Présentation de la catégorie "Menaces cloud"

Compatible avec :

Ce document présente les ensembles de règles de la catégorie "Menaces cloud", les sources de données requises et la configuration que vous pouvez utiliser pour affiner les alertes générées par chaque ensemble de règles. Ces ensembles de règles permettent d'identifier les menaces dans les environnements Google Cloudà l'aide des données Google Cloud et dans les environnements AWS à l'aide des données AWS.

Descriptions des ensembles de règles

Les ensembles de règles suivants sont disponibles dans la catégorie "Menaces cloud".

L'abréviation CDIR signifie Cloud Detection, Investigation, and Response (détection, investigation et réponse dans le cloud).

Détections sélectionnées pour les données Google Cloud

Les ensembles de règlesGoogle Cloud permettent d'identifier les menaces dans les environnements Google Cloud à l'aide de données d'événement et de contexte. Ils incluent les ensembles de règles suivants :

  • Action d'administrateur : activité associée à des actions d'administration, considérée comme suspecte, mais potentiellement légitime en fonction de l'utilisation de l'organisation.
  • CDIR SCC Enhanced Exfiltration : contient des règles contextuelles qui mettent en corrélation les résultats d'exfiltration de Security Command Center avec d'autres sources de journaux, y compris les journaux Cloud Audit Logs, le contexte Sensitive Data Protection, le contexte BigQuery et les journaux de configuration incorrecte de Security Command Center.
  • CDIR SCC Enhanced Defense Evasion : contient des règles contextuelles qui mettent en corrélation les résultats d'évasion ou d'évitement de la défense de Security Command Center avec les données d'autres sources de donnéesGoogle Cloud , y compris les Cloud Audit Logs.
  • CDIR SCC Enhanced Malware : contient des règles contextuelles qui mettent en corrélation les résultats de Security Command Center concernant les logiciels malveillants avec des données, y compris l'occurrence des adresses IP et des domaines, ainsi que leurs scores de prévalence, en plus d'autres sources de données, y compris les journaux Cloud DNS.
  • CDIR SCC Enhanced Persistence : contient des règles contextuelles qui mettent en corrélation les résultats de persistance Security Command Center avec les données de sources, y compris les journaux Cloud DNS et les journaux d'analyse IAM.
  • CDIR SCC Enhanced Privilege Escalation (Escalade de privilèges SCC CDIR améliorée) : contient des règles contextuelles qui mettent en corrélation les résultats d'escalade de privilèges Security Command Center avec les données de plusieurs autres sources de données, y compris Cloud Audit Logs.
  • CDIR SCC Credential Access : contient des règles contextuelles qui mettent en corrélation les résultats de Security Command Center Credential Access avec les données de plusieurs autres sources de données, y compris Cloud Audit Logs.
  • CDIR SCC Enhanced Discovery : contient des règles contextuelles qui mettent en corrélation les résultats d'escalade de la découverte Security Command Center avec les données provenant de sources telles que les services Google Cloud et Cloud Audit Logs.
  • CDIR SCC Brute Force : contient des règles contextuelles qui mettent en corrélation les résultats d'escalade des attaques par force brute de Security Command Center avec des données, y compris les journaux Cloud DNS.
  • CDIR SCC Data Destruction : contient des règles contextuelles qui mettent en corrélation les résultats d'escalade de destruction de données Security Command Center avec les données de plusieurs autres sources de données, y compris Cloud Audit Logs.
  • CDIR SCC Inhibit System Recovery : contient des règles contextuelles qui mettent en corrélation les résultats Inhibit System Recovery de Security Command Center avec les données de plusieurs autres sources de données, y compris Cloud Audit Logs.
  • Exécution CDIR SCC : contient des règles contextuelles qui mettent en corrélation les résultats d'exécution Security Command Center avec les données de plusieurs autres sources de données, y compris Cloud Audit Logs.
  • CDIR SCC Initial Access : contient des règles contextuelles qui mettent en corrélation les résultats d'accès initial de Security Command Center avec les données de plusieurs autres sources de données, y compris Cloud Audit Logs.
  • CDIR SCC Impair Defenses : contient des règles contextuelles qui mettent en corrélation les résultats "Défenses affaiblies" de Security Command Center avec les données de plusieurs autres sources de données, y compris Cloud Audit Logs.
  • Impact CDIR SCC : contient des règles qui détectent les résultats Impact de Security Command Center avec une classification de gravité critique, élevée, moyenne et faible.
  • CDIR SCC Cloud IDS : contient des règles qui détectent les résultats Cloud Intrusion Detection System de Security Command Center avec une classification de gravité critique, élevée, moyenne et faible.
  • CDIR SCC Cloud Armor : contient des règles qui détectent les résultats Google Cloud Armor de Security Command Center.
  • Module personnalisé CDIR SCC : contient des règles qui détectent les résultats des modules personnalisés Event Threat Detection dans Security Command Center.
  • Outil de piratage du cloud : activité détectée à partir de plates-formes de sécurité offensive connues ou d'outils ou logiciels offensifs utilisés dans la nature par des acteurs malveillants qui ciblent spécifiquement les ressources cloud.
  • Rançongiciel Cloud SQL : détecte les activités associées à l'exfiltration ou à la demande de rançon de données dans les bases de données Cloud SQL.
  • Outils Kubernetes suspects : détecte les comportements de reconnaissance et d'exploitation à partir d'outils Kubernetes Open Source.
  • Utilisation abusive du RBAC Kubernetes : détecte l'activité Kubernetes associée à l'utilisation abusive des contrôles d'accès basés sur les rôles (RBAC) qui tentent d'escalader les privilèges ou de se déplacer latéralement.
  • Actions sensibles aux certificats Kubernetes : détecte les actions liées aux certificats Kubernetes et aux demandes de signature de certificat (CSR) qui pourraient être utilisées pour établir une persistance ou élever les privilèges.
  • Utilisation abusive d'IAM : activité associée à l'utilisation abusive des rôles et autorisations IAM pour potentiellement escalader les privilèges ou se déplacer latéralement dans un projet Cloud donné ou dans une organisation Cloud.
  • Activité d'exfiltration potentielle : détecte les activités associées à une exfiltration potentielle de données.
  • Masquage de ressources : détecte les ressources Google Cloud créées avec des noms ou des caractéristiques d'une autre ressource ou d'un autre type de ressource. Cela peut être utilisé pour masquer une activité malveillante effectuée par ou dans la ressource, dans le but de paraître légitime.
  • Menaces sans serveur : détecte les activités associées à une éventuelle compromission ou utilisation abusive des ressources sans serveur dans Google Cloud, y compris Cloud Run et Cloud Run Functions.
  • Interruption de service : détectez les actions destructrices ou perturbatrices qui, si elles sont effectuées dans un environnement de production fonctionnel, peuvent entraîner une panne importante. Le comportement détecté est courant et probablement bénin dans les environnements de test et de développement.
  • Comportement suspect : activité considérée comme inhabituelle et suspecte dans la plupart des environnements.
  • Modification suspecte de l'infrastructure : détecte les modifications apportées à l'infrastructure de production qui correspondent à des tactiques de persistance connues.
  • Configuration affaiblie : activité associée à l'affaiblissement ou à la dégradation d'un contrôle de sécurité. Considéré comme suspect, potentiellement légitime selon l'utilisation de l'organisation.
  • Exfiltration de données internes potentielle depuis Chrome : détecte les activités associées à des comportements potentiels de menace interne, y compris l'exfiltration ou la perte de données potentiellement sensibles en dehors d'une organisation Google Workspace. Cela inclut les comportements de Chrome considérés comme anormaux par rapport à une référence de 30 jours.
  • Exfiltration de données internes potentielles depuis Drive : détecte les activités associées à de potentiels comportements de menace interne, y compris l'exfiltration ou la perte de données potentiellement sensibles en dehors d'une organisation Google Workspace. Cela inclut les comportements Drive considérés comme anormaux par rapport à une référence de 30 jours.
  • Exfiltration de données internes potentielle depuis Gmail : détecte les activités associées à des comportements potentiels de menace interne, y compris l'exfiltration ou la perte de données potentiellement sensibles en dehors d'une organisation Google Workspace. Cela inclut les comportements Gmail considérés comme anormaux par rapport à une référence de 30 jours.
  • Compromission potentielle d'un compte Workspace : détecte les comportements de menace interne indiquant que le compte a pu être compromis et peut entraîner des tentatives d'escalade de privilèges ou de déplacement latéral au sein d'une organisation Google Workspace. Cela inclut les comportements considérés comme rares ou anormaux par rapport à une référence de 30 jours.
  • Actions administratives Workspace suspectes : détectez les comportements indiquant une évasion potentielle, une dégradation de la sécurité ou des comportements rares et anormaux jamais observés au cours des 30 derniers jours chez les utilisateurs disposant de droits d'accès élevés, y compris les administrateurs.

Appareils et types de journaux compatibles

Les sections suivantes décrivent les données requises par les ensembles de règles de la catégorie "Menaces cloud".

Pour ingérer des données à partir des services Google Cloud , consultez Ingérer des journaux Cloud dans Google SecOps. Contactez votre représentant Google SecOps si vous devez collecter ces journaux à l'aide d'un autre mécanisme.

Google SecOps fournit des analyseurs par défaut qui analysent et normalisent les journaux bruts des services Google Cloud pour créer des enregistrements UDM avec les données requises par ces ensembles de règles.

Pour obtenir la liste de toutes les sources de données compatibles avec Google SecOps, consultez Analyseurs par défaut compatibles.

Tous les ensembles de règles

Pour utiliser un ensemble de règles, nous vous recommandons de collecter Cloud Audit Logs  Google Cloud. Certaines règles exigent que les clients activent la journalisation Cloud DNS. Assurez-vous que les services Google Cloud sont configurés pour enregistrer les données dans les journaux suivants :

Ensemble de règles Cloud SQL Ransom

Pour utiliser l'ensemble de règles Cloud SQL Ransom, nous vous recommandons de collecter les données Google Cloud suivantes :

Ensembles de règles améliorés CDIR SCC

Tous les ensembles de règles qui commencent par le nom CDIR SCC Enhanced utilisent les résultats Security Command Center Premium contextualisés avec plusieurs autres sources de journaux Google Cloud , y compris les suivantes :

  • Cloud Audit Logs
  • Journaux Cloud DNS
  • Analyse Identity and Access Management (IAM)
  • Contexte de Sensitive Data Protection
  • Contexte BigQuery
  • Contexte Compute Engine

Pour utiliser les ensembles de règles CDIR SCC Enhanced, nous vous recommandons de collecter les données suivantes Google Cloud  :

  • Données de journaux listées dans la section Tous les ensembles de règles.

  • Les données de journaux suivantes, listées par nom de produit et libellé d'ingestion Google SecOps :

    • BigQuery (GCP_BIGQUERY_CONTEXT)
    • Compute Engine (GCP_COMPUTE_CONTEXT)
    • IAM (GCP_IAM_CONTEXT)
    • Protection des données sensibles (GCP_DLP_CONTEXT)
    • Cloud Audit Logs (GCP_CLOUDAUDIT)
    • Activité Google Workspace (WORKSPACE_ACTIVITY)
    • Requêtes Cloud DNS (GCP_DNS)

  • Voici les classes de résultats Security Command Center, listées par identifiant findingClass et libellé d'ingestion Google SecOps :

    • Threat (GCP_SECURITYCENTER_THREAT)
    • Misconfiguration (GCP_SECURITYCENTER_MISCONFIGURATION)
    • Vulnerability (GCP_SECURITYCENTER_VULNERABILITY)
    • SCC Error (GCP_SECURITYCENTER_ERROR)

Les ensembles de règles CDIR SCC Enhanced dépendent également des données des services Google Cloud . Pour envoyer les données requises à Google SecOps, assurez-vous d'effectuer les opérations suivantes :

Les ensembles de règles suivants créent une détection lorsque des résultats de Security Command Center Event Threat Detection, Google Cloud Armor, Security Command Center Sensitive Actions Service et modules personnalisés pour Event Threat Detection sont identifiés :

  • CDIR SCC Cloud IDS
  • CDIR SCC Cloud Armor
  • Impact du CDIR SCC
  • CDIR SCC Enhanced Persistence
  • CDIR SCC Enhanced Defense Evasion
  • Module personnalisé CDIR SCC

Ensemble de règles "Outils suspects Kubernetes"

Pour utiliser l'ensemble de règles Outils suspects Kubernetes, nous vous recommandons de collecter les données listées dans la section Tous les ensembles de règles. Assurez-vous que les services Google Cloudsont configurés pour enregistrer les données dans les journaux de nœuds Google Kubernetes Engine (GKE).

Ensemble de règles Kubernetes RBAC concernant l'utilisation abusive

Pour utiliser l'ensemble de règles Utilisation abusive de Kubernetes RBAC, nous vous recommandons de collecter les journaux d'audit Cloud listés dans la section Tous les ensembles de règles.

Ensemble de règles "Actions sensibles aux certificats Kubernetes"

Pour utiliser l'ensemble de règles Actions sensibles aux certificats Kubernetes, nous vous recommandons de collecter les journaux d'audit Cloud listés dans la section Tous les ensembles de règles.

Ensembles de règles liés à Google Workspace

Les ensembles de règles suivants détectent des schémas dans les données Google Workspace :

  • Exfiltration de données internes potentielles depuis Chrome
  • Exfiltration de données internes potentielles depuis Drive
  • Exfiltration potentielle de données internes depuis Gmail
  • Compte Workspace potentiellement piraté
  • Actions administratives Workspace suspectes

Ces ensembles de règles nécessitent les types de journaux suivants, listés par nom de produit et libellé d'ingestion Google SecOps :

  • Activités de l'espace de travail (WORKSPACE_ACTIVITY)
  • Alertes Workspace (WORKSPACE_ALERTS)
  • Appareils Workspace ChromeOS (WORKSPACE_CHROMEOS)
  • Appareils mobiles Workspace (WORKSPACE_MOBILE)
  • Utilisateurs Workspace (WORKSPACE_USERS)
  • Gestion cloud du navigateur Google Chrome (CHROME_MANAGEMENT)
  • Journaux Gmail (GMAIL_LOGS)

Pour ingérer les données requises, procédez comme suit :

Ensemble de règles "Menaces sans serveur"

Les journaux Cloud Run incluent les journaux de requête et les journaux de conteneur, qui sont ingérés en tant que type de journal GCP_RUN dans Google SecOps. Les journaux GCP_RUN peuvent être ingérés directement ou à l'aide de flux et de Cloud Storage. Pour obtenir des filtres de journaux spécifiques et plus d'informations sur l'ingestion, consultez Exporter des journaux Google Cloud vers Google SecOps. Le filtre d'exportation suivant exporte les journaux Cloud Run (GCP_RUN) en plus des journaux par défaut, à la fois via le mécanisme d'ingestion directe et via Cloud Storage et les récepteurs : Google Cloud 

log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)

Détections sélectionnées pour les ensembles de règles AWS

Les ensembles de règles AWS de cette catégorie permettent d'identifier les menaces dans les environnements AWS à l'aide de données d'événements et de contexte. Ils incluent les ensembles de règles suivants :

  • AWS – Calcul : détecte les activités anormales liées aux ressources de calcul AWS, y compris EC2 et Lambda.
  • AWS – Données : détecte l'activité AWS associée aux ressources de données, y compris les instantanés RDS ou les buckets S3 rendus publics.
  • AWS – GuardDuty : alertes AWS GuardDuty contextuelles pour les catégories "Comportement", "Accès aux identifiants", "Cryptominage", "Découverte", "Évasion", "Exécution", "Exfiltration", "Impact", "Accès initial", "Logiciel malveillant", "Test d'intrusion", "Persistance", "Règle", "Élévation de privilèges" et "Accès non autorisé".
  • AWS – Hacktools : détecte l'utilisation d'outils de piratage dans un environnement AWS, tels que des scanners, des kits d'outils et des frameworks.
  • AWS – Identité : détections pour l'activité AWS associée à IAM et à l'activité d'authentification, y compris les connexions inhabituelles depuis plusieurs zones géographiques, la création de rôles trop permissifs ou l'activité IAM à partir d'outils suspects.
  • AWS – Journalisation et surveillance : détecte l'activité AWS liée à la désactivation des services de journalisation et de surveillance, y compris CloudTrail, CloudWatch et GuardDuty.
  • AWS – Réseau : détecte les modifications non sécurisées apportées aux paramètres réseau AWS, tels que les groupes de sécurité et les pare-feu.
  • AWS – Organisation : détecte l'activité AWS associée à votre organisation, y compris l'ajout ou la suppression de comptes, ainsi que les événements inattendus liés à l'utilisation des régions.
  • AWS – Secrets : détecte l'activité AWS associée aux secrets, aux jetons et aux mots de passe, y compris la suppression des secrets KMS ou Secrets Manager.

Appareils et types de journaux compatibles pour AWS

Ces ensembles de règles ont été testés et sont compatibles avec les sources de données Google SecOps suivantes, listées par nom de produit et libellé d'ingestion.

Pour savoir comment configurer l'ingestion de données AWS, consultez Configurer l'ingestion de données AWS.

Pour obtenir la liste de toutes les sources de données compatibles, consultez Analyseurs par défaut compatibles.

Les sections suivantes décrivent les données requises par les ensembles de règles qui identifient des schémas dans les données.

Vous pouvez ingérer des données AWS à l'aide d'un bucket Amazon Simple Storage Service (Amazon S3) comme type de source ou, si vous le souhaitez, à l'aide d'Amazon S3 avec Amazon Simple Queue Service (Amazon SQS). En règle générale, vous devez effectuer les opérations suivantes :

  • Configurez Amazon S3 ou Amazon S3 avec Amazon SQS pour collecter les données de journaux.
  • Configurer un flux Google SecOps pour ingérer des données depuis Amazon S3 ou Amazon SQS

Consultez Ingérer des journaux AWS dans Google SecOps pour obtenir la procédure détaillée permettant de configurer les services AWS et un flux Google SecOps pour ingérer les données AWS.

Vous pouvez utiliser les règles de test AWS Managed Detection Testing pour vérifier que les données AWS sont ingérées dans Google SecOps SIEM. Ces règles de test permettent de vérifier si les données de journaux AWS sont ingérées comme prévu. Après avoir configuré l'ingestion des données AWS, vous effectuez des actions dans AWS qui devraient déclencher les règles de test.

Pour savoir comment vérifier l'ingestion des données AWS à l'aide des règles de test AWS Managed Detection Testing, consultez Vérifier l'ingestion des données AWS pour la catégorie "Menaces cloud".

Détections sélectionnées pour les données Azure

Certains ensembles de règles de cette catégorie sont conçus pour fonctionner avec les données Azure afin d'identifier les menaces dans les environnements Azure à l'aide des données d'événement, des données de contexte et des alertes. En voici quelques exemples :

  • Azure – Calcul : détecte les activités anormales liées aux ressources de calcul Azure, y compris Kubernetes et les machines virtuelles (VM).
  • Azure – Données : détecte l'activité associée aux ressources de données, y compris les autorisations et modifications des blobs Azure, ainsi que les invitations à des utilisateurs externes à utiliser les services Azure sur le locataire.
  • Azure – Defender for Cloud : identifie les alertes reçues de Microsoft Defender for Cloud, qui tient compte du contexte, concernant le comportement des utilisateurs, l'accès aux identifiants, le minage de cryptomonnaies, la découverte, l'évasion, l'exécution, l'exfiltration, l'impact, l'accès initial, les logiciels malveillants, les tests d'intrusion, la persistance, les règles, l'élévation de privilèges ou l'accès non autorisé à tous les services cloud Azure.
  • Azure – Outils de piratage : détecte l'utilisation d'outils de piratage dans un environnement Azure, y compris les anonymiseurs Tor et VPN, les scanners et les kits d'outils d'équipe rouge.
  • Azure – Identité : détecte les activités liées à l'authentification et à l'autorisation, indiquant un comportement inhabituel, y compris l'accès simultané depuis plusieurs zones géographiques, les règles de gestion des accès trop permissives ou l'activité Azure RBAC à partir d'outils suspects.
  • Azure : journalisation et surveillance : détecte l'activité liée à la désactivation des services de journalisation et de surveillance dans Azure.
  • Azure – Réseau : détecte les modifications notables et non sécurisées apportées aux paramètres ou aux appareils réseau Azure, y compris les groupes de sécurité ou les pare-feu, Azure Web Application Firewall et les règles de déni de service.
  • Azure – Organisation : détecte l'activité associée à votre organisation, y compris l'ajout ou la suppression d'abonnements et de comptes.
  • Azure – Secrets : détecte les activités associées aux secrets, aux jetons et aux mots de passe (par exemple, les modifications apportées à Azure Key Vault ou aux clés d'accès au compte de stockage).

Appareils compatibles et types de journaux requis pour Azure

Ces ensembles de règles ont été testés et sont compatibles avec les sources de données suivantes, listées par nom de produit et libellé d'ingestion Google SecOps.

Ingérer des données Azure et Microsoft Entra ID

Vous devez ingérer les données de chaque source de données pour bénéficier d'une couverture maximale des règles. Pour savoir comment ingérer des données à partir de chaque source, consultez la documentation suivante.

La section suivante explique comment vérifier l'ingestion des données Azure à l'aide de règles de test prédéfinies.

Vérifier l'ingestion des données Azure

Le tableau de bord "Ingestion et état des données" de Google SecOps vous permet d'afficher des informations sur le type, le volume et l'état de toutes les données ingérées dans Google SecOps à l'aide des fonctionnalités d'ingestion SIEM.

Vous pouvez également utiliser les règles de test Azure Managed Detection Testing pour vérifier l'ingestion des données Azure. Après avoir configuré l'ingestion, vous effectuez des actions dans le portail Azure qui devraient déclencher les règles de test. Elles sont destinées à vérifier que les données sont ingérées et au format attendu pour utiliser les détections organisées pour les données Azure.

Activer les règles de test Azure Managed Detection Testing

  1. Dans Google Security Operations, cliquez sur Détections > Règles et détections pour ouvrir la page "Détections sélectionnées".
  2. Sélectionnez Tests de détection gérée > Tests de détection gérée Azure.
  3. Activez État et Alertes pour les règles Générales et Précises.

Envoyer des données d'action utilisateur pour déclencher les règles de test

Pour vérifier que les données sont ingérées comme prévu, créez un utilisateur et connectez-vous pour vérifier que ces actions déclenchent les règles de test. Pour savoir comment créer des utilisateurs dans Microsoft Entra ID, consultez Créer, inviter et supprimer des utilisateurs.

  1. Dans Azure, créez un utilisateur Microsoft Entra ID.

    1. Accédez au portail Azure.
    2. Ouvrez Microsoft Entra ID.
    3. Cliquez sur Ajouter, puis sur Créer un utilisateur. Pour définir l'utilisateur, procédez comme suit :
      1. Saisissez les informations suivantes :
        • Nom d'utilisateur principal : GCTI_ALERT_VALIDATION
        • Nom d'utilisateur principal : GCTI_ALERT_VALIDATION
        • Nom à afficher : GCTI_ALERT_VALIDATION
      2. Sélectionnez Générer automatiquement un mot de passe pour générer automatiquement un mot de passe pour cet utilisateur.
      3. Cochez la case Compte activé.
      4. Ouvrez l'onglet Examiner et créer.
      5. Mémorisez le mot de passe généré automatiquement. Vous l'utiliserez dans les étapes suivantes.
      6. Cliquez sur Créer.
    4. Ouvrez une fenêtre de navigateur en mode navigation privée, puis accédez au portail Azure.
    5. Connectez-vous avec le nom d'utilisateur et le mot de passe que vous venez de créer.
    6. Modifiez le mot de passe de l'utilisateur.
    7. Enregistrez-vous à l'authentification multifacteur (MFA) conformément aux règles de votre organisation.
    8. Assurez-vous de vous déconnecter correctement du portail Azure.

  2. Pour vérifier que des alertes sont créées dans Google Security Operations :

    1. Dans Google Security Operations, cliquez sur Détections > Règles et détections pour ouvrir la page Détections sélectionnées.

    2. Cliquez sur Tableau de bord.

    3. Dans la liste des détections, vérifiez que les règles suivantes ont été déclenchées :

      • tst_azure_ad_user_creation
      • tst_azure_ad_user_login

  3. Une fois que vous avez confirmé que les données sont envoyées et que ces règles sont déclenchées, désactivez ou supprimez le compte utilisateur.

Envoyer des exemples d'alertes pour déclencher les règles de test

Pour vérifier que la génération d'exemples d'alertes de sécurité dans Azure déclenche les règles de test, procédez comme suit. Pour en savoir plus sur la génération d'exemples d'alertes de sécurité dans Microsoft Defender pour le cloud, consultez Validation des alertes dans Microsoft Defender pour le cloud.

  1. Dans le portail Azure, accédez à Tous les services.
  2. Sous Sécurité, ouvrez Microsoft Defender pour le cloud.
  3. Accédez à Alertes de sécurité.
  4. Cliquez sur Exemples d'alertes, puis procédez comme suit :
    1. Sélectionnez votre abonnement.
    2. Sélectionnez Tous pour Plans Defender pour le cloud.
    3. Cliquez sur Créer des exemples d'alertes.
  5. Vérifiez que les alertes de test sont déclenchées.
  6. Dans Google Security Operations, cliquez sur Détections > Règles et détections pour ouvrir la page Détections sélectionnées.
  7. Cliquez sur Tableau de bord.
  8. Dans la liste des détections, vérifiez que les règles suivantes ont été déclenchées :
    • tst_azure_activity
    • tst_azure_defender_for_cloud_alerts

Exécutez une requête GET API dans l'explorateur Microsoft Graph pour déclencher les règles de test.

Pour vérifier que la génération d'exemples d'alertes de sécurité dans Azure déclenche les règles de test, procédez comme suit.

  1. Accédez à l'explorateur Microsoft Graph.
  2. Assurez-vous que le locataire approprié est sélectionné en haut à droite.
  3. Cliquez sur Exécuter la requête.
  4. Vérifiez que les alertes de test sont déclenchées.
  5. Dans Google Security Operations, cliquez sur Détections > Règles et détections pour ouvrir la page Détections sélectionnées.
  6. Cliquez sur Tableau de bord.
  7. Dans la liste des détections, vérifiez que la règle tst_microsoft_graph_api_get_activity a été déclenchée.

Désactiver les ensembles de règles de test de détection gérés Azure

  1. Dans Google Security Operations, cliquez sur Détection > Règles et détections pour ouvrir la page Détections sélectionnées.
  2. Sélectionnez les règles Managed Detection Testing > Azure Managed Detection Testing.
  3. Désactivez État et Alertes pour les règles Générales et Précises.

Détections sélectionnées pour les données Office 365

Les ensembles de règles Office 365 de cette catégorie permettent d'identifier les menaces dans les environnements Office 365 à l'aide de données d'événements et de contexte. Ils incluent les ensembles de règles suivants :

  • Office 365 – Administratif : détecte les activités malveillantes, suspectes et à haut risque dans Office 365, y compris les modifications apportées aux règles de sauvegarde, Microsoft Purview et les détections ATP.

  • Office 365 – eDiscovery : détecte les activités malveillantes, suspectes et à haut risque dans Office 365 eDiscovery, y compris les tentatives de recherche d'identifiants ou d'autres données sensibles.

  • Office 365 – E-mail : détecte les activités malveillantes, suspectes et à haut risque dans Office 365 E-mail, y compris les tentatives d'hameçonnage, les modifications risquées des paramètres de messagerie et les activités suspectes liées aux e-mails.

  • Office 365 – Forms : détecte les activités malveillantes, suspectes et à haut risque dans Office 365 Forms, y compris les tentatives d'hameçonnage et les mises à jour de l'état des comptes Forms.

  • Office 365 – Identité : détecte les activités malveillantes, suspectes et à haut risque dans Office 365 liées à la gestion des identités et des accès, y compris le vol de jetons potentiel, les configurations d'authentification risquées, les attaques MFA, les attaques par mot de passe et les outils de piratage connus.

  • Office 365 – SharePoint et OneDrive : détecte les activités malveillantes, suspectes et à haut risque dans Office 365 SharePoint et OneDrive, y compris les importations de logiciels malveillants, le partage anonyme de fichiers et les recherches d'identifiants et de données financières.

  • Office 365 – Teams : détecte les activités malveillantes, suspectes et à haut risque dans Office 365 Teams, y compris l'usurpation d'identité de comptes Teams, l'exportation d'enregistrements et de transcriptions.

Appareils compatibles et types de journaux requis pour Office 365

Ces ensembles de règles ont été testés et sont compatibles avec les sources de données suivantes, listées par nom de produit et libellé d'ingestion Google SecOps :

Détection sélectionnée pour les ensembles de règles Okta

Les ensembles de règles Okta de cette catégorie permettent de détecter les menaces dans les environnements Okta en analysant les données d'événement et de contexte. L'ensemble de règles inclut les éléments suivants :

  • Okta : identifie un large éventail d'activités malveillantes et suspectes se produisant sur la plate-forme Okta, y compris les attaques MFA, les tentatives de force brute, le password spraying, les anomalies de connexion et plus encore.

Appareils compatibles et types de journaux requis pour Okta

Ces ensembles de règles ont été testés et sont compatibles avec les sources de données suivantes, listées par nom de produit et libellé d'ingestion Google SecOps :

Ajuster les alertes renvoyées par les ensembles de règles

Vous pouvez réduire le nombre de détections générées par une règle ou un ensemble de règles à l'aide des exclusions de règles.

Une exclusion de règle définit les critères utilisés pour empêcher l'évaluation d'un événement par l'ensemble de règles ou par des règles spécifiques de l'ensemble de règles. Créez une ou plusieurs exclusions de règles pour réduire le volume de détections. Pour en savoir plus, consultez Configurer des exclusions de règles.

Étapes suivantes

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.