Ringkasan Kategori Ancaman Cloud

Didukung di:

Dokumen ini memberikan ringkasan kumpulan aturan dalam kategori Cloud Threats, sumber data yang diperlukan, dan konfigurasi yang dapat Anda gunakan untuk menyesuaikan pemberitahuan yang dihasilkan oleh setiap kumpulan aturan. Kumpulan aturan ini membantu mengidentifikasi ancaman di lingkungan Google Cloudmenggunakan data Google Cloud dan di lingkungan AWS menggunakan data AWS.

Deskripsi kumpulan aturan

Kumpulan aturan berikut tersedia di kategori Cloud Threats.

Singkatan CDIR adalah singkatan dari Cloud Detection, Investigation, and Response.

Deteksi pilihan untuk Google Cloud data

Kumpulan aturanGoogle Cloud membantu mengidentifikasi ancaman di lingkungan Google Cloud menggunakan data peristiwa dan konteks, serta menyertakan kumpulan aturan berikut:

  • Tindakan Admin: Aktivitas yang terkait dengan tindakan administratif, yang dianggap mencurigakan, tetapi berpotensi sah, bergantung pada penggunaan organisasi.
  • CDIR SCC Enhanced Exfiltration: Berisi aturan berbasis konteks yang menghubungkan temuan Eksfiltrasi Security Command Center dengan sumber log lainnya, termasuk log Cloud Audit Logs, konteks Sensitive Data Protection, konteks BigQuery, dan log Konfigurasi Salah Security Command Center.
  • CDIR SCC Enhanced Defense Evasion: Berisi aturan kontekstual yang menghubungkan temuan Evasion atau Defense Evasion Security Command Center dengan data dari sumber dataGoogle Cloud lainnya, termasuk Cloud Audit Logs.
  • Malware Enhanced CDIR SCC: Berisi aturan berbasis konteks yang menghubungkan temuan Malware Security Command Center dengan data, termasuk kemunculan alamat IP dan domain serta skor prevalensi mereka, selain sumber data lainnya, termasuk log Cloud DNS.
  • Persistensi yang Ditingkatkan CDIR SCC: Berisi aturan berbasis konteks yang menghubungkan temuan Persistensi Security Command Center dengan data dari sumber, termasuk log Cloud DNS dan log analisis IAM.
  • CDIR SCC Enhanced Privilege Escalation: Berisi aturan berbasis konteks yang menghubungkan temuan Eskalasi hak istimewa Security Command Center dengan data dari beberapa sumber data lainnya, termasuk Cloud Audit Logs.
  • CDIR SCC Credential Access: Berisi aturan berbasis konteks yang menghubungkan temuan Akses Kredensial Security Command Center dengan data dari beberapa sumber data lainnya, termasuk Cloud Audit Logs
  • Penemuan yang Ditingkatkan SCC CDIR: Berisi aturan berbasis konteks yang menghubungkan temuan eskalasi Penemuan Security Command Center dengan data dari sumber seperti Google Cloud layanan dan Cloud Audit Logs.
  • CDIR SCC Brute Force: Berisi aturan berbasis konteks yang mengaitkan temuan eskalasi Brute Force Security Command Center dengan data, termasuk log Cloud DNS.
  • CDIR SCC Data Destruction: Berisi aturan berbasis konteks yang menghubungkan temuan eskalasi Penghancuran Data Security Command Center dengan data dari beberapa sumber data lainnya, termasuk Cloud Audit Logs.
  • CDIR SCC Inhibit System Recovery: Berisi aturan berbasis konteks yang menghubungkan temuan Security Command Center Inhibit System Recovery dengan data dari beberapa sumber data lainnya, termasuk Cloud Audit Logs.
  • Eksekusi SCC CDIR: Berisi aturan berbasis konteks yang menghubungkan temuan Eksekusi Security Command Center dengan data dari beberapa sumber data lainnya, termasuk Cloud Audit Logs.
  • CDIR SCC Initial Access: Berisi aturan kontekstual yang menghubungkan temuan Akses Awal Security Command Center dengan data dari beberapa sumber data lainnya, termasuk Cloud Audit Logs.
  • CDIR SCC Impair Defenses: Berisi aturan berbasis konteks yang mengaitkan temuan Impair Defenses Security Command Center dengan data dari beberapa sumber data lainnya, termasuk Cloud Audit Logs.
  • Dampak SCC CDIR: Berisi aturan yang mendeteksi temuan Dampak dari Security Command Center dengan klasifikasi tingkat keparahan Kritis, Tinggi, Sedang, dan Rendah.
  • CDIR SCC Cloud IDS: Berisi aturan yang mendeteksi temuan Cloud Intrusion Detection System dari Security Command Center dengan klasifikasi tingkat keparahan Kritis, Tinggi, Sedang, dan Rendah.
  • CDIR SCC Cloud Armor: Berisi aturan yang mendeteksi temuan Google Cloud Armor dari Security Command Center.
  • Modul Kustom CDIR SCC: Berisi aturan yang mendeteksi temuan modul kustom Event Threat Detection dari Security Command Center.
  • Cloud Hacktool: Aktivitas yang terdeteksi dari platform keamanan ofensif yang diketahui atau dari alat atau software ofensif yang digunakan secara bebas oleh pelaku ancaman yang secara khusus menargetkan resource cloud.
  • Pencurian Data Cloud SQL: Mendeteksi aktivitas yang terkait dengan eksfiltrasi atau pencurian data dalam database Cloud SQL.
  • Alat Mencurigakan Kubernetes: Mendeteksi perilaku pengintaian dan eksploitasi dari alat Kubernetes open source.
  • Penyalahgunaan RBAC Kubernetes: Mendeteksi aktivitas Kubernetes yang terkait dengan penyalahgunaan kontrol akses berbasis peran (RBAC) yang mencoba eskalasi hak istimewa atau pergerakan lateral.
  • Tindakan Sensitif Sertifikat Kubernetes: Mendeteksi tindakan Sertifikat Kubernetes dan Permintaan Penandatanganan Sertifikat (CSR) yang dapat digunakan untuk membuat persistensi atau mengeskalasi hak istimewa.
  • Penyalahgunaan IAM: Aktivitas yang terkait dengan penyalahgunaan peran dan izin IAM untuk meningkatkan hak istimewa atau berpindah secara lateral dalam project Cloud tertentu atau di seluruh organisasi Cloud.
  • Potensi Aktivitas Eksfiltrasi: Mendeteksi aktivitas yang terkait dengan potensi eksfiltrasi data.
  • Penyamaran Resource: Mendeteksi Google Cloud resource yang dibuat dengan nama atau karakteristik resource atau jenis resource lain. Hal ini dapat digunakan untuk menyamarkan aktivitas berbahaya yang dilakukan oleh atau dalam resource, dengan niat untuk tampak sah.
  • Serverless Threats : Mendeteksi aktivitas yang terkait dengan potensi kompromi atau penyalahgunaan resource Serverless di Google Cloud, termasuk Cloud Run dan fungsi Cloud Run.
  • Gangguan Layanan: Mendeteksi tindakan destruktif atau mengganggu yang, jika dilakukan di lingkungan produksi yang berfungsi, dapat menyebabkan penonaktifan yang signifikan. Perilaku yang terdeteksi umum terjadi dan kemungkinan tidak berbahaya di lingkungan pengujian dan pengembangan.
  • Perilaku Mencurigakan: Aktivitas yang dianggap tidak biasa dan mencurigakan di sebagian besar lingkungan.
  • Perubahan Infrastruktur yang Mencurigakan: Mendeteksi modifikasi pada infrastruktur produksi yang selaras dengan taktik persistensi yang diketahui
  • Konfigurasi yang Dilemahkan: Aktivitas yang terkait dengan melemahkan atau menurunkan kualitas kontrol keamanan. Dianggap mencurigakan, berpotensi sah, bergantung pada penggunaan organisasi.
  • Potensi Pemindahan Data Pihak Internal dari Chrome: Mendeteksi aktivitas yang terkait dengan potensi perilaku ancaman pihak internal, termasuk pemindahan data atau hilangnya data yang berpotensi sensitif di luar organisasi Google Workspace. Hal ini mencakup perilaku dari Chrome yang dianggap anomali dibandingkan dengan dasar pengukuran 30 hari.
  • Potensi Pemindahan Data Pihak Internal dari Drive: Mendeteksi aktivitas yang terkait dengan potensi perilaku ancaman pihak internal, termasuk pemindahan data atau hilangnya data yang berpotensi sensitif di luar organisasi Google Workspace. Hal ini mencakup perilaku dari Drive yang dianggap anomali dibandingkan dengan dasar pengukuran 30 hari.
  • Potensi Pemindahan Data Pihak Internal dari Gmail: Mendeteksi aktivitas yang terkait dengan potensi perilaku ancaman pihak internal, termasuk pemindahan data atau hilangnya data yang berpotensi sensitif di luar organisasi Google Workspace. Hal ini mencakup perilaku dari Gmail yang dianggap anomali dibandingkan dengan dasar pengukuran 30 hari.
  • Potensi Penyusupan Akun Workspace: Mendeteksi perilaku ancaman dari dalam yang menunjukkan bahwa akun tersebut berpotensi disusupi dan dapat menyebabkan upaya eskalasi hak istimewa atau upaya pergerakan lateral dalam organisasi Google Workspace. Hal ini akan mencakup perilaku yang dianggap jarang atau anomali dibandingkan dengan dasar pengukuran 30 hari.
  • Tindakan Administratif Workspace yang Mencurigakan: Mendeteksi perilaku yang menunjukkan potensi pengelakan, penurunan keamanan, atau perilaku langka dan anomali yang belum pernah terlihat dalam 30 hari terakhir dari pengguna dengan hak istimewa yang lebih tinggi, termasuk administrator.

Perangkat dan jenis log yang didukung

Bagian berikut menjelaskan data yang diperlukan oleh kumpulan aturan dalam kategori Cloud Threats.

Untuk menyerap data dari layanan Google Cloud , lihat Menyerap log Cloud ke Google SecOps. Hubungi perwakilan Google SecOps Anda jika Anda perlu mengumpulkan log ini menggunakan mekanisme yang berbeda.

Google SecOps menyediakan parser default yang mengurai dan menormalisasi log mentah dari layanan Google Cloud untuk membuat kumpulan data UDM dengan data yang diperlukan oleh kumpulan aturan ini.

Untuk mengetahui daftar semua sumber data yang didukung Google SecOps, lihat Parser default yang didukung.

Semua kumpulan aturan

Untuk menggunakan kumpulan aturan apa pun, sebaiknya kumpulkan Google Cloud Cloud Audit Logs. Aturan tertentu mewajibkan pelanggan mengaktifkan logging Cloud DNS. Pastikan layanan Google Cloud dikonfigurasi untuk mencatat data ke log berikut:

Kumpulan aturan Ransom Cloud SQL

Untuk menggunakan kumpulan aturan Pencurian Data Cloud SQL, sebaiknya kumpulkan data Google Cloud berikut:

Kumpulan aturan CDIR SCC Enhanced

Semua kumpulan aturan yang dimulai dengan nama CDIR SCC Enhanced menggunakan temuan Security Command Center Premium yang dikontekstualisasikan dengan beberapa sumber log Google Cloud lainnya, termasuk yang berikut:

  • Cloud Audit Logs
  • Log Cloud DNS
  • Analisis Identity and Access Management (IAM)
  • Konteks Sensitive Data Protection
  • Konteks BigQuery
  • Konteks Compute Engine

Untuk menggunakan kumpulan aturan CDIR SCC Enhanced, sebaiknya kumpulkan data Google Cloud berikut:

  • Data log yang tercantum di bagian Semua set aturan.

  • Data log berikut, yang dicantumkan berdasarkan nama produk dan label penyerapan Google SecOps:

    • BigQuery (GCP_BIGQUERY_CONTEXT)
    • Compute Engine (GCP_COMPUTE_CONTEXT)
    • IAM (GCP_IAM_CONTEXT)
    • Perlindungan Data Sensitif (GCP_DLP_CONTEXT)
    • Cloud Audit Logs (GCP_CLOUDAUDIT)
    • Aktivitas Google Workspace (WORKSPACE_ACTIVITY)
    • Kueri Cloud DNS (GCP_DNS)

  • Kelas temuan Security Command Center berikut, yang tercantum berdasarkan ID findingClass dan label penyerapan Google SecOps:

    • Threat (GCP_SECURITYCENTER_THREAT)
    • Misconfiguration (GCP_SECURITYCENTER_MISCONFIGURATION)
    • Vulnerability (GCP_SECURITYCENTER_VULNERABILITY)
    • SCC Error (GCP_SECURITYCENTER_ERROR)

Kumpulan aturan CDIR SCC Enhanced juga bergantung pada data dari Google Cloud layanan. Untuk mengirim data yang diperlukan ke Google SecOps, pastikan Anda menyelesaikan hal berikut:

Kumpulan aturan berikut akan membuat deteksi saat temuan dari Event Threat Detection Security Command Center, Google Cloud Armor, Security Command Center Sensitive Actions Service, dan Modul kustom untuk Event Threat Detection diidentifikasi:

  • Cloud IDS CDIR SCC
  • Cloud Armor CDIR SCC
  • Dampak SCC CDIR
  • Persistensi yang Ditingkatkan CDIR SCC
  • Penghindaran Pertahanan yang Ditingkatkan CDIR SCC
  • Modul Kustom CDIR SCC

Kumpulan aturan Alat Mencurigakan Kubernetes

Untuk menggunakan kumpulan aturan Alat Mencurigakan Kubernetes, sebaiknya kumpulkan data yang tercantum di bagian Semua kumpulan aturan. Pastikan layanan Google Cloud dikonfigurasi untuk mencatat data ke Log Node Google Kubernetes Engine (GKE)

Kumpulan aturan Penyalahgunaan RBAC Kubernetes

Untuk menggunakan kumpulan aturan Penyalahgunaan RBAC Kubernetes, sebaiknya kumpulkan Cloud Audit Logs, yang tercantum di bagian Semua kumpulan aturan.

Kumpulan aturan Kubernetes Certificate Sensitive Actions

Untuk menggunakan kumpulan aturan Tindakan Sensitif Sertifikat Kubernetes, sebaiknya kumpulkan Cloud Audit Logs, yang tercantum di bagian Semua kumpulan aturan.

Kumpulan aturan terkait Google Workspace

Set aturan berikut mendeteksi pola dalam data Google Workspace:

  • Potensi Pemindahan Data dari Pihak Internal dari Chrome
  • Potensi Pemindahan Data Pihak Internal yang Tidak Sah dari Drive
  • Potensi Pemindahan Data Orang Dalam dari Gmail
  • Kemungkinan Penyusupan Akun Workspace
  • Tindakan Administratif Workspace yang Mencurigakan

Kumpulan aturan ini memerlukan jenis log berikut, yang tercantum menurut nama produk dan label penyerapan Google SecOps:

  • Aktivitas Ruang Kerja (WORKSPACE_ACTIVITY)
  • Notifikasi Workspace (WORKSPACE_ALERTS)
  • Perangkat ChromeOS Workspace (WORKSPACE_CHROMEOS)
  • Perangkat Seluler Workspace (WORKSPACE_MOBILE)
  • Pengguna Workspace (WORKSPACE_USERS)
  • Pengelolaan Cloud Browser Google Chrome (CHROME_MANAGEMENT)
  • Log Gmail (GMAIL_LOGS)

Untuk menyerap data yang diperlukan, lakukan hal berikut:

Kumpulan aturan Serverless Threats

Log Cloud Run mencakup Log permintaan dan log Container yang diserap sebagai jenis log GCP_RUN di Google SecOps. Log GCP_RUN dapat diserap menggunakan penyerapan langsung atau menggunakan Feed dan Cloud Storage. Untuk filter log tertentu dan detail penyerapan selengkapnya, lihat Mengekspor Google Cloud Log ke Google SecOps. Filter ekspor berikut mengekspor log Google Cloud Cloud Run (GCP_RUN), selain log default melalui mekanisme penyerapan langsung serta melalui Cloud Storage dan Sink:

log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)

Deteksi pilihan untuk kumpulan aturan AWS

Kumpulan aturan AWS dalam kategori ini membantu mengidentifikasi ancaman di lingkungan AWS menggunakan data peristiwa dan konteks, serta mencakup kumpulan aturan berikut:

  • AWS - Compute: Mendeteksi aktivitas abnormal di sekitar resource komputasi AWS, termasuk EC2 dan Lambda.
  • AWS - Data: Mendeteksi aktivitas AWS yang terkait dengan resource data, termasuk ringkasan RDS atau bucket S3 yang tersedia untuk publik.
  • AWS - GuardDuty: Notifikasi AWS GuardDuty yang kontekstual untuk Perilaku, Akses Kredensial, Cryptomining, Penemuan, Pengelakan, Eksekusi, Eksfiltrasi, Dampak, Akses Awal, Malware, Pengujian Penembusan, Persistensi, Kebijakan, Eskalasi Hak Istimewa, dan Akses Tidak Sah.
  • AWS - Hacktools: Mendeteksi penggunaan Hacktools di lingkungan AWS seperti pemindai, toolkit, dan framework.
  • AWS - Identity: Deteksi untuk aktivitas AWS yang terkait dengan aktivitas IAM dan autentikasi, termasuk login yang tidak biasa dari beberapa lokasi geografis, pembuatan peran yang terlalu permisif, atau aktivitas IAM dari alat yang mencurigakan.
  • AWS - Logging and Monitoring: Mendeteksi aktivitas AWS yang terkait dengan penonaktifan layanan logging dan pemantauan, termasuk CloudTrail, CloudWatch, dan GuardDuty.
  • AWS - Jaringan: Mendeteksi perubahan yang tidak aman pada setelan jaringan AWS seperti grup keamanan dan firewall.
  • AWS - Organisasi: Mendeteksi aktivitas AWS yang terkait dengan organisasi Anda, termasuk penambahan atau penghapusan akun, dan peristiwa tak terduga yang terkait dengan penggunaan region.
  • AWS - Secrets: Mendeteksi aktivitas AWS yang terkait dengan secret, token, dan sandi, termasuk penghapusan secret KMS atau secret Secrets Manager.

Perangkat dan jenis log yang didukung untuk AWS

Set aturan ini telah diuji dan didukung dengan sumber data Google SecOps berikut, yang tercantum berdasarkan nama produk dan label penyerapan.

Lihat Mengonfigurasi penyerapan data AWS untuk mengetahui informasi tentang menyiapkan penyerapan data AWS.

Untuk mengetahui daftar semua sumber data yang didukung, lihat Parser default yang didukung.

Bagian berikut menjelaskan data yang diperlukan oleh kumpulan aturan yang mengidentifikasi pola dalam data.

Anda dapat menyerap data AWS menggunakan bucket Amazon Simple Storage Service (Amazon S3) sebagai jenis sumber atau, secara opsional, menggunakan Amazon S3 dengan Amazon Simple Queue Service (Amazon SQS). Pada level yang tinggi, Anda harus melakukan hal berikut:

  • Konfigurasikan Amazon S3 atau Amazon S3 dengan Amazon SQS untuk mengumpulkan data log.
  • Mengonfigurasi Feed Google SecOps untuk menyerap data dari Amazon S3 atau Amazon SQS

Lihat Menyerap log AWS ke Google SecOps untuk mengetahui langkah-langkah mendetail yang diperlukan untuk mengonfigurasi layanan AWS dan mengonfigurasi Feed Google SecOps untuk menyerap data AWS.

Anda dapat menggunakan aturan pengujian Pengujian Deteksi yang Dikelola AWS untuk memverifikasi bahwa data AWS dimasukkan ke SIEM Google SecOps. Aturan pengujian ini membantu memverifikasi apakah data log AWS diproses seperti yang diharapkan. Setelah menyiapkan penyerapan data AWS, Anda melakukan tindakan di AWS yang akan memicu aturan pengujian.

Lihat Memverifikasi penyerapan data AWS untuk kategori Cloud Threats untuk mengetahui informasi tentang cara memverifikasi penyerapan data AWS menggunakan aturan pengujian AWS Managed Detection Testing.

Deteksi pilihan untuk data Azure

Kumpulan aturan tertentu dalam kategori ini dirancang untuk berfungsi dengan data Azure guna mengidentifikasi ancaman di lingkungan Azure menggunakan data peristiwa, data konteks, dan pemberitahuan. Hal ini mencakup:

  • Azure - Compute: Mendeteksi aktivitas abnormal yang terkait dengan resource komputasi Azure, termasuk Kubernetes dan virtual machine (VM).
  • Azure - Data: Mendeteksi aktivitas yang terkait dengan resource data, termasuk izin, perubahan, dan undangan blob Azure kepada pengguna eksternal untuk menggunakan layanan Azure di tenant.
  • Azure - Defender for Cloud: Mengidentifikasi pemberitahuan yang diterima dari Microsoft Defender for Cloud berbasis konteks yang terkait dengan perilaku pengguna, akses kredensial, penambangan kripto, penemuan, pengelakan, eksekusi, ekstraksi, dampak, akses awal, malware, pengujian penetrasi, persistensi, kebijakan, eskalasi hak istimewa, atau akses tidak sah di semua layanan cloud Azure.
  • Azure - Hacktools: Mendeteksi penggunaan alat peretasan di lingkungan Azure, , termasuk anonimizer Tor dan VPN, pemindai, dan toolkit tim merah.
  • Azure - Identity: Mendeteksi aktivitas yang terkait dengan autentikasi dan otorisasi, yang menunjukkan perilaku yang tidak biasa, termasuk akses serentak dari beberapa lokasi geografis, kebijakan pengelolaan akses yang terlalu permisif, atau aktivitas RBAC Azure dari alat yang mencurigakan.
  • Azure - Logging and Monitoring: Mendeteksi aktivitas yang terkait dengan penonaktifan layanan logging dan pemantauan dalam Azure.
  • Azure - Jaringan: Mendeteksi perubahan yang tidak aman dan signifikan pada perangkat atau setelan jaringan Azure, termasuk grup keamanan atau firewall, Azure Web Application Firewall, dan kebijakan denial of service.
  • Azure - Organisasi: Mendeteksi aktivitas yang terkait dengan organisasi Anda, termasuk penambahan atau penghapusan langganan dan akun.
  • Azure - Secrets: Mendeteksi aktivitas yang terkait dengan secret, token, dan sandi (misalnya, modifikasi pada Azure Key Vault atau kunci akses akun penyimpanan).

Perangkat yang didukung dan jenis log yang diperlukan untuk Azure

Set aturan ini telah diuji dan didukung dengan sumber data berikut, yang tercantum berdasarkan nama produk dan label penyerapan Google SecOps.

Menyerap data Azure dan Microsoft Entra ID

Anda harus menyerap data dari setiap sumber data untuk memiliki cakupan aturan maksimum. Lihat dokumentasi berikut untuk mengetahui informasi tentang cara menyerap data dari setiap sumber.

Bagian berikut menjelaskan cara memverifikasi penyerapan data Azure menggunakan aturan pengujian standar.

Memverifikasi penyerapan data Azure

Dasbor Status dan Proses Transfer Data Google SecOps memungkinkan Anda melihat informasi tentang jenis, volume, dan status semua data yang ditransfer ke Google SecOps menggunakan fitur transfer SIEM.

Anda juga dapat menggunakan aturan pengujian Azure Managed Detection Testing untuk memverifikasi penyerapan data Azure. Setelah menyiapkan penyerapan, Anda akan melakukan tindakan di portal Azure yang akan memicu aturan pengujian. Pengujian ini dimaksudkan untuk memverifikasi bahwa data diserap dan dalam format yang diharapkan untuk menggunakan deteksi yang diseleksi untuk data Azure.

Mengaktifkan aturan pengujian Azure Managed Detection Testing

  1. Di Google Security Operations, klik Detections > Rules & Detections untuk membuka halaman Curated Detections.
  2. Pilih Pengujian Deteksi Terkelola > Pengujian Deteksi Terkelola Azure.
  3. Aktifkan Status dan Pemberitahuan untuk aturan Luas dan Teliti.

Mengirim data tindakan pengguna untuk memicu aturan pengujian

Untuk memverifikasi bahwa data diserap seperti yang diharapkan, buat pengguna dan login untuk memverifikasi bahwa tindakan ini memicu aturan pengujian. Untuk informasi tentang cara membuat pengguna di Microsoft Entra ID, lihat Cara membuat, mengundang, dan menghapus pengguna.

  1. Di Azure, buat pengguna Microsoft Entra ID baru.

    1. Buka portal Azure.
    2. Buka Microsoft Entra ID.
    3. Klik Tambahkan, lalu Buat Pengguna Baru. Lakukan hal berikut untuk menentukan pengguna:
      1. Masukkan informasi berikut:
        • Nama akun utama pengguna: GCTI_ALERT_VALIDATION
        • Nama akun utama pengguna: GCTI_ALERT_VALIDATION
        • Nama tampilan: GCTI_ALERT_VALIDATION
      2. Pilih Buat Sandi Otomatis untuk membuat sandi secara otomatis bagi pengguna ini.
      3. Centang kotak Account Enabled.
      4. Buka tab Tinjau + Buat.
      5. Ingat sandi yang dibuat secara otomatis. Anda akan menggunakannya di langkah mendatang.
      6. Klik Buat.
    4. Buka jendela browser dalam mode Samaran, lalu buka portal Azure.
    5. Login dengan pengguna dan sandi yang baru dibuat.
    6. Ubah sandi pengguna.
    7. Daftar ke autentikasi multi-faktor (MFA) sesuai dengan kebijakan organisasi Anda.
    8. Pastikan Anda berhasil logout dari portal Azure.

  2. Lakukan tindakan berikut untuk memverifikasi bahwa pemberitahuan dibuat di Google Security Operations:

    1. Di Google Security Operations, klik Detections > Rules & Detections untuk membuka halaman Curated Detections.

    2. Klik Dasbor.

    3. Dalam daftar deteksi, pastikan aturan berikut dipicu:

      • tst_azure_ad_user_creation
      • tst_azure_ad_user_login

  3. Setelah Anda mengonfirmasi bahwa data dikirim dan aturan ini dipicu, nonaktifkan atau batalkan penyediaan akun pengguna.

Mengirim contoh pemberitahuan untuk memicu aturan pengujian

Lakukan langkah-langkah berikut untuk memverifikasi bahwa pembuatan contoh pemberitahuan keamanan di Azure memicu aturan pengujian. Untuk mengetahui informasi selengkapnya tentang cara membuat contoh pemberitahuan keamanan di Microsoft Defender for Cloud, lihat Validasi pemberitahuan di Microsoft Defender for Cloud.

  1. Di Portal Azure, buka Semua Layanan.
  2. Di bagian Keamanan, buka Microsoft Defender for Cloud.
  3. Buka Pemberitahuan Keamanan.
  4. Klik Sample Alerts, lalu lakukan tindakan berikut:
    1. Pilih langganan Anda.
    2. Pilih semua untuk Rencana Defender for Cloud.
    3. Klik Buat Contoh Pemberitahuan.
  5. Pastikan pemberitahuan pengujian dipicu.
  6. Di Google Security Operations, klik Detections > Rules & Detections untuk membuka halaman Curated Detections.
  7. Klik Dasbor.
  8. Dalam daftar deteksi, pastikan aturan berikut dipicu:
    • tst_azure_activity
    • tst_azure_defender_for_cloud_alerts

Jalankan permintaan GET API di Microsoft Graph Explorer untuk memicu aturan pengujian

Lakukan langkah-langkah berikut untuk memverifikasi bahwa pembuatan contoh pemberitahuan keamanan di Azure memicu aturan pengujian.

  1. Buka Microsoft Graph Explorer.
  2. Pastikan tenant yang sesuai dipilih di pojok kanan atas.
  3. Klik Run Query.
  4. Pastikan pemberitahuan pengujian dipicu.
  5. Di Google Security Operations, klik Detections > Rules & Detections untuk membuka halaman Curated Detections.
  6. Klik Dasbor.
  7. Dalam daftar deteksi, pastikan aturan tst_microsoft_graph_api_get_activity dipicu.

Menonaktifkan kumpulan aturan Pengujian Deteksi Terkelola Azure

  1. Di Google Security Operations, klik Detection > Rules & Detections untuk membuka halaman Curated Detections.
  2. Pilih aturan Managed Detection Testing > Azure Managed Detection Testing.
  3. Nonaktifkan Status dan Pemberitahuan untuk aturan Luas dan Teliti.

Deteksi pilihan untuk data Office 365

Kumpulan aturan Office 365 dalam kategori ini membantu mengidentifikasi ancaman di lingkungan Office 365 menggunakan data peristiwa dan konteks, serta menyertakan kumpulan aturan berikut:

  • Office 365 - Administratif: Mendeteksi aktivitas berbahaya, mencurigakan, dan berisiko tinggi di Office 365, termasuk perubahan kebijakan pencadangan, Microsoft Purview, dan deteksi ATP.

  • Office 365 - eDiscovery: Mendeteksi aktivitas berbahaya, mencurigakan, dan berisiko tinggi di eDiscovery Office 365, termasuk upaya untuk menelusuri kredensial atau data sensitif lainnya.

  • Office 365 - Email: Mendeteksi aktivitas berbahaya, mencurigakan, dan berisiko tinggi di Email Office 365, termasuk upaya phishing, perubahan setelan email yang berisiko, dan aktivitas email yang mencurigakan.

  • Office 365 - Forms: Mendeteksi aktivitas berbahaya, mencurigakan, dan berisiko tinggi di Office 365 Forms, termasuk upaya phishing, dan pembaruan status untuk akun formulir.

  • Office 365 - Identity: Mendeteksi aktivitas berbahaya, mencurigakan, dan berisiko tinggi di Office 365 yang terkait dengan pengelolaan identitas dan akses, termasuk potensi pencurian token, konfigurasi autentikasi berisiko, serangan MFA, serangan sandi, dan alat peretasan yang diketahui.

  • Office 365 - Sharepoint dan OneDrive: Mendeteksi aktivitas berbahaya, mencurigakan, dan berisiko tinggi di Office 365 Sharepoint dan OneDrive, termasuk upload malware, berbagi file anonim, dan penelusuran kredensial dan data keuangan.

  • Office 365 - Teams: Mendeteksi aktivitas berbahaya, mencurigakan, dan berisiko tinggi di Office 365 Teams, termasuk peniruan identitas akun tim, ekspor rekaman, dan transkrip.

Perangkat yang didukung dan jenis log yang diperlukan untuk Office 365

Set aturan ini telah diuji dan didukung dengan sumber data berikut, yang tercantum menurut nama produk dan label penyerapan Google SecOps:

Deteksi pilihan untuk kumpulan aturan Okta

Kumpulan aturan Okta dalam kategori ini membantu mendeteksi ancaman dalam lingkungan Okta dengan menganalisis data peristiwa dan konteks. Kumpulan aturan mencakup hal berikut:

  • Okta: Mengidentifikasi berbagai aktivitas berbahaya dan mencurigakan yang terjadi dalam platform Okta, termasuk serangan MFA, percobaan brute force, penyemprotan sandi, anomali login, dan lainnya.

Perangkat yang didukung dan jenis log yang diperlukan untuk Okta

Set aturan ini telah diuji dan didukung dengan sumber data berikut, yang tercantum menurut nama produk dan label penyerapan Google SecOps:

Notifikasi penyesuaian yang ditampilkan oleh kumpulan aturan

Anda dapat mengurangi jumlah deteksi yang dihasilkan aturan atau kumpulan aturan menggunakan pengecualian aturan.

Pengecualian aturan menentukan kriteria yang digunakan untuk mengecualikan peristiwa agar tidak dievaluasi oleh kumpulan aturan, atau oleh aturan tertentu dalam kumpulan aturan. Buat satu atau beberapa pengecualian aturan untuk membantu mengurangi volume deteksi. Lihat Mengonfigurasi pengecualian aturan untuk mengetahui informasi tentang cara melakukannya.

Langkah berikutnya

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.