs) que se podrían usar para establecer persistencia o apropiarse de privilegios.
• Abuso de IAM: actividad asociada al abuso de roles y permisos de gestión de identidades y accesos para aumentar los privilegios o moverse lateralmente en un proyecto de Cloud o en una organización de Cloud.
• Posible actividad de exfiltración: detecta la actividad asociada a la posible exfiltración de datos.
• Suplantación de recursos: detecta recursos creados con nombres o características de otro recurso o tipo de recurso. Google Cloud Esto se podría usar para ocultar la actividad maliciosa llevada a cabo por el recurso o dentro de él, con la intención de parecer legítima.
• Amenazas sin servidor : detecta actividad asociada a posibles vulneraciones o abusos de recursos sin servidor en Google Cloud, incluidas las funciones de Cloud Run y Cloud Run.
• Interrupción del servicio: detecta acciones destructivas o disruptivas que, si se llevan a cabo en un entorno de producción que funciona correctamente, pueden provocar una interrupción importante. El comportamiento detectado es habitual y probablemente benigno en entornos de pruebas y desarrollo.
• Comportamiento sospechoso: actividad que se considera poco habitual y sospechosa en la mayoría de los entornos.
• Cambio sospechoso en la infraestructura: detecta modificaciones en la infraestructura de producción que se ajustan a tácticas de persistencia conocidas.
• Configuración debilitada: actividad asociada a la debilitación o degradación de un control de seguridad. Se considera sospechoso, pero puede ser legítimo en función del uso que haga la organización.
• Posible filtración externa de datos por parte de insiders desde Chrome: detecta la actividad asociada a posibles comportamientos de amenaza interna, como la filtración externa o la pérdida de datos potencialmente sensibles fuera de una organización de Google Workspace. Esto incluye comportamientos de Chrome que se consideran anómalos en comparación con un periodo de referencia de 30 días.
• Posible filtración externa de datos por parte de insiders desde Drive: detecta la actividad asociada a posibles comportamientos de amenazas internas, como la filtración externa de datos o la pérdida de datos potencialmente sensibles fuera de una organización de Google Workspace. Esto incluye comportamientos de Drive que se consideran anómalos en comparación con un periodo de referencia de 30 días.
• Posible filtración externa de datos por parte de un empleado desde Gmail: detecta la actividad asociada a posibles comportamientos de amenazas internas, como la filtración externa o la pérdida de datos potencialmente sensibles fuera de una organización de Google Workspace. Esto incluye comportamientos de Gmail que se consideran anómalos en comparación con una base de referencia de 30 días.
• Posible vulneración de la cuenta de Workspace: detecta comportamientos de amenazas internas que indican que la cuenta podría haberse visto vulnerada y que pueden dar lugar a intentos de escalada de privilegios o de movimiento lateral en una organización de Google Workspace. Esto incluiría comportamientos que se consideran poco habituales o anómalos en comparación con una base de referencia de 30 días.
• Acciones administrativas sospechosas en Workspace: detecta comportamientos que indican una posible evasión, una degradación de la seguridad o comportamientos anómalos y poco habituales que no se han observado en los últimos 30 días en usuarios con privilegios superiores, incluidos los administradores.

Dispositivos y tipos de registros admitidos

En las siguientes secciones se describe la información que necesitan los conjuntos de reglas de la categoría Cloud Threats.

Para ingerir datos de los servicios de Google Cloud , consulta el artículo Ingerir registros de Cloud en Google SecOps. Ponte en contacto con tu representante de Google SecOps si necesitas recoger estos registros con otro mecanismo.

Google SecOps proporciona analizadores predeterminados que analizan y normalizan los registros sin procesar de los servicios de Google Cloud para crear registros UDM con los datos que necesitan estos conjuntos de reglas.

Para ver una lista de todas las fuentes de datos admitidas por Google SecOps, consulta Analizadores predeterminados admitidos.

Todos los conjuntos de reglas

Para usar cualquier conjunto de reglas, te recomendamos que recojas registros de auditoría de Cloud. Google Cloud Algunas reglas requieren que los clientes habiliten el registro de Cloud DNS. Asegúrate de que los servicios estén configurados para registrar datos en los siguientes registros: Google Cloud

• Registros de auditoría de Cloud
• Registros de Cloud DNS

Conjunto de reglas de ransomware de Cloud SQL

Para usar el conjunto de reglas Ransom de Cloud SQL, te recomendamos que recojas los siguientes Google Cloud datos:

• Datos de registro que se indican en la sección Todos los conjuntos de reglas.
• Registros de Cloud SQL.

Conjuntos de reglas mejorados de CDIR SCC

Todos los conjuntos de reglas que empiezan por el nombre CDIR SCC Enhanced usan las detecciones de Security Command Center Premium contextualizadas con varias otras fuentes de registros, entre las que se incluyen las siguientes: Google Cloud

• Registros de auditoría de Cloud
• Registros de Cloud DNS
• Análisis de gestión de identidades y accesos (IAM)
• Contexto de Protección de Datos Sensibles
• Contexto de BigQuery
• Contexto de Compute Engine

Para usar los conjuntos de reglas CDIR SCC Enhanced, le recomendamos que recoja los siguientes Google Cloud datos:

• Datos de registro que se indican en la sección Todos los conjuntos de reglas.

• Los siguientes datos de registro, ordenados por nombre de producto y etiqueta de ingestión de Google SecOps:

  • BigQuery (GCP_BIGQUERY_CONTEXT)
  • Compute Engine (GCP_COMPUTE_CONTEXT)
  • Gestión de identidades y accesos (GCP_IAM_CONTEXT)
  • Protección de Datos Sensibles (GCP_DLP_CONTEXT)
  • Registros de auditoría de Cloud (GCP_CLOUDAUDIT)
  • Actividad de Google Workspace (WORKSPACE_ACTIVITY)
  • Consultas de Cloud DNS (GCP_DNS)

• Las siguientes clases de resultados de Security Command Center, que se indican por findingClass identificador y etiqueta de ingestión de Google SecOps:

  • Threat (GCP_SECURITYCENTER_THREAT)
  • Misconfiguration (GCP_SECURITYCENTER_MISCONFIGURATION)
  • Vulnerability (GCP_SECURITYCENTER_VULNERABILITY)
  • SCC Error (GCP_SECURITYCENTER_ERROR)

Los conjuntos de reglas CDIR SCC Enhanced también dependen de los datos de los servicios de Google Cloud . Para enviar los datos necesarios a Google SecOps, asegúrate de completar los siguientes pasos:

• Habilita el registro de los productos y servicios necesarios. Google Cloud
• Habilita Security Command Center Premium y los servicios relacionados.
• Configura la ingestión de Google Cloud registros en Google SecOps.
• Configure la exportación de resultados de Event Threat Detection a Google SecOps. De forma predeterminada, se ingieren todos los resultados de Security Command Center. Para obtener más información sobre cómo los analizadores predeterminados de Google SecOps asignan los campos de datos, consulta Exportar resultados de Security Command Center.
• Habilita los registros de auditoría de Cloud y configura su exportación a Google SecOps. Consulta más información en el artículo Recoger registros de auditoría de Cloud.
• Habilita los registros de Google Workspace y envíalos a Google SecOps. Para obtener más información, consulta Recoger registros de Google Workspace.
• Configura la exportación de Google Cloud metadatos de activos y datos relacionados con el contexto a Google SecOps. Para obtener más información, consulta Exportar metadatos de recursos a Google SecOps Google Cloud y Exportar datos de Protección de Datos Sensibles a Google SecOps.

Los siguientes conjuntos de reglas crean una detección cuando se identifican resultados de Event Threat Detection de Security Command Center, Google Cloud Armor, Sensitive Actions Service de Security Command Center y módulos personalizados de Event Threat Detection:

• CDIR SCC Cloud IDS
• CDIR SCC Cloud Armor
• Impacto de CDIR SCC
• Persistencia mejorada de CDIR SCC
• CDIR SCC Enhanced Defense Evasion
• Módulo personalizado de CDIR SCC

Conjunto de reglas de herramientas sospechosas de Kubernetes

Para usar el conjunto de reglas Herramientas sospechosas de Kubernetes, le recomendamos que recoja los datos que se indican en la sección Todos los conjuntos de reglas. Asegúrate de que los servicios de Google Cloud estén configurados para registrar datos en los registros de nodos de Google Kubernetes Engine (GKE).

Conjunto de reglas de abuso de RBAC de Kubernetes

Para usar el conjunto de reglas Abuso de RBAC de Kubernetes, te recomendamos que recojas los registros de auditoría de Cloud, que se indican en la sección Todos los conjuntos de reglas.

Conjunto de reglas de acciones sensibles de certificados de Kubernetes

Para usar el conjunto de reglas Acciones sensibles de certificados de Kubernetes, te recomendamos que recojas registros de auditoría de Cloud, que se indican en la sección Todos los conjuntos de reglas.

Conjuntos de reglas relacionados con Google Workspace

Los siguientes conjuntos de reglas detectan patrones en los datos de Google Workspace:

• Posible filtración externa de datos por parte de insiders desde Chrome
• Posible filtración externa de datos internos desde Drive
• Posible filtración de datos internos desde Gmail
• Posible vulneración de una cuenta de Workspace
• Acciones administrativas sospechosas de Workspace

Estos conjuntos de reglas requieren los siguientes tipos de registros, que se indican por nombre de producto y etiqueta de ingestión de Google SecOps:

• Actividades del espacio de trabajo (WORKSPACE_ACTIVITY)
• Alertas de Workspace (WORKSPACE_ALERTS)
• Dispositivos ChromeOS de Workspace (WORKSPACE_CHROMEOS)
• Dispositivos móviles de Workspace (WORKSPACE_MOBILE)
• Usuarios de Workspace (WORKSPACE_USERS)
• Gestión en la nube del navegador Google Chrome (CHROME_MANAGEMENT)
• Registros de Gmail (GMAIL_LOGS)

Para ingerir los datos necesarios, haz lo siguiente:

• Recoge los datos que se indican en la sección Todos los conjuntos de reglas de este documento.

• Consulta el artículo Ingerir datos de Google Workspace en Google SecOps para recoger registros de WORKSPACE_ACTIVITY, WORKSPACE_CHROMEOS, CHROME_MANAGEMENT y GMAIL.

• Consulta Recoger registros de Google Workspace para ingerir los siguientes registros:

  • WORKSPACE_ALERTS
  • WORKSPACE_MOBILE
  • WORKSPACE_USERS

Conjunto de reglas de amenazas sin servidor

• Recoge los datos que se indican en la sección Todos los conjuntos de reglas de este documento.
• Registros de Cloud Run (GCP_RUN).

Los registros de Cloud Run incluyen registros de solicitudes y registros de contenedores, que se ingieren como el tipo de registro GCP_RUN en Google SecOps. Los registros de GCP_RUN se pueden ingerir mediante la ingestión directa o mediante feeds y Cloud Storage. Para obtener información sobre filtros de registro específicos y más detalles sobre la ingesta, consulta el artículo Exportar registros a Google SecOps Google Cloud . El siguiente filtro de exportación exporta los registros de Google Cloud Cloud Run (GCP_RUN), además de los registros predeterminados, tanto a través del mecanismo de ingestión directa como de Cloud Storage y Sinks:

log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)

Detecciones seleccionadas para conjuntos de reglas de AWS

Los conjuntos de reglas de AWS de esta categoría ayudan a identificar amenazas en entornos de AWS mediante datos de eventos y de contexto, e incluyen los siguientes conjuntos de reglas:

• AWS - Compute: detecta actividad anómala en torno a los recursos de computación de AWS, incluidos EC2 y Lambda.
• AWS - Datos: detecta la actividad de AWS asociada a recursos de datos, como las instantáneas de RDS o los segmentos de S3 que se han puesto a disposición del público.
• AWS - GuardDuty: alertas de AWS GuardDuty contextuales sobre comportamiento, acceso a credenciales, criptominería, descubrimiento, evasión, ejecución, exfiltración, impacto, acceso inicial, malware, pruebas de penetración, persistencia, política, elevación de privilegios y acceso no autorizado.
• AWS - Hacktools: detecta el uso de herramientas de hacking en un entorno de AWS, como escáneres, kits de herramientas y frameworks.
• AWS - Identidad: detecciones de actividad de AWS asociada a IAM y a la autenticación, como inicios de sesión inusuales desde varias ubicaciones geográficas, creación de roles demasiado permisivos o actividad de IAM desde herramientas sospechosas.
• AWS - Registro y monitorización: detecta la actividad de AWS relacionada con la inhabilitación de los servicios de registro y monitorización, incluidos CloudTrail, CloudWatch y GuardDuty.
• AWS - Red: detecta alteraciones no seguras en la configuración de la red de AWS, como grupos de seguridad y cortafuegos.
• AWS - Organización: detecta la actividad de AWS asociada a tu organización, como la adición o eliminación de cuentas y eventos inesperados relacionados con el uso de regiones.
• AWS - Secretos: detecta la actividad de AWS asociada a secretos, tokens y contraseñas, incluida la eliminación de secretos de KMS o de Secrets Manager.

Dispositivos y tipos de registros admitidos en AWS

Estos conjuntos de reglas se han probado y se admiten con las siguientes fuentes de datos de Google SecOps, que se indican por nombre de producto y etiqueta de ingestión.

• AWS CloudTrail (AWS_CLOUDTRAIL)
• AWS GuardDuty (GUARDDUTY)
• HOSTS DE AWS EC2 (AWS_EC2_HOSTS)
• INSTANCIAS DE AWS EC2 (AWS_EC2_INSTANCES)
• VPCs de AWS EC2 (AWS_EC2_VPCS)
• AWS IAM (IAM) (AWS_IAM)

Consulta Configurar la ingesta de datos de AWS para obtener información sobre cómo configurar la ingesta de datos de AWS.

Para ver una lista de todas las fuentes de datos admitidas, consulta Analizadores predeterminados admitidos.

En las secciones siguientes se describen los datos necesarios para los conjuntos de reglas que identifican patrones en los datos.

Puede ingerir datos de AWS usando un segmento de Amazon Simple Storage Service (Amazon S3) como tipo de origen o, de forma opcional, usando Amazon S3 con Amazon Simple Queue Service (Amazon SQS). A grandes rasgos, tendrás que hacer lo siguiente:

• Configura Amazon S3 o Amazon S3 con Amazon SQS para recoger datos de registro.
• Configurar un feed de Google SecOps para ingerir datos de Amazon S3 o Amazon SQS

Consulta los pasos detallados para ingerir registros de AWS en Google SecOps para configurar los servicios de AWS y un feed de Google SecOps para ingerir datos de AWS.

Puedes usar reglas de prueba de pruebas de detección gestionadas de AWS para verificar que los datos de AWS se están ingiriendo en Google SecOps SIEM. Estas reglas de prueba ayudan a verificar si los datos de registro de AWS se están ingiriendo según lo previsto. Después de configurar la ingesta de datos de AWS, realiza acciones en AWS que deberían activar las reglas de prueba.

Consulta Verificar la ingestión de datos de AWS en la categoría Amenazas de Cloud para obtener información sobre cómo verificar la ingestión de datos de AWS mediante las reglas de prueba Pruebas de detección gestionadas de AWS.

Detecciones seleccionadas de datos de Azure

Algunos conjuntos de reglas de esta categoría están diseñados para funcionar con datos de Azure e identificar amenazas en entornos de Azure mediante datos de eventos, datos de contexto y alertas. Entre ellas, se incluyen las siguientes:

• Azure - Compute: detecta actividad anómala relacionada con recursos de computación de Azure, como Kubernetes y máquinas virtuales.
• Azure - Datos: detecta la actividad asociada a los recursos de datos, incluidos los permisos de blobs de Azure, las modificaciones y las invitaciones a usuarios externos para usar los servicios de Azure en el tenant.
• Azure - Defender for Cloud: identifica las alertas recibidas de Microsoft Defender for Cloud, que tiene en cuenta el contexto, relacionadas con el comportamiento de los usuarios, el acceso a las credenciales, la minería de criptomonedas, el descubrimiento, la evasión, la ejecución, la exfiltración, el impacto, el acceso inicial, el malware, las pruebas de penetración, la persistencia, las políticas, la elevación de privilegios o el acceso no autorizado en todos los servicios en la nube de Azure.
• Azure - Herramientas de hacking: detecta el uso de herramientas de hacking en un entorno de Azure, incluido Tor y anonimizadores de VPN, escáneres y kits de herramientas de red teaming.
• Azure: identidad: detecta actividad relacionada con la autenticación y la autorización, lo que indica un comportamiento inusual, como el acceso simultáneo desde varias ubicaciones geográficas, políticas de gestión de acceso demasiado permisivas o actividad de Azure RBAC desde herramientas sospechosas.
• Azure: registro y monitorización: detecta la actividad relacionada con la inhabilitación de los servicios de registro y monitorización en Azure.
• Azure: red: detecta alteraciones notables y no seguras en los dispositivos o ajustes de redes de Azure, incluidos los grupos de seguridad o los cortafuegos, el cortafuegos de aplicaciones web de Azure y las políticas de denegación de servicio.
• Azure - Organización: detecta la actividad asociada a tu organización, como la adición o eliminación de suscripciones y cuentas.
• Azure - Secrets: detecta la actividad asociada a secretos, tokens y contraseñas (por ejemplo, modificaciones en Azure Key Vault o en las claves de acceso de la cuenta de almacenamiento).

Dispositivos compatibles y tipos de registros necesarios para Azure

Estos conjuntos de reglas se han probado y se admiten con las siguientes fuentes de datos, que se indican por nombre de producto y etiqueta de ingesta de Google SecOps.

• Servicios en la nube de Azure (AZURE_ACTIVITY)
• ID de Microsoft Entra, antes Azure Active Directory (AZURE_AD)
• Registros de auditoría de Microsoft Entra ID, antes registros de auditoría de Azure AD (AZURE_AD_AUDIT)
• Microsoft Defender for Cloud (MICROSOFT_GRAPH_ALERT)
• Actividad de la API Microsoft Graph (MICROSOFT_GRAPH_ACTIVITY_LOGS)

Ingerir datos de Azure y Microsoft Entra ID

Debe ingerir datos de todas las fuentes de datos para tener la máxima cobertura de reglas. Consulta la siguiente documentación para obtener información sobre cómo ingerir datos de cada fuente.

• Ingiere registros de actividad de Azure Monitor de los servicios en la nube de Azure.
• Recoger datos de Microsoft Entra ID (antes llamado Azure AD), incluidos los siguientes:
  • Registros de Microsoft Entra ID
  • Registros de auditoría de Microsoft Entra ID
  • Datos de contexto de Microsoft Entra ID
• Recopilar registros de alertas de la API de seguridad de Microsoft Graph para ingerir registros de Microsoft Defender for Cloud mediante la API de seguridad de Microsoft Graph.
• Recopilar registros de actividad de la API Microsoft Graph para ingerir registros de actividad de la API Microsoft Graph mediante la API Microsoft Graph.

En la siguiente sección se describe cómo verificar la ingestión de datos de Azure mediante reglas de prueba predefinidas.

Verificar la ingestión de datos de Azure

El panel de control de ingesta de datos y estado de Google SecOps te permite ver información sobre el tipo, el volumen y el estado de todos los datos que se ingieren en Google SecOps mediante las funciones de ingesta de SIEM.

También puede usar reglas de prueba de pruebas de detección gestionadas de Azure para verificar la ingestión de datos de Azure. Después de configurar la ingestión, realiza acciones en el portal de Azure que deberían activar las reglas de prueba. Su objetivo es verificar que los datos se ingieren y tienen el formato esperado para usar las detecciones seleccionadas de datos de Azure.

Habilita las reglas de prueba de pruebas de detección gestionadas de Azure

1. En Google Security Operations, haz clic en Detecciones > Reglas y detecciones para abrir la página Detecciones seleccionadas.
2. Selecciona Pruebas de detección gestionadas > Pruebas de detección gestionadas de Azure.
3. Habilita las opciones Estado y Alertas de las reglas Generales y Precisas.

Enviar datos de acciones de usuario para activar las reglas de prueba

Para verificar que los datos se ingieren correctamente, cree un usuario e inicie sesión para comprobar que estas acciones activan las reglas de prueba. Para obtener información sobre cómo crear usuarios en Microsoft Entra ID, consulta el artículo Cómo crear, invitar y eliminar usuarios.

1. En Azure, crea un usuario de Microsoft Entra ID.

   1. Ve al portal de Azure.
   2. Abre Microsoft Entra ID.
   3. Haz clic en Añadir y, a continuación, en Crear usuario. Para definir el usuario, haz lo siguiente:
      1. Introduce la siguiente información:
         • Nombre principal de usuario: GCTI_ALERT_VALIDATION
         • Nombre principal de usuario: GCTI_ALERT_VALIDATION
         • Nombre visible: GCTI_ALERT_VALIDATION
      2. Selecciona Generar contraseña automáticamente para generar una contraseña automáticamente para este usuario.
      3. Seleccione la casilla Cuenta habilitada.
      4. Abre la pestaña Revisar y crear.
      5. Recuerda la contraseña generada automáticamente. Lo usarás en los próximos pasos.
      6. Haz clic en Crear.
   4. Abre una ventana del navegador en modo Incógnito y, a continuación, ve al portal de Azure.
   5. Inicia sesión con el usuario y la contraseña que acabas de crear.
   6. Cambia la contraseña del usuario.
   7. Regístrate en la autenticación multifactor (MFA) de acuerdo con la política de tu organización.
   8. Asegúrate de cerrar sesión correctamente en el portal de Azure.

2. Sigue estos pasos para verificar que se han creado alertas en Google Security Operations:

   1. En Google Security Operations, haz clic en Detecciones > Reglas y detecciones para abrir la página Detecciones seleccionadas.

   2. Haz clic en Panel de control.

   3. En la lista de detecciones, comprueba que se hayan activado las siguientes reglas:

      • tst_azure_ad_user_creation
      • tst_azure_ad_user_login

3. Después de confirmar que se envían los datos y que se activan estas reglas, desactiva o inhabilita la cuenta de usuario.

Enviar alertas de muestra para activar las reglas de prueba

Sigue estos pasos para verificar que la generación de alertas de seguridad de muestra en Azure activa las reglas de prueba. Para obtener más información sobre cómo generar alertas de seguridad de ejemplo en Microsoft Defender for Cloud, consulta Validación de alertas en Microsoft Defender for Cloud.

1. En Azure Portal, vaya a Todos los servicios.
2. En Seguridad, abre Microsoft Defender for Cloud.
3. Ve a Alertas de seguridad.
4. Haz clic en Alertas de ejemplo y, a continuación, haz lo siguiente:
   1. Selecciona tu suscripción.
   2. Seleccione Todos en Planes de Defender for Cloud.
   3. Haz clic en Crear alertas de ejemplo.
5. Verifica que se activen las alertas de prueba.
6. En Google Security Operations, haz clic en Detecciones > Reglas y detecciones para abrir la página Detecciones seleccionadas.
7. Haz clic en Panel de control.
8. En la lista de detecciones, comprueba que se hayan activado las siguientes reglas:
   • tst_azure_activity
   • tst_azure_defender_for_cloud_alerts

Ejecuta una solicitud GET de la API en el Explorador de Microsoft Graph para activar las reglas de prueba

Sigue estos pasos para verificar que la generación de alertas de seguridad de muestra en Azure activa las reglas de prueba.

1. Ve a Microsoft Graph Explorer.
2. Asegúrate de que el arrendatario adecuado esté seleccionado en la esquina superior derecha.
3. Haz clic en Ejecutar consulta.
4. Verifica que se activen las alertas de prueba.
5. En Google Security Operations, haz clic en Detecciones > Reglas y detecciones para abrir la página Detecciones seleccionadas.
6. Haz clic en Panel de control.
7. En la lista de detecciones, comprueba que se haya activado la regla tst_microsoft_graph_api_get_activity.

Inhabilitar los conjuntos de reglas de pruebas de detección gestionada de Azure

1. En Google Security Operations, haz clic en Detección > Reglas y detecciones para abrir la página Detecciones seleccionadas.
2. Selecciona Pruebas de detección gestionada > Reglas de pruebas de detección gestionada de Azure.
3. Inhabilita Estado y Alertas en las reglas Generales y Precisas.

Detecciones seleccionadas de datos de Office 365

Los conjuntos de reglas de Office 365 de esta categoría ayudan a identificar amenazas en entornos de Office 365 mediante datos de eventos y de contexto, e incluyen los siguientes conjuntos de reglas:

• Office 365 (Administrativo): detecta actividades maliciosas, sospechosas y de alto riesgo en Office 365, incluidos los cambios en las políticas de copia de seguridad, Microsoft Purview y las detecciones de ATP.

• Office 365 - Detección electrónica: detecta actividades maliciosas, sospechosas y de alto riesgo en la detección electrónica de Office 365, incluidos los intentos de buscar credenciales u otros datos sensibles.

• Office 365 - Correo: detecta actividades maliciosas, sospechosas y de alto riesgo en el correo de Office 365, como intentos de phishing, cambios arriesgados en la configuración del correo y actividad sospechosa en el correo.

• Office 365 - Forms: detecta actividades maliciosas, sospechosas y de alto riesgo en Office 365 Forms, incluidos intentos de phishing y actualizaciones de estado de cuentas de formularios.

• Office 365 - Identidad: detecta actividades maliciosas, sospechosas y de alto riesgo en Office 365 relacionadas con la gestión de identidades y accesos, como posibles robos de tokens, configuraciones de autenticación arriesgadas, ataques de MFA, ataques de contraseñas y herramientas de hacking conocidas.

• Office 365 (SharePoint y OneDrive): detecta actividades maliciosas, sospechosas y de alto riesgo en Office 365 SharePoint y OneDrive, como cargas de malware, uso compartido de archivos anónimo y búsquedas de credenciales y datos financieros.

• Office 365 (Teams): detecta actividades maliciosas, sospechosas y de alto riesgo en Office 365 Teams, como la suplantación de cuentas de Teams, la exportación de grabaciones y transcripciones.

Dispositivos compatibles y tipos de registros necesarios para Office 365

Estos conjuntos de reglas se han probado y son compatibles con las siguientes fuentes de datos, que se indican por nombre de producto y etiqueta de ingestión de Google SecOps:

Detección seleccionada para conjuntos de reglas de Okta

Los conjuntos de reglas de Okta de esta categoría ayudan a detectar amenazas en entornos de Okta analizando datos de eventos y de contexto. El conjunto de reglas incluye lo siguiente:

• Okta identifica una serie de actividades maliciosas y sospechosas que se producen en la plataforma Okta, como ataques de MFA, intentos de fuerza bruta, ataques de pulverización de contraseñas y anomalías de inicio de sesión, entre otras.

Dispositivos compatibles y tipos de registros necesarios para Okta

Estos conjuntos de reglas se han probado y son compatibles con las siguientes fuentes de datos, que se indican por nombre de producto y etiqueta de ingestión de Google SecOps:

Ajustar las alertas devueltas por los conjuntos de reglas

Puedes reducir el número de detecciones que genera una regla o un conjunto de reglas mediante exclusiones de reglas.

Una exclusión de regla define los criterios que se utilizan para excluir un evento de la evaluación del conjunto de reglas o de reglas específicas del conjunto de reglas. Crea una o varias exclusiones de reglas para reducir el volumen de detecciones. Consulta Configurar exclusiones de reglas para obtener información sobre cómo hacerlo.

Siguientes pasos

• Ingestión de Google Cloud registros
• Ingerir registros de AWS
• Investigar una alerta

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.