Vista geral da categoria de ameaças na nuvem

Compatível com:

Este documento fornece uma vista geral dos conjuntos de regras na categoria Ameaças na nuvem, as origens de dados necessárias e a configuração que pode usar para otimizar os alertas gerados por cada conjunto de regras. Estes conjuntos de regras ajudam a identificar ameaças em ambientes Google Cloud com dados Google Cloud e em ambientes da AWS com dados da AWS.

Descrições do conjunto de regras

Os seguintes conjuntos de regras estão disponíveis na categoria Ameaças na nuvem.

A abreviatura CDIR significa deteção, investigação e resposta na nuvem.

Deteções organizadas para Google Cloud dados

OsGoogle Cloud conjuntos de regras ajudam a identificar ameaças em ambientes Google Cloud usando dados de eventos e de contexto, e incluem os seguintes conjuntos de regras:

  • Ação de administrador: atividade associada a ações administrativas, considerada suspeita, mas potencialmente legítima, consoante a utilização organizacional.
  • CDIR SCC Enhanced Exfiltration: contém regras sensíveis ao contexto que correlacionam as conclusões de exfiltração do Security Command Center com outras origens de registos, incluindo registos de auditoria da nuvem, contexto de proteção de dados confidenciais, contexto do BigQuery e registos de configuração incorreta do Security Command Center.
  • CDIR SCC Enhanced Defense Evasion: contém regras sensíveis ao contexto que correlacionam os resultados de evasão ou evasão de defesa do Security Command Center com dados de outrasGoogle Cloud origens de dados, incluindo os registos de auditoria da nuvem.
  • CDIR SCC Enhanced Malware: contém regras sensíveis ao contexto que correlacionam as conclusões de software malicioso do Security Command Center com dados, incluindo a ocorrência de endereços IP e domínios e as respetivas classificações de prevalência, além de outras origens de dados, incluindo registos do Cloud DNS.
  • CDIR SCC Enhanced Persistence: contém regras sensíveis ao contexto que correlacionam as conclusões de persistência do Security Command Center com dados de origens, incluindo registos do Cloud DNS e registos de análise da IAM.
  • CDIR SCC Enhanced Privilege Escalation: contém regras sensíveis ao contexto que correlacionam os resultados da escalada de privilégios do Security Command Center com dados de várias outras origens de dados, incluindo os registos de auditoria da nuvem.
  • CDIR SCC Credential Access: contém regras sensíveis ao contexto que correlacionam os resultados de acesso às credenciais do Security Command Center com dados de várias outras origens de dados, incluindo os registos de auditoria da nuvem
  • CDIR SCC Enhanced Discovery: contém regras sensíveis ao contexto que correlacionam os resultados de escalonamento do Security Command Center Discovery com dados de origens, como Google Cloud serviços e registos de auditoria da nuvem.
  • CDIR SCC Brute Force: contém regras sensíveis ao contexto que correlacionam as conclusões de escalada de força bruta do Security Command Center com dados, incluindo registos do Cloud DNS.
  • CDIR SCC Data Destruction: contém regras sensíveis ao contexto que correlacionam os resultados de escalonamento da destruição de dados do Security Command Center com dados de várias outras origens de dados, incluindo os registos de auditoria da nuvem.
  • CDIR SCC Inhibit System Recovery: contém regras sensíveis ao contexto que correlacionam os resultados da recuperação do sistema de inibição do Security Command Center com dados de várias outras origens de dados, incluindo os registos de auditoria da nuvem.
  • CDIR SCC Execution: contém regras sensíveis ao contexto que correlacionam os resultados da execução do Security Command Center com dados de várias outras origens de dados, incluindo os registos de auditoria da nuvem.
  • CDIR SCC Initial Access: contém regras sensíveis ao contexto que correlacionam os resultados de acesso inicial do Security Command Center com dados de várias outras origens de dados, incluindo os registos de auditoria da nuvem.
  • CDIR SCC Impair Defenses: contém regras sensíveis ao contexto que correlacionam os resultados do Security Command Center Impair Defenses com dados de várias outras origens de dados, incluindo os registos de auditoria da nuvem.
  • CDIR SCC Impact: contém regras que detetam resultados de Impact do Security Command Center com uma classificação de gravidade Crítica, Elevada, Média e Baixa.
  • CDIR SCC Cloud IDS: contém regras que detetam resultados do sistema de deteção de intrusos do Cloud do Security Command Center com uma classificação de gravidade crítica, elevada, média e baixa.
  • CDIR SCC Cloud Armor: contém regras que detetam resultados do Google Cloud Armor a partir do Security Command Center.
  • Módulo personalizado do CDIR SCC: contém regras que detetam resultados do módulo personalizado de deteção de ameaças de eventos do Security Command Center.
  • Cloud Hacktool: atividade detetada a partir de plataformas de segurança ofensivas conhecidas ou de ferramentas ou software ofensivos usados em ambiente de produção por autores de ameaças que visam especificamente recursos na nuvem.
  • Cloud SQL Ransom: deteta atividade associada à exfiltração ou ao resgate de dados em bases de dados do Cloud SQL.
  • Ferramentas suspeitas do Kubernetes: deteta comportamentos de reconhecimento e exploração de ferramentas do Kubernetes de código aberto.
  • Abuso de RBAC do Kubernetes: deteta atividade do Kubernetes associada ao abuso de controlos de acesso baseados em funções (RBAC) que tentam a escalada de privilégios ou o movimento lateral.
  • Ações sensíveis de certificados do Kubernetes: deteta ações de certificados do Kubernetes e pedidos de assinatura de certificados (CSRs) que podem ser usados para estabelecer persistência ou aumentar privilégios.
  • Abuso do IAM: atividade associada ao abuso de funções e autorizações do IAM para, potencialmente, aumentar os privilégios ou mover-se lateralmente num determinado projeto do Google Cloud ou numa organização do Google Cloud.
  • Potencial atividade de exfiltração: deteta atividade associada à potencial exfiltração de dados.
  • Roubo de identidade de recursos: deteta Google Cloud recursos criados com nomes ou características de outro recurso ou tipo de recurso. Isto pode ser usado para ocultar atividade maliciosa realizada pelo recurso ou no recurso, com a intenção de parecer legítimo.
  • Ameaças sem servidor : deteta atividade associada a potencial comprometimento ou abuso de recursos sem servidor no Google Cloud, incluindo o Cloud Run e as funções do Cloud Run.
  • Interrupção do serviço: detetar ações destrutivas ou disruptivas que, se forem realizadas num ambiente de produção em funcionamento, podem causar uma interrupção significativa. O comportamento detetado é comum e provavelmente benigno em ambientes de teste e desenvolvimento.
  • Comportamento suspeito: atividade considerada invulgar e suspeita na maioria dos ambientes.
  • Alteração de infraestrutura suspeita: deteta modificações na infraestrutura de produção que se alinham com táticas de persistência conhecidas
  • Configuração enfraquecida: atividade associada ao enfraquecimento ou à degradação de um controlo de segurança. Considerado suspeito, potencialmente legítimo consoante a utilização organizacional.
  • Potencial exfiltração de dados internos a partir do Chrome: deteta atividade associada a potenciais comportamentos de ameaças internas, incluindo exfiltração de dados ou perda de dados potencialmente confidenciais fora de uma organização do Google Workspace. Isto inclui comportamentos do Chrome considerados anómalos em comparação com uma base de referência de 30 dias.
  • Potencial exfiltração de dados internos do Drive: deteta atividade associada a potenciais comportamentos de ameaças internas, incluindo exfiltração de dados ou perda de dados potencialmente sensíveis fora de uma organização do Google Workspace. Isto inclui comportamentos do Drive considerados anómalos em comparação com uma base de referência de 30 dias.
  • Potencial exfiltração de dados internos do Gmail: deteta atividade associada a potenciais comportamentos de ameaças internas, incluindo exfiltração de dados ou perda de dados potencialmente confidenciais fora de uma organização do Google Workspace. Isto inclui comportamentos do Gmail considerados anómalos em comparação com uma referência de 30 dias.
  • Potencial comprometimento da conta do Workspace: deteta comportamentos de ameaças internas que indicam que a conta pode ter sido potencialmente comprometida e pode levar a tentativas de escalada de privilégios ou tentativas de movimento lateral numa organização do Google Workspace. Isto inclui comportamentos considerados raros ou anómalos em comparação com uma base de referência de 30 dias.
  • Ações administrativas suspeitas do Workspace: deteta comportamentos que indicam uma potencial evasão, uma diminuição da segurança ou comportamentos raros e anómalos nunca vistos nos últimos 30 dias de utilizadores com privilégios mais elevados, incluindo administradores.

Dispositivos e tipos de registos suportados

As secções seguintes descrevem os dados necessários para os conjuntos de regras na categoria Ameaças na nuvem.

Para carregar dados a partir de Google Cloud serviços, consulte o artigo Carregue registos do Google Cloud para o Google SecOps. Contacte o seu representante da Google SecOps se precisar de recolher estes registos através de um mecanismo diferente.

O Google SecOps fornece analisadores predefinidos que analisam e normalizam registos não processados de Google Cloud serviços para criar registos UDM com dados exigidos por estes conjuntos de regras.

Para ver uma lista de todas as origens de dados suportadas pelo Google SecOps, consulte o artigo Analizadores predefinidos suportados.

Todos os conjuntos de regras

Para usar qualquer conjunto de regras, recomendamos que recolha Google Cloud registos de auditoria do Cloud. Determinadas regras exigem que os clientes ativem o registo do Cloud DNS. Certifique-se de que os Google Cloud serviços estão configurados para registar dados nos seguintes registos:

Conjunto de regras de resgate do Cloud SQL

Para usar o conjunto de regras Cloud SQL Ransom, recomendamos que recolha os seguintes Google Cloud dados:

Conjuntos de regras melhorados de CDIR SCC

Todos os conjuntos de regras que começam com o nome CDIR SCC Enhanced usam as conclusões do Security Command Center Premium contextualizadas com várias outras Google Cloud origens de registos, incluindo o seguinte:

  • Cloud Audit Logs
  • Registos do Cloud DNS
  • Análise da gestão de identidade e de acesso (IAM)
  • Contexto da proteção de dados confidenciais
  • Contexto do BigQuery
  • Contexto do Compute Engine

Para usar os conjuntos de regras CDIR SCC Enhanced, recomendamos que recolha os seguintes Google Cloud dados:

  • Dados de registo apresentados na secção Todos os conjuntos de regras.

  • Os seguintes dados de registo, apresentados por nome do produto e etiqueta de carregamento do Google SecOps:

    • BigQuery (GCP_BIGQUERY_CONTEXT)
    • Compute Engine (GCP_COMPUTE_CONTEXT)
    • IAM (GCP_IAM_CONTEXT)
    • Proteção de dados confidenciais (GCP_DLP_CONTEXT)
    • Registos de auditoria do Google Cloud (GCP_CLOUDAUDIT)
    • Atividade do Google Workspace (WORKSPACE_ACTIVITY)
    • Consultas do Cloud DNS (GCP_DNS)

  • As seguintes classes de resultados do Security Command Center, listadas pelo identificador findingClass e pela etiqueta de carregamento do Google SecOps:

    • Threat (GCP_SECURITYCENTER_THREAT)
    • Misconfiguration (GCP_SECURITYCENTER_MISCONFIGURATION)
    • Vulnerability (GCP_SECURITYCENTER_VULNERABILITY)
    • SCC Error (GCP_SECURITYCENTER_ERROR)

Os conjuntos de regras CDIR SCC Enhanced também dependem de dados dos Google Cloud serviços. Para enviar os dados necessários para o Google SecOps, certifique-se de que conclui o seguinte:

Os seguintes conjuntos de regras criam uma deteção quando são identificados resultados da Deteção de ameaças de eventos do Security Command Center, Google Cloud Armor, Serviço de ações confidenciais do Security Command Center e módulos personalizados para a Deteção de ameaças de eventos:

  • CDIR SCC Cloud IDS
  • CDIR SCC Cloud Armor
  • Impacto das CCTs da CDIR
  • CDIR SCC Enhanced Persistence
  • CDIR SCC Enhanced Defense Evasion
  • Módulo personalizado de CDIR SCC

Conjunto de regras de ferramentas suspeitas do Kubernetes

Para usar o conjunto de regras Kubernetes Suspicious Tools, recomendamos que recolha os dados indicados na secção Todos os conjuntos de regras. Certifique-se de que Google Cloud os serviços estão configurados para registar dados nos registos de nós do Google Kubernetes Engine (GKE)

Conjunto de regras de abuso de RBAC do Kubernetes

Para usar o conjunto de regras Kubernetes RBAC Abuse, recomendamos que recolha registos de auditoria do Cloud, indicados na secção Todos os conjuntos de regras.

Conjunto de regras de ações sensíveis de certificados do Kubernetes

Para usar o conjunto de regras Ações sensíveis a certificados do Kubernetes, recomendamos que recolha registos de auditoria do Cloud, indicados na secção Todos os conjuntos de regras.

Conjuntos de regras relacionados com o Google Workspace

Os seguintes conjuntos de regras detetam padrões nos dados do Google Workspace:

  • Potencial exfiltração de dados internos a partir do Chrome
  • Potencial exfiltração de dados internos do Drive
  • Potencial exfiltração de dados internos do Gmail
  • Potencial comprometimento da conta do Workspace
  • Ações administrativas suspeitas do Workspace

Estes conjuntos de regras requerem os seguintes tipos de registos, indicados pelo nome do produto e pela etiqueta de carregamento do Google SecOps:

  • Atividades do espaço de trabalho (WORKSPACE_ACTIVITY)
  • Alertas do Workspace (WORKSPACE_ALERTS)
  • Dispositivos com ChromeOS do Workspace (WORKSPACE_CHROMEOS)
  • Dispositivos móveis do Workspace (WORKSPACE_MOBILE)
  • Utilizadores do Workspace (WORKSPACE_USERS)
  • Google Chrome Browser Cloud Management (CHROME_MANAGEMENT)
  • Registos do Gmail (GMAIL_LOGS)

Para carregar os dados necessários, faça o seguinte:

Conjunto de regras de ameaças sem servidor

Os registos do Cloud Run incluem registos de pedidos e registos de contentores que são carregados como o tipo de registo GCP_RUN no Google SecOps. Os registos GCP_RUN podem ser carregados através do carregamento direto ou através de feeds e do Cloud Storage. Para filtros de registo específicos e mais detalhes de carregamento, consulte o artigo Exportar Google Cloud registos para o Google SecOps. O filtro de exportação seguinte exporta registos do Google Cloud Cloud Run (GCP_RUN), além dos registos predefinidos, através do mecanismo de carregamento direto, bem como do Cloud Storage e dos destinos:

log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)

Deteções organizadas para conjuntos de regras da AWS

Os conjuntos de regras da AWS nesta categoria ajudam a identificar ameaças em ambientes da AWS através de dados de eventos e de contexto, e incluem os seguintes conjuntos de regras:

  • AWS – Compute: deteta atividade anómala em torno dos recursos de computação da AWS, incluindo o EC2 e o Lambda.
  • AWS – Dados: deteta a atividade da AWS associada a recursos de dados, incluindo cópias instantâneas do RDS ou contentores do S3 disponibilizados publicamente.
  • AWS - GuardDuty: alertas do AWS GuardDuty sensíveis ao contexto para comportamento, acesso a credenciais, mineração de criptomoedas, deteção, evasão, execução, exfiltração, impacto, acesso inicial, software malicioso, testes de penetração, persistência, política, escalada de privilégios e acesso não autorizado.
  • AWS - Hacktools: deteta a utilização de ferramentas de pirataria num ambiente AWS, como scanners, conjuntos de ferramentas e frameworks.
  • AWS – Identidade: deteções de atividade da AWS associada à atividade de IAM e de autenticação, incluindo inícios de sessão invulgares a partir de várias localizações geográficas, criação de funções excessivamente permissivas ou atividade de IAM a partir de ferramentas suspeitas.
  • AWS – Registo e monitorização: deteta atividade da AWS relacionada com a desativação de serviços de registo e monitorização, incluindo CloudTrail, CloudWatch e GuardDuty.
  • AWS - Network: deteta alterações não seguras às definições de rede da AWS, como grupos de segurança e firewalls.
  • AWS – Organização: deteta atividade da AWS associada à sua organização, incluindo a adição ou a remoção de contas, e eventos inesperados relacionados com a utilização de regiões.
  • AWS - Secrets: deteta atividade da AWS associada a segredos, tokens e palavras-passe, incluindo a eliminação de segredos do KMS ou segredos do Secrets Manager.

Dispositivos e tipos de registos suportados para a AWS

Estes conjuntos de regras foram testados e são suportados com as seguintes origens de dados do Google SecOps, indicadas pelo nome do produto e pela etiqueta de carregamento.

Consulte o artigo Configure a carregamento de dados da AWS para ver informações sobre a configuração do carregamento de dados da AWS.

Para ver uma lista de todas as origens de dados suportadas, consulte o artigo Analizadores predefinidos suportados.

As secções seguintes descrevem os dados necessários para os conjuntos de regras que identificam padrões nos dados.

Pode carregar dados da AWS através de um contentor do Amazon Simple Storage Service (Amazon S3) como um tipo de origem ou, opcionalmente, através do Amazon S3 com o Amazon Simple Queue Service (Amazon SQS). A um nível elevado, tem de fazer o seguinte:

  • Configure o Amazon S3 ou o Amazon S3 com o Amazon SQS para recolher dados de registo.
  • Configure um feed do Google SecOps para carregar dados do Amazon S3 ou do Amazon SQS

Consulte o artigo Carregue registos da AWS para o Google SecOps para ver os passos detalhados necessários para configurar os serviços da AWS e configurar um feed do Google SecOps para carregar dados da AWS.

Pode usar regras de teste de testes de deteção geridos pela AWS para verificar se os dados da AWS estão a ser carregados para o SIEM do Google SecOps. Estas regras de teste ajudam a verificar se os dados de registo da AWS estão a ser carregados conforme esperado. Depois de configurar o carregamento de dados da AWS, realiza ações na AWS que devem acionar as regras de teste.

Consulte o artigo Verifique a ingestão de dados da AWS para a categoria Ameaças na nuvem para obter informações sobre como verificar a ingestão de dados da AWS através de regras de teste de testes de deteção geridos pela AWS.

Deteções organizadas para dados do Azure

Determinados conjuntos de regras nesta categoria foram concebidos para funcionar com dados do Azure para identificar ameaças em ambientes do Azure através de dados de eventos, dados de contexto e alertas. Incluem o seguinte:

  • Azure – Compute: deteta atividade anómala relacionada com recursos de computação do Azure, incluindo o Kubernetes e as máquinas virtuais (VMs).
  • Azure – Dados: deteta atividade associada a recursos de dados, incluindo autorizações de blobs do Azure, modificações e convites a utilizadores externos para utilizar serviços do Azure no inquilino.
  • Azure – Defender for Cloud: identifica alertas recebidos do Microsoft Defender for Cloud sensível ao contexto relacionados com o comportamento do utilizador, o acesso a credenciais, a mineração de criptomoedas, a deteção, a evasão, a execução, a exfiltração, o impacto, o acesso inicial, o software malicioso, os testes de penetração, a persistência, a política, a escalada de privilégios ou o acesso não autorizado em todos os serviços na nuvem do Azure.
  • Azure - Hacktools: deteta a utilização de ferramentas de pirataria num ambiente do Azure, , incluindo anonimizadores de VPN e do Tor, scanners e conjuntos de ferramentas de testes de intrusão.
  • Azure – Identidade: deteta atividade relacionada com a autenticação e a autorização, o que indica um comportamento invulgar, incluindo acesso simultâneo a partir de várias localizações geográficas, políticas de gestão de acesso excessivamente permissivas ou atividade do RBAC do Azure a partir de ferramentas suspeitas.
  • Azure – Registo e monitorização: deteta atividade relacionada com a desativação de serviços de registo e monitorização no Azure.
  • Azure – Rede: deteta alterações inseguras e notáveis aos dispositivos ou às definições de rede do Azure, incluindo grupos de segurança ou firewalls, firewall de aplicação Web do Azure e políticas de negação de serviço.
  • Azure – Organização: deteta atividade associada à sua organização, incluindo a adição ou a remoção de subscrições e contas.
  • Azure – Segredos: deteta atividade associada a segredos, tokens e palavras-passe (por exemplo, modificações ao Azure Key Vault ou chaves de acesso da conta de armazenamento).

Dispositivos compatíveis e tipos de registos necessários para o Azure

Estes conjuntos de regras foram testados e são suportados com as seguintes origens de dados, apresentadas por nome do produto e etiqueta de carregamento do Google SecOps.

Carregue dados do Azure e do Microsoft Entra ID

Tem de carregar dados de todas as origens de dados para ter a cobertura máxima das regras. Consulte a seguinte documentação para obter informações sobre como carregar dados de cada origem.

A secção seguinte descreve como validar a carregamento de dados do Azure através de regras de teste predefinidas.

Valide o carregamento de dados do Azure

O painel de controlo de carregamento de dados e estado do Google SecOps permite-lhe ver informações sobre o tipo, o volume e o estado de todos os dados que estão a ser carregados no Google SecOps através das funcionalidades de carregamento do SIEM.

Também pode usar regras de teste do Azure Managed Detection Testing para validar o carregamento de dados do Azure. Depois de configurar o carregamento, realiza ações no portal do Azure que devem acionar as regras de teste. Destinam-se a validar se os dados são carregados e estão no formato esperado para usar as deteções preparadas para dados do Azure.

Ative as regras de teste de testes de deteção geridos do Azure

  1. No Google Security Operations, clique em Deteções > Regras e deteções para abrir a página Deteções organizadas.
  2. Selecione Testes de deteção geridos > Testes de deteção geridos do Azure.
  3. Ative o Estado e os Alertas para as regras Abrangente e Precisa.

Envie dados de ações do utilizador para acionar as regras de teste

Para verificar se os dados são carregados conforme esperado, crie um utilizador e inicie sessão para verificar se estas ações acionam as regras de teste. Para obter informações sobre como criar utilizadores no Microsoft Entra ID, consulte o artigo Como criar, convidar e eliminar utilizadores.

  1. No Azure, crie um novo utilizador do Microsoft Entra ID.

    1. Navegue para o portal do Azure.
    2. Abra o Microsoft Entra ID.
    3. Clique em Adicionar e, de seguida, em Criar novo utilizador. Faça o seguinte para definir o utilizador:
      1. Introduza as seguintes informações:
        • Nome principal do utilizador: GCTI_ALERT_VALIDATION
        • Nome principal do utilizador: GCTI_ALERT_VALIDATION
        • Nome a apresentar: GCTI_ALERT_VALIDATION
      2. Selecione Gerar palavra-passe automaticamente para gerar automaticamente uma palavra-passe para este utilizador.
      3. Selecione a caixa de verificação Conta ativada.
      4. Abra o separador Rever + criar.
      5. Memorize a palavra-passe gerada automaticamente. Vai usá-lo nos passos seguintes.
      6. Clique em Criar.
    4. Abra uma janela do navegador no modo de navegação anónima e, em seguida, navegue para o portal do Azure.
    5. Inicie sessão com o utilizador e a palavra-passe recém-criados.
    6. Altere a palavra-passe do utilizador.
    7. Inscreva-se na autenticação multifator (MFA) de acordo com a política da sua organização.
    8. Certifique-se de que termina sessão com êxito no portal do Azure.

  2. Faça o seguinte para verificar se os alertas são criados no Google Security Operations:

    1. No Google Security Operations, clique em Deteções > Regras e deteções para abrir a página Deteções organizadas.

    2. Clique em Painel de controlo.

    3. Na lista de deteções, verifique se as seguintes regras foram acionadas:

      • tst_azure_ad_user_creation
      • tst_azure_ad_user_login

  3. Depois de confirmar que os dados são enviados e que estas regras são acionadas, desative ou anule o aprovisionamento da conta de utilizador.

Envie alertas de exemplo para acionar as regras de teste

Siga os passos abaixo para verificar se a geração de alertas de segurança de amostra no Azure aciona as regras de teste. Para mais informações sobre como gerar alertas de segurança de amostra no Microsoft Defender for Cloud, consulte o artigo Validação de alertas no Microsoft Defender for Cloud.

  1. No portal do Azure, navegue para Todos os serviços.
  2. Em Segurança, abra o Microsoft Defender for Cloud.
  3. Navegue para Alertas de segurança.
  4. Clique em Alertas de amostra e, de seguida, faça o seguinte:
    1. Selecione a sua subscrição.
    2. Selecione tudo para Planos do Defender para a nuvem.
    3. Clique em Criar alertas de amostra.
  5. Verifique se os alertas de teste são acionados.
  6. No Google Security Operations, clique em Deteções > Regras e deteções para abrir a página Deteções organizadas.
  7. Clique em Painel de controlo.
  8. Na lista de deteções, verifique se as seguintes regras foram acionadas:
    • tst_azure_activity
    • tst_azure_defender_for_cloud_alerts

Execute um pedido GET API no Microsoft Graph Explorer para acionar as regras de teste

Siga os passos abaixo para verificar se a geração de alertas de segurança de amostra no Azure aciona as regras de teste.

  1. Navegue para o Microsoft Graph Explorer.
  2. Certifique-se de que o inquilino adequado está selecionado no canto superior direito.
  3. Clique em Executar consulta.
  4. Verifique se os alertas de teste são acionados.
  5. No Google Security Operations, clique em Deteções > Regras e deteções para abrir a página Deteções organizadas.
  6. Clique em Painel de controlo.
  7. Na lista de deteções, verifique se a regra tst_microsoft_graph_api_get_activity foi acionada.

Desative os conjuntos de regras de testes de deteção geridos do Azure

  1. No Google Security Operations, clique em Deteção > Regras e deteções para abrir a página Deteções organizadas.
  2. Selecione as regras Managed Detection Testing > Azure Managed Detection Testing.
  3. Desative o Estado e os Alertas para as regras Abrangente e Precisa.

Deteções preparadas para dados do Office 365

Os conjuntos de regras do Office 365 nesta categoria ajudam a identificar ameaças em ambientes do Office 365 através de dados de eventos e de contexto, e incluem os seguintes conjuntos de regras:

  • Office 365 – Administrativo: deteta atividades maliciosas, suspeitas e de alto risco no Office 365, incluindo alterações de políticas de cópia de segurança, Microsoft Purview e deteções de ATP.

  • Office 365 – eDiscovery: deteta atividades maliciosas, suspeitas e de alto risco no eDiscovery do Office 365, incluindo tentativas de pesquisar credenciais ou outros dados confidenciais.

  • Office 365 – Email: deteta atividades maliciosas, suspeitas e de alto risco no email do Office 365, incluindo tentativas de phishing, alterações arriscadas às definições de email e atividade de email suspeita.

  • Office 365 – Forms: deteta atividades maliciosas, suspeitas e de alto risco no Office 365 Forms, incluindo tentativas de phishing e atualizações de estado para contas do Forms.

  • Office 365 - Identidade: deteta atividades maliciosas, suspeitas e de alto risco no Office 365 relacionadas com a gestão de identidade e acesso, incluindo potencial roubo de tokens, configurações de autenticação arriscadas, ataques de MFA, ataques de palavras-passe e ferramentas de pirataria conhecidas.

  • Office 365 – Sharepoint e OneDrive: deteta atividades maliciosas, suspeitas e de alto risco no Office 365 Sharepoint e OneDrive, incluindo carregamentos de software malicioso, partilha anónima de ficheiros e pesquisas de credenciais e dados financeiros.

  • Office 365 – Teams: deteta atividades maliciosas, suspeitas e de alto risco no Office 365 Teams, incluindo roubo de identidade de contas do Teams, exportação de gravações e transcrições.

Dispositivos compatíveis e tipos de registos necessários para o Office 365

Estes conjuntos de regras foram testados e são suportados com as seguintes origens de dados, indicadas pelo nome do produto e pela etiqueta de carregamento do Google SecOps:

Deteção organizada para conjuntos de regras da Okta

Os conjuntos de regras do Okta nesta categoria ajudam a detetar ameaças em ambientes do Okta através da análise de dados de eventos e de contexto. O conjunto de regras inclui o seguinte:

  • Okta: identifica uma série de atividades maliciosas e suspeitas que ocorrem na plataforma Okta, incluindo ataques de MFA, tentativas de força bruta, pulverização de palavras-passe, anomalias de início de sessão e muito mais.

Dispositivos compatíveis e tipos de registos necessários para o Okta

Estes conjuntos de regras foram testados e são suportados com as seguintes origens de dados, indicadas pelo nome do produto e pela etiqueta de carregamento do Google SecOps:

Ajuste os alertas devolvidos pelos conjuntos de regras

Pode reduzir o número de deteções que uma regra ou um conjunto de regras gera através de exclusões de regras.

Uma exclusão de regra define os critérios usados para excluir um evento da avaliação pelo conjunto de regras ou por regras específicas no conjunto de regras. Crie uma ou mais exclusões de regras para ajudar a reduzir o volume de deteções. Consulte o artigo Configure exclusões de regras para saber como o fazer.

O que se segue?

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.