「雲端威脅」類別總覽
本文將概述「雲端威脅」類別中的規則集、必要資料來源,以及可用於調整各規則集所產生快訊的設定。這些規則集有助於使用 Google Cloud 資料識別 Google Cloud環境中的威脅,以及使用 AWS 資料識別 AWS 環境中的威脅。
規則集說明
「雲端威脅」類別提供下列規則集。
CDIR 是「雲端偵測、調查與回應」的縮寫。
Google Cloud 資料的精選偵測項目
Google Cloud 規則集可協助您使用事件和情境資料,在 Google Cloud 環境中找出威脅,包括下列規則集:
- 管理員動作:與管理員動作相關的活動,視機構用途而定,可能屬於可疑活動,但也可能正當。
- CDIR SCC 強化型資料外洩:包含情境感知規則,可將 Security Command Center 資料外洩偵測結果與其他記錄來源 (包括 Cloud 稽核記錄、Sensitive Data Protection 情境、BigQuery 情境和 Security Command Center 錯誤設定記錄) 相互關聯。
- CDIR SCC Enhanced Defense Evasion:包含情境感知規則,可將 Security Command Center 規避或防禦規避發現項目,與其他Google Cloud 資料來源 (包括 Cloud 稽核記錄) 的資料建立關聯。
- CDIR SCC 強化型惡意軟體:包含情境感知規則,可將 Security Command Center 惡意軟體發現結果與資料建立關聯,包括 IP 位址和網域的出現次數和普遍程度分數,以及其他資料來源 (包括 Cloud DNS 記錄)。
- CDIR SCC 強化持續性:包含情境感知規則,可將 Security Command Center 持續性發現項目與來源資料 (包括 Cloud DNS 記錄和 IAM 分析記錄) 相互關聯。
- CDIR SCC 權限提升強化版:內含情境感知規則,可將 Security Command Center 權限提升發現項目與其他多個資料來源 (包括 Cloud Audit Logs) 的資料建立關聯。
- CDIR SCC 憑證存取權:內含情境感知規則,可將 Security Command Center 憑證存取權發現項目與其他多個資料來源 (包括 Cloud 稽核記錄) 的資料相互關聯
- CDIR SCC 強化探索:包含脈絡感知規則,可將 Security Command Center 探索升級發現項目與 Google Cloud 服務和 Cloud 稽核記錄等來源的資料建立關聯。
- CDIR SCC Brute Force:包含情境感知規則,可將 Security Command Center Brute Force 升級發現項目與資料 (包括 Cloud DNS 記錄) 建立關聯。
- CDIR SCC 資料銷毀:包含情境感知規則,可將 Security Command Center 資料銷毀事件的升級發現項目,與其他多個資料來源 (包括 Cloud Audit Logs) 的資料相互關聯。
- CDIR SCC Inhibit System Recovery:包含情境感知規則,可將 Security Command Center Inhibit System Recovery 發現項目與其他多個資料來源 (包括 Cloud Audit Logs) 的資料相互關聯。
- CDIR SCC 執行:包含可感知情境的規則,可將 Security Command Center 執行結果與其他多個資料來源 (包括 Cloud 稽核記錄) 的資料建立關聯。
- CDIR SCC 初始存取權:包含情境感知規則,可將 Security Command Center 初始存取權發現項目與其他多個資料來源 (包括 Cloud Audit Logs) 的資料建立關聯。
- CDIR SCC Impair Defenses:包含情境感知規則,可將 Security Command Center 的「Impair Defenses」發現項目與其他多個資料來源 (包括 Cloud Audit Logs) 的資料建立關聯。
- CDIR SCC Impact:內含規則,可偵測 Security Command Center 的「影響」發現項目,並依嚴重程度分類為重大、高、中和低。
- CDIR SCC Cloud IDS:包含的規則可偵測 Security Command Center 的 Cloud 入侵偵測系統發現項目,並將嚴重程度分類為「重大」、「高」、「中」和「低」。
- CDIR SCC Cloud Armor:包含可偵測 Security Command Center 中 Google Cloud Armor 發現項目的規則。
- CDIR SCC 自訂模組:內含規則,可偵測 Security Command Center 的 Event Threat Detection 自訂模組發現項目。
- Cloud Hacktool:偵測到來自已知攻擊性安全平台,或來自威脅行為人在野外使用的攻擊性工具或軟體,這些工具或軟體專門針對雲端資源。
- Cloud SQL 勒索軟體:偵測與 Cloud SQL 資料庫中資料外洩或勒索相關的活動。
- Kubernetes 可疑工具:偵測開放原始碼 Kubernetes 工具的偵察和攻擊行為。
- 濫用 Kubernetes RBAC:偵測與濫用角色型存取權控管 (RBAC) 相關的 Kubernetes 活動,這類活動會嘗試提升權限或橫向移動。
- Kubernetes 憑證敏感動作:偵測可用於建立持續性或提升權限的 Kubernetes 憑證和憑證簽署要求 (CSR) 動作。
- IAM 濫用:與濫用 IAM 角色和權限相關的活動,可能導致權限提升,或在特定 Cloud 專案或整個 Cloud 機構中橫向移動。
- 潛在資料竊取活動:偵測與潛在資料竊取行為相關的活動。
- 資源偽裝:偵測以其他資源或資源類型名稱或特徵建立的資源。 Google Cloud 這可用於遮蓋資源中或資源執行的惡意活動,意圖偽裝成正當活動。
- 無伺服器威脅:偵測與 Google Cloud中無伺服器資源 (包括 Cloud Run 和 Cloud Run 函式) 潛在遭入侵或濫用相關的活動。
- 服務中斷:偵測破壞性或干擾性動作,如果這些動作在正常運作的正式環境中執行,可能會導致嚴重中斷。在測試和開發環境中,偵測到的行為很常見,可能屬於良性。
- 可疑行為:在大多數環境中,被認為不常見且可疑的活動。
- 可疑的基礎架構變更:偵測與已知持續性策略一致的生產基礎架構修改
- 弱化設定:與弱化或降低安全控制項相關的活動。視機構使用情況而定,可能為可疑或合法。
- Chrome 潛在的內部資料竊取行為:偵測與潛在內部威脅行為相關的活動,包括在 Google Workspace 機構外部竊取或遺失潛在的機密資料。包括與 30 天基準相比,Chrome 的異常行為。
- Google 雲端硬碟潛在的內部資料竊取行為:偵測與潛在內部威脅行為相關的活動,包括竊取或遺失 Google Workspace 機構外部的潛在機密資料。包括與 30 天基準相比,雲端硬碟中被視為異常的行為。
- Gmail 潛在內部資料竊取行為:偵測與潛在內部威脅行為相關的活動,包括竊取或遺失 Google Workspace 機構外部的潛在機密資料。包括與 30 天基準相比,Gmail 中被視為異常的行為。
- Workspace 帳戶可能遭盜用:偵測到內部威脅行為,顯示帳戶可能遭盜用,並可能導致 Google Workspace 機構內出現權限提升或橫向移動嘗試。這包括與 30 天基準相比,屬於罕見或異常的行為。
- 可疑的 Workspace 管理動作:偵測到可能規避、降低安全性,或過去 30 天內從未出現的罕見異常行為,且這些行為來自具有較高權限的使用者,包括管理員。
支援的裝置和記錄類型
以下各節說明 Cloud Threats 類別規則集所需資料。
如要從 Google Cloud 服務擷取資料,請參閱「將 Cloud 記錄檔擷取至 Google SecOps」。如需使用其他機制收集這些記錄,請與 Google SecOps 代表聯絡。
Google SecOps 提供預設剖析器,可剖析及正規化服務的原始記錄,並建立 UDM 記錄,其中包含這些規則集所需的資料。 Google Cloud
如需 Google SecOps 支援的所有資料來源清單,請參閱「支援的預設剖析器」。
所有規則集
如要使用任何規則集,建議您收集 Google CloudCloud 稽核記錄。部分規則要求客戶啟用 Cloud DNS 記錄。確認 Google Cloud 服務已設定為將資料記錄至下列記錄:
Cloud SQL 勒索軟體規則集
如要使用 Cloud SQL 勒索軟體規則集,建議您收集下列 Google Cloud 資料:
- 「所有規則集」部分列出的記錄資料。
- Cloud SQL 記錄。
CDIR SCC 強化規則集
凡是以「CDIR SCC Enhanced」為名的規則集,都會使用 Security Command Center Premium 發現項目,並搭配其他多個 Google Cloud 記錄來源的內容,包括:
- Cloud 稽核記錄
- Cloud DNS 記錄
- 身分與存取權管理 (IAM) 分析
- Sensitive Data Protection 脈絡
- BigQuery 環境
- Compute Engine 環境
如要使用 CDIR SCC 強化規則集,建議您收集下列 Google Cloud 資料:
- 「所有規則集」部分列出的記錄資料。
下列記錄資料 (依產品名稱和 Google SecOps 擷取標籤列出):
- BigQuery (
GCP_BIGQUERY_CONTEXT
) - Compute Engine (
GCP_COMPUTE_CONTEXT
) - IAM (
GCP_IAM_CONTEXT
) - Sensitive Data Protection (
GCP_DLP_CONTEXT
) - Cloud 稽核記錄 (
GCP_CLOUDAUDIT
) - Google Workspace 活動 (
WORKSPACE_ACTIVITY
) - Cloud DNS 查詢 (
GCP_DNS
)
- BigQuery (
以下是 Security Command Center 發現項目類別,依
findingClass
ID 和 Google SecOps 擷取標籤列出:Threat
(GCP_SECURITYCENTER_THREAT
)Misconfiguration
(GCP_SECURITYCENTER_MISCONFIGURATION
)Vulnerability
(GCP_SECURITYCENTER_VULNERABILITY
)SCC Error
(GCP_SECURITYCENTER_ERROR
)
CDIR SCC Enhanced 規則集也依附於 Google Cloud 服務的資料。 如要將必要資料傳送至 Google SecOps,請務必完成下列步驟:
- 為所需 Google Cloud 產品和服務啟用記錄功能。
- 啟用 Security Command Center Premium 和相關服務。
- 設定將記錄檔擷取 Google Cloud至 Google SecOps。
- 設定將 Event Threat Detection 發現項目匯出至 Google SecOps。 系統預設會擷取所有 Security Command Center 發現項目。 如要進一步瞭解 Google SecOps 預設剖析器如何對應資料欄位,請參閱「匯出 Security Command Center 發現項目」。
- 啟用 Cloud 稽核記錄,並設定將 Cloud 稽核記錄匯出至 Google SecOps。 詳情請參閱「收集 Cloud 稽核記錄」。
- 啟用 Google Workspace 記錄,並將這些記錄傳送至 Google SecOps。 詳情請參閱「收集 Google Workspace 記錄」。
- 設定將 Google Cloud 資產中繼資料和內容相關資料匯出至 Google SecOps。 詳情請參閱「將資產中繼資料匯出至 Google SecOps Google Cloud 」和「將私密資料保護資料匯出至 Google SecOps」。
當系統偵測到 Security Command Center Event Threat Detection、 Google Cloud Armor、Security Command Center Sensitive Actions Service 和 Event Threat Detection 自訂模組的發現項目時,下列規則集會建立偵測項目:
- CDIR SCC Cloud IDS
- CDIR SCC Cloud Armor
- CDIR SCC 影響
- CDIR SCC 強化持續性
- CDIR SCC 強化規避防禦機制
- CDIR SCC 自訂模組
Kubernetes 疑似工具規則集
如要使用 Kubernetes Suspicious Tools 規則集,建議您收集「所有規則集」一節中列出的資料。請確保服務已設定為將資料記錄到 Google Cloud Google Kubernetes Engine (GKE) 節點記錄
Kubernetes RBAC 濫用規則集
如要使用 Kubernetes RBAC Abuse 規則集,建議您收集「所有規則集」部分列出的 Cloud Audit Logs。
Kubernetes 憑證敏感動作規則集
如要使用「Kubernetes Certificate Sensitive Actions」規則集,建議您收集「所有規則集」部分列出的 Cloud Audit Logs。
Google Workspace 相關規則集
下列規則集會偵測 Google Workspace 資料中的模式:
- Chrome 發生潛在的內部資料竊取行為
- 潛在的內部人員資料竊取行為 (從雲端硬碟)
- 可能透過 Gmail 竊取內部資料
- Workspace 帳戶可能遭駭
- 可疑的 Workspace 管理員動作
這些規則集需要下列記錄類型,並依產品名稱和 Google SecOps 擷取標籤列出:
- 工作區活動 (
WORKSPACE_ACTIVITY
) - Workspace 快訊 (
WORKSPACE_ALERTS
) - Workspace ChromeOS 裝置 (
WORKSPACE_CHROMEOS
) - Workspace 行動裝置 (
WORKSPACE_MOBILE
) - Workspace 使用者 (
WORKSPACE_USERS
) - Google Chrome 瀏覽器雲端管理 (
CHROME_MANAGEMENT
) - Gmail 記錄 (
GMAIL_LOGS
)
如要擷取必要資料,請按照下列步驟操作:
請參閱「將 Google Workspace 資料匯入 Google SecOps」,收集
WORKSPACE_ACTIVITY
、WORKSPACE_CHROMEOS
、CHROME_MANAGEMENT
和GMAIL
記錄。請參閱「收集 Google Workspace 記錄」,擷取下列記錄:
WORKSPACE_ALERTS
WORKSPACE_MOBILE
WORKSPACE_USERS
無伺服器威脅規則集
- 收集本文件「所有規則集」一節列出的資料。
- Cloud Run 記錄 (
GCP_RUN
)。
Cloud Run 記錄包括要求記錄和容器記錄,這些記錄會以 GCP_RUN
記錄類型擷取至 Google SecOps。GCP_RUN
記錄檔可透過直接擷取或使用 Feeds 和 Cloud Storage 擷取。如需特定記錄篩選器和更多擷取詳細資料,請參閱「將記錄檔匯出至 Google SecOps Google Cloud 」。下列匯出篩選器會匯出 Cloud Run (GCP_RUN
) 記錄檔,以及透過直接擷取機制和 Cloud Storage 與接收器匯出的預設記錄檔: Google Cloud
log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)
AWS 規則集的精選偵測項目
這類別的 AWS 規則集可使用事件和情境資料,協助識別 AWS 環境中的威脅,包括下列規則集:
- AWS - Compute:偵測 AWS 計算資源 (包括 EC2 和 Lambda) 周圍的異常活動。
- AWS - 資料:偵測與資料資源相關的 AWS 活動,包括公開的 RDS 快照或 S3 值區。
- AWS - GuardDuty:情境感知 AWS GuardDuty 快訊,適用於行為、憑證存取、加密貨幣挖礦、探索、規避、執行、外洩、影響、初始存取、惡意軟體、滲透測試、持續性、政策、權限提升和未經授權存取。
- AWS - Hacktools:偵測 AWS 環境中是否使用 Hacktools,例如掃描器、工具包和架構。
- AWS - 身分:偵測與 IAM 和驗證活動相關的 AWS 活動,包括來自多個地理位置的不尋常登入、過於寬鬆的角色建立,或來自可疑工具的 IAM 活動。
- AWS - Logging and Monitoring:偵測與停用記錄和監控服務 (包括 CloudTrail、CloudWatch 和 GuardDuty) 相關的 AWS 活動。
- AWS - 網路:偵測 AWS 網路設定的不安全變更,例如安全群組和防火牆。
- AWS - 機構:偵測與機構相關的 AWS 活動,包括新增或移除帳戶,以及與區域用量相關的異常事件。
- AWS - Secrets:偵測與密鑰、權杖和密碼相關的 AWS 活動,包括刪除 KMS 密鑰或 Secrets Manager 密鑰。
AWS 支援的裝置和記錄類型
這些規則集經過測試,並支援下列 Google SecOps 資料來源 (依產品名稱和擷取標籤列出)。
- AWS CloudTrail (
AWS_CLOUDTRAIL
) - AWS GuardDuty (
GUARDDUTY
) - AWS EC2 主機 (
AWS_EC2_HOSTS
) - AWS EC2 執行個體 (
AWS_EC2_INSTANCES
) - AWS EC2 VPC (
AWS_EC2_VPCS
) - AWS IAM (IAM) (
AWS_IAM
)
如要瞭解如何設定擷取 AWS 資料,請參閱「設定擷取 AWS 資料」一文。
如需所有支援的資料來源清單,請參閱「支援的預設剖析器」。
以下各節說明規則集識別資料模式時所需的資料。
您可以將 Amazon Simple Storage Service (Amazon S3) 值區做為來源類型,藉此擷取 AWS 資料,也可以選擇搭配使用 Amazon S3 和 Amazon Simple Queue Service (Amazon SQS)。大致來說,您需要執行下列操作:
- 設定 Amazon S3 或 Amazon S3 with Amazon SQS,收集記錄資料。
- 設定 Google SecOps 資訊提供,從 Amazon S3 或 Amazon SQS 擷取資料
請參閱「將 AWS 記錄檔匯入 Google SecOps」,瞭解設定 AWS 服務和 Google SecOps 資訊主動提供功能,以匯入 AWS 資料的詳細步驟。
您可以使用 AWS Managed Detection Testing 測試規則,確認 AWS 資料是否已擷取至 Google SecOps SIEM。這些測試規則可協助驗證 AWS 記錄資料是否如預期擷取。設定 AWS 資料的擷取作業後,請在 AWS 中執行應會觸發測試規則的動作。
如要瞭解如何使用 AWS Managed Detection Testing 測試規則驗證 AWS 資料的擷取作業,請參閱「驗證 Cloud Threats 類別的 AWS 資料擷取作業」。
Azure 資料的精選偵測項目
這個類別中的特定規則集可與 Azure 資料搭配使用,透過事件資料、內容資料和快訊,識別 Azure 環境中的威脅。包括:
- Azure - Compute:偵測與 Azure 運算資源相關的異常活動,包括 Kubernetes 和虛擬機器 (VM)。
- Azure - 資料:偵測與資料資源相關的活動,包括 Azure Blob 權限、修改內容,以及邀請外部使用者在租戶上使用 Azure 服務。
- Azure - Defender for Cloud:識別從 Microsoft Defender for Cloud 接收到的內容感知警報,這些警報與使用者行為、憑證存取、加密貨幣挖礦、探索、規避、執行、外洩、影響、初始存取、惡意軟體、滲透測試、持續性、政策、權限提升或未經授權存取所有 Azure 雲端服務有關。
- Azure - Hacktools:偵測 Azure 環境中是否使用駭客工具,包括 Tor 和 VPN 匿名器、掃描器和紅隊工具包。
- Azure - 身分:偵測與驗證和授權相關的活動,指出異常行為,包括從多個地理位置同時存取、過於寬鬆的存取權管理政策,或是來自可疑工具的 Azure RBAC 活動。
- Azure - Logging and Monitoring:偵測 Azure 中與停用記錄和監控服務相關的活動。
- Azure - 網路:偵測 Azure 網路裝置或設定的不安全和重大變更,包括安全群組或防火牆、Azure Web 應用程式防火牆和阻斷服務政策。
- Azure - 機構:偵測與機構相關的活動,包括新增或移除訂閱項目和帳戶。
- Azure - Secrets:偵測與密碼、權杖和密碼相關的活動 (例如修改 Azure Key Vault 或儲存體帳戶存取金鑰)。
支援的裝置和 Azure 記錄類型
這些規則集經過測試,支援下列資料來源 (依產品名稱和 Google SecOps 擷取標籤列出)。
- Azure 雲端服務
(
AZURE_ACTIVITY
) - Microsoft Entra ID (原稱 Azure Active Directory,
AZURE_AD
) - Microsoft Entra ID 稽核記錄 (原稱 Azure AD 稽核記錄) (
AZURE_AD_AUDIT
) - Microsoft Defender for Cloud
(
MICROSOFT_GRAPH_ALERT
) - Microsoft Graph API 活動
(
MICROSOFT_GRAPH_ACTIVITY_LOGS
)
擷取 Azure 和 Microsoft Entra ID 資料
如要盡可能涵蓋所有規則,請務必從每個資料來源擷取資料。如要瞭解如何從各個來源擷取資料,請參閱下列說明文件。
- 從 Azure 雲端服務擷取 Azure 監視器活動記錄。
- 收集 Microsoft Entra ID 資料
(原稱「Azure AD」),包括:
- Microsoft Entra ID 記錄
- Microsoft Entra ID 稽核記錄
- Microsoft Entra ID 內容資料
- 收集 Microsoft Graph Security API 警報記錄 使用 Microsoft Graph Security API 擷取 Microsoft Defender for Cloud 記錄。
- 收集 Microsoft Graph API 活動記錄 使用 Microsoft Graph API 擷取 Microsoft Graph API 活動記錄。
以下章節說明如何使用預先定義的測試規則,驗證 Azure 資料的擷取作業。
驗證 Azure 資料的匯入作業
透過 Google SecOps 資料擷取與健康狀態資訊主頁,您可以查看所有透過 SIEM 擷取功能擷取至 Google SecOps 的資料類型、量和健康狀態。
您也可以使用 Azure 受管理偵測測試測試規則,驗證 Azure 資料的擷取作業。設定擷取作業後,請在 Azure 入口網站中執行應會觸發測試規則的動作。這些規則旨在驗證資料是否已擷取,以及是否符合預期格式,以便使用 Azure 資料的精選偵測規則。
啟用 Azure 受控偵測測試的測試規則
- 在 Google Security Operations 中,依序點選「偵測」>「規則與偵測」,開啟「精選偵測」頁面。
- 依序選取「Managed Detection Testing」 >「Azure Managed Detection Testing」。
- 為「廣泛」和「精確」規則啟用「狀態」和「警告」。
傳送使用者動作資料,觸發測試規則
如要確認資料是否如預期擷取,請建立使用者並登入,確認這些動作會觸發測試規則。如要瞭解如何在 Microsoft Entra ID 中建立使用者,請參閱「如何建立、邀請及刪除使用者」。
在 Azure 中建立新的 Microsoft Entra ID 使用者。
- 前往 Azure 入口網站。
- 開啟 Microsoft Entra ID。
- 依序點選「新增」和「建立新使用者」。
請按照下列步驟定義使用者:
- 輸入下列資訊:
- 使用者主體名稱:
GCTI_ALERT_VALIDATION
- 使用者主體名稱:
GCTI_ALERT_VALIDATION
- 顯示名稱:
GCTI_ALERT_VALIDATION
- 使用者主體名稱:
- 選取「自動產生密碼」,為使用者自動產生密碼。
- 勾選「帳戶已啟用」核取方塊。
- 開啟「檢查 + 建立」分頁。
- 請記住系統自動產生的密碼。您將在後續步驟中使用此項目。
- 點選「建立」。
- 輸入下列資訊:
- 以無痕模式開啟瀏覽器視窗,然後前往 Azure 入口網站。
- 使用新建立的使用者和密碼登入。
- 變更使用者密碼。
- 按照貴機構的政策,註冊多重驗證 (MFA)。
- 確認您已成功登出 Azure 入口網站。
請按照下列步驟操作,確認 Google Security Operations 中已建立快訊:
在 Google Security Operations 中,依序點選「偵測」>「規則與偵測」,開啟「精選偵測」頁面。
點選「Dashboard」(資訊主頁)。
在偵測清單中,確認下列規則是否已觸發:
- tst_azure_ad_user_creation
- tst_azure_ad_user_login
確認資料已傳送且這些規則已觸發後,請停用或取消佈建使用者帳戶。
傳送範例快訊來觸發測試規則
請按照下列步驟操作,確認在 Azure 中產生範例安全性快訊會觸發測試規則。如要進一步瞭解如何在 Microsoft Defender for Cloud 中產生安全性警示範例,請參閱「在 Microsoft Defender for Cloud 中驗證警示」。
- 在 Azure 入口網站中,前往「所有服務」。
- 在「安全性」下方,開啟「Microsoft Defender for Cloud」。
- 前往「安全快訊」。
- 按一下「Sample Alerts」(範例快訊),然後執行下列操作:
- 選取訂閱方案。
- 選取「Defender for Cloud 方案」的「全部」。
- 按一下「建立範例快訊」。
- 確認是否已觸發測試快訊。
- 在 Google Security Operations 中,依序點選「偵測」>「規則與偵測」,開啟「精選偵測」頁面。
- 點選「Dashboard」(資訊主頁)。
- 在偵測結果清單中,確認已觸發下列規則:
- tst_azure_activity
- tst_azure_defender_for_cloud_alerts
在 Microsoft Graph 探索工具中執行 GET API 要求,觸發測試規則
請按照下列步驟操作,確認在 Azure 中產生範例安全性快訊會觸發測試規則。
- 前往 Microsoft Graph 探索工具。
- 確認右上角已選取適當的租戶。
- 按一下 [Run Query] (執行查詢)。
- 確認是否已觸發測試快訊。
- 在 Google Security Operations 中,依序點選「偵測」>「規則與偵測」,開啟「精選偵測」頁面。
- 點選「Dashboard」(資訊主頁)。
- 在偵測結果清單中,確認 tst_microsoft_graph_api_get_activity 規則是否已觸發。
停用 Azure 受管理偵測測試規則集
- 在 Google Security Operations 中,依序點選「偵測」>「規則與偵測」,開啟「精選偵測」頁面。
- 依序選取「Managed Detection Testing」 >「Azure Managed Detection Testing」規則。
- 針對「廣泛」和「精確」規則,停用「狀態」和「警告」。
Office 365 資料的精選偵測項目
這類 Office 365 規則集會使用事件和環境資料,協助識別 Office 365 環境中的威脅,包括下列規則集:
Office 365 - Administrative:偵測 Office 365 中的惡意、可疑和高風險活動,包括備份政策變更、Microsoft Purview 和 ATP 偵測。
Office 365 - 電子蒐證:偵測 Office 365 電子蒐證中的惡意、可疑和高風險活動,包括嘗試搜尋憑證或其他機密資料。
Office 365 - 電子郵件:偵測 Office 365 電子郵件中的惡意、可疑和高風險活動,包括網路釣魚嘗試、高風險電子郵件設定變更和可疑電子郵件活動。
Office 365 - Forms:偵測 Office 365 Forms 中的惡意、可疑和高風險活動,包括網路釣魚嘗試,以及表單帳戶的狀態更新。
Office 365 - Identity:偵測 Office 365 中與身分和存取權管理相關的惡意、可疑和高風險活動,包括潛在的權杖竊取、高風險驗證設定、多重驗證攻擊、密碼攻擊和已知的駭客工具。
Office 365 - Sharepoint 和 OneDrive:偵測 Office 365 Sharepoint 和 OneDrive 中的惡意、可疑和高風險活動,包括上傳惡意軟體、匿名分享檔案,以及搜尋憑證和財務資料。
Office 365 - Teams:偵測 Office 365 Teams 中的惡意、可疑和高風險活動,包括冒用 Teams 帳戶、匯出錄音和轉錄稿。
Office 365 支援的裝置和必要記錄類型
這些規則集經過測試,支援下列資料來源 (依產品名稱和 Google SecOps 擷取標籤列出):
Okta 規則集的精選偵測項目
這類 Okta 規則集會分析事件和情境資料,協助偵測 Okta 環境中的威脅。規則集包含下列項目:
- Okta:識別 Okta 平台中發生的各種惡意和可疑活動,包括多重驗證攻擊、暴力破解嘗試、密碼噴灑、登入異常等。
Okta 支援的裝置和必要記錄類型
這些規則集經過測試,支援下列資料來源 (依產品名稱和 Google SecOps 擷取標籤列出):
調整規則集傳回的快訊
您可以使用規則排除項目,減少規則或規則集產生的偵測次數。
規則排除條件會定義用於排除事件的條件,以免規則集或規則集中的特定規則評估事件。建立一或多項規則排除項目,有助於減少偵測量。如要瞭解如何設定規則排除條件,請參閱設定規則排除條件。
後續步驟
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。