Descripción general de la categoría de amenazas de nube

Compatible con:

En este documento, se proporciona una descripción general de los conjuntos de reglas de la categoría Amenazas de Cloud, las fuentes de datos requeridas y la configuración que puedes usar para ajustar las alertas que genera cada conjunto de reglas. Estos conjuntos de reglas ayudan a identificar amenazas en entornos de Google Cloudcon datos de Google Cloud y en entornos de AWS con datos de AWS.

Descripciones de los conjuntos de reglas

Los siguientes conjuntos de reglas están disponibles en la categoría Amenazas en la nube.

La abreviatura CDIR significa Cloud Detection, Investigation, and Response (detección, investigación y respuesta en la nube).

Detecciones seleccionadas para los datos de Google Cloud

Los conjuntos de reglas deGoogle Cloud ayudan a identificar amenazas en entornos Google Cloud con datos de eventos y contexto, y se incluyen los siguientes conjuntos de reglas:

  • Acción del administrador: Actividad asociada con acciones administrativas, considerada sospechosa, pero potencialmente legítima según el uso de la organización.
  • CDIR SCC Enhanced Exfiltration: Contiene reglas basadas en el contexto que correlacionan los resultados de la Exfiltración mejorada de SCC de Security Command Center con otras fuentes de registros, incluidos los registros de Registros de auditoría de Cloud, el contexto de Sensitive Data Protection, el contexto de BigQuery y los registros de Configuración incorrecta de Security Command Center.
  • CDIR SCC Enhanced Defense Evasion: Contiene reglas basadas en el contexto que correlacionan los resultados de Evasión de Security Command Center o Evasión de defensas con datos de otrasGoogle Cloud fuentes de datos, incluidos los Registros de auditoría de Cloud.
  • CDIR SCC Enhanced Malware: Contiene reglas basadas en el contexto que correlacionan los resultados de software malicioso de Security Command Center con datos, como la ocurrencia de direcciones IP y dominios, y sus puntuaciones de prevalencia, además de otras fuentes de datos, incluidos los registros de Cloud DNS.
  • CDIR SCC Enhanced Persistence: Contiene reglas basadas en el contexto que correlacionan los resultados de persistencia de Security Command Center con datos de fuentes, incluidos los registros de Cloud DNS y los registros de análisis de IAM.
  • CDIR SCC Enhanced Privilege Escalation: Contiene reglas basadas en el contexto que correlacionan los resultados de la escalación de privilegios de Security Command Center con datos de varias otras fuentes de datos, incluidos los registros de auditoría de Cloud.
  • CDIR SCC Credential Access: Contiene reglas basadas en el contexto que correlacionan los resultados de Credential Access de Security Command Center con datos de varias otras fuentes de datos, incluidos los registros de auditoría de Cloud.
  • CDIR SCC Enhanced Discovery: Contiene reglas basadas en el contexto que correlacionan los resultados de la derivación del descubrimiento de Security Command Center con datos de fuentes como los servicios y los registros de auditoría de Cloud. Google Cloud
  • CDIR SCC Brute Force: Contiene reglas que tienen en cuenta el contexto y correlacionan los resultados de la derivación de ataques de fuerza bruta de Security Command Center con datos, incluidos los registros de Cloud DNS.
  • CDIR SCC Data Destruction: Contiene reglas basadas en el contexto que correlacionan los resultados de la derivación de la destrucción de datos de Security Command Center con datos de varias otras fuentes de datos, incluidos los registros de auditoría de Cloud.
  • CDIR SCC Inhibit System Recovery: Contiene reglas basadas en el contexto que correlacionan los resultados de Inhibit System Recovery de Security Command Center con datos de varias otras fuentes de datos, incluidos los registros de auditoría de Cloud.
  • CDIR SCC Execution: Contiene reglas basadas en el contexto que correlacionan los resultados de ejecución de Security Command Center con datos de varias otras fuentes de datos, incluidos los registros de auditoría de Cloud.
  • CDIR SCC Initial Access: Contiene reglas basadas en el contexto que correlacionan los resultados de acceso inicial de Security Command Center con datos de varias otras fuentes de datos, incluidos los registros de auditoría de Cloud.
  • CDIR SCC Impair Defenses: Contiene reglas basadas en el contexto que correlacionan los resultados de Impair Defenses de Security Command Center con datos de varias otras fuentes de datos, incluidos los registros de auditoría de Cloud.
  • CDIR SCC Impact: Contiene reglas que detectan hallazgos de Impact de Security Command Center con una clasificación de gravedad crítica, alta, media y baja.
  • CDIR SCC Cloud IDS: Contiene reglas que detectan los hallazgos del Sistema de detección de intrusiones de Cloud de Security Command Center con una clasificación de gravedad crítica, alta, media y baja.
  • CDIR SCC Cloud Armor: Contiene reglas que detectan los hallazgos de Google Cloud Armor en Security Command Center.
  • CDIR SCC Custom Module: Contiene reglas que detectan los resultados de los módulos personalizados de Event Threat Detection de Security Command Center.
  • Cloud Hacktool: Se detectó actividad de plataformas conocidas de seguridad ofensiva o de herramientas o software ofensivos que usan los agentes de amenazas en la naturaleza y que se dirigen específicamente a los recursos de la nube.
  • Cloud SQL Ransom: Detecta la actividad asociada con el robo o el rescate de datos en las bases de datos de Cloud SQL.
  • Kubernetes Suspicious Tools: Detecta el comportamiento de reconocimiento y explotación de herramientas de Kubernetes de código abierto.
  • Abuso del RBAC de Kubernetes: Detecta la actividad de Kubernetes asociada con el abuso de los controles de acceso basados en roles (RBAC) que intentan elevación de privilegios o un movimiento lateral.
  • Acciones sensibles de certificados de Kubernetes: Detecta acciones de certificados de Kubernetes y solicitudes de firma de certificados (CSR) que se podrían usar para establecer persistencia o elevar privilegios.
  • Abuso de IAM: Actividad asociada al abuso de roles y permisos de IAM para potencialmente escalar privilegios o moverse lateralmente dentro de un proyecto de Cloud determinado o en una organización de Cloud.
  • Potential Exfil Activity: Detecta actividad asociada con la posible filtración de datos.
  • Suplantación de recursos: Detecta recursos Google Cloud creados con nombres o características de otro recurso o tipo de recurso. Esto se podría usar para ocultar la actividad maliciosa que se lleva a cabo en el recurso o a través de él, con la intención de parecer legítima.
  • Amenazas sin servidores : Detecta la actividad asociada con el posible riesgo o abuso de los recursos sin servidores en Google Cloud, incluidas las funciones de Cloud Run y Cloud Run.
  • Interrupción del servicio: Detecta acciones destructivas o perturbadoras que, si se realizan en un entorno de producción en funcionamiento, pueden causar una interrupción significativa. El comportamiento detectado es común y probablemente benigno en los entornos de prueba y desarrollo.
  • Comportamiento sospechoso: Actividad que se considera poco común y sospechosa en la mayoría de los entornos.
  • Suspicious Infrastructure Change: Detecta modificaciones en la infraestructura de producción que se alinean con tácticas de persistencia conocidas.
  • Configuración debilitada: Actividad asociada con el debilitamiento o la degradación de un control de seguridad. Se considera sospechoso, pero podría ser legítimo según el uso de la organización.
  • Posible robo de datos internos desde Chrome: Detecta la actividad asociada con posibles comportamientos de amenazas internas, incluido el robo de datos o la pérdida de datos potencialmente sensibles fuera de una organización de Google Workspace. Esto incluye los comportamientos de Chrome que se consideran anómalos en comparación con un valor de referencia de 30 días.
  • Posible robo de datos internos desde Drive: Detecta actividad asociada con posibles comportamientos de amenazas internas, como robo de datos o pérdida de datos potencialmente sensibles fuera de una organización de Google Workspace. Esto incluye los comportamientos de Drive que se consideran anómalos en comparación con un período de referencia de 30 días.
  • Posible robo de datos internos desde Gmail: Detecta la actividad asociada con posibles comportamientos de amenazas internas, incluido el robo de datos o la pérdida de datos potencialmente sensibles fuera de una organización de Google Workspace. Esto incluye los comportamientos de Gmail que se consideran anómalos en comparación con un período de referencia de 30 días.
  • Posible vulneración de la cuenta de Workspace: Detecta comportamientos de amenazas internas que indican que la cuenta podría haberse vulnerado y que pueden generar intentos de escalación de privilegios o de movimiento lateral dentro de una organización de Google Workspace. Esto incluiría los comportamientos que se consideran poco frecuentes o anómalos en comparación con un valor de referencia de 30 días.
  • Acciones administrativas sospechosas de Workspace: Detecta comportamientos que indican una posible evasión, una degradación de la seguridad o comportamientos anómalos y poco frecuentes que no se observaron en los últimos 30 días en usuarios con privilegios más altos, incluidos los administradores.

Dispositivos y tipos de registros compatibles

En las siguientes secciones, se describen los datos necesarios para los conjuntos de reglas en la categoría Amenazas de la nube.

Para transferir datos de los servicios de Google Cloud , consulta Transfiere registros de Cloud a Google SecOps. Comunícate con tu representante de Operaciones de seguridad de Google si necesitas recopilar estos registros con otro mecanismo.

Google SecOps proporciona analizadores predeterminados que analizan y normalizan los registros sin procesar de los servicios de Google Cloud para crear registros de UDM con los datos que requieren estos conjuntos de reglas.

Para obtener una lista de todas las fuentes de datos compatibles con Google SecOps, consulta Analizadores predeterminados compatibles.

Todos los conjuntos de reglas

Para usar cualquier conjunto de reglas, te recomendamos que recopiles Google Cloudregistros de auditoría de Cloud. Algunas reglas requieren que los clientes habiliten el registro de Cloud DNS. Asegúrate de que los servicios de Google Cloud estén configurados para registrar datos en los siguientes registros:

Conjunto de reglas de ransomware de Cloud SQL

Para usar el conjunto de reglas Cloud SQL Ransom, te recomendamos que recopiles los siguientes Google Cloud datos:

Conjuntos de reglas mejorados de SCC de CDIR

Todos los conjuntos de reglas que comienzan con el nombre CDIR SCC Enhanced usan los hallazgos de Security Command Center Premium contextualizados con varias otras fuentes de registros de Google Cloud , incluidas las siguientes:

  • Registros de auditoría de Cloud
  • Registros de Cloud DNS
  • Análisis de Identity and Access Management (IAM)
  • Contexto de Sensitive Data Protection
  • Contexto de BigQuery
  • Contexto de Compute Engine

Para usar los conjuntos de reglas de CDIR SCC Enhanced, te recomendamos que recopiles los siguientes datos de Google Cloud :

  • Datos de registro que se muestran en la sección Todos los conjuntos de reglas

  • Los siguientes datos de registro, enumerados por nombre del producto y etiqueta de transferencia de Google SecOps:

    • BigQuery (GCP_BIGQUERY_CONTEXT)
    • Compute Engine (GCP_COMPUTE_CONTEXT)
    • IAM (GCP_IAM_CONTEXT)
    • Protección de datos sensibles (GCP_DLP_CONTEXT)
    • Registros de auditoría de Cloud (GCP_CLOUDAUDIT)
    • Actividad de Google Workspace (WORKSPACE_ACTIVITY)
    • Consultas de Cloud DNS (GCP_DNS)

  • Las siguientes clases de resultados de Security Command Center, que se enumeran por identificador de findingClass y etiqueta de transferencia de Google SecOps:

    • Threat (GCP_SECURITYCENTER_THREAT)
    • Misconfiguration (GCP_SECURITYCENTER_MISCONFIGURATION)
    • Vulnerability (GCP_SECURITYCENTER_VULNERABILITY)
    • SCC Error (GCP_SECURITYCENTER_ERROR)

Los conjuntos de reglas de CDIR SCC Enhanced también dependen de los datos de los servicios de Google Cloud . Para enviar los datos requeridos a Google SecOps, asegúrate de completar los siguientes pasos:

Los siguientes conjuntos de reglas crean una detección cuando se identifican hallazgos de Event Threat Detection de Security Command Center, Google Cloud Armor, Sensitive Actions Service de Security Command Center y módulos personalizados para Event Threat Detection:

  • CDIR SCC Cloud IDS
  • CDIR, SCC Cloud Armor
  • Impacto en el CDIR de SCC
  • CDIR SCC Enhanced Persistence
  • CDIR SCC Enhanced Defense Evasion
  • Módulo personalizado de CDIR SCC

Conjunto de reglas de herramientas sospechosas de Kubernetes

Para usar el conjunto de reglas de Kubernetes Suspicious Tools, te recomendamos que recopiles los datos que se indican en la sección Todos los conjuntos de reglas. Asegúrate de que los servicios estén configurados para registrar datos en los registros de nodos de Google Kubernetes Engine (GKE). Google Cloud

Conjunto de reglas de abuso del RBAC de Kubernetes

Para usar el conjunto de reglas Abuso de RBAC de Kubernetes, te recomendamos que recopiles los registros de auditoría de Cloud que se indican en la sección Todos los conjuntos de reglas.

Conjunto de reglas de acciones sensibles de certificados de Kubernetes

Para usar el conjunto de reglas Acciones sensibles a certificados de Kubernetes, te recomendamos que recopiles los registros de auditoría de Cloud que se indican en la sección Todos los conjuntos de reglas.

Conjuntos de reglas relacionados con Google Workspace

Los siguientes conjuntos de reglas detectan patrones en los datos de Google Workspace:

  • Posible robo de datos internos desde Chrome
  • Posible robo de datos internos desde Drive
  • Posible robo de datos internos de Gmail
  • Posible vulneración de la cuenta de Workspace
  • Acciones administrativas sospechosas de Workspace

Estos conjuntos de reglas requieren los siguientes tipos de registros, que se enumeran por nombre de producto y etiqueta de transferencia de Google SecOps:

  • Actividades del espacio de trabajo (WORKSPACE_ACTIVITY)
  • Alertas de Workspace (WORKSPACE_ALERTS)
  • Dispositivos ChromeOS de Workspace (WORKSPACE_CHROMEOS)
  • Dispositivos móviles de Workspace (WORKSPACE_MOBILE)
  • Usuarios de Workspace (WORKSPACE_USERS)
  • Administración en la nube del navegador Google Chrome (CHROME_MANAGEMENT)
  • Registros de Gmail (GMAIL_LOGS)

Para transferir los datos requeridos, haz lo siguiente:

Conjunto de reglas de amenazas sin servidores

Los registros de Cloud Run incluyen registros de solicitudes y registros de contenedores, que se transfieren como el tipo de registro GCP_RUN en Google SecOps. Los registros de GCP_RUN se pueden transferir con la transferencia directa o con Feeds y Cloud Storage. Para obtener más detalles sobre los filtros de registros específicos y la transferencia, consulta Exporta registros a Google SecOps. Google Cloud El siguiente filtro de exportación exporta registros de Google Cloud Cloud Run (GCP_RUN), además de los registros predeterminados a través del mecanismo de transferencia directa y de Cloud Storage y los receptores:

log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)

Detecciones seleccionadas para los conjuntos de reglas de AWS

Los conjuntos de reglas de AWS en esta categoría ayudan a identificar amenazas en entornos de AWS a través de datos de eventos y contexto, y se incluyen los siguientes conjuntos de reglas:

  • AWS - Compute: Detecta actividad anómala en torno a los recursos de procesamiento de AWS, incluidos EC2 y Lambda.
  • AWS - Data: Detecta la actividad de AWS asociada con los recursos de datos, incluidas las instantáneas de RDS o los buckets de S3 que se pusieron a disposición del público.
  • AWS - GuardDuty: Alertas de AWS GuardDuty adaptadas al contexto para Comportamiento, Acceso a credenciales, Minería de criptomonedas, Descubrimiento, Evasión, Ejecución, Exfiltración, Impacto, Acceso inicial, Malware, Pruebas de penetración, Persistencia, Política, Escalación de privilegios y Acceso no autorizado.
  • AWS - Hacktools: Detecta el uso de Hacktools en un entorno de AWS, como escáneres, kits de herramientas y frameworks.
  • AWS - Identity: Se detecta actividad de AWS asociada con IAM y actividad de autenticación, incluidos inicios de sesión inusuales desde varias ubicaciones geográficas, creación de roles demasiado permisivos o actividad de IAM desde herramientas sospechosas.
  • AWS - Logging and Monitoring: Detecta la actividad de AWS relacionada con la inhabilitación de los servicios de registro y supervisión, incluidos CloudTrail, CloudWatch y GuardDuty.
  • AWS - Network: Detecta alteraciones no seguras en la configuración de la red de AWS, como grupos de seguridad y firewalls.
  • AWS - Organization: Detecta la actividad de AWS asociada a tu organización, lo que incluye la adición o eliminación de cuentas y los eventos inesperados relacionados con el uso de la región.
  • AWS - Secrets: Detecta la actividad de AWS asociada con secretos, tokens y contraseñas, incluida la eliminación de secretos de KMS o de Secrets Manager.

Dispositivos y tipos de registros compatibles con AWS

Estos conjuntos de reglas se probaron y son compatibles con las siguientes fuentes de datos de Google SecOps, que se enumeran por nombre de producto y etiqueta de transferencia.

Consulta Configura la transferencia de datos de AWS para obtener información sobre cómo configurar la transferencia de datos de AWS.

Para obtener una lista de todas las fuentes de datos compatibles, consulta Analizadores predeterminados compatibles.

En las siguientes secciones, se describen los datos necesarios para los conjuntos de reglas que identifican patrones en los datos.

Puedes transferir datos de AWS con un bucket de Amazon Simple Storage Service (Amazon S3) como tipo de fuente o, de manera opcional, con Amazon S3 y Amazon Simple Queue Service (Amazon SQS). En un nivel alto, deberás hacer lo siguiente:

  • Configura Amazon S3 o Amazon S3 con Amazon SQS para recopilar datos de registros.
  • Configura un feed de Google SecOps para transferir datos desde Amazon S3 o Amazon SQS.

Consulta Cómo transferir registros de AWS a Google SecOps para conocer los pasos detallados necesarios para configurar los servicios de AWS y un feed de Google SecOps para transferir datos de AWS.

Puedes usar las reglas de prueba de AWS Managed Detection Testing para verificar que los datos de AWS se estén transfiriendo al SIEM de SecOps de Google. Estas reglas de prueba ayudan a verificar si los datos de registro de AWS se transfieren según lo previsto. Después de configurar la transferencia de datos de AWS, realiza acciones en AWS que deberían activar las reglas de prueba.

Consulta Cómo verificar la transferencia de datos de AWS para la categoría Amenazas de Cloud para obtener información sobre cómo verificar la transferencia de datos de AWS con las reglas de prueba de Pruebas de detección administradas por AWS.

Detecciones seleccionadas para los datos de Azure

Algunos conjuntos de reglas de esta categoría están diseñados para funcionar con datos de Azure y, así, identificar amenazas en entornos de Azure a través de datos de eventos, datos de contexto y alertas. Incluyen lo siguiente:

  • Azure - Compute: Detecta actividad anómala relacionada con los recursos de procesamiento de Azure, incluidos Kubernetes y las máquinas virtuales (VMs).
  • Azure - Data: Detecta la actividad asociada con los recursos de datos, incluidos los permisos de blobs de Azure, las modificaciones y las invitaciones a usuarios externos para usar los servicios de Azure en el arrendatario.
  • Azure: Defender for Cloud: Identifica las alertas recibidas de Microsoft Defender for Cloud que tienen en cuenta el contexto y que se relacionan con el comportamiento del usuario, el acceso a credenciales, la minería de criptomonedas, el descubrimiento, la evasión, la ejecución, la exfiltración, el impacto, el acceso inicial, el software malicioso, las pruebas de penetración, la persistencia, la política, la elevación de privilegios o el acceso no autorizado en todos los servicios de Azure Cloud.
  • Azure - Hacktools: Detecta el uso de herramientas de hacking en un entorno de Azure, incluidos los anonimizadores de Tor y VPN, los escáneres y los kits de herramientas de equipo de emergencia.
  • Azure - Identity: Detecta la actividad relacionada con la autenticación y la autorización, lo que indica un comportamiento inusual, incluido el acceso simultáneo desde varias ubicaciones geográficas, políticas de administración de acceso demasiado permisivas o actividad de RBAC de Azure desde herramientas sospechosas.
  • Azure - Logging and Monitoring: Detecta la actividad relacionada con la inhabilitación de los servicios de registro y supervisión en Azure.
  • Azure: Red: Detecta alteraciones inseguras y notables en la configuración o los dispositivos de redes de Azure, incluidos los grupos de seguridad o los firewalls, el firewall de aplicaciones web de Azure y las políticas de denegación de servicio.
  • Azure - Organización: Detecta la actividad asociada a tu organización, incluida la adición o eliminación de suscripciones y cuentas.
  • Azure - Secrets: Detecta la actividad asociada con secretos, tokens y contraseñas (por ejemplo, modificaciones en Azure Key Vault o claves de acceso a la cuenta de almacenamiento).

Dispositivos compatibles y tipos de registros necesarios para Azure

Estos conjuntos de reglas se probaron y son compatibles con las siguientes fuentes de datos, que se enumeran por nombre del producto y etiqueta de transferencia de Google SecOps.

Ingiere datos de Azure y Microsoft Entra ID

Debes transferir datos desde cada fuente de datos para tener la máxima cobertura de reglas. Consulta la siguiente documentación para obtener información sobre cómo transferir datos desde cada fuente.

En la siguiente sección, se describe cómo verificar la transferencia de datos de Azure con reglas de prueba predefinidas.

Verifica la transferencia de datos de Azure

El panel de estado y de transferencia de datos de Google SecOps te permite ver información sobre el tipo, el volumen y el estado de todos los datos que se transfieren a Google SecOps con las funciones de transferencia de SIEM.

También puedes usar las reglas de prueba de Pruebas de detección administradas de Azure para verificar la transferencia de datos de Azure. Después de configurar la transferencia, realiza acciones en el portal de Azure que deberían activar las reglas de prueba. Su objetivo es verificar que los datos se ingieran y tengan el formato esperado para usar las detecciones seleccionadas para los datos de Azure.

Habilita las reglas de prueba de la prueba de detección administrada de Azure

  1. En Google Security Operations, haz clic en Detections > Rules & Detections para abrir la página Curated Detections.
  2. Selecciona Pruebas de detección administrada > Pruebas de detección administrada de Azure.
  3. Habilita Estado y Alertas para las reglas Generales y Precisas.

Envía datos de acciones del usuario para activar las reglas de prueba

Para verificar que los datos se transfieran según lo previsto, crea un usuario y accede para verificar que estas acciones activen las reglas de prueba. Para obtener información sobre cómo crear usuarios en Microsoft Entra ID, consulta Cómo crear, invitar y borrar usuarios.

  1. En Azure, crea un nuevo usuario de Microsoft Entra ID.

    1. Navega al portal de Azure.
    2. Abre Microsoft Entra ID.
    3. Haz clic en Agregar y, luego, en Crear usuario nuevo. Haz lo siguiente para definir el usuario:
      1. Ingresa la siguiente información:
        • Nombre principal del usuario: GCTI_ALERT_VALIDATION
        • Nombre principal del usuario: GCTI_ALERT_VALIDATION
        • Nombre visible: GCTI_ALERT_VALIDATION
      2. Selecciona Generar contraseña automáticamente para generar una contraseña automáticamente para este usuario.
      3. Selecciona la casilla de verificación Cuenta habilitada.
      4. Abre la pestaña Revisar y crear.
      5. Recuerda la contraseña generada automáticamente. La usarás en los próximos pasos.
      6. Haz clic en Crear.
    4. Abre una ventana del navegador en modo incógnito y, luego, navega al portal de Azure.
    5. Accede con el usuario y la contraseña recién creados.
    6. Cambia la contraseña del usuario.
    7. Inscríbete en la autenticación de varios factores (MFA) según la política de tu organización.
    8. Asegúrate de salir correctamente del portal de Azure.

  2. Para verificar que se creen alertas en Google Security Operations, haz lo siguiente:

    1. En Google Security Operations, haz clic en Detecciones > Reglas y detecciones para abrir la página Detecciones seleccionadas.

    2. Haz clic en Panel.

    3. En la lista de detecciones, verifica que se hayan activado las siguientes reglas:

      • tst_azure_ad_user_creation
      • tst_azure_ad_user_login

  3. Después de confirmar que se envían los datos y que se activan estas reglas, desactiva o anula el aprovisionamiento de la cuenta de usuario.

Envía alertas de muestra para activar las reglas de prueba

Sigue estos pasos para verificar que la generación de alertas de seguridad de muestra en Azure active las reglas de prueba. Para obtener más información sobre cómo generar alertas de seguridad de muestra en Microsoft Defender for Cloud, consulta Validación de alertas en Microsoft Defender for Cloud.

  1. En Azure Portal, navega a Todos los servicios.
  2. En Seguridad, abre Microsoft Defender for Cloud.
  3. Navega a Alertas de seguridad.
  4. Haz clic en Alertas de muestra y, luego, haz lo siguiente:
    1. Selecciona tu suscripción.
    2. Selecciona all para Planes de Defender for Cloud.
    3. Haz clic en Crear alertas de muestra.
  5. Verifica que se activen las alertas de prueba.
  6. En Google Security Operations, haz clic en Detecciones > Reglas y detecciones para abrir la página Detecciones seleccionadas.
  7. Haz clic en Panel.
  8. En la lista de detecciones, verifica que se hayan activado las siguientes reglas:
    • tst_azure_activity
    • tst_azure_defender_for_cloud_alerts

Ejecuta una solicitud a la API de GET en Microsoft Graph Explorer para activar las reglas de prueba

Sigue estos pasos para verificar que la generación de alertas de seguridad de muestra en Azure active las reglas de prueba.

  1. Navega al Explorador de Microsoft Graph.
  2. Asegúrate de que el arrendatario adecuado esté seleccionado en la esquina superior derecha.
  3. Haga clic en Ejecutar consulta.
  4. Verifica que se activen las alertas de prueba.
  5. En Google Security Operations, haz clic en Detecciones > Reglas y detecciones para abrir la página Detecciones seleccionadas.
  6. Haz clic en Panel.
  7. En la lista de detecciones, verifica que se haya activado la regla tst_microsoft_graph_api_get_activity.

Inhabilita los conjuntos de reglas de pruebas de detección administradas de Azure

  1. En Google Security Operations, haz clic en Detección > Reglas y detecciones para abrir la página Detecciones seleccionadas.
  2. Selecciona las reglas de Pruebas de detección administrada > Pruebas de detección administrada de Azure.
  3. Inhabilita Estado y Alertas para las reglas Generales y Precisas.

Detecciones seleccionadas para los datos de Office 365

Los conjuntos de reglas de Office 365 en esta categoría ayudan a identificar amenazas en entornos de Office 365 a través de datos de eventos y contexto, y se incluyen los siguientes conjuntos de reglas:

  • Office 365 - Administrative: Detecta actividades maliciosas, sospechosas y de alto riesgo en Office 365, incluidos los cambios en la política de copias de seguridad, Microsoft Purview y las detecciones de ATP.

  • Office 365 - eDiscovery: Detecta actividades maliciosas, sospechosas y de alto riesgo en Office 365 eDiscovery, incluidos los intentos de buscar credenciales o cualquier otro dato sensible.

  • Office 365 - Email: Detecta actividades maliciosas, sospechosas y de alto riesgo en el correo electrónico de Office 365, incluidos los intentos de phishing, los cambios riesgosos en la configuración del correo electrónico y la actividad sospechosa del correo electrónico.

  • Office 365 Forms: Detecta actividades maliciosas, sospechosas y de alto riesgo en Office 365 Forms, incluidos los intentos de phishing y las actualizaciones de estado de las cuentas de Forms.

  • Office 365 - Identity: Detecta actividades maliciosas, sospechosas y de alto riesgo en Office 365 relacionadas con la administración de identidades y accesos, incluido el posible robo de tokens, configuraciones de autenticación riesgosas, ataques de MFA, ataques de contraseñas y herramientas de piratería conocidas.

  • Office 365: Sharepoint y OneDrive: Detecta actividades maliciosas, sospechosas y de alto riesgo en Office 365 Sharepoint y OneDrive, incluidas las cargas de software malicioso, el uso compartido anónimo de archivos y las búsquedas de credenciales y datos financieros.

  • Office 365 - Teams: Detecta actividades maliciosas, sospechosas y de alto riesgo en Office 365 Teams, incluida la suplantación de cuentas de equipos, la exportación de grabaciones y transcripciones.

Dispositivos compatibles y tipos de registros necesarios para Office 365

Estos conjuntos de reglas se probaron y son compatibles con las siguientes fuentes de datos, que se enumeran por nombre del producto y etiqueta de transferencia de Google SecOps:

Detección seleccionada para conjuntos de reglas de Okta

Los conjuntos de reglas de Okta en esta categoría ayudan a detectar amenazas dentro de los entornos de Okta analizando los datos de eventos y de contexto. El conjunto de reglas incluye lo siguiente:

  • Okta: Identifica una variedad de actividades maliciosas y sospechosas que ocurren dentro de la plataforma de Okta, incluidos ataques de MFA, intentos de fuerza bruta, rociado de contraseñas, anomalías de acceso y mucho más.

Dispositivos compatibles y tipos de registros requeridos para Okta

Estos conjuntos de reglas se probaron y son compatibles con las siguientes fuentes de datos, que se enumeran por nombre del producto y etiqueta de transferencia de Google SecOps:

Ajusta las alertas que muestran los conjuntos de reglas

Puedes reducir la cantidad de detecciones que genera una regla o un conjunto de reglas con las exclusiones de reglas.

Una exclusión de regla define los criterios que se utilizan para excluir un evento de la evaluación del conjunto de reglas o de reglas específicas del conjunto. Crea una o más exclusiones de reglas para reducir la cantidad de detecciones. Consulta Configura exclusiones de reglas para obtener información sobre cómo hacerlo.

¿Qué sigue?

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.