Visão geral da categoria de ameaças na nuvem
Este documento oferece uma visão geral dos conjuntos de regras na categoria "Ameaças na nuvem", das fontes de dados necessárias e da configuração que você pode usar para ajustar os alertas gerados por cada conjunto de regras. Esses conjuntos de regras ajudam a identificar ameaças em ambientes do Google Cloudusando dados do Google Cloud e em ambientes da AWS usando dados da AWS.
Descrições do conjunto de regras
Os seguintes conjuntos de regras estão disponíveis na categoria "Ameaças na nuvem".
A abreviação CDIR significa Detecção, investigação e resposta na nuvem.
Detecções selecionadas para dados de Google Cloud
Os conjuntos de regras doGoogle Cloud ajudam a identificar ameaças em ambientes Google Cloud usando dados de eventos e contexto, e incluem os seguintes conjuntos de regras:
- Ação do administrador: atividade associada a ações administrativas, considerada suspeita, mas potencialmente legítima, dependendo do uso organizacional.
- CDIR SCC Enhanced Exfiltration: contém regras sensíveis ao contexto que correlacionam descobertas de exfiltração do Security Command Center com outras fontes de registros, incluindo registros do Registros de auditoria do Cloud, contexto da Proteção de Dados Sensíveis, contexto do BigQuery e registros de configuração incorreta do Security Command Center.
- CDIR SCC Enhanced Defense Evasion: contém regras sensíveis ao contexto que correlacionam descobertas de evasão ou evasão de defesa do Security Command Center com dados de outras fontes de dados doGoogle Cloud , incluindo os Registros de auditoria do Cloud.
- CDIR SCC Enhanced Malware: contém regras sensíveis ao contexto que correlacionam descobertas de malware do Security Command Center com dados, incluindo a ocorrência de endereços IP e domínios e seus scores de prevalência, além de outras fontes de dados, incluindo registros do Cloud DNS.
- CDIR SCC Enhanced Persistence: contém regras sensíveis ao contexto que correlacionam descobertas de persistência do Security Command Center com dados de fontes, incluindo registros do Cloud DNS e registros de análise do IAM.
- CDIR SCC Enhanced Privilege Escalation: contém regras sensíveis ao contexto que correlacionam descobertas de escalonamento de privilégios do Security Command Center com dados de várias outras fontes de dados, incluindo os registros de auditoria do Cloud.
- CDIR SCC Credential Access: contém regras sensíveis ao contexto que correlacionam descobertas de acesso a credenciais do Security Command Center com dados de várias outras fontes de dados, incluindo registros de auditoria do Cloud.
- CDIR SCC Enhanced Discovery: contém regras sensíveis ao contexto que correlacionam descobertas de escalonamento do Security Command Center Discovery com dados de fontes como serviços do Google Cloud e registros de auditoria do Cloud.
- CDIR SCC Brute Force: contém regras sensíveis ao contexto que correlacionam as descobertas de escalonamento de força bruta do Security Command Center com dados, incluindo registros do Cloud DNS.
- CDIR SCC Data Destruction: contém regras sensíveis ao contexto que correlacionam descobertas de escalonamento da destruição de dados do Security Command Center com dados de várias outras fontes, incluindo os registros de auditoria do Cloud.
- CDIR SCC Inhibit System Recovery: contém regras sensíveis ao contexto que correlacionam as descobertas do Security Command Center Inhibit System Recovery com dados de várias outras fontes, incluindo os registros de auditoria do Cloud.
- Execução do SCC do CDIR: contém regras sensíveis ao contexto que correlacionam descobertas de execução do Security Command Center com dados de várias outras fontes, incluindo os registros de auditoria do Cloud.
- CDIR SCC Initial Access: contém regras sensíveis ao contexto que correlacionam descobertas de acesso inicial do Security Command Center com dados de várias outras fontes, incluindo os registros de auditoria do Cloud.
- CDIR SCC Impair Defenses: contém regras sensíveis ao contexto que correlacionam as descobertas do Security Command Center Impair Defenses com dados de várias outras fontes, incluindo os registros de auditoria do Cloud.
- Impacto do CDIR no SCC: contém regras que detectam descobertas de Impacto do Security Command Center com uma classificação de gravidade crítica, alta, média e baixa.
- CDIR SCC Cloud IDS: contém regras que detectam descobertas do Sistema de detecção de intrusões do Cloud no Security Command Center com uma classificação de gravidade crítica, alta, média e baixa.
- CDIR SCC Cloud Armor: contém regras que detectam descobertas do Google Cloud Armor no Security Command Center.
- Módulo personalizado do CDIR SCC: contém regras que detectam descobertas de módulos personalizados da Detecção de ameaças a eventos no Security Command Center.
- Cloud Hacktool: atividade detectada em plataformas de segurança ofensiva conhecidas ou em ferramentas ou softwares ofensivos usados por agentes de ameaças que têm como alvo específico recursos da nuvem.
- Resgate do Cloud SQL: detecta atividades associadas à exfiltração ou ao resgate de dados em bancos de dados do Cloud SQL.
- Ferramentas suspeitas do Kubernetes: detecta comportamentos de reconhecimento e exploração de ferramentas de código aberto do Kubernetes.
- Abuso de RBAC do Kubernetes: detecta atividades do Kubernetes associadas ao abuso de controles de acesso baseado em papéis (RBAC) que tentam escalonamento de privilégios ou movimentação lateral.
- Ações sensíveis de certificado do Kubernetes: detecta ações de certificados do Kubernetes e solicitações de assinatura de certificado (CSRs) que podem ser usadas para estabelecer persistência ou escalonar privilégios.
- Abuso do IAM: atividade associada ao abuso de papéis e permissões do IAM para possivelmente escalar privilégios ou se mover lateralmente em um determinado projeto do Cloud ou em uma organização do Cloud.
- Atividade de possível exfiltração: detecta atividades associadas a uma possível exfiltração de dados.
- Mascaramento de recursos: detecta recursos Google Cloud criados com nomes ou características de outro recurso ou tipo de recurso. Isso pode ser usado para mascarar atividades maliciosas realizadas pelo ou dentro do recurso, com a intenção de parecer legítimo.
- Ameaças sem servidor : detecta atividades associadas a possível comprometimento ou abuso de recursos sem servidor no Google Cloud, incluindo o Cloud Run e as funções do Cloud Run.
- Interrupção do serviço: detecta ações destrutivas ou disruptivas que, se realizadas em um ambiente de produção em funcionamento, podem causar uma interrupção significativa. O comportamento detectado é comum e provavelmente benigno em ambientes de teste e desenvolvimento.
- Comportamento suspeito: atividade considerada incomum e suspeita na maioria dos ambientes.
- Mudança suspeita na infraestrutura: detecta modificações na infraestrutura de produção que se alinham a táticas de persistência conhecidas.
- Configuração enfraquecida: atividade associada ao enfraquecimento ou degradação de um controle de segurança. Considerado suspeito, potencialmente legítimo dependendo do uso organizacional.
- Possível exfiltração de dados internos do Chrome: detecta atividades associadas a possíveis comportamentos de ameaças internas, incluindo exfiltração ou perda de dados potencialmente sensíveis fora de uma organização do Google Workspace. Isso inclui comportamentos do Chrome considerados anômalos em comparação com um período de referência de 30 dias.
- Possível exfiltração de dados privilegiados do Drive: detecta atividades associadas a possíveis comportamentos de ameaças internas, incluindo exfiltração ou perda de dados potencialmente sensíveis fora de uma organização do Google Workspace. Isso inclui comportamentos do Drive considerados anômalos em comparação com um período de referência de 30 dias.
- Possível exfiltração de dados internos do Gmail: detecta atividades associadas a possíveis comportamentos de ameaças internas, incluindo exfiltração ou perda de dados potencialmente sensíveis fora de uma organização do Google Workspace. Isso inclui comportamentos do Gmail considerados anômalos em comparação com um valor de referência de 30 dias.
- Possível comprometimento da conta do Workspace: detecta comportamentos de ameaças internas que indicam que a conta pode ter sido comprometida e pode levar a tentativas de escalonamento de privilégios ou de movimentação lateral em uma organização do Google Workspace. Isso inclui comportamentos considerados raros ou anômalos em comparação com um período de referência de 30 dias.
- Ações administrativas suspeitas do Workspace: detecta comportamentos que indicam possível evasão, redução da segurança ou comportamentos raros e anômalos nunca vistos nos últimos 30 dias de usuários com privilégios mais altos, incluindo administradores.
Dispositivos e tipos de registros aceitos
As seções a seguir descrevem os dados necessários para os conjuntos de regras na categoria "Ameaças na nuvem".
Para ingerir dados dos serviços do Google Cloud , consulte Ingerir registros do Cloud no Google SecOps. Entre em contato com seu representante do Google SecOps se precisar coletar esses registros usando outro mecanismo.
O Google SecOps fornece analisadores padrão que analisam e normalizam registros brutos de serviços do Google Cloud para criar registros do UDM com os dados exigidos por esses conjuntos de regras.
Para uma lista de todas as fontes de dados compatíveis com o Google SecOps, consulte Analistas padrão compatíveis.
Todos os conjuntos de regras
Para usar qualquer conjunto de regras, recomendamos coletar Google Cloud registros de auditoria do Cloud. Algumas regras exigem que os clientes ativem o registro em log do Cloud DNS. Verifique se os serviços Google Cloud estão configurados para registrar dados nos seguintes registros:
Conjunto de regras de resgate do Cloud SQL
Para usar o conjunto de regras Cloud SQL Ransom, recomendamos coletar os seguintes dados Google Cloud :
- Dados de registro listados na seção Todos os conjuntos de regras.
- Registros do Cloud SQL.
Conjuntos de regras avançadas do SCC para CDIR
Todos os conjuntos de regras que começam com o nome CDIR SCC Enhanced usam descobertas do Security Command Center Premium contextualizadas com várias outras fontes de registros do Google Cloud , incluindo:
- Registros de auditoria do Cloud
- Registros do Cloud DNS
- Análise do Identity and Access Management (IAM)
- Contexto da Proteção de Dados Sensíveis
- Contexto do BigQuery
- Contexto do Compute Engine
Para usar os conjuntos de regras CDIR SCC Enhanced, recomendamos que você colete os seguintes dados Google Cloud :
- Dados de registro listados na seção Todos os conjuntos de regras.
Os seguintes dados de registro, listados por nome do produto e rótulo de ingestão do Google SecOps:
- BigQuery (
GCP_BIGQUERY_CONTEXT
) - Compute Engine (
GCP_COMPUTE_CONTEXT
) - IAM (
GCP_IAM_CONTEXT
) - Proteção de dados sensíveis (
GCP_DLP_CONTEXT
) - Registros de auditoria do Cloud (
GCP_CLOUDAUDIT
) - Atividade do Google Workspace (
WORKSPACE_ACTIVITY
) - Consultas do Cloud DNS (
GCP_DNS
)
- BigQuery (
As seguintes classes de descobertas do Security Command Center, listadas por identificador
findingClass
e rótulo de ingestão do Google SecOps:Threat
(GCP_SECURITYCENTER_THREAT
)Misconfiguration
(GCP_SECURITYCENTER_MISCONFIGURATION
)Vulnerability
(GCP_SECURITYCENTER_VULNERABILITY
)SCC Error
(GCP_SECURITYCENTER_ERROR
)
Os conjuntos de regras do CDIR SCC Enhanced também dependem de dados dos serviços do Google Cloud . Para enviar os dados necessários ao Google SecOps, conclua o seguinte:
- Ative a geração de registros para os produtos e serviços Google Cloud necessários.
- Ative o Security Command Center Premium e os serviços relacionados.
- Configure a ingestão de registros do Google Cloud no Google SecOps.
- Configure a exportação das descobertas do Event Threat Detection para o Google SecOps. Por padrão, todas as descobertas do Security Command Center são ingeridas. Consulte Exportar descobertas do Security Command Center para mais informações sobre como os analisadores padrão do Google SecOps mapeiam os campos de dados.
- Ative os Registros de auditoria do Cloud e configure a exportação deles para o Google SecOps. Consulte Coletar registros de auditoria do Cloud para mais informações.
- Ative os registros do Google Workspace e envie-os para o Google SecOps. Consulte Coletar registros do Google Workspace para mais informações.
- Configure a exportação de metadados de recursos Google Cloud e dados relacionados ao contexto para o Google SecOps. Consulte Exportar Google Cloud metadados de recursos para o Google SecOps e Exportar dados da Proteção de dados sensíveis para o Google SecOps para mais informações.
Os conjuntos de regras a seguir criam uma detecção quando descobertas do Event Threat Detection do Security Command Center, Google Cloud Armor, Serviço de ações sensíveis do Security Command Center e Módulos personalizados para Event Threat Detection são identificadas:
- CDIR SCC Cloud IDS
- CDIR SCC Cloud Armor
- Impacto do SCC do CDIR
- Persistência avançada do CDIR SCC
- CDIR SCC Enhanced Defense Evasion
- Módulo personalizado do SCC do CDIR
Conjunto de regras de ferramentas suspeitas do Kubernetes
Para usar o conjunto de regras Ferramentas suspeitas do Kubernetes, recomendamos coletar os dados listados na seção Todos os conjuntos de regras. Verifique se os serviços Google Cloud estão configurados para gravar dados nos registros de nós do Google Kubernetes Engine (GKE).
Conjunto de regras de abuso do RBAC do Kubernetes
Para usar o conjunto de regras Abuso de RBAC do Kubernetes, recomendamos que você colete os registros de auditoria do Cloud, listados na seção Todos os conjuntos de regras.
Conjunto de regras de ações sensíveis a certificados do Kubernetes
Para usar o conjunto de regras Ações sensíveis a certificados do Kubernetes, recomendamos coletar os registros de auditoria do Cloud, listados na seção Todos os conjuntos de regras.
Conjuntos de regras relacionados ao Google Workspace
Os seguintes conjuntos de regras detectam padrões nos dados do Google Workspace:
- Possível exfiltração de dados internos do Chrome
- Possível exfiltração de dados internos do Drive
- Possível exfiltração de dados internos do Gmail
- Possível comprometimento da conta do Workspace
- Ações administrativas suspeitas do Workspace
Esses conjuntos de regras exigem os seguintes tipos de registros, listados por nome do produto e rótulo de ingestão do Google SecOps:
- Atividades do Workspace (
WORKSPACE_ACTIVITY
) - Alertas do Workspace (
WORKSPACE_ALERTS
) - Dispositivos ChromeOS do Workspace (
WORKSPACE_CHROMEOS
) - Dispositivos móveis do Workspace (
WORKSPACE_MOBILE
) - Usuários do Workspace (
WORKSPACE_USERS
) - Gerenciamento de nuvem do navegador Google Chrome (
CHROME_MANAGEMENT
) - Registros do Gmail (
GMAIL_LOGS
)
Para ingerir os dados necessários, faça o seguinte:
Colete os dados listados na seção Todos os conjuntos de regras deste documento.
Consulte Ingerir dados do Google Workspace no Google SecOps para coletar registros de
WORKSPACE_ACTIVITY
,WORKSPACE_CHROMEOS
,CHROME_MANAGEMENT
eGMAIL
.Consulte Coletar registros do Google Workspace para ingerir os seguintes registros:
WORKSPACE_ALERTS
WORKSPACE_MOBILE
WORKSPACE_USERS
Conjunto de regras de ameaças sem servidor
- Colete os dados listados na seção Todos os conjuntos de regras deste documento.
- Registros do Cloud Run (
GCP_RUN
).
Os registros do Cloud Run incluem registros de solicitação e de contêiner, que são ingeridos como o tipo de registro GCP_RUN
no Google SecOps. Os registros do GCP_RUN
podem ser ingeridos usando a ingestão direta ou
usando feeds e o Cloud Storage. Para filtros de registro específicos e mais detalhes sobre a ingestão, consulte Exportar registros do Google Cloud para o Google SecOps. O filtro de exportação a seguir exporta registros do Cloud Run (GCP_RUN
), além dos registros padrão, tanto pelo mecanismo de ingestão direta quanto pelo Cloud Storage e coletores: Google Cloud
log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)
Detecções selecionadas para conjuntos de regras da AWS
Os conjuntos de regras da AWS nessa categoria ajudam a identificar ameaças em ambientes da AWS usando dados de eventos e contexto, incluindo os seguintes conjuntos de regras:
- AWS: computação: detecta atividades anômalas relacionadas a recursos de computação da AWS, incluindo EC2 e Lambda.
- AWS - Dados: detecta atividades da AWS associadas a recursos de dados, incluindo snapshots do RDS ou buckets do S3 disponibilizados publicamente.
- AWS - GuardDuty: alertas do AWS GuardDuty com reconhecimento de contexto para comportamento, acesso a credenciais, mineração de criptomoedas, descoberta, evasão, execução, exfiltração, impacto, acesso inicial, malware, teste de penetração, persistência, política, escalonamento de privilégios e acesso não autorizado.
- AWS: Hacktools: detecta o uso de Hacktools em um ambiente da AWS, como scanners, kits de ferramentas e frameworks.
- AWS - Identidade: detecções de atividade da AWS associada ao IAM e à atividade de autenticação, incluindo logins incomuns de vários locais geográficos, criação de papéis excessivamente permissivos ou atividade do IAM de ferramentas suspeitas.
- AWS: geração de registros e monitoramento: detecta atividades da AWS relacionadas à desativação de serviços de geração de registros e monitoramento, incluindo CloudTrail, CloudWatch e GuardDuty.
- AWS - Rede: detecta alterações não seguras nas configurações de rede da AWS, como grupos de segurança e firewalls.
- AWS: organização: detecta atividades da AWS associadas à sua organização, incluindo a adição ou remoção de contas e eventos inesperados relacionados ao uso da região.
- AWS - Secrets: detecta atividades da AWS associadas a secrets, tokens e senhas, incluindo a exclusão de secrets do KMS ou do Secrets Manager.
Dispositivos e tipos de registros compatíveis com a AWS
Esses grupos de regras foram testados e são compatíveis com as seguintes fontes de dados do Google SecOps, listadas por nome do produto e rótulo de ingestão.
- AWS CloudTrail (
AWS_CLOUDTRAIL
) - AWS GuardDuty (
GUARDDUTY
) - HOSTS DO AWS EC2 (
AWS_EC2_HOSTS
) - INSTÂNCIAS DO AWS EC2 (
AWS_EC2_INSTANCES
) - VPCs do AWS EC2 (
AWS_EC2_VPCS
) - AWS IAM (IAM) (
AWS_IAM
)
Consulte Configurar a ingestão de dados da AWS para informações sobre como configurar a ingestão de dados da AWS.
Para uma lista de todas as fontes de dados compatíveis, consulte Analistas padrão compatíveis.
As seções a seguir descrevem os dados necessários para os conjuntos de regras que identificam padrões nos dados.
É possível ingerir dados da AWS usando um bucket do Amazon Simple Storage Service (Amazon S3) como um tipo de origem ou, opcionalmente, usando o Amazon S3 com o Amazon Simple Queue Service (Amazon SQS). Em geral, você precisa fazer o seguinte:
- Configure o Amazon S3 ou o Amazon S3 com o Amazon SQS para coletar dados de registros.
- Configure um feed do Google SecOps para ingerir dados do Amazon S3 ou do Amazon SQS.
Consulte Ingerir registros da AWS no Google SecOps para conferir as etapas detalhadas necessárias para configurar os serviços da AWS e um feed do Google SecOps para ingerir dados da AWS.
Você pode usar as regras de teste do AWS Managed Detection Testing para verificar se os dados da AWS estão sendo ingeridos no SIEM do Google SecOps. Essas regras de teste ajudam a verificar se os dados de registro do AWS estão sendo ingeridos conforme o esperado. Depois de configurar a ingestão de dados da AWS, realize ações na AWS que acionem as regras de teste.
Consulte Verificar a ingestão de dados da AWS para a categoria "Ameaças na nuvem" para saber como verificar a ingestão de dados da AWS usando regras de teste de Teste de detecção gerenciada da AWS.
Detecções selecionadas para dados do Azure
Alguns conjuntos de regras nessa categoria foram projetados para trabalhar com dados do Azure e identificar ameaças em ambientes do Azure usando dados de eventos, dados contextuais e alertas. Alguns exemplos:
- Azure - Compute: detecta atividades anômalas relacionadas a recursos de computação do Azure, incluindo Kubernetes e máquinas virtuais (VMs).
- Azure: dados: detecta atividades associadas a recursos de dados, incluindo permissões de blob do Azure, modificações e convites para usuários externos usarem serviços do Azure no locatário.
- Azure - Defender para nuvem: identifica alertas recebidos do Microsoft Defender para nuvem com reconhecimento de contexto relacionados a comportamento do usuário, acesso a credenciais, criptomineração, descoberta, evasão, execução, exfiltração, impacto, acesso inicial, malware, teste de penetração, persistência, política, escalonamento de privilégios ou acesso não autorizado em todos os serviços de nuvem do Azure.
- Azure: Hacktools: detecta o uso de ferramentas de hacking em um ambiente do Azure, incluindo anonimizadores de Tor e VPN, scanners e kits de ferramentas de red team.
- Azure: identidade: detecta atividades relacionadas à autenticação e autorização, indicando comportamento incomum, incluindo acesso simultâneo de vários locais geográficos, políticas de gerenciamento de acesso excessivamente permissivas ou atividade de RBAC do Azure de ferramentas suspeitas.
- Azure: geração de registros e monitoramento: detecta atividades relacionadas à desativação de serviços de geração de registros e monitoramento no Azure.
- Azure: rede: detecta alterações inseguras e notáveis em dispositivos ou configurações de rede do Azure, incluindo grupos de segurança ou firewalls, firewall de aplicativos da Web do Azure e políticas de negação de serviço.
- Azure: organização: detecta atividades associadas à sua organização, incluindo a adição ou remoção de assinaturas e contas.
- Azure: Secrets: detecta atividades associadas a secrets, tokens e senhas (por exemplo, modificações nas chaves de acesso do Azure Key Vault ou da conta de armazenamento).
Dispositivos aceitos e tipos de registros necessários para o Azure
Esses conjuntos de regras foram testados e são compatíveis com as seguintes fontes de dados, listadas por nome do produto e rótulo de ingestão do Google SecOps.
- Serviços de nuvem do Azure
(
AZURE_ACTIVITY
) - ID do Microsoft Entra, antes Azure Active Directory (
AZURE_AD
) - Registros de auditoria do ID do Microsoft Entra, antes registros de auditoria do Azure AD (
AZURE_AD_AUDIT
) - Microsoft Defender para nuvem
(
MICROSOFT_GRAPH_ALERT
) - Atividade da API Microsoft Graph
(
MICROSOFT_GRAPH_ACTIVITY_LOGS
)
Ingerir dados do Azure e do ID do Microsoft Entra
É necessário ingerir dados de todas as fontes para ter a cobertura máxima de regras. Consulte a documentação a seguir para saber como ingerir dados de cada fonte.
- Ingerir registros de atividades do Azure Monitor dos serviços de nuvem do Azure.
- Coletamos dados do ID do Microsoft Entra (antigo Azure AD), incluindo o seguinte:
- Registros do Microsoft Entra ID
- Registros de auditoria do Microsoft Entra ID
- Dados de contexto do Microsoft Entra ID
- Colete registros de alerta da API Microsoft Graph Security para ingerir registros do Microsoft Defender para nuvem usando a API Microsoft Graph Security.
- Colete registros de atividades da API Microsoft Graph para ingerir registros de atividades da API Microsoft Graph usando a API Microsoft Graph.
A seção a seguir descreve como verificar a ingestão de dados do Azure usando regras de teste predefinidas.
Verificar a ingestão de dados do Azure
O painel de integridade e ingestão de dados do Google SecOps permite conferir informações sobre o tipo, o volume e a integridade de todos os dados ingeridos no Google SecOps usando recursos de ingestão do SIEM.
Você também pode usar as regras de teste do Azure Managed Detection Testing para verificar a ingestão de dados do Azure. Depois de configurar a ingestão, realize ações no portal do Azure que devem acionar as regras de teste. Elas verificam se os dados são ingeridos e estão no formato esperado para usar as detecções selecionadas para dados do Azure.
Ativar as regras de teste do teste de detecção gerenciada do Azure
- No Google Security Operations, clique em Detecções > Regras e detecções para abrir a página "Detecções selecionadas".
- Selecione Teste de detecção gerenciada > Teste de detecção gerenciada do Azure.
- Ative Status e Alertas para as regras Amplas e Precisas.
Enviar dados de ação do usuário para acionar as regras de teste
Para verificar se os dados são ingeridos conforme o esperado, crie um usuário e faça login para verificar se essas ações acionam as regras de teste. Para informações sobre como criar usuários no Microsoft Entra ID, consulte Como criar, convidar e excluir usuários.
No Azure, crie um usuário do Microsoft Entra ID.
- Navegue até o portal do Azure.
- Abra o Microsoft Entra ID.
- Clique em Adicionar e em Criar novo usuário.
Faça o seguinte para definir o usuário:
- Digite as informações a seguir:
- Nome principal do usuário:
GCTI_ALERT_VALIDATION
- Nome principal do usuário:
GCTI_ALERT_VALIDATION
- Nome de exibição:
GCTI_ALERT_VALIDATION
- Nome principal do usuário:
- Selecione Gerar senha automaticamente para gerar uma senha para esse usuário.
- Marque a caixa de seleção Conta ativada.
- Abra a guia Revisar + criar.
- Lembre-se da senha gerada automaticamente. Você vai usar isso nas próximas etapas.
- Clique em Criar.
- Digite as informações a seguir:
- Abra uma janela do navegador no modo de navegação anônima e acesse o portal do Azure.
- Faça login com o usuário e a senha recém-criados.
- Mude a senha do usuário.
- Inscreva-se na autenticação multifator (MFA) de acordo com a política da sua organização.
- Saia do portal do Azure.
Faça o seguinte para verificar se os alertas foram criados no Google Security Operations:
No Google Security Operations, clique em Detecções > Regras e detecções para abrir a página Detecções selecionadas.
Clique em Painel.
Na lista de detecções, verifique se as seguintes regras foram acionadas:
- tst_azure_ad_user_creation
- tst_azure_ad_user_login
Depois de confirmar que os dados são enviados e que essas regras são acionadas, desative ou desprovisione a conta de usuário.
Enviar alertas de exemplo para acionar as regras de teste
Siga estas etapas para verificar se a geração de alertas de segurança de amostra no Azure aciona as regras de teste. Para mais informações sobre como gerar alertas de segurança de amostra no Microsoft Defender for Cloud, consulte Validação de alertas no Microsoft Defender for Cloud.
- No portal do Azure, navegue até Todos os serviços.
- Em Segurança, abra o Microsoft Defender para Nuvem.
- Navegue até Alertas de segurança.
- Clique em Alertas de exemplo e faça o seguinte:
- Selecione sua assinatura.
- Selecione todos em Planos do Defender for Cloud.
- Clique em Criar alertas de amostra.
- Verifique se os alertas de teste são acionados.
- No Google Security Operations, clique em Detecções > Regras e detecções para abrir a página Detecções selecionadas.
- Clique em Painel.
- Na lista de detecções, verifique se as seguintes regras foram acionadas:
- tst_azure_activity
- tst_azure_defender_for_cloud_alerts
Execute uma solicitação GET da API no Microsoft Graph Explorer para acionar as regras de teste.
Siga estas etapas para verificar se a geração de alertas de segurança de amostra no Azure aciona as regras de teste.
- Acesse o Microsoft Graph Explorer.
- Verifique se o locatário adequado está selecionado no canto superior direito.
- Selecione Executar consulta.
- Verifique se os alertas de teste são acionados.
- No Google Security Operations, clique em Detecções > Regras e detecções para abrir a página Detecções selecionadas.
- Clique em Painel.
- Na lista de detecções, verifique se a regra tst_microsoft_graph_api_get_activity foi acionada.
Desativar os conjuntos de regras de teste de detecção gerenciada do Azure
- No Google Security Operations, clique em Detecção > Regras e detecções para abrir a página Detecções selecionadas.
- Selecione as regras Teste de detecção gerenciada > Teste de detecção gerenciada do Azure.
- Desative Status e Alertas para as regras Geral e Precisa.
Detecções selecionadas para dados do Office 365
Os conjuntos de regras do Office 365 nessa categoria ajudam a identificar ameaças em ambientes do Office 365 usando dados de eventos e contexto, incluindo os seguintes conjuntos de regras:
Office 365 - Administrativo: detecta atividades maliciosas, suspeitas e de alto risco no Office 365, incluindo mudanças na política de backup, Microsoft Purview e detecções do ATP.
Office 365 - eDiscovery: detecta atividades maliciosas, suspeitas e de alto risco no eDiscovery do Office 365, incluindo tentativas de pesquisar credenciais ou outros dados sensíveis.
Office 365 - E-mail: detecta atividades maliciosas, suspeitas e de alto risco no e-mail do Office 365, incluindo tentativas de phishing, mudanças arriscadas nas configurações de e-mail e atividades suspeitas.
Office 365 - Formulários: detecta atividades maliciosas, suspeitas e de alto risco no Office 365 Forms, incluindo tentativas de phishing e atualizações de status para contas de formulários.
Office 365 - Identidade: detecta atividades maliciosas, suspeitas e de alto risco no Office 365 relacionadas ao gerenciamento de identidade e acesso, incluindo possível roubo de token, configurações de autenticação arriscadas, ataques de MFA, ataques de senha e ferramentas de invasão conhecidas.
Office 365: SharePoint e OneDrive: detecta atividades maliciosas, suspeitas e de alto risco no SharePoint e no OneDrive do Office 365, incluindo uploads de malware, compartilhamento anônimo de arquivos e pesquisas de credenciais e dados financeiros.
Office 365 - Teams: detecta atividades maliciosas, suspeitas e de alto risco no Office 365 Teams, incluindo falsificação de contas do Teams, exportação de gravações e transcrições.
Dispositivos aceitos e tipos de registros necessários para o Office 365
Esses conjuntos de regras foram testados e são compatíveis com as seguintes fontes de dados, listadas por nome do produto e rótulo de ingestão do Google SecOps:
Detecção selecionada para conjuntos de regras do Okta
Os conjuntos de regras do Okta nessa categoria ajudam a detectar ameaças em ambientes do Okta analisando dados de eventos e contexto. O conjunto de regras inclui o seguinte:
- Okta: identifica uma série de atividades maliciosas e suspeitas que ocorrem na plataforma Okta, incluindo ataques de MFA, tentativas de força bruta, pulverização de senhas, anomalias de login e muito mais.
Dispositivos aceitos e tipos de registros necessários para o Okta
Esses conjuntos de regras foram testados e são compatíveis com as seguintes fontes de dados, listadas por nome do produto e rótulo de ingestão do Google SecOps:
Ajustar os alertas retornados por conjuntos de regras
É possível reduzir o número de detecções geradas por uma regra ou um conjunto de regras usando exclusões de regras.
Uma exclusão de regra define os critérios usados para impedir que um evento seja avaliado pelo conjunto de regras ou por regras específicas nele. Crie uma ou mais exclusões de regra para reduzir o volume de detecções. Consulte Configurar exclusões de regras para saber como fazer isso.
A seguir
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.