このページは Cloud Translation API によって翻訳されました。

クラウド脅威のカテゴリの概要

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Cloud 脅威カテゴリのルールセットの概要、必要なデータソース、これらのルールセットによって生成されるアラートの調整に使用できる構成について説明します。これらのルールセットは、 Google Cloud データを使用する Google Cloud環境と AWS データを使用する AWS 環境での脅威の特定に役立ちます。

ルールセットの説明

クラウド脅威カテゴリでは、次のルールセットを使用できます。

Google Cloud データ用のルールセット
AWS データのルールセット
Azure データのルールセット
Office 365 データのルールセット
Okta データのルールセット

CDIR という略語は、Cloud Detection, Investigation, and Response の略です。

Google Cloud データのキュレーテッド検出

Google Cloud ルールセットは、イベントデータとコンテキストデータを使用して Google Cloud 環境での脅威を識別するのに役立ちます。次のルールセットが含まれています。

管理操作: 管理操作に関連するアクティビティ。不審なアクティビティであるものの、組織の使用状況に応じて潜在的に正当なものと考えられます。
CDIR SCC の高度な引き出し: Security Command Center の漏洩の検出結果を Cloud Audit Logs のログ、Sensitive Data Protection のコンテキスト、BigQuery のコンテキスト、Security Command Center の構成ミスのログなどの他のログソースに関連付けるコンテキストアウェアルールが含まれます。
CDIR SCC の高度な防御回避: Security Command Center の回避または防御回避の検出結果を、Cloud Audit Logs などの他のGoogle Cloud データソースのデータに関連付けるコンテキストアウェアルールが含まれています。
CDIR SCC の高度なマルウェア: Cloud DNS のログなどの他のデータソースに加えて、Security Command Center のマルウェアの検出結果を IP アドレスとドメインの発生状況とその普及率スコアなどのデータと関連付けるコンテキストアウェアルールが含まれています。
CDIR SCC の高度な永続性: Security Command Center の永続性の検出結果を、Cloud DNS ログや IAM 分析ログなどのソースのデータに関連付けるコンテキストアウェアルールが含まれています。
CDIR SCC の高度な権限昇格: Security Command Center 権限昇格の検出結果を、Cloud Audit Logs などの他のデータソースのデータに関連付けるコンテキストアウェアルールが含まれています。
CDIR SCC 認証情報アクセス: Security Command Center 認証情報アクセスの検出結果を、Cloud Audit Logs などの他のデータソースのデータに関連付けるコンテキストアウェアルールが含まれています。
CDIR SCC の高度な検出: Security Command Center Discovery のエスカレーションの検出結果を、 Google Cloud サービスや Cloud Audit Logs などのソースのデータと関連付けるコンテキストアウェアルールが含まれています。
CDIR SCC ブルートフォース: Security Command Center のブルートフォースのエスカレーションの検出結果を Cloud DNS ログなどのデータと関連付けるコンテキストアウェアルールが含まれています。
CDIR SCC データ破壊: Security Command Center のデータ破壊のエスカレーションの検出結果を、Cloud Audit Logs などの他のデータソースのデータに関連付けるコンテキストアウェアルールが含まれています。
CDIR SCC システム復旧の抑制: Security Command Center のシステム復旧の抑制の検出結果を、Cloud Audit Logs などの他のデータソースのデータに関連付けるコンテキストアウェアルールが含まれています。
CDIR SCC 実行: Security Command Center の実行の検出結果を、Cloud Audit Logs などの他のデータソースのデータに関連付けるコンテキストアウェアルールが含まれています。
CDIR SCC 初期アクセス: Security Command Center の初期アクセスの検出結果を、Cloud Audit Logs などの他のデータソースのデータに関連付けるコンテキストアウェアルールが含まれています。
CDIR SCC Impair Defenses: Security Command Center の Impair Defenses の検出結果を Cloud Audit Logs などの他のデータソースのデータに関連付けるコンテキストアウェアルールが含まれています。
CDIR SCC の影響: 重大、高、中、低の重大度の分類で、Security Command Center から影響の検出結果を検出するルールが含まれています。
CDIR SCC Cloud IDS: 重大、高、中、低の重大度の分類で、Security Command Center から Cloud Intrusion Detection System の検出結果を検出するルールが含まれています。
CDIR SCC Cloud Armor: Security Command Center から Google Cloud Armor の検出結果を検出するルールが含まれています。
CDIR SCC カスタムモジュール: Security Command Center から Event Threat Detection のカスタムモジュールの検出結果を検出するルールが含まれています。
Cloud Hacktool: 既知の攻撃に利用されるセキュリティプラットフォームから検出されたアクティビティ、またはクラウドリソースを特定の対象とした脅威アクターによって悪用され攻撃に利用されるツールやソフトウェアから検出されたアクティビティ。
Cloud SQL Ransom: Cloud SQL データベース内のデータ漏洩やランサムに関連するアクティビティを検出します。
Kubernetes の不審なツール: オープンソースの Kubernetes ツールによる偵察攻撃や悪用の動作を検出します。
Kubernetes RBAC の不正使用: 権限昇格やラテラルムーブメントを試みるロールベースのアクセス制御（RBAC）の不正使用に関連する Kubernetes アクティビティを検出します。
Kubernetes 証明書に影響するアクション: 永続性の確立や権限の昇格に使用できる Kubernetes 証明書と証明書署名リクエスト（CSR）の動作を検出します。
IAM の不正使用: IAM のロールと権限を不正使用して、特定の Cloud プロジェクト内または Cloud 組織全体で潜在的に権限を昇格または移動させることに関連するアクティビティ。
潜在的な引き出しのアクティビティ: 潜在的なデータの引き出しに関連するアクティビティを検出します。
リソースマスカレード: 別のリソースまたはリソースタイプの名前や特徴を使用して作成された Google Cloud リソースを検出します。これは、正当なリクエストであるように意図してリソースにより実行される、またはリソース内で実行される悪意のあるアクティビティをマスクするために使用できます。
サーバーレスの脅威 : Cloud Run や Cloud Run 関数など、 Google Cloudのサーバーレスリソースの潜在的な侵害や不正使用に関連するアクティビティを検出します。
サービスの中断: 正常に稼働している本番環境で行われた場合に、重大なサービス停止を引き起こす可能性がある破壊的または混乱を引き起こすアクションを検出します。検出された動作は一般的であり、テスト環境や開発環境では問題がない可能性があります。
不審なアクティビティ: ほとんどの環境で、一般的ではなく疑わしいと考えられるアクティビティ。
不審なインフラストラクチャ変更: 既知の永続性戦術に合わせて本番環境のインフラストラクチャに対する変更を検出します。
脆弱な構成: セキュリティ制御の脆弱化または低下に関連するアクティビティ。不審と考えられ、組織の使用状況に応じて潜在的に正当と考えられます。
Chrome からのインサイダーによる潜在的なデータ引き出し: Google Workspace 組織外での潜在的に機密性の高いデータの引き出しや損失など、インサイダーの潜在的な脅威行動に関連するアクティビティを検出します。これには、30 日間のベースラインと比較して異常とみなされる Chrome の動作が含まれます。
ドライブからの潜在的なインサイダーによるデータ引き出し: Google Workspace 組織外でのデータの引き出しや潜在的に機密性の高いデータの損失など、潜在的なインサイダーの脅威の行動に関連するアクティビティを検出します。これには、30 日間のベースラインと比較して異常と見なされるドライブの動作が含まれます。
Gmail からのインサイダーによるデータ引き出しの可能性: Google Workspace 組織外でのデータの引き出しや機密性の高いデータの損失など、インサイダーの脅威の可能性のある行動に関連するアクティビティを検出します。これには、30 日間のベースラインと比較して異常と見なされる Gmail の動作が含まれます。
Workspace アカウントの不正使用の可能性: アカウントが不正使用された可能性があり、Google Workspace 組織内での権限昇格の試みやラテラルムーブメントの試みにつながる可能性のある内部関係者の脅威の行動を検出します。これには、30 日間のベースラインと比較してまれまたは異常と見なされる動作が含まれます。
不審な Workspace 管理アクション: 管理者など、権限の高いユーザーによる、回避、セキュリティのダウングレード、過去 30 日間に見られなかったまれな異常な動作を示す動作を検出します。

サポート対象のデバイスとログタイプ

次のセクションでは、Cloud 脅威カテゴリのルールセットに必要なデータについて説明します。

Google Cloud サービスからデータを取り込むには、Cloud ログを Google SecOps に取り込むをご覧ください。別の仕組みを使用してこれらのログを収集する必要がある場合は、Google SecOps の担当者にお問い合わせください。

Google SecOps には、 Google Cloud サービスから取得した未加工のログを解析し、正規化するデフォルトのパーサーが用意されており、これらのルールセットで必要なデータを使用して UDM レコードを作成します。

Google SecOps がサポート対象とするすべてのデータソースのリストについては、サポート対象のデフォルトのパーサーをご覧ください。

すべてのルールセット

ルールセットを使用するには、 Google CloudCloud Audit Logs を収集することをおすすめします。一部のルールでは、お客様が Cloud DNS ロギングを有効にする必要があります。 Google Cloud サービスが次のログにデータを記録するように構成されていることを確認します。

Cloud SQL ランサムルールセット

Cloud SQL ランサムルールセットを使用するには、次の Google Cloud データを収集することをおすすめします。

[すべてのルールセット] セクションにリストされているデータをログに記録します。
Cloud SQL のログ

CDIR SCC 拡張ルールセット

CDIR SCC Enhanced で始まるすべてのルールセットは、次のような他の Google Cloud ログソースのコンテキスト情報に基づく Security Command Center Premium の検出結果を使用します。

Cloud Audit Logs
Cloud DNS のログ
Identity and Access Management（IAM）の分析
Sensitive Data Protection のコンテキスト
BigQuery のコンテキスト
Compute Engine のコンテキスト

CDIR SCC Enhanced ルールセットを使用するには、次の Google Cloud データを収集することをおすすめします。

[すべてのルールセット] セクションにリストされているデータをログに記録します。
次のログデータがプロダクト名と Google SecOps の取り込みラベルで一覧表示されています。
- BigQuery（GCP_BIGQUERY_CONTEXT）
- Compute Engine（GCP_COMPUTE_CONTEXT）
- IAM（GCP_IAM_CONTEXT）
- Sensitive Data Protection（GCP_DLP_CONTEXT）
- Cloud Audit Logs（GCP_CLOUDAUDIT）
- Google Workspace のアクティビティ（WORKSPACE_ACTIVITY）
- Cloud DNS クエリ（GCP_DNS）
次の Security Command Center 検出結果クラスは、findingClass 識別子と Google SecOps 取り込みラベルで一覧表示されています。
- Threat（GCP_SECURITYCENTER_THREAT）
- Misconfiguration（GCP_SECURITYCENTER_MISCONFIGURATION）
- Vulnerability（GCP_SECURITYCENTER_VULNERABILITY）
- SCC Error（GCP_SECURITYCENTER_ERROR）

CDIR SCC Enhanced ルールセットは、 Google Cloud サービスのデータにも依存します。必要なデータを Google SecOps に送信するには、次の操作が完了していることを確認してください。

必要な Google Cloud プロダクトとサービスのロギングを有効にします。
Security Command Center Premium と関連サービスを有効にする。
Google SecOps に Google Cloudログの取り込みを構成します。
Event Threat Detection の検出結果を Google SecOps にエクスポートするように構成します。デフォルトでは、Security Command Center のすべての検出結果が取り込まれます。Google SecOps のデフォルトパーサーがデータフィールドをマッピングする方法の詳細については、Security Command Center の検出結果のエクスポートをご覧ください。
Cloud Audit Logs を有効にして、Cloud Audit Logs の Google SecOps へのエクスポートを構成します。詳細については、Cloud Audit Logs の収集をご覧ください。
Google Workspace ログを有効にして、これらのログを Google SecOps に送信します。詳細については、Google Workspace のログを収集するをご覧ください。
Google Cloud アセットメタデータとコンテキスト関連データを Google SecOps にエクスポートするように構成します。詳細については、 Google Cloud アセットメタデータを Google SecOps にエクスポートすると Sensitive Data Protection データを Google SecOps にエクスポートするをご覧ください。

次のルールセットは、Security Command Center Event Threat Detection、Google Cloud Armor、Security Command Center の Sensitive Actions Service、Event Threat Detection 用のカスタムモジュールからの検出結果が特定されると、検出を作成します。

CDIR SCC Cloud IDS
CDIR SCC Cloud Armor
CDIR SCC の影響
CDIR SCC のエンハンスト永続性
CDIR SCC のエンハンスト防御回避
CDIR SCC カスタムモジュール

Kubernetes の不審なツールのルールセット

Kubernetes の不審なツールのルールセットを使用するには、すべてのルールセットセクションに記載されているデータを収集することをおすすめします。 Google Cloudサービスが Google Kubernetes Engine（GKE）ノードログにデータを記録するように構成されていることを確認する

Kubernetes RBAC の不正行為のルールセット

Kubernetes RBAC の不正使用ルールセットを使用するには、すべてのルールセットセクションの一覧に記載されている Cloud 監査ログを収集することをおすすめします。

Kubernetes 証明書に影響するアクションのルールセット

Kubernetes 証明書に影響するアクションのルールセットを使用するには、すべてのルールセットセクションに一覧表示されているCloud 監査ログを収集することをおすすめします。

Google Workspace 関連のルールセット

次のルールセットは、Google Workspace データのパターンを検出します。

Chrome からのインサイダーによるデータ漏洩の可能性
ドライブからのインサイダーによるデータ漏洩の可能性
Gmail からのインサイダーによるデータ漏洩の可能性
Workspace アカウントの不正使用の可能性
疑わしい Workspace 管理者操作

これらのルールセットには、次のログタイプが必要です。プロダクト名と Google SecOps 取り込みラベルで一覧表示されています。

Workspace アクティビティ（WORKSPACE_ACTIVITY）
Workspace アラート（WORKSPACE_ALERTS）
Workspace ChromeOS デバイス（WORKSPACE_CHROMEOS）
Workspace のモバイルデバイス（WORKSPACE_MOBILE）
Workspace ユーザー（WORKSPACE_USERS）
Google Chrome ブラウザクラウド管理（CHROME_MANAGEMENT）
Gmail のログ（GMAIL_LOGS）

必要なデータを取り込む手順は次のとおりです。

このドキュメントの [すべてのルールセット] セクションにリストされているデータを収集します。
Google Workspace のデータを Google SecOps に取り込むを参照して、WORKSPACE_ACTIVITY、WORKSPACE_CHROMEOS、CHROME_MANAGEMENT、GMAIL のログを収集してください。
次のログを取り込むには、Google Workspace のログを収集するをご覧ください。
- WORKSPACE_ALERTS
- WORKSPACE_MOBILE
- WORKSPACE_USERS

サーバーレス脅威ルールセット

このドキュメントの [すべてのルールセット] セクションにリストされているデータを収集します。
Cloud Run ログ（GCP_RUN）。

Cloud Run ログには、Google SecOps で GCP_RUN ログタイプとして取り込まれるリクエストログとコンテナログが含まれます。GCP_RUN ログは、直接取り込みまたはフィードと Cloud Storage を使用して取り込むことができます。特定のログフィルタと取り込みの詳細については、Google SecOps に Google Cloud ログをエクスポートするをご覧ください。次のエクスポートフィルタは、直接取り込みメカニズムおよび Cloud Storage とシンクの両方を介するデフォルトログに加えて、 Google Cloud Cloud Run（GCP_RUN）ログをエクスポートします。

log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)

AWS ルールセットのキュレーションされた検出

このカテゴリの AWS ルールセットは、イベントデータとコンテキストデータを使用して AWS 環境での脅威を識別するのに役立ちます。次のルールセットが含まれています。

AWS - コンピューティング: EC2 や Lambda などの AWS コンピューティングリソースに関連する異常なアクティビティを検出します。
AWS - データ: 一般公開された RDS スナップショットや S3 バケットなど、データリソースに関連する AWS アクティビティを検出します。
AWS - GuardDuty: 行動、クレデンシャルアクセス、クリプトマイニング、検出、回避、実行、引き出し、影響、初期アクセス、マルウェア、ペネトレーションテスト、永続性、ポリシー、権限昇格、未承認アクセスに対するコンテキストアウェア AWS GuardDuty アラート。
AWS - ハックツール: スキャナ、ツールキット、フレームワークなどの AWS 環境でのハックツールの使用を検出します。
AWS - ID: 複数の地理位置情報からの異常なログイン、制限が緩すぎるロールの作成、不審なツールからの IAM アクティビティなど、IAM と認証アクティビティに関連する AWS アクティビティの検出。
AWS - ロギングとモニタリング: CloudTrail、CloudWatch、GuardDuty などのロギングサービスとモニタリングサービスの無効化に関連する AWS アクティビティを検出します。
AWS - ネットワーク: セキュリティグループやファイアウォールなどの AWS ネットワーク設定に対する安全でない変更を検出します。
AWS - 組織: アカウントの追加や削除、リージョン使用量に関連する予期しないイベントなど、組織に関連する AWS アクティビティを検出します。
AWS - シークレット: KMS シークレットまたは Secrets Manager シークレットの削除など、シークレット、トークン、パスワードに関連する AWS アクティビティを検出します。

AWS でサポートされているデバイスとログタイプ

これらのルールセットはテスト済みであり、次の Google SecOps データソースでサポートされています。プロダクト名と取り込みラベルで一覧表示されています。

AWS CloudTrail（AWS_CLOUDTRAIL）
AWS GuardDuty（GUARDDUTY）
AWS EC2 ホスト（AWS_EC2_HOSTS）
AWS EC2 インスタンス（AWS_EC2_INSTANCES）
AWS EC2 VPCS（AWS_EC2_VPCS）
AWS IAM（IAM）（AWS_IAM）

AWS データの取り込みを設定するには、AWS データの取り込みの構成をご覧ください。

すべてのサポートされているデータソースのリストについては、サポートされているデフォルトのパーサーをご覧ください。

以下のセクションでは、データのパターンを識別するルールセットが必要とする必要なデータについて説明します。

ソースタイプとして Amazon Simple Storage Service（Amazon S3）バケットを使用して AWS データを取り込むことができます。また、必要に応じて、Amazon Simple Queue Service（Amazon SQS）で Amazon S3 を使用して取り込むこともできます。高レベルでは、以下を行う必要があります。

ログデータを収集するように Amazon S3 または Amazon SQS を使用した Amazon S3 を構成します。
Amazon S3 または Amazon SQS からデータを取り込むように Google SecOps フィードを構成します

AWS サービスを構成し、AWS データを取り込むように Google SecOps フィードを構成するために必要な詳細な手順については、AWS ログを Google SecOps に取り込むをご覧ください。

AWS Managed Detection Testing テストルールを使用して、AWS データが Google SecOps SIEM に取り込まれていることを確認できます。これらのテストルールは、AWS ログデータが想定どおりに取り込まれているかどうかを検証するのに役立ちます。AWS データの取り込みを設定したら、テストルールをトリガーする必要がある AWS のアクションを行います。

AWS Managed Detection Testing テストルールを使用して AWS データの取り込みを検証する方法については、クラウド脅威のカテゴリについて AWS データの取り込みを検証するをご覧ください。

Azure データのキュレーテッド検出

このカテゴリの特定のルールセットは、Azure データと連携して、イベントデータ、コンテキストデータ、アラートを使用して Azure 環境での脅威を特定するように設計されています。以下に例を示します。

Azure - コンピューティング: Kubernetes や仮想マシン（VM）などの Azure コンピューティングリソースに関連する異常なアクティビティを検出します。
Azure - データ: データリソースに関連するアクティビティを検出します。これには、Azure Blob の権限、変更、テナントで Azure サービスを使用するための外部ユーザーへの招待が含まれます。
Azure - Defender for Cloud: すべての Azure クラウドサービスで、ユーザーの行動、認証情報のアクセス、クリプトマイニング、検出、回避、実行、引き出し、影響、初期アクセス、マルウェア、ペネトレーションテスト、永続性、ポリシー、権限昇格、不正アクセスに関連するコンテキストアウェア Microsoft Defender for Cloud から受信したアラートを特定します。
Azure - ハックツール: Tor や VPN 匿名化ツール、スキャナ、レッドチームツールキットなど、Azure 環境でのハッキングツールの使用を検出します。
Azure - ID: 認証と認可に関連するアクティビティを検出し、複数の地理位置情報からの同時アクセス、制限が緩すぎるアクセス管理ポリシー、不審なツールからの Azure RBAC アクティビティなど、異常な動作を示します。
Azure - ロギングとモニタリング: Azure 内のロギングサービスとモニタリングサービスの無効化に関連するアクティビティを検出します。
Azure - ネットワーク: セキュリティグループやファイアウォール、Azure Web アプリケーションファイアウォール、サービス拒否ポリシーなど、Azure ネットワークデバイスや設定に対する安全でない変更や重要な変更を検出します。
Azure - 組織: サブスクリプションやアカウントの追加や削除など、組織に関連するアクティビティを検出します。
Azure - Secrets: シークレット、トークン、パスワードに関連するアクティビティ（Azure Key Vault やストレージアカウントのアクセスキーの変更など）を検出します。

Azure でサポートされているデバイスと必要なログタイプ

これらのルールセットはテスト済みであり、次のデータソースでサポートされています。データソースは、プロダクト名と Google SecOps の取り込みラベルで一覧表示されています。

Azure Cloud Services （AZURE_ACTIVITY）
Microsoft Entra ID（旧称 Azure Active Directory（AZURE_AD））
Microsoft Entra ID 監査ログ（旧 Azure AD 監査ログ）（AZURE_AD_AUDIT）
Microsoft Defender for Cloud （MICROSOFT_GRAPH_ALERT）
Microsoft Graph API アクティビティ（MICROSOFT_GRAPH_ACTIVITY_LOGS）

Azure と Microsoft Entra ID のデータを取り込む

ルールカバレッジを最大限にするには、すべてのデータソースからデータを取り込む必要があります。各ソースからデータを取り込む方法については、次のドキュメントをご覧ください。

Azure Cloud Services から Azure Monitor アクティビティログを取り込みます。
Microsoft Entra ID（旧称 Azure AD）のデータを収集する。これには、次のものが含まれます。
- Microsoft Entra ID ログ
- Microsoft Entra ID 監査ログ
- Microsoft Entra ID のコンテキストデータ
Microsoft Graph Security API のアラートログを収集して、Microsoft Graph Security API を使用して Microsoft Defender for Cloud ログを取り込みます。
Microsoft Graph API アクティビティログを収集する: Microsoft Graph API を使用して Microsoft Graph API アクティビティログを取り込みます。

次のセクションでは、事前定義されたテストルールを使用して Azure データの取り込みを確認する方法について説明します。

Azure データの取り込みを確認する

Google SecOps のデータの取り込みと健全性ダッシュボードでは、SIEM 取り込み機能を使用して Google SecOps に取り込まれるすべてのデータの種類、量、健全性に関する情報を確認できます。

Azure Managed Detection Testing テストルールを使用して、Azure データの取り込みを確認することもできます。取り込みを設定したら、テストルールをトリガーする必要がある Azure Portal のアクションを行います。これらは、Azure データのキュレートされた検出を使用するために、データが取り込まれ、想定される形式になっていることを確認することを目的としています。

Azure Managed Detection Testing のテストルールを有効にする

Google Security Operations で、[検出] > [ルールと検出] をクリックして、[キュレーションされた検出機能] ページを開きます。
[Managed Detection Testing] > [Azure Managed Detection Testing] を選択します。
Broad ルールと Precise ルールでステータスとアラートの両方を有効にします。

ユーザーアクションデータを送信してテストルールをトリガーする

データが想定どおりに取り込まれることを確認するには、ユーザーを作成してログインし、これらのアクションがテストルールをトリガーすることを確認します。Microsoft Entra ID でユーザーを作成する方法については、ユーザーの作成、招待、削除方法をご覧ください。

Azure で、新しい Microsoft Entra ID ユーザーを作成します。

重要: 次の手順は、Microsoft Entra ID で新しいユーザーを作成する権限を持つ、選択したアカウントのユーザーとして実行する必要があります。
1. Azure ポータルに移動します。
2. Microsoft Entra ID を開きます。
3. [追加]、[新しいユーザーを作成] の順にクリックします。ユーザーを定義するには、次の操作を行います。
  1. 次の情報を入力します。
    - ユーザープリンシパル名: GCTI_ALERT_VALIDATION
    - ユーザープリンシパル名: GCTI_ALERT_VALIDATION
    - 表示名: GCTI_ALERT_VALIDATION
  2. [パスワードを自動生成] を選択して、このユーザーのパスワードを自動生成します。
  3. [アカウントを有効にする] チェックボックスをオンにします。
  4. [レビュー + 作成] タブを開きます。
  5. 自動生成されたパスワードをメモしておきます。これは後の手順で使用します。
  6. [作成] をクリックします。
4. シークレットモードでブラウザウィンドウを開き、Azure Portal に移動します。
5. 新しく作成したユーザーとパスワードでログインします。
6. ユーザーのパスワードを変更します。
7. 組織のポリシーに沿って、多要素認証（MFA）に登録します。
8. Azure Portal から正常にログアウトしたことを確認します。
Google Security Operations でアラートが作成されていることを確認するには、次の操作を行います。
1. Google Security Operations で、[検出] > [ルールと検出] をクリックして、[キュレーションされた検出機能] ページを開きます。
2. [ダッシュボード] をクリックします。
3. 検出のリストで、次のルールがトリガーされたことを確認します。
  - tst_azure_ad_user_creation
  - tst_azure_ad_user_login
データが送信され、これらのルールがトリガーされたことを確認したら、ユーザーアカウントを無効にするか、プロビジョニングを解除します。

テストルールをトリガーするサンプルアラートを送信する

Azure でサンプルセキュリティアラートを生成するとテストルールがトリガーされることを確認するには、次の操作を行います。Microsoft Defender for Cloud でサンプルセキュリティアラートを生成する方法については、Microsoft Defender for Cloud でのアラートの検証をご覧ください。

Azure ポータルで、[すべてのサービス] に移動します。
[セキュリティ] で [Microsoft Defender for Cloud] を開きます。
[セキュリティアラート] に移動します。
[Sample Alerts] をクリックして、次の操作を行います。
1. 定期購入を選択します。
2. [Defender for Cloud Plans] で [すべて] を選択します。
3. [サンプルアラートを作成] をクリックします。
テストアラートがトリガーされたことを確認します。
Google Security Operations で、[検出] > [ルールと検出] をクリックして、[キュレーションされた検出機能] ページを開きます。
[ダッシュボード] をクリックします。
検出のリストで、次のルールがトリガーされたことを確認します。
- tst_azure_activity
- tst_azure_defender_for_cloud_alerts

Microsoft Graph Explorer で GET API リクエストを実行してテストルールをトリガーする

Azure でサンプルセキュリティアラートを生成するとテストルールがトリガーされることを確認するには、次の操作を行います。

Microsoft Graph Explorer に移動します。
右上隅で適切なテナントが選択されていることを確認します。
[クエリを実行] をクリックします。
テストアラートがトリガーされたことを確認します。
Google Security Operations で、[検出] > [ルールと検出] をクリックして、[キュレーションされた検出機能] ページを開きます。
[ダッシュボード] をクリックします。
検出のリストで、tst_microsoft_graph_api_get_activity ルールがトリガーされたことを確認します。

Azure Managed Detection Testing のルールセットを無効にする

Google Security Operations で、[検出] > [ルールと検出] をクリックして、[キュレーションされた検出機能] ページを開きます。
[Managed Detection Testing] のルール > [Azure Managed Detection Testing] のルールを選択します。
Broad ルールと Precise ルールでステータスとアラートの両方を無効にします。

Office 365 データのキュレーテッド検出

このカテゴリの Office 365 ルールセットは、イベントデータとコンテキストデータを使用して Office 365 環境での脅威を識別するのに役立ちます。次のルールセットが含まれています。

Office 365 - 管理: バックアップポリシーの変更、Microsoft Purview、ATP 検出など、Office 365 での悪意のあるアクティビティ、疑わしいアクティビティ、リスクの高いアクティビティを検出します。
Office 365 - eDiscovery: Office 365 eDiscovery で、認証情報やその他の機密データの検索を試みるなど、悪意のあるアクティビティ、疑わしいアクティビティ、リスクの高いアクティビティを検出します。
Office 365 - Email: フィッシングの試み、危険なメール設定の変更、不審なメールアクティビティなど、Office 365 メールで悪意のあるアクティビティ、不審なアクティビティ、リスクの高いアクティビティを検出します。
Office 365 - Forms: フィッシングの試みやフォームアカウントのステータス更新など、Office 365 Forms での悪意のあるアクティビティ、不審なアクティビティ、リスクの高いアクティビティを検出します。
Office 365 - Identity: ID とアクセス管理に関連する Office 365 の悪意のあるアクティビティ、不審なアクティビティ、リスクの高いアクティビティを検出します。これには、トークンの盗難、リスクの高い認証構成、MFA 攻撃、パスワード攻撃、既知のハッキングツールが含まれます。
Office 365 - Sharepoint と OneDrive: Office 365 Sharepoint と OneDrive で、マルウェアのアップロード、匿名ファイル共有、認証情報や財務データの検索など、悪意のあるアクティビティ、疑わしいアクティビティ、リスクの高いアクティビティを検出します。
Office 365 - Teams: Teams アカウントのなりすまし、録画と文字起こしのエクスポートなど、Office 365 Teams での悪意のあるアクティビティ、不審なアクティビティ、リスクの高いアクティビティを検出します。

Office 365 でサポートされているデバイスと必要なログタイプ

これらのルールセットはテスト済みであり、次のデータソースでサポートされています。データソースはプロダクト名と Google SecOps の取り込みラベルで一覧表示されています。

Okta ルールセットのキュレーションされた検出

このカテゴリの Okta ルールセットは、イベントデータとコンテキストデータを分析して、Okta 環境内の脅威を検出するのに役立ちます。ルールセットには次のものが含まれます。

Okta: MFA 攻撃、ブルートフォース攻撃、パスワードスプレー、ログインの異常など、Okta プラットフォーム内で発生するさまざまな悪意のあるアクティビティや不審なアクティビティを特定します。

Okta でサポートされているデバイスと必要なログタイプ

ルールセットによって返されるアラートを調整する

ルール除外を使用して、ルールまたはルールセットが生成する検出数を減らすことができます。

ルールの除外では、ルールセットまたはルールセット内の特定のルールによる評価対象からイベントを除外するために使用される条件を定義します。1 つ以上のルールの除外を作成して、検出の量を減らします。これを行う方法については、ルール除外を構成するをご覧ください。

次のステップ

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。