Security Command Center 企业版中的精选检测功能可同时使用事件数据和上下文数据来识别 Microsoft Azure 环境中的威胁。
这些规则集需要以下数据才能按预期运行。您必须从每个数据源提取 Azure 数据,才能最大限度地扩大规则覆盖范围。
- Azure 云服务
- Microsoft Entra ID(以前称为 Azure Active Directory)
- Microsoft Entra ID 审核日志(以前称为 Azure AD 审核日志)
- Microsoft Defender for Cloud
- Microsoft Graph API Activity
如需了解详情,请参阅 Google SecOps 文档中的以下内容:
请参阅 Azure 支持的设备和所需的日志类型:了解每组规则所需的数据。
提取 Azure 和 Microsoft Entra ID 数据:收集 Azure 和 Microsoft Entra ID 日志数据的步骤。
针对 Azure 数据的精选检测:Cloud Threats 类别精选检测中的 Azure 规则集摘要。
使用精选检测来识别威胁:如何在 Google SecOps 中使用精选检测。
如需了解使用 Security Command Center Enterprise 的客户可以直接将哪些类型的日志数据提取到 Google SecOps 租户,请参阅 Google SecOps 日志数据收集。