Panoramica della categoria Minacce cloud

Supportato in:

Questo documento fornisce una panoramica dei set di regole nella categoria Minacce cloud, delle origini dati richieste e della configurazione che puoi utilizzare per ottimizzare gli avvisi generati da ogni set di regole. Questi set di regole consentono di identificare le minacce negli ambienti Google Cloud utilizzando i dati Google Cloud e negli ambienti AWS utilizzando i dati AWS.

Descrizioni dei set di regole

Nella categoria Minacce cloud sono disponibili i seguenti set di regole.

L'abbreviazione CDIR sta per Cloud Detection, Investigation, and Response.

Rilevamenti selezionati per i dati di Google Cloud

I set di regoleGoogle Cloud aiutano a identificare le minacce negli ambienti Google Cloud utilizzando i dati di eventi e di contesto e includono i seguenti set di regole:

  • Azione amministrativa: attività associata ad azioni amministrative, ritenuta sospetta ma potenzialmente legittima a seconda dell'utilizzo dell'organizzazione.
  • CDIR SCC Enhanced Exfiltration: contiene regole sensibili al contesto che mettono in correlazione i risultati di esfiltrazione di Security Command Center con altre origini log, inclusi i log di Cloud Audit Logs, il contesto di Sensitive Data Protection, il contesto di BigQuery e i log di configurazione errata di Security Command Center.
  • CDIR SCC Enhanced Defense Evasion: contiene regole sensibili al contesto che correlano i risultati di Security Command Center Evasion o Defense Evasion con i dati di altre Google Cloud origini dati, inclusi Cloud Audit Logs.
  • CDIR SCC Enhanced Malware: contiene regole sensibili al contesto che correlano i risultati di Security Command Center Malware con dati, inclusi l'occorrenza di indirizzi IP e domini e i relativi punteggi di prevalenza, oltre ad altre origini dati, inclusi i log Cloud DNS.
  • CDIR SCC Enhanced Persistence: contiene regole sensibili al contesto che mettono in correlazione i risultati di Security Command Center Persistence con i dati provenienti da origini, inclusi i log di Cloud DNS e i log di analisi IAM.
  • CDIR SCC Enhanced Privilege Escalation: contiene regole sensibili al contesto che mettono in correlazione i risultati dell'escalation dei privilegi di Security Command Center con i dati di diverse altre origini dati, inclusi Cloud Audit Logs.
  • CDIR SCC Credential Access: contiene regole sensibili al contesto che mettono in correlazione i risultati di Security Command Center Credential Access con i dati di diverse altre origini dati, inclusi glCloud Audit Logsud
  • CDIR SCC Enhanced Discovery: contiene regole sensibili al contesto che mettono in correlazione i risultati di riassegnazione di Security Command Center Discovery con i dati di origini come i servizi Google Cloud e Cloud Audit Logs.
  • CDIR SCC Brute Force: contiene regole sensibili al contesto che mettono in correlazione i risultati di riassegnazione Brute Force di Security Command Center con i dati, inclusi i log Cloud DNS.
  • CDIR SCC Data Destruction: contiene regole sensibili al contesto che mettono in correlazione i risultati di riassegnazione di Security Command Center Data Destruction con i dati di diverse altre origini dati, inclusi Cloud Audit Logs.
  • CDIR SCC Inhibit System Recovery: contiene regole sensibili al contesto che mettono in correlazione i risultati di Security Command Center Inhibit System Recovery con i dati di diverse altre origini dati, inclusi Cloud Audit Logs.
  • Esecuzione CDIR SCC: contiene regole sensibili al contesto che correlano i risultati di esecuzione di Security Command Center con i dati di diverse altre origini dati, inclusi Cloud Audit Logs.
  • CDIR SCC Initial Access: contiene regole sensibili al contesto che correlano i risultati di Security Command Center Initial Access con i dati di diverse altre origini dati, inclusi Cloud Audit Logs.
  • CDIR SCC Impair Defenses: contiene regole sensibili al contesto che correlano i risultati di Security Command Center Impair Defenses con i dati di diverse altre origini dati, inclusi Cloud Audit Logs.
  • CDIR SCC Impact: contiene regole che rilevano i risultati di Impatto di Security Command Center con una classificazione di gravità critica, elevata, media e bassa.
  • CDIR SCC Cloud IDS: contiene regole che rilevano i risultati di Cloud Intrusion Detection System da Security Command Center con una classificazione di gravità critica, alta, media e bassa.
  • CDIR SCC Cloud Armor: contiene regole che rilevano i risultati di Google Cloud Armor da Security Command Center.
  • Modulo personalizzato CDIR SCC: contiene regole che rilevano i risultati dei moduli personalizzati di Event Threat Detection da Security Command Center.
  • Cloud Hacktool: attività rilevata da piattaforme di sicurezza offensive note o da strumenti o software offensivi utilizzati in natura da utenti malintenzionati che prendono di mira in modo specifico le risorse cloud.
  • Cloud SQL Ransom: rileva l'attività associata all'esfiltrazione o al riscatto di dati all'interno dei database Cloud SQL.
  • Strumenti Kubernetes sospetti: rileva il comportamento di ricognizione e sfruttamento degli strumenti Kubernetes open source.
  • Abuso di RBAC di Kubernetes: rileva l'attività di Kubernetes associata all'abuso dei controlli dell'accesso basato sui ruoli (RBAC) che tentano l'escalation dei privilegi o lo spostamento laterale.
  • Azioni sensibili dei certificati Kubernetes: rileva le azioni dei certificati Kubernetes e delle richieste di firma del certificato (CSR) che potrebbero essere utilizzate per stabilire la persistenza o aumentare i privilegi.
  • Abuso di IAM: attività associata all'abuso di ruoli e autorizzazioni IAM per potenzialmente aumentare i privilegi o spostarsi lateralmente all'interno di un determinato progetto Cloud o in un'organizzazione Cloud.
  • Potenziale attività di esfiltrazione: rileva l'attività associata alla potenziale esfiltrazione di dati.
  • Mascheramento delle risorse: rileva le risorse Google Cloud create con nomi o caratteristiche di un'altra risorsa o di un altro tipo di risorsa. Questo potrebbe essere utilizzato per mascherare attività dannose eseguite da o all'interno della risorsa, con l'intenzione di apparire legittime.
  • Minacce serverless : rileva l'attività associata a potenziali compromissioni o abusi di risorse serverless in Google Cloud, tra cui Cloud Run e Cloud Run Functions.
  • Interruzione del servizio: rileva azioni distruttive o di interruzione che, se eseguite in un ambiente di produzione funzionante, potrebbero causare un'interruzione significativa. Il comportamento rilevato è comune e probabilmente innocuo negli ambienti di test e sviluppo.
  • Comportamento sospetto: attività ritenuta insolita e sospetta nella maggior parte degli ambienti.
  • Modifica sospetta dell'infrastruttura: rileva modifiche all'infrastruttura di produzione che corrispondono a tattiche di persistenza note
  • Configurazione indebolita: attività associata all'indebolimento o al degrado di un controllo di sicurezza. Considerato sospetto, potenzialmente legittimo a seconda dell'utilizzo organizzativo.
  • Potenziale esfiltrazione di dati interni da Chrome: rileva l'attività associata a potenziali comportamenti di minaccia interna, inclusa l'esfiltrazione o la perdita di dati potenzialmente sensibili al di fuori di un'organizzazione Google Workspace. Sono inclusi i comportamenti di Chrome considerati anomali rispetto a una base di riferimento di 30 giorni.
  • Potenziale esfiltrazione di dati interni da Drive: rileva l'attività associata a potenziali comportamenti di minaccia interna, inclusa l'esfiltrazione o la perdita di dati potenzialmente sensibili al di fuori di un'organizzazione Google Workspace. Sono inclusi i comportamenti di Drive considerati anomali rispetto a una base di riferimento di 30 giorni.
  • Potenziale esfiltrazione di dati interni da Gmail: rileva l'attività associata a potenziali comportamenti di minaccia interna, inclusa l'esfiltrazione o la perdita di dati potenzialmente sensibili al di fuori di un'organizzazione Google Workspace. Sono inclusi comportamenti di Gmail considerati anomali rispetto a una base di riferimento di 30 giorni.
  • Potenziale compromissione dell'account Workspace: rileva comportamenti di minaccia interna che indicano che l'account potrebbe essere stato potenzialmente compromesso e potrebbe portare a tentativi di escalation dei privilegi o di movimento laterale all'interno di un'organizzazione Google Workspace. Ciò include comportamenti considerati rari o anomali rispetto a una base di riferimento di 30 giorni.
  • Azioni amministrative di Workspace sospette: rileva comportamenti che indicano potenziali elusioni, downgrade della sicurezza o comportamenti rari e anomali mai visti negli ultimi 30 giorni da utenti con privilegi più elevati, inclusi gli amministratori.

Dispositivi e tipi di log supportati

Le sezioni seguenti descrivono i dati richiesti dai set di regole nella categoria Cloud Threats.

Per importare i dati dai servizi, consulta Importare i log di Cloud in Google SecOps. Google Cloud Contatta il tuo rappresentante di Google SecOps se devi raccogliere questi log utilizzando un meccanismo diverso.

Google SecOps fornisce parser predefiniti che analizzano e normalizzano i log non elaborati dei servizi Google Cloud per creare record UDM con i dati richiesti da questi set di regole.

Per un elenco di tutte le origini dati supportate da Google SecOps, consulta Analizzatori predefiniti supportati.

Tutti i set di regole

Per utilizzare qualsiasi insieme di regole, ti consigliamo di raccogliere Google Cloud Cloud Audit Logs. Alcune regole richiedono ai clienti di abilitare la registrazione di Cloud DNS. Assicurati che i servizi Google Cloud siano configurati per registrare i dati nei seguenti log:

Set di regole Cloud SQL Ransom

Per utilizzare il set di regole Cloud SQL Ransom, ti consigliamo di raccogliere i seguenti Google Cloud dati:

Set di regole avanzati SCC CDIR

Tutti i set di regole che iniziano con il nome CDIR SCC Enhanced utilizzano i risultati di Security Command Center Premium contestualizzati con diverse altre origini log Google Cloud , tra cui:

  • Cloud Audit Logs
  • Log di Cloud DNS
  • Analisi di Identity and Access Management (IAM)
  • Contesto di Sensitive Data Protection
  • Contesto BigQuery
  • Contesto di Compute Engine

Per utilizzare i set di regole CDIR SCC Enhanced, ti consigliamo di raccogliere i seguenti dati Google Cloud :

  • Dati di log elencati nella sezione Tutti i set di regole.

  • I seguenti dati di log, elencati per nome del prodotto ed etichetta di importazione di Google SecOps:

    • BigQuery (GCP_BIGQUERY_CONTEXT)
    • Compute Engine (GCP_COMPUTE_CONTEXT)
    • IAM (GCP_IAM_CONTEXT)
    • Sensitive Data Protection (GCP_DLP_CONTEXT)
    • Cloud Audit Logs (GCP_CLOUDAUDIT)
    • Attività di Google Workspace (WORKSPACE_ACTIVITY)
    • Query Cloud DNS (GCP_DNS)

  • Le seguenti classi di risultati di Security Command Center, elencate per identificatore findingClass ed etichetta di importazione di Google SecOps:

    • Threat (GCP_SECURITYCENTER_THREAT)
    • Misconfiguration (GCP_SECURITYCENTER_MISCONFIGURATION)
    • Vulnerability (GCP_SECURITYCENTER_VULNERABILITY)
    • SCC Error (GCP_SECURITYCENTER_ERROR)

I set di regole CDIR SCC Enhanced dipendono anche dai dati dei servizi Google Cloud . Per inviare i dati richiesti a Google SecOps, assicurati di completare le seguenti operazioni:

I seguenti set di regole creano un rilevamento quando vengono identificati risultati da Event Threat Detection di Security Command Center, Google Cloud Armor, Servizio Azioni sensibili di Security Command Center e Moduli personalizzati per Event Threat Detection:

  • CDIR SCC Cloud IDS
  • CDIR SCC Cloud Armor
  • Impatto di CDIR SCC
  • Persistenza avanzata CDIR SCC
  • CDIR SCC Enhanced Defense Evasion
  • Modulo personalizzato CDIR SCC

Set di regole Strumenti sospetti di Kubernetes

Per utilizzare il set di regole Kubernetes Suspicious Tools, ti consigliamo di raccogliere i dati elencati nella sezione Tutti i set di regole. Assicurati che i servizi siano configurati per registrare i dati nei log dei nodi di Google Kubernetes Engine (GKE). Google Cloud

Set di regole per l'abuso di Kubernetes RBAC

Per utilizzare il set di regole Abuso di Kubernetes RBAC, ti consigliamo di raccogliere i log di controllo Cloud, elencati nella sezione Tutti i set di regole.

Set di regole Azioni sensibili ai certificati Kubernetes

Per utilizzare il set di regole Azioni sensibili ai certificati Kubernetes, ti consigliamo di raccogliere i log di controllo Cloud, elencati nella sezione Tutti i set di regole.

Set di regole correlati a Google Workspace

I seguenti set di regole rilevano pattern nei dati di Google Workspace:

  • Potenziale esfiltrazione di dati interni da Chrome
  • Potenziale esfiltrazione di dati da parte di addetti ai lavori da Drive
  • Potenziale esfiltrazione di dati interni da Gmail
  • Potenziale compromissione dell'account Workspace
  • Azioni amministrative sospette di Workspace

Questi insiemi di regole richiedono i seguenti tipi di log, elencati per nome del prodotto ed etichetta di importazione di Google SecOps:

  • Attività di Workspace (WORKSPACE_ACTIVITY)
  • Avvisi di Workspace (WORKSPACE_ALERTS)
  • Dispositivi Workspace ChromeOS (WORKSPACE_CHROMEOS)
  • Dispositivi mobili Workspace (WORKSPACE_MOBILE)
  • Utenti di Workspace (WORKSPACE_USERS)
  • Google Chrome Browser Cloud Management (CHROME_MANAGEMENT)
  • Log di Gmail (GMAIL_LOGS)

Per importare i dati richiesti:

Set di regole Serverless Threats

I log di Cloud Run includono log delle richieste e log dei container, che vengono inseriti come tipo di log GCP_RUN in Google SecOps. I log GCP_RUN possono essere importati utilizzando l'importazione diretta o utilizzando i feed e Cloud Storage. Per filtri dei log specifici e ulteriori dettagli sull'importazione, vedi Esportazione dei log Google Cloud in Google SecOps. Il seguente filtro di esportazione esporta i log di Cloud Run (GCP_RUN), oltre ai log predefiniti sia tramite il meccanismo di importazione diretta sia tramite Cloud Storage e sink: Google Cloud 

log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)

Rilevamenti selezionati per i set di regole AWS

I set di regole AWS in questa categoria aiutano a identificare le minacce negli ambienti AWS utilizzando dati di eventi e di contesto e includono i seguenti set di regole:

  • AWS - Compute: rileva attività anomale relative alle risorse di calcolo AWS, tra cui EC2 e Lambda.
  • AWS - Data: rileva l'attività AWS associata alle risorse di dati, inclusi snapshot RDS o bucket S3 resi disponibili pubblicamente.
  • AWS - GuardDuty: avvisi AWS GuardDuty sensibili al contesto per Behavior, Credential Access, Cryptomining, Discovery, Evasion, Execution, Exfiltration, Impact, Initial Access, Malware, Penetration Testing, Persistence, Policy, Privilege Escalation e Unauthorized Access.
  • AWS - Hacktools: rileva l'utilizzo di Hacktools in un ambiente AWS, ad esempio scanner, toolkit e framework.
  • AWS - Identity: rilevamenti per l'attività AWS associata a IAM e all'attività di autenticazione, inclusi accessi insoliti da più posizioni geografiche, creazione di ruoli eccessivamente permissivi o attività IAM da strumenti sospetti.
  • AWS - Logging and Monitoring: rileva l'attività AWS correlata alla disattivazione dei servizi di logging e monitoraggio, tra cui CloudTrail, CloudWatch e GuardDuty.
  • AWS - Network: rileva alterazioni non sicure delle impostazioni di rete AWS, ad esempio gruppi di sicurezza e firewall.
  • AWS - Organization: rileva l'attività AWS associata alla tua organizzazione, inclusa l'aggiunta o la rimozione di account ed eventi imprevisti relativi all'utilizzo delle regioni.
  • AWS - Secrets: rileva l'attività AWS associata a secret, token e password, inclusa l'eliminazione di secret KMS o di Secrets Manager.

Dispositivi e tipi di log supportati per AWS

Questi set di regole sono stati testati e sono supportati con le seguenti origini dati di Google SecOps, elencate per nome del prodotto ed etichetta di importazione.

Per informazioni sulla configurazione dell'importazione dei dati AWS, consulta Configurare l'importazione dei dati AWS.

Per un elenco di tutte le origini dati supportate, consulta Parser predefiniti supportati.

Le sezioni seguenti descrivono i dati richiesti dai set di regole che identificano i pattern nei dati.

Puoi importare dati AWS utilizzando un bucket Amazon Simple Storage Service (Amazon S3) come tipo di origine o, facoltativamente, utilizzando Amazon S3 con Amazon Simple Queue Service (Amazon SQS). A livello generale, dovrai:

  • Configura Amazon S3 o Amazon S3 con Amazon SQS per raccogliere i dati di log.
  • Configura un feed Google SecOps per importare i dati da Amazon S3 o Amazon SQS

Consulta Importare i log AWS in Google SecOps per la procedura dettagliata necessaria per configurare i servizi AWS e configurare un feed Google SecOps per importare i dati AWS.

Puoi utilizzare le regole di test AWS Managed Detection Testing per verificare che i dati AWS vengano inseriti in Google SecOps SIEM. Queste regole di test aiutano a verificare se i dati di log di AWS vengono inseriti come previsto. Dopo aver configurato l'importazione dei dati AWS, esegui azioni in AWS che dovrebbero attivare le regole di test.

Consulta Verificare l'importazione dati AWS per la categoria Minacce cloud per informazioni su come verificare l'importazione dei dati AWS utilizzando le regole di test AWS Managed Detection Testing.

Rilevamenti selezionati per i dati di Azure

Alcuni set di regole in questa categoria sono progettati per funzionare con i dati di Azure per identificare le minacce negli ambienti Azure utilizzando dati sugli eventi, dati di contesto e avvisi. tra cui:

  • Azure - Compute: rileva attività anomale correlate alle risorse di calcolo di Azure, tra cui Kubernetes e macchine virtuali (VM).
  • Azure - Data: rileva l'attività associata alle risorse di dati, tra cui autorizzazioni, modifiche e inviti di blob Azure a utenti esterni a utilizzare i servizi Azure sul tenant.
  • Azure - Defender for Cloud: identifica gli avvisi ricevuti da Microsoft Defender for Cloud sensibile al contesto relativi a comportamento dell'utente, accesso alle credenziali, cryptomining, rilevamento, evasione, esecuzione, esfiltrazione, impatto, accesso iniziale, malware, penetration test, persistenza, policy, escalation dei privilegi o accesso non autorizzato in tutti i servizi cloud Azure.
  • Azure - Hacktools: rileva l'utilizzo di strumenti di hacking in un ambiente Azure, , inclusi anonimizzatori VPN e Tor, scanner e toolkit di red teaming.
  • Azure - Identity: rileva attività correlate all'autenticazione e all'autorizzazione, indicando un comportamento insolito, incluso l'accesso simultaneo da più posizioni geografiche, criteri di gestione degli accessi eccessivamente permissivi o attività RBAC di Azure da strumenti sospetti.
  • Azure - Logging and Monitoring: rileva l'attività relativa alla disattivazione dei servizi di logging e monitoraggio in Azure.
  • Azure - Network: rileva alterazioni non sicure e degne di nota ai dispositivi o alle impostazioni di rete di Azure, inclusi gruppi di sicurezza o firewall, Azure Web Application Firewall e criteri di denial of service.
  • Azure - Organization: rileva l'attività associata alla tua organizzazione, inclusa l'aggiunta o la rimozione di abbonamenti e account.
  • Azure - Secrets: rileva l'attività associata a segreti, token e password (ad esempio modifiche ad Azure Key Vault o chiavi di accesso all'account di archiviazione).

Dispositivi supportati e tipi di log richiesti per Azure

Questi set di regole sono stati testati e sono supportati con le seguenti origini dati, elencate per nome del prodotto ed etichetta di importazione di Google SecOps.

Importare dati di Azure e Microsoft Entra ID

Per ottenere la massima copertura delle regole, devi importare i dati da ogni origine dati. Consulta la documentazione seguente per informazioni su come importare i dati da ogni origine.

La sezione seguente descrive come verificare l'importazione dei dati di Azure utilizzando regole di test predefinite.

Verifica l'importazione dei dati di Azure

La dashboard Ingestione e integrità dei dati di Google SecOps ti consente di visualizzare informazioni sul tipo, sul volume e sull'integrità di tutti i dati inseriti in Google SecOps utilizzando le funzionalità di inserimento SIEM.

Puoi anche utilizzare le regole di test Azure Managed Detection Testing per verificare l'importazione dei dati di Azure. Dopo aver configurato l'importazione, esegui azioni nel portale Azure che dovrebbero attivare le regole di test. Sono progettati per verificare che i dati vengano inseriti e nel formato previsto per utilizzare i rilevamenti curati per i dati di Azure.

Abilitare le regole di test di Azure Managed Detection Testing

  1. In Google Security Operations, fai clic su Rilevamenti > Regole e rilevamenti per aprire la pagina Rilevamenti curati.
  2. Seleziona Test di rilevamento gestito > Test di rilevamento gestito di Azure.
  3. Attiva sia Stato che Avvisi per le regole Generali e Precise.

Invia i dati delle azioni degli utenti per attivare le regole di test

Per verificare che i dati vengano inseriti come previsto, crea un utente e accedi per verificare che queste azioni attivino le regole di test. Per informazioni sulla creazione di utenti in Microsoft Entra ID, vedi Come creare, invitare ed eliminare utenti.

  1. In Azure, crea un nuovo utente Microsoft Entra ID.

    1. Vai al portale Azure.
    2. Apri Microsoft Entra ID.
    3. Fai clic su Aggiungi, poi su Crea nuovo utente. Per definire l'utente, procedi nel seguente modo:
      1. Inserisci le seguenti informazioni:
        • Nome principale utente: GCTI_ALERT_VALIDATION
        • Nome principale utente: GCTI_ALERT_VALIDATION
        • Nome visualizzato: GCTI_ALERT_VALIDATION
      2. Seleziona Genera automaticamente password per generare automaticamente una password per questo utente.
      3. Seleziona la casella di controllo Account abilitato.
      4. Apri la scheda Rivedi e crea.
      5. Ricorda la password generata automaticamente. Lo utilizzerai nei passaggi successivi.
      6. Fai clic su Crea.
    4. Apri una finestra del browser in modalità di navigazione in incognito, quindi vai al portale Azure.
    5. Accedi con l'utente e la password appena creati.
    6. Modifica la password dell'utente.
    7. Registrati all'autenticazione a più fattori (MFA) in conformità alle norme della tua organizzazione.
    8. Assicurati di uscire correttamente dal portale di Azure.

  2. Per verificare che gli avvisi vengano creati in Google Security Operations:

    1. In Google Security Operations, fai clic su Rilevamenti > Regole e rilevamenti per aprire la pagina Rilevamenti curati.

    2. Fai clic su Dashboard.

    3. Nell'elenco dei rilevamenti, verifica che siano state attivate le seguenti regole:

      • tst_azure_ad_user_creation
      • tst_azure_ad_user_login

  3. Dopo aver confermato l'invio dei dati e l'attivazione di queste regole, disattiva o deprovisiona l'account utente.

Inviare avvisi di esempio per attivare le regole di test

Per verificare che la generazione di avvisi di sicurezza di esempio in Azure attivi le regole di test, procedi nel seguente modo. Per ulteriori informazioni sulla generazione di avvisi di sicurezza di esempio in Microsoft Defender for Cloud, consulta Convalida degli avvisi in Microsoft Defender for Cloud.

  1. Nel portale Azure, vai a Tutti i servizi.
  2. In Sicurezza, apri Microsoft Defender for Cloud.
  3. Vai a Avvisi di sicurezza.
  4. Fai clic su Avvisi di esempio e poi segui questi passaggi:
    1. Seleziona l'abbonamento.
    2. Seleziona Tutti per Piani di Defender for Cloud.
    3. Fai clic su Crea avvisi di esempio.
  5. Verifica che gli avvisi di test vengano attivati.
  6. In Google Security Operations, fai clic su Rilevamenti > Regole e rilevamenti per aprire la pagina Rilevamenti curati.
  7. Fai clic su Dashboard.
  8. Nell'elenco dei rilevamenti, verifica che siano state attivate le seguenti regole:
    • tst_azure_activity
    • tst_azure_defender_for_cloud_alerts

Esegui una richiesta API GET in Microsoft Graph Explorer per attivare le regole di test

Per verificare che la generazione di avvisi di sicurezza di esempio in Azure attivi le regole di test, procedi nel seguente modo.

  1. Vai a Microsoft Graph Explorer.
  2. Assicurati che il tenant appropriato sia selezionato nell'angolo in alto a destra.
  3. Fai clic su Esegui query.
  4. Verifica che gli avvisi di test vengano attivati.
  5. In Google Security Operations, fai clic su Rilevamenti > Regole e rilevamenti per aprire la pagina Rilevamenti curati.
  6. Fai clic su Dashboard.
  7. Nell'elenco dei rilevamenti, controlla che sia stata attivata la regola tst_microsoft_graph_api_get_activity.

Disattiva i set di regole di test di rilevamento gestito di Azure

  1. In Google Security Operations, fai clic su Rilevamento > Regole e rilevamenti per aprire la pagina Rilevamenti curati.
  2. Seleziona le regole Test di rilevamento gestito > Test di rilevamento gestito di Azure.
  3. Disattiva sia Stato che Avvisi per le regole Generali e Precise.

Rilevamenti selezionati per i dati di Office 365

I set di regole di Office 365 in questa categoria aiutano a identificare le minacce negli ambienti Office 365 utilizzando dati di eventi e di contesto e includono i seguenti set di regole:

  • Office 365 - Amministrativo: rileva attività dannose, sospette e ad alto rischio in Office 365, tra cui modifiche alle norme di backup, Microsoft Purview e rilevamenti ATP.

  • Office 365 - eDiscovery: rileva attività dannose, sospette e ad alto rischio in Office 365 eDiscovery, inclusi i tentativi di ricerca di credenziali o altri dati sensibili.

  • Office 365 - Email: rileva attività dannose, sospette e ad alto rischio in Office 365 Email, inclusi tentativi di phishing, modifiche rischiose alle impostazioni email e attività email sospette.

  • Office 365 - Forms: rileva attività dannose, sospette e ad alto rischio in Office 365 Forms, inclusi tentativi di phishing e aggiornamenti di stato per gli account Forms.

  • Office 365 - Identity: rileva attività dannose, sospette e ad alto rischio in Office 365 correlate alla gestione di identità e accessi, inclusi potenziali furti di token, configurazioni di autenticazione rischiose, attacchi MFA, attacchi alle password e strumenti di hacking noti.

  • Office 365 - Sharepoint e OneDrive: rileva attività dannose, sospette e ad alto rischio in Office 365 Sharepoint e OneDrive, inclusi caricamenti di malware, condivisione anonima di file e ricerche di credenziali e dati finanziari.

  • Office 365 - Teams: rileva attività dannose, sospette e ad alto rischio in Office 365 Teams, tra cui l'impersonificazione di account Teams, l'esportazione di registrazioni e trascrizioni.

Dispositivi supportati e tipi di log richiesti per Office 365

Questi set di regole sono stati testati e sono supportati con le seguenti origini dati, elencate per nome del prodotto ed etichetta di importazione di Google SecOps:

Rilevamento selezionato per i set di regole Okta

I set di regole Okta in questa categoria aiutano a rilevare le minacce all'interno degli ambienti Okta analizzando i dati di eventi e contesto. Il set di regole include quanto segue:

  • Okta: identifica una serie di attività dannose e sospette che si verificano all'interno della piattaforma Okta, tra cui attacchi MFA, tentativi di forza bruta, password spraying, anomalie di accesso e altro ancora.

Dispositivi supportati e tipi di log richiesti per Okta

Questi set di regole sono stati testati e sono supportati con le seguenti origini dati, elencate per nome del prodotto ed etichetta di importazione di Google SecOps:

Ottimizzare gli avvisi restituiti dai set di regole

Puoi ridurre il numero di rilevamenti generati da una regola o da un insieme di regole utilizzando le esclusioni delle regole.

Un'esclusione di regole definisce i criteri utilizzati per escludere un evento dalla valutazione da parte del set di regole o di regole specifiche nel set di regole. Crea una o più esclusioni di regole per ridurre il volume dei rilevamenti. Per informazioni su come eseguire questa operazione, vedi Configurare le esclusioni delle regole.

Passaggi successivi

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.