Ringkasan Kategori Ancaman Cloud

Dokumen ini memberikan ringkasan set aturan dalam kategori Ancaman Cloud, sumber data yang diperlukan, dan konfigurasi yang dapat Anda gunakan untuk menyesuaikan peringatan yang dihasilkan oleh setiap set aturan. Kumpulan aturan ini membantu mengidentifikasi ancaman di lingkungan Google Cloud menggunakan data Google Cloud dan di lingkungan AWS menggunakan data AWS.

Deskripsi kumpulan aturan

Set aturan berikut tersedia dalam kategori Ancaman Cloud.

• Set aturan untuk Google Cloud data

• Set aturan untuk data AWS

• Set aturan untuk data Azure

• Kumpulan aturan untuk data Office 365

• Kumpulan aturan untuk data Okta

Singkatan CDIR adalah Cloud Detection, Investigation, and Response.

Deteksi pilihan untuk data Google Cloud

Kumpulan aturanGoogle Cloud membantu mengidentifikasi ancaman di lingkungan Google Cloud menggunakan data peristiwa dan konteks, serta mencakup kumpulan aturan berikut:

• Tindakan Admin: Aktivitas yang terkait dengan tindakan administratif, dianggap mencurigakan tetapi berpotensi sah, bergantung pada penggunaan organisasi.
• CDIR SCC Enhanced Exfiltration: Berisi aturan yang sadar konteks yang mengorelasikan temuan Exfiltration Security Command Center dengan sumber log lainnya, termasuk log Cloud Audit Logs, konteks Sensitive Data Protection, konteks BigQuery, dan log Kesalahan Konfigurasi Security Command Center.
• CDIR SCC Enhanced Defense Evasion: Berisi aturan yang memahami konteks yang mengorelasikan temuan Evasion atau Defense Evasion Security Command Center dengan data dari sumber dataGoogle Cloud lainnya, termasuk Cloud Audit Logs.
• CDIR SCC Enhanced Malware: Berisi aturan yang sadar konteks yang mengorelasikan temuan Malware Security Command Center dengan data, termasuk kemunculan alamat IP dan domain serta skor prevalensinya, selain sumber data lainnya, termasuk log Cloud DNS.
• CDIR SCC Enhanced Persistence: Berisi aturan yang mengetahui konteks yang mengorelasikan temuan Persistensi Security Command Center dengan data dari sumber, termasuk log Cloud DNS dan log analisis IAM.
• CDIR SCC Enhanced Privilege Escalation: Berisi aturan yang mengetahui konteks yang mengorelasikan temuan eskalasi hak istimewa Security Command Center dengan data dari beberapa sumber data lainnya, termasuk Cloud Audit Logs.
• CDIR SCC Credential Access: Berisi aturan yang memahami konteks yang mengorelasikan temuan Akses Kredensial Security Command Center dengan data dari beberapa sumber data lainnya, termasuk Cloud Audit Logs
• CDIR SCC Enhanced Discovery: Berisi aturan yang memahami konteks yang mengorelasikan temuan eskalasi Penemuan Security Command Center dengan data dari sumber seperti layanan Google Cloud dan Cloud Audit Logs.
• CDIR SCC Brute Force: Berisi aturan yang sadar konteks yang mengorelasikan temuan eskalasi Serangan Brutal Security Command Center dengan data, termasuk log Cloud DNS.
• Penghancuran Data SCC CDIR: Berisi aturan yang memahami konteks yang mengorelasikan temuan eskalasi Penghancuran Data Security Command Center dengan data dari beberapa sumber data lainnya, termasuk Cloud Audit Logs.
• CDIR SCC Inhibit System Recovery: Berisi aturan yang mengetahui konteks yang mengorelasikan temuan Security Command Center Inhibit System Recovery dengan data dari beberapa sumber data lainnya, termasuk Cloud Audit Logs.
• Eksekusi SCC CDIR: Berisi aturan yang sadar konteks yang mengorelasikan temuan Eksekusi Security Command Center dengan data dari beberapa sumber data lainnya, termasuk Cloud Audit Logs.
• CDIR SCC Initial Access: Berisi aturan yang memahami konteks yang mengorelasikan temuan Akses Awal Security Command Center dengan data dari beberapa sumber data lainnya, termasuk Cloud Audit Logs.
• CDIR SCC Impair Defenses: Berisi aturan yang sadar konteks yang mengorelasikan temuan Impair Defenses Security Command Center dengan data dari beberapa sumber data lainnya, termasuk Cloud Audit Logs.
• Dampak SCC CDIR: Berisi aturan yang mendeteksi temuan Dampak dari Security Command Center dengan klasifikasi tingkat keparahan Kritis, Tinggi, Sedang, dan Rendah.
• CDIR SCC Cloud IDS: Berisi aturan yang mendeteksi temuan Cloud Intrusion Detection System dari Security Command Center dengan klasifikasi tingkat keparahan Kritis, Tinggi, Sedang, dan Rendah.
• CDIR SCC Cloud Armor: Berisi aturan yang mendeteksi temuan Google Cloud Armor dari Security Command Center.
• Modul Kustom CDIR SCC: Berisi aturan yang mendeteksi temuan modul kustom Event Threat Detection dari Security Command Center.
• Cloud Hacktool: Aktivitas terdeteksi dari platform keamanan ofensif yang diketahui atau dari alat atau software ofensif yang digunakan secara bebas oleh pelaku ancaman yang secara khusus menargetkan resource cloud.
• Ransom Cloud SQL: Mendeteksi aktivitas yang terkait dengan eksfiltrasi atau tebusan data dalam database Cloud SQL.
• Alat Mencurigakan Kubernetes: Mendeteksi perilaku pengintaian dan eksploitasi dari alat Kubernetes open source.
• Penyalahgunaan RBAC Kubernetes: Mendeteksi aktivitas Kubernetes yang terkait dengan penyalahgunaan kontrol akses berbasis peran (RBAC) yang mencoba eskalasi hak istimewa atau pergerakan lateral.
• Tindakan Sensitif Sertifikat Kubernetes: Mendeteksi tindakan Sertifikat Kubernetes dan Permintaan Penandatanganan Sertifikat (CSR) yang dapat digunakan untuk membuat persistensi atau meningkatkan hak istimewa.
• Penyalahgunaan IAM: Aktivitas yang terkait dengan penyalahgunaan peran dan izin IAM untuk berpotensi melakukan eskalasi hak istimewa atau bergerak secara lateral dalam project Cloud tertentu atau di seluruh organisasi Cloud.
• Potensi Aktivitas Pemindahan Data yang Tidak Sah: Mendeteksi aktivitas yang terkait dengan potensi pemindahan data yang tidak sah.
• Penyamaran Resource: Mendeteksi resource Google Cloud yang dibuat dengan nama atau karakteristik resource atau jenis resource lain. Hal ini dapat digunakan untuk menyamarkan aktivitas berbahaya yang dilakukan oleh atau dalam resource, dengan maksud agar tampak sah.
• Ancaman Serverless : Mendeteksi aktivitas yang terkait dengan potensi kompromi atau penyalahgunaan resource Serverless di Google Cloud, termasuk Cloud Run dan Cloud Functions.
• Gangguan Layanan: Mendeteksi tindakan destruktif atau mengganggu yang, jika dilakukan di lingkungan produksi yang berfungsi, dapat menyebabkan pemadaman yang signifikan. Perilaku yang terdeteksi umum dan kemungkinan tidak berbahaya di lingkungan pengujian dan pengembangan.
• Perilaku Mencurigakan: Aktivitas yang dianggap tidak umum dan mencurigakan di sebagian besar lingkungan.
• Perubahan Infrastruktur yang Mencurigakan: Mendeteksi modifikasi pada infrastruktur produksi yang sesuai dengan taktik persistensi yang diketahui
• Konfigurasi yang Dilemahkan (Weakened Config): Aktivitas yang terkait dengan melemahkan atau menurunkan kualitas kontrol keamanan. Dianggap mencurigakan, berpotensi sah bergantung pada penggunaan organisasi.
• Potensi Pemindahan Data yang Tidak Sah oleh Pihak Internal dari Chrome: Mendeteksi aktivitas yang terkait dengan potensi perilaku ancaman dari pihak internal, termasuk pemindahan data yang tidak sah atau hilangnya data yang berpotensi sensitif di luar organisasi Google Workspace. Hal ini mencakup perilaku dari Chrome yang dianggap tidak normal dibandingkan dengan dasar 30 hari.
• Potensi Pemindahan Data yang Tidak Sah oleh Pihak Internal dari Drive: Mendeteksi aktivitas yang terkait dengan potensi perilaku ancaman dari pihak internal, termasuk pemindahan data yang tidak sah atau hilangnya data yang berpotensi sensitif di luar organisasi Google Workspace. Hal ini mencakup perilaku dari Drive yang dianggap anomali dibandingkan dengan dasar pengukuran 30 hari.
• Potensi Pemindahan Data yang Tidak Sah oleh Pihak Internal dari Gmail: Mendeteksi aktivitas yang terkait dengan potensi perilaku ancaman dari pihak internal, termasuk pemindahan data yang tidak sah atau hilangnya data yang berpotensi sensitif di luar organisasi Google Workspace. Hal ini mencakup perilaku dari Gmail yang dianggap tidak normal dibandingkan dengan dasar 30 hari.
• Potensi Penyusupan Akun Workspace: Mendeteksi perilaku ancaman dari dalam yang menunjukkan bahwa akun tersebut berpotensi disusupi dan dapat menyebabkan upaya eskalasi hak istimewa atau upaya pergerakan lateral dalam organisasi Google Workspace. Hal ini akan mencakup perilaku yang dianggap jarang atau anomali dibandingkan dengan dasar 30 hari.
• Tindakan Administratif Workspace yang Mencurigakan: Mendeteksi perilaku yang mengindikasikan potensi penghindaran, penurunan keamanan, atau perilaku langka dan anomali yang belum pernah terlihat dalam 30 hari terakhir dari pengguna dengan hak istimewa yang lebih tinggi, termasuk administrator.

Perangkat dan jenis log yang didukung

Bagian berikut menjelaskan data yang diperlukan oleh set aturan dalam kategori Cloud Threats.

Untuk menyerap data dari layanan Google Cloud , lihat Menyerap log Cloud ke Google SecOps. Hubungi perwakilan Google SecOps Anda jika Anda perlu mengumpulkan log ini menggunakan mekanisme yang berbeda.

Google SecOps menyediakan parser default yang mem-parsing dan menormalisasi log mentah dari layanan untuk membuat rekaman UDM dengan data yang diperlukan oleh kumpulan aturan ini. Google Cloud

Untuk mengetahui daftar semua sumber data yang didukung Google SecOps, lihat Parser default yang didukung.

Semua kumpulan aturan

Untuk menggunakan set aturan apa pun, sebaiknya kumpulkan Google Cloud Cloud Audit Logs. Aturan tertentu mewajibkan pelanggan mengaktifkan logging Cloud DNS. Pastikan layanan Google Cloud dikonfigurasi untuk merekam data ke log berikut:

• Cloud Audit Logs
• Log Cloud DNS

Kumpulan aturan Tebusan Cloud SQL

Untuk menggunakan set aturan Cloud SQL Ransom, sebaiknya kumpulkan data Google Cloud berikut:

• Data log yang tercantum di bagian Semua set aturan.
• Log Cloud SQL.

Kumpulan aturan yang ditingkatkan CDIR SCC

Semua set aturan yang dimulai dengan nama CDIR SCC Enhanced menggunakan temuan Security Command Center Premium yang dikontekstualisasi dengan beberapa sumber log Google Cloud lainnya, termasuk yang berikut:

• Cloud Audit Logs
• Log Cloud DNS
• Analisis Identity and Access Management (IAM)
• Konteks Sensitive Data Protection
• Konteks BigQuery
• Konteks Compute Engine

Untuk menggunakan set aturan CDIR SCC yang Ditingkatkan, sebaiknya kumpulkan data berikut: Google Cloud

• Data log yang tercantum di bagian Semua set aturan.

• Data log berikut, yang dicantumkan menurut nama produk dan label penyerapan Google SecOps:

  • BigQuery (GCP_BIGQUERY_CONTEXT)
  • Compute Engine (GCP_COMPUTE_CONTEXT)
  • IAM (GCP_IAM_CONTEXT)
  • Sensitive Data Protection (GCP_DLP_CONTEXT)
  • Cloud Audit Logs (GCP_CLOUDAUDIT)
  • Aktivitas Google Workspace (WORKSPACE_ACTIVITY)
  • Kueri Cloud DNS (GCP_DNS)

• Kelas temuan Security Command Center berikut, yang tercantum berdasarkan ID findingClass dan label penyerapan Google SecOps:

  • Threat (GCP_SECURITYCENTER_THREAT)
  • Misconfiguration (GCP_SECURITYCENTER_MISCONFIGURATION)
  • Vulnerability (GCP_SECURITYCENTER_VULNERABILITY)
  • SCC Error (GCP_SECURITYCENTER_ERROR)

Set aturan CDIR SCC yang Ditingkatkan juga bergantung pada data dari layanan Google Cloud . Untuk mengirim data yang diperlukan ke Google SecOps, pastikan Anda menyelesaikan langkah-langkah berikut:

• Aktifkan logging untuk produk dan layanan Google Cloud yang diperlukan.
• Aktifkan Security Command Center Premium dan layanan terkait.
• Konfigurasi Penyerapan Google Cloud log ke Google SecOps.
• Konfigurasi ekspor temuan Event Threat Detection ke Google SecOps. Secara default, semua temuan Security Command Center akan di-ingest. Lihat Mengekspor temuan Security Command Center untuk mengetahui informasi selengkapnya tentang cara parser default Google SecOps memetakan kolom data.
• Aktifkan Cloud Audit Logs dan konfigurasi ekspor Cloud Audit Logs ke Google SecOps. Lihat Mengumpulkan Cloud Audit Logs untuk mengetahui informasi selengkapnya.
• Aktifkan log Google Workspace dan kirim log ini ke Google SecOps. Lihat Mengumpulkan log Google Workspace untuk mengetahui informasi selengkapnya.
• Konfigurasi ekspor Google Cloud metadata aset, dan data terkait konteks, ke Google SecOps. Lihat Mengekspor Metadata Aset Google Cloud ke Google SecOps dan Mengekspor data Sensitive Data Protection ke Google SecOps untuk mengetahui informasi selengkapnya.

Set aturan berikut membuat deteksi saat temuan dari Deteksi Ancaman Peristiwa Security Command Center, Google Cloud Armor, Layanan Tindakan Sensitif Security Command Center, dan Modul kustom untuk Deteksi Ancaman Peristiwa diidentifikasi:

• CDIR SCC Cloud IDS
• CDIR SCC Cloud Armor
• Dampak SCC CDIR
• CDIR SCC Enhanced Persistence
• CDIR SCC Enhanced Defense Evasion
• Modul Kustom SCC CDIR

Kumpulan aturan Alat Mencurigakan Kubernetes

Untuk menggunakan set aturan Kubernetes Suspicious Tools, sebaiknya kumpulkan data yang tercantum di bagian Semua set aturan. Pastikan layanan dikonfigurasi untuk merekam data ke Log Node Google Kubernetes Engine (GKE) Google Cloud

Kumpulan aturan Penyalahgunaan RBAC Kubernetes

Untuk menggunakan set aturan Penyalahgunaan RBAC Kubernetes, sebaiknya kumpulkan Cloud Audit Logs, yang tercantum di bagian Semua set aturan.

Set aturan Tindakan Sensitif Sertifikat Kubernetes

Untuk menggunakan set aturan Kubernetes Certificate Sensitive Actions, sebaiknya kumpulkan Cloud Audit Logs, yang tercantum di bagian Semua set aturan.

Set aturan terkait Google Workspace

Set aturan berikut mendeteksi pola dalam data Google Workspace:

• Potensi Pemindahan Data yang Tidak Sah oleh Pihak Internal dari Chrome
• Potensi Pemindahan Data yang Tidak Sah oleh Pihak Internal dari Drive
• Potensi Pemindahan Data Orang Dalam yang Tidak Sah dari Gmail
• Kemungkinan Penyusupan Akun Workspace
• Tindakan Administratif Workspace yang Mencurigakan

Kumpulan aturan ini memerlukan jenis log berikut, yang dicantumkan menurut nama produk dan label penyerapan Google SecOps:

• Aktivitas Workspace (WORKSPACE_ACTIVITY)
• Notifikasi Workspace (WORKSPACE_ALERTS)
• Perangkat ChromeOS Workspace (WORKSPACE_CHROMEOS)
• Perangkat Seluler Workspace (WORKSPACE_MOBILE)
• Pengguna Workspace (WORKSPACE_USERS)
• Pengelolaan Cloud Browser Google Chrome (CHROME_MANAGEMENT)
• Log Gmail (GMAIL_LOGS)

Untuk memproses data yang diperlukan, lakukan hal berikut:

• Kumpulkan data yang tercantum di bagian Semua set aturan dalam dokumen ini.

• Lihat Menyerap data Google Workspace ke Google SecOps untuk mengumpulkan log WORKSPACE_ACTIVITY, WORKSPACE_CHROMEOS, CHROME_MANAGEMENT, dan GMAIL.

• Lihat Mengumpulkan log Google Workspace untuk menyerap log berikut:

  • WORKSPACE_ALERTS
  • WORKSPACE_MOBILE
  • WORKSPACE_USERS

Kumpulan aturan Ancaman Serverless

• Kumpulkan data yang tercantum di bagian Semua set aturan dalam dokumen ini.
• Log Cloud Run (GCP_RUN).

Log Cloud Run mencakup Log permintaan dan Log container yang diserap sebagai jenis log GCP_RUN di Google SecOps. Log GCP_RUN dapat di-ingest menggunakan penyerapan langsung atau menggunakan Feed dan Cloud Storage. Untuk mengetahui filter log tertentu dan detail penyerapan lainnya, lihat Mengekspor Google Cloud Log ke Google SecOps. Filter ekspor berikut mengekspor log Google Cloud Cloud Run (GCP_RUN), selain log default melalui mekanisme penyerapan langsung serta melalui Cloud Storage dan Sink:

log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)

Deteksi pilihan untuk set aturan AWS

Set aturan AWS dalam kategori ini membantu mengidentifikasi ancaman di lingkungan AWS menggunakan data peristiwa dan konteks, serta mencakup set aturan berikut:

• AWS - Compute: Mendeteksi aktivitas anomali di sekitar resource komputasi AWS, termasuk EC2 dan Lambda.
• AWS - Data: Mendeteksi aktivitas AWS yang terkait dengan resource data, termasuk snapshot RDS atau bucket S3 yang tersedia untuk publik.
• AWS - GuardDuty: Pemberitahuan AWS GuardDuty yang kontekstual untuk Perilaku, Akses Kredensial, Cryptomining, Penemuan, Penghindaran, Eksekusi, Eksfiltrasi, Dampak, Akses Awal, Malware, Pengujian Penetrasi, Persistensi, Kebijakan, Eskalasi Hak Istimewa, dan Akses Tidak Sah.
• AWS - Hacktools: Mendeteksi penggunaan Hacktools di lingkungan AWS seperti pemindai, toolkit, dan framework.
• AWS - Identity: Deteksi untuk aktivitas AWS yang terkait dengan IAM dan aktivitas autentikasi, termasuk login yang tidak biasa dari beberapa lokasi geografis, pembuatan peran yang terlalu permisif, atau aktivitas IAM dari alat yang mencurigakan.
• AWS - Logging and Monitoring: Mendeteksi aktivitas AWS yang terkait dengan penonaktifan layanan logging dan pemantauan, termasuk CloudTrail, CloudWatch, dan GuardDuty.
• AWS - Network: Mendeteksi perubahan yang tidak aman pada setelan jaringan AWS seperti grup keamanan dan firewall.
• AWS - Organization: Mendeteksi aktivitas AWS yang terkait dengan organisasi Anda, termasuk penambahan atau penghapusan akun, dan peristiwa tak terduga terkait penggunaan wilayah.
• AWS - Secrets: Mendeteksi aktivitas AWS yang terkait dengan secret, token, dan sandi, termasuk penghapusan secret KMS atau secret Secrets Manager.

Perangkat dan jenis log yang didukung untuk AWS

Set aturan ini telah diuji dan didukung dengan sumber data Google SecOps berikut, yang tercantum berdasarkan nama produk dan label penyerapan.

• AWS CloudTrail (AWS_CLOUDTRAIL)
• AWS GuardDuty (GUARDDUTY)
• HOST AWS EC2 (AWS_EC2_HOSTS)
• INSTANS AWS EC2 (AWS_EC2_INSTANCES)
• AWS EC2 VPCS (AWS_EC2_VPCS)
• AWS IAM (IAM) (AWS_IAM)

Lihat Mengonfigurasi penyerapan data AWS untuk mengetahui informasi tentang menyiapkan penyerapan data AWS.

Untuk mengetahui daftar semua sumber data yang didukung, lihat Parser default yang didukung.

Bagian berikut menjelaskan data yang diperlukan oleh set aturan yang mengidentifikasi pola dalam data.

Anda dapat menyerap data AWS menggunakan bucket Amazon Simple Storage Service (Amazon S3) sebagai jenis sumber atau, secara opsional, menggunakan Amazon S3 dengan Amazon Simple Queue Service (Amazon SQS). Pada intinya, Anda harus melakukan tindakan berikut:

• Konfigurasi Amazon S3 atau Amazon S3 dengan Amazon SQS untuk mengumpulkan data log.
• Mengonfigurasi Feed Google SecOps untuk menyerap data dari Amazon S3 atau Amazon SQS

Lihat Menyerap log AWS ke Google SecOps untuk mengetahui langkah-langkah mendetail yang diperlukan untuk mengonfigurasi layanan AWS dan mengonfigurasi Feed Google SecOps untuk menyerap data AWS.

Anda dapat menggunakan aturan pengujian AWS Managed Detection Testing untuk memverifikasi bahwa data AWS sedang di-ingest ke SIEM Google SecOps. Aturan pengujian ini membantu memverifikasi apakah data log AWS diserap seperti yang diharapkan. Setelah menyiapkan penyerapan data AWS, Anda melakukan tindakan di AWS yang akan memicu aturan pengujian.

Lihat Memverifikasi penyerapan data AWS untuk kategori Ancaman Cloud untuk mengetahui informasi tentang cara memverifikasi penyerapan data AWS menggunakan aturan pengujian AWS Managed Detection Testing.

Deteksi pilihan untuk data Azure

Set aturan tertentu dalam kategori ini dirancang untuk bekerja dengan data Azure guna mengidentifikasi ancaman di lingkungan Azure menggunakan data peristiwa, data konteks, dan pemberitahuan. Langkah tersebut mencakup hal berikut:

• Azure - Compute: Mendeteksi aktivitas anomali yang terkait dengan resource komputasi Azure, termasuk Kubernetes dan mesin virtual (VM).
• Azure - Data: Mendeteksi aktivitas yang terkait dengan resource data, termasuk izin blob Azure, modifikasi, dan undangan kepada pengguna eksternal untuk menggunakan layanan Azure di tenant.
• Azure - Defender for Cloud: Mengidentifikasi pemberitahuan yang diterima dari Microsoft Defender for Cloud yang memahami konteks terkait perilaku pengguna, akses kredensial, penambangan kripto, penemuan, penghindaran, eksekusi, eksfiltrasi, dampak, akses awal, malware, pengujian penetrasi, persistensi, kebijakan, eskalasi hak istimewa, atau akses tidak sah di semua layanan cloud Azure.
• Azure - Hacktools: Mendeteksi penggunaan alat peretasan di lingkungan Azure, termasuk anonimizer Tor dan VPN, pemindai, dan toolkit tim merah.
• Azure - Identity: Mendeteksi aktivitas yang terkait dengan autentikasi dan otorisasi, yang menunjukkan perilaku yang tidak biasa, termasuk akses serentak dari beberapa lokasi geografis, kebijakan pengelolaan akses yang terlalu permisif, atau aktivitas RBAC Azure dari alat yang mencurigakan.
• Azure - Logging and Monitoring: Mendeteksi aktivitas yang terkait dengan penonaktifan layanan logging dan pemantauan dalam Azure.
• Azure - Network: Mendeteksi perubahan yang tidak aman dan penting pada perangkat atau setelan jaringan Azure, termasuk grup keamanan atau firewall, Azure Web Application Firewall, dan kebijakan penolakan layanan.
• Azure - Organisasi: Mendeteksi aktivitas yang terkait dengan organisasi Anda, termasuk penambahan atau penghapusan langganan dan akun.
• Azure - Secrets: Mendeteksi aktivitas yang terkait dengan secret, token, dan sandi (misalnya, modifikasi pada Azure Key Vault atau kunci akses akun penyimpanan).

Perangkat yang didukung dan jenis log yang diperlukan untuk Azure

Set aturan ini telah diuji dan didukung dengan sumber data berikut, yang dicantumkan menurut nama produk dan label penyerapan Google SecOps.

• Azure Cloud Services (AZURE_ACTIVITY)
• Microsoft Entra ID, sebelumnya Azure Active Directory (AZURE_AD)
• Log audit Microsoft Entra ID, sebelumnya log audit Azure AD (AZURE_AD_AUDIT)
• Microsoft Defender untuk Cloud (MICROSOFT_GRAPH_ALERT)
• Aktivitas Microsoft Graph API (MICROSOFT_GRAPH_ACTIVITY_LOGS)

Menyerap data Azure dan Microsoft Entra ID

Anda harus menyerap data dari setiap sumber data untuk mendapatkan cakupan aturan maksimum. Lihat dokumentasi berikut untuk mengetahui informasi tentang cara menyerap data dari setiap sumber.

• Menyerap log Aktivitas Azure Monitor dari Azure Cloud Services.
• Mengumpulkan data Microsoft Entra ID (sebelumnya disebut Azure AD), termasuk yang berikut:
  • Log Microsoft Entra ID
  • Log audit Microsoft Entra ID
  • Data konteks Microsoft Entra ID
• Kumpulkan log pemberitahuan Microsoft Graph Security API untuk Menyerap log Microsoft Defender for Cloud menggunakan Microsoft Graph Security API.
• Kumpulkan log aktivitas Microsoft Graph API untuk Menyerap Log Aktivitas Microsoft Graph API menggunakan Microsoft Graph API.

Bagian berikut menjelaskan cara memverifikasi penyerapan data Azure menggunakan aturan pengujian yang telah ditentukan sebelumnya.

Memverifikasi penyerapan data Azure

Dasbor Penyerapan dan Kesehatan Data Google SecOps memungkinkan Anda melihat informasi tentang jenis, volume, dan kesehatan semua data yang diserap ke Google SecOps menggunakan fitur penyerapan SIEM.

Anda juga dapat menggunakan aturan pengujian Pengujian Deteksi Terkelola Azure untuk memverifikasi penyerapan data Azure. Setelah menyiapkan penyerapan, Anda melakukan tindakan di portal Azure yang akan memicu aturan pengujian. Tujuannya adalah untuk memverifikasi bahwa data diserap dan dalam format yang diharapkan untuk menggunakan deteksi yang dikurasi untuk data Azure.

Aktifkan aturan pengujian Azure Managed Detection Testing

1. Di Google Security Operations, klik Deteksi > Aturan & Deteksi untuk membuka halaman Deteksi yang Dikurasi.
2. Pilih Managed Detection Testing > Azure Managed Detection Testing.
3. Aktifkan Status dan Pemberitahuan untuk aturan Luas dan Presisi.

Mengirim data tindakan pengguna untuk memicu aturan pengujian

Untuk memverifikasi bahwa data diserap seperti yang diharapkan, buat pengguna dan login untuk memverifikasi bahwa tindakan ini memicu aturan pengujian. Untuk mengetahui informasi tentang cara membuat pengguna di Microsoft Entra ID, lihat Cara membuat, mengundang, dan menghapus pengguna.

1. Di Azure, buat pengguna Microsoft Entra ID baru.

   1. Buka portal Azure.
   2. Buka Microsoft Entra ID.
   3. Klik Tambahkan, lalu Buat Pengguna Baru. Lakukan hal berikut untuk menentukan pengguna:
      1. Masukkan informasi berikut:
         • Nama utama pengguna: GCTI_ALERT_VALIDATION
         • Nama utama pengguna: GCTI_ALERT_VALIDATION
         • Nama tampilan: GCTI_ALERT_VALIDATION
      2. Pilih Buat Sandi Otomatis untuk membuat sandi secara otomatis bagi pengguna ini.
      3. Centang kotak Account Enabled.
      4. Buka tab Tinjau + Buat.
      5. Ingat sandi yang dibuat otomatis. Anda akan menggunakannya pada langkah-langkah berikutnya.
      6. Klik Buat.
   4. Buka jendela browser dalam mode samaran, lalu buka portal Azure.
   5. Login dengan pengguna dan sandi yang baru dibuat.
   6. Ubah sandi pengguna.
   7. Mendaftar ke autentikasi multi-faktor (MFA) sesuai dengan kebijakan organisasi Anda.
   8. Pastikan Anda berhasil logout dari portal Azure.

2. Lakukan tindakan berikut untuk memverifikasi bahwa pemberitahuan dibuat di Google Security Operations:

   1. Di Google Security Operations, klik Deteksi > Aturan & Deteksi untuk membuka halaman Deteksi yang Dikurasi.

   2. Klik Dasbor.

   3. Dalam daftar deteksi, periksa apakah aturan berikut dipicu:

      • tst_azure_ad_user_creation
      • tst_azure_ad_user_login

3. Setelah Anda mengonfirmasi bahwa data dikirim dan aturan ini dipicu, nonaktifkan atau batalkan penyediaan akun pengguna.

Kirim contoh pemberitahuan untuk memicu aturan pengujian

Lakukan langkah-langkah berikut untuk memverifikasi bahwa pembuatan pemberitahuan keamanan sampel di Azure memicu aturan pengujian. Untuk mengetahui informasi selengkapnya tentang cara membuat contoh pemberitahuan keamanan di Microsoft Defender for Cloud, lihat Validasi pemberitahuan di Microsoft Defender for Cloud.

1. Di Azure Portal, buka Semua Layanan.
2. Di bagian Security, buka Microsoft Defender for Cloud.
3. Buka Pemberitahuan Keamanan.
4. Klik Sample Alerts, lalu lakukan tindakan berikut:
   1. Pilih langganan Anda.
   2. Pilih semua untuk Paket Defender for Cloud.
   3. Klik Create Sample Alerts.
5. Pastikan pemberitahuan pengujian dipicu.
6. Di Google Security Operations, klik Deteksi > Aturan & Deteksi untuk membuka halaman Deteksi yang Dikurasi.
7. Klik Dasbor.
8. Dalam daftar deteksi, periksa apakah aturan berikut dipicu:
   • tst_azure_activity
   • tst_azure_defender_for_cloud_alerts

Jalankan permintaan GET API di Microsoft Graph Explorer untuk memicu aturan pengujian

Lakukan langkah-langkah berikut untuk memverifikasi bahwa pembuatan pemberitahuan keamanan sampel di Azure memicu aturan pengujian.

1. Buka Microsoft Graph Explorer.
2. Pastikan tenant yang sesuai dipilih di pojok kanan atas.
3. Klik Run Query.
4. Pastikan pemberitahuan pengujian dipicu.
5. Di Google Security Operations, klik Deteksi > Aturan & Deteksi untuk membuka halaman Deteksi yang Dikurasi.
6. Klik Dasbor.
7. Dalam daftar deteksi, periksa apakah aturan tst_microsoft_graph_api_get_activity dipicu.

Menonaktifkan set aturan Pengujian Deteksi Terkelola Azure

1. Di Google Security Operations, klik Deteksi > Aturan & Deteksi untuk membuka halaman Deteksi yang Dikurasi.
2. Pilih aturan Managed Detection Testing > Azure Managed Detection Testing.
3. Nonaktifkan Status dan Pemberitahuan untuk aturan Luas dan Presisi.

Deteksi pilihan untuk data Office 365

Kumpulan aturan Office 365 dalam kategori ini membantu mengidentifikasi ancaman di lingkungan Office 365 menggunakan data peristiwa dan konteks, serta mencakup kumpulan aturan berikut:

• Office 365 - Administratif: Mendeteksi aktivitas berbahaya, mencurigakan, dan berisiko tinggi di Office 365, termasuk perubahan kebijakan pencadangan, Microsoft Purview, dan deteksi ATP.

• Office 365 - eDiscovery: Mendeteksi aktivitas berbahaya, mencurigakan, dan berisiko tinggi di eDiscovery Office 365, termasuk upaya untuk menelusuri kredensial atau data sensitif lainnya.

• Office 365 - Email: Mendeteksi aktivitas berbahaya, mencurigakan, dan berisiko tinggi di Email Office 365, termasuk upaya phishing, perubahan setelan email yang berisiko, dan aktivitas email yang mencurigakan.

• Office 365 - Forms: Mendeteksi aktivitas berbahaya, mencurigakan, dan berisiko tinggi di Office 365 Forms, termasuk upaya phishing, dan pembaruan status untuk akun formulir.

• Office 365 - Identity: Mendeteksi aktivitas berbahaya, mencurigakan, dan berisiko tinggi di Office 365 yang terkait dengan pengelolaan identitas dan akses, termasuk potensi pencurian token, konfigurasi autentikasi yang berisiko, serangan MFA, serangan sandi, dan alat peretasan yang diketahui.

• Office 365 - Sharepoint dan OneDrive: Mendeteksi aktivitas berbahaya, mencurigakan, dan berisiko tinggi di Office 365 Sharepoint dan OneDrive, termasuk upload malware, berbagi file anonim, dan penelusuran kredensial serta data keuangan.

• Office 365 - Teams: Mendeteksi aktivitas berbahaya, mencurigakan, dan berisiko tinggi di Office 365 Teams, termasuk peniruan identitas akun Teams, mengekspor rekaman, dan transkrip.

Perangkat yang didukung dan jenis log yang diperlukan untuk Office 365

Set aturan ini telah diuji dan didukung dengan sumber data berikut, yang dicantumkan berdasarkan nama produk dan label penyerapan Google SecOps:

Deteksi pilihan untuk kumpulan aturan Okta

Kumpulan aturan Okta dalam kategori ini membantu mendeteksi ancaman dalam lingkungan Okta dengan menganalisis data peristiwa dan konteks. Set aturan mencakup hal berikut:

• Okta: Mengidentifikasi berbagai aktivitas berbahaya dan mencurigakan yang terjadi dalam platform Okta, termasuk serangan MFA, percobaan brute force, penyemprotan sandi, anomali login, dan lainnya.

Perangkat yang didukung dan jenis log yang diperlukan untuk Okta

Set aturan ini telah diuji dan didukung dengan sumber data berikut, yang dicantumkan berdasarkan nama produk dan label penyerapan Google SecOps:

Menyesuaikan pemberitahuan yang ditampilkan oleh set aturan

Anda dapat mengurangi jumlah deteksi yang dihasilkan oleh aturan atau kumpulan aturan menggunakan pengecualian aturan.

Pengecualian aturan menentukan kriteria yang digunakan untuk mengecualikan peristiwa agar tidak dievaluasi oleh set aturan, atau oleh aturan tertentu dalam set aturan. Buat satu atau beberapa pengecualian aturan untuk membantu mengurangi volume deteksi. Lihat Mengonfigurasi pengecualian aturan untuk mengetahui informasi tentang cara melakukannya.

Langkah berikutnya

• Menyerap Google Cloud log
• Menyerap log AWS
• Menyelidiki pemberitahuan

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.