Übersicht über die Kategorie „Cloud-Bedrohungen“

Unterstützt in:

Dieses Dokument bietet einen Überblick über die Regelsätze in der Kategorie „Cloud-Bedrohungen“, die erforderlichen Datenquellen und die Konfiguration, mit der Sie die von den einzelnen Regelsätzen generierten Benachrichtigungen optimieren können. Mit diesen Regelsätzen lassen sich Bedrohungen in Google Cloud-Umgebungen mit Google Cloud -Daten und in AWS-Umgebungen mit AWS-Daten erkennen.

Beschreibungen von Regelsätzen

Die folgenden Regelsätze sind in der Kategorie „Cloud-Bedrohungen“ verfügbar.

Die Abkürzung CDIR steht für Cloud Detection, Investigation, and Response (Erkennung, Untersuchung und Reaktion in der Cloud).

Ausgewählte Erkennungen für Google Cloud -Daten

Google Cloud Regelsätze helfen dabei, Bedrohungen in Google Cloud Umgebungen mithilfe von Ereignis- und Kontextdaten zu erkennen. Sie umfassen die folgenden Regelsätze:

  • Administratoraktion: Aktivität im Zusammenhang mit Administratoraktionen, die je nach Nutzung der Organisation als verdächtig, aber potenziell legitim eingestuft wird.
  • CDIR SCC Enhanced Exfiltration: Enthält kontextbezogene Regeln, mit denen Security Command Center-Ergebnisse zur Datenexfiltration mit anderen Logquellen korreliert werden, einschließlich Cloud-Audit-Logs, Sensitive Data Protection-Kontext, BigQuery-Kontext und Security Command Center-Logs zu Fehlkonfigurationen.
  • CDIR SCC Enhanced Defense Evasion: Enthält kontextbezogene Regeln, die Security Command Center-Ergebnisse zu Umgehung oder Defense Evasion mit Daten aus anderenGoogle Cloud -Datenquellen, einschließlich Cloud-Audit-Logs, in Beziehung setzen.
  • CDIR SCC Enhanced Malware: Enthält kontextbezogene Regeln, die Security Command Center-Malware-Ergebnisse mit Daten korrelieren, einschließlich des Vorkommens von IP-Adressen und Domains und deren Häufigkeitswerten, sowie mit anderen Datenquellen, einschließlich Cloud DNS-Logs.
  • CDIR SCC Enhanced Persistence: Enthält kontextbezogene Regeln, die Security Command Center-Ergebnisse zur Persistenz mit Daten aus Quellen wie Cloud DNS-Logs und IAM-Analyse-Logs korrelieren.
  • CDIR SCC Enhanced Privilege Escalation: Enthält kontextbezogene Regeln, die Security Command Center-Ergebnisse zur Berechtigungseskalierung mit Daten aus mehreren anderen Datenquellen, einschließlich Cloud-Audit-Logs, in Beziehung setzen.
  • CDIR SCC Credential Access: Enthält kontextbezogene Regeln, mit denen Security Command Center-Ergebnisse zum Anmeldedatenzugriff mit Daten aus verschiedenen anderen Datenquellen korreliert werden, einschließlich Cloud-Audit-Logs.
  • CDIR SCC Enhanced Discovery: Enthält kontextbezogene Regeln, die Eskalierungsergebnisse von Security Command Center Discovery mit Daten aus Quellen wie Google Cloud -Diensten und Cloud-Audit-Logs korrelieren.
  • CDIR SCC Brute Force: Enthält kontextbezogene Regeln, die Security Command Center-Ergebnisse zur Brute-Force-Eskalierung mit Daten korrelieren, einschließlich Cloud DNS-Logs.
  • CDIR SCC Data Destruction: Enthält kontextbezogene Regeln, mit denen Eskalierungsergebnisse für das Löschen von Daten in Security Command Center mit Daten aus verschiedenen anderen Datenquellen korreliert werden, einschließlich Cloud-Audit-Logs.
  • CDIR SCC Inhibit System Recovery: Enthält kontextbezogene Regeln, die Security Command Center-Ergebnisse vom Typ „Systemwiederherstellung verhindern“ mit Daten aus mehreren anderen Datenquellen korrelieren, einschließlich Cloud-Audit-Logs.
  • CDIR SCC Execution: Enthält kontextbezogene Regeln, die Security Command Center-Ausführungsergebnisse mit Daten aus mehreren anderen Datenquellen korrelieren, einschließlich Cloud-Audit-Logs.
  • CDIR SCC Initial Access: Enthält kontextbezogene Regeln, mit denen Security Command Center-Ergebnisse zum ersten Zugriff mit Daten aus mehreren anderen Datenquellen korreliert werden, einschließlich Cloud-Audit-Logs.
  • CDIR SCC Impair Defenses: Enthält kontextbezogene Regeln, die Security Command Center-Ergebnisse vom Typ „Impair Defenses“ mit Daten aus mehreren anderen Datenquellen, einschließlich Cloud-Audit-Logs, in Beziehung setzen.
  • CDIR SCC Impact: Enthält Regeln, mit denen Impact-Ergebnisse aus Security Command Center mit den Schweregraden „Kritisch“, „Hoch“, „Mittel“ und „Niedrig“ erkannt werden.
  • CDIR SCC Cloud IDS: Enthält Regeln, mit denen Cloud Intrusion Detection System-Ergebnisse aus Security Command Center mit den Schweregraden „Kritisch“, „Hoch“, „Mittel“ und „Niedrig“ erkannt werden.
  • CDIR SCC Cloud Armor: Enthält Regeln, mit denen Google Cloud Armor-Ergebnisse aus Security Command Center erkannt werden.
  • CDIR SCC Custom Module: Enthält Regeln, mit denen Ergebnisse benutzerdefinierter Event Threat Detection-Module aus Security Command Center erkannt werden.
  • Cloud-Hacktool: Es wurden Aktivitäten von bekannten offensiven Sicherheitsplattformen oder von offensiven Tools oder Software erkannt, die von Angreifern in freier Wildbahn verwendet werden und speziell auf Cloud-Ressourcen abzielen.
  • Cloud SQL Ransom: Erkennt Aktivitäten, die mit der Exfiltration oder dem Ransomware-Angriff auf Daten in Cloud SQL-Datenbanken in Verbindung stehen.
  • Kubernetes Suspicious Tools: Erkennt Aufklärungs- und Ausnutzungsverhalten von Open-Source-Kubernetes-Tools.
  • Kubernetes RBAC Abuse: Erkennt Kubernetes-Aktivitäten, die mit dem Missbrauch der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) in Verbindung stehen und auf Rechteausweitung oder laterale Bewegung abzielen.
  • Kubernetes Certificate Sensitive Actions: Erkennt Aktionen für Kubernetes-Zertifikate und Anfragen zur Zertifikatssignierung (Certificate Signing Requests, CSR), die verwendet werden könnten, um Persistenz zu erreichen oder Berechtigungen zu eskalieren.
  • IAM-Missbrauch: Aktivitäten im Zusammenhang mit dem Missbrauch von IAM-Rollen und -Berechtigungen, um möglicherweise Berechtigungen zu eskalieren oder sich lateral innerhalb eines bestimmten Cloud-Projekts oder in einer Cloud-Organisation zu bewegen.
  • Potenzielle Exfiltrationsaktivität: Erkennt Aktivitäten, die mit einem potenziellen Datenabfluss in Verbindung stehen.
  • Ressourcen-Masquerading: Erkennt Google Cloud Ressourcen, die mit Namen oder Merkmalen einer anderen Ressource oder eines anderen Ressourcentyps erstellt wurden. Dies könnte verwendet werden, um schädliche Aktivitäten zu verschleiern, die von oder innerhalb der Ressource ausgeführt werden, um legitim zu erscheinen.
  • Serverless Threats : Erkennt Aktivitäten, die mit einer potenziellen Kompromittierung oder einem potenziellen Missbrauch von serverlosen Ressourcen in Google Cloud, einschließlich Cloud Run und Cloud Run Functions, in Verbindung stehen.
  • Dienstunterbrechung: Erkennen Sie destruktive oder störende Aktionen, die in einer funktionierenden Produktionsumgebung zu einem erheblichen Ausfall führen können. Das erkannte Verhalten ist in Test- und Entwicklungsumgebungen üblich und wahrscheinlich harmlos.
  • Verdächtiges Verhalten: Aktivitäten, die in den meisten Umgebungen als ungewöhnlich und verdächtig gelten.
  • Verdächtige Infrastrukturänderung: Erkennt Änderungen an der Produktionsinfrastruktur, die mit bekannten Persistenzstrategien übereinstimmen
  • Geschwächte Konfiguration: Aktivität, die mit der Schwächung oder Beeinträchtigung einer Sicherheitskontrolle in Verbindung gebracht wird. Als verdächtig eingestuft, je nach Organisationsnutzung potenziell legitim.
  • Potenzielle Daten-Exfiltration durch Insider über Chrome: Erkennt Aktivitäten, die mit potenziellen Insiderbedrohungen in Verbindung stehen, einschließlich Daten-Exfiltration oder Verlust potenziell sensibler Daten außerhalb einer Google Workspace-Organisation. Dazu gehören Verhaltensweisen in Chrome, die im Vergleich zu einer 30‑Tage-Baseline als anomal gelten.
  • Potenzielle Insider-Datenexfiltration aus Drive: Erkennt Aktivitäten, die mit potenziellen Insider-Bedrohungen in Verbindung stehen, einschließlich Datenexfiltration oder Verlust potenziell sensibler Daten außerhalb einer Google Workspace-Organisation. Dazu gehören Verhaltensweisen in Drive, die im Vergleich zu einer 30-Tage-Baseline als anomal gelten.
  • Potenzielle Insider-Datenexfiltration aus Gmail: Erkennt Aktivitäten, die mit potenziellen Insider-Bedrohungen in Verbindung stehen, einschließlich Datenexfiltration oder Verlust potenziell vertraulicher Daten außerhalb einer Google Workspace-Organisation. Dazu gehören Verhaltensweisen in Gmail, die im Vergleich zu einer 30‑Tage-Baseline als anomal gelten.
  • Potenzieller Missbrauch von Workspace-Konten: Erkennt Insider-Bedrohungen, die darauf hindeuten, dass das Konto möglicherweise manipuliert wurde. Dies kann zu Versuchen führen, Berechtigungen zu eskalieren oder sich innerhalb einer Google Workspace-Organisation seitlich zu bewegen. Dazu gehören Verhaltensweisen, die im Vergleich zu einer 30‑Tages-Baseline als selten oder anomal gelten.
  • Verdächtige Administratoraktionen in Workspace: Erkennen von Verhaltensweisen, die auf potenzielle Umgehungen, Sicherheitsdowngrades oder seltene und anomale Verhaltensweisen hinweisen, die in den letzten 30 Tagen bei Nutzern mit höheren Berechtigungen, einschließlich Administratoren, noch nie beobachtet wurden.

Unterstützte Geräte und Protokolltypen

In den folgenden Abschnitten werden die erforderlichen Daten beschrieben, die von Regelsätzen in der Kategorie „Cloud-Bedrohungen“ benötigt werden.

Informationen zum Aufnehmen von Daten aus Google Cloud -Diensten finden Sie unter Cloud-Logs in Google SecOps aufnehmen. Wenden Sie sich an Ihren Google SecOps-Ansprechpartner, wenn Sie diese Protokolle mit einem anderen Mechanismus erfassen müssen.

Google SecOps bietet Standardparser, die Rohlogs aus Google Cloud Diensten parsen und normalisieren, um UDM-Datensätze mit Daten zu erstellen, die für diese Regelsätze erforderlich sind.

Eine Liste aller von Google SecOps unterstützten Datenquellen finden Sie unter Unterstützte Standardparser.

Alle Regelsätze

Wenn Sie ein Regelset verwenden möchten, empfehlen wir, Google CloudCloud-Audit-Logs zu erfassen. Für bestimmte Regeln müssen Kunden Cloud DNS-Logging aktivieren. Achten Sie darauf, dass die Google Cloud -Dienste so konfiguriert sind, dass Daten in den folgenden Logs aufgezeichnet werden:

Cloud SQL-Ransomware-Regelsatz

Wenn Sie das Cloud SQL Ransom-Regelsatz verwenden möchten, empfehlen wir, die folgenden Google Cloud Daten zu erheben:

Erweiterte CDIR SCC-Regelsätze

Für alle Regelsätze, die mit dem Namen CDIR SCC Enhanced beginnen, werden Security Command Center Premium-Ergebnisse verwendet, die mit mehreren anderen Google Cloud Log-Quellen in Kontext gesetzt werden, darunter:

  • Cloud-Audit-Logs
  • Cloud DNS-Logs
  • Analyse der Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM)
  • Kontext für den Schutz sensibler Daten
  • BigQuery-Kontext
  • Compute Engine-Kontext

Wenn Sie die Regelsätze CDIR SCC Enhanced verwenden möchten, empfehlen wir, die folgenden Google Cloud Daten zu erheben:

  • Logdaten, die im Bereich Alle Regelsätze aufgeführt sind.

  • Die folgenden Logdaten, sortiert nach Produktname und Google SecOps-Aufnahmelabel:

    • BigQuery (GCP_BIGQUERY_CONTEXT)
    • Compute Engine (GCP_COMPUTE_CONTEXT)
    • IAM (GCP_IAM_CONTEXT)
    • Schutz sensibler Daten (GCP_DLP_CONTEXT)
    • Cloud-Audit-Logs (GCP_CLOUDAUDIT)
    • Google Workspace-Aktivität (WORKSPACE_ACTIVITY)
    • Cloud DNS-Abfragen (GCP_DNS)

  • Die folgenden Security Command Center-Ergebnisklassen, sortiert nach findingClass-Kennung und Google SecOps-Aufnahmelabel:

    • Threat (GCP_SECURITYCENTER_THREAT)
    • Misconfiguration (GCP_SECURITYCENTER_MISCONFIGURATION)
    • Vulnerability (GCP_SECURITYCENTER_VULNERABILITY)
    • SCC Error (GCP_SECURITYCENTER_ERROR)

Die CDIR SCC Enhanced-Regelsätze hängen auch von Daten aus Google Cloud Diensten ab. Damit Sie die erforderlichen Daten an Google SecOps senden können, müssen Sie Folgendes ausführen:

Die folgenden Regelsätze erstellen eine Erkennung, wenn Ergebnisse aus Security Command Center Event Threat Detection, Google Cloud Armor, Security Command Center Sensitive Actions Service und benutzerdefinierten Modulen für Event Threat Detection ermittelt werden:

  • CDIR SCC Cloud IDS
  • CDIR SCC Cloud Armor
  • Auswirkungen von CDIR SCC
  • CDIR SCC Enhanced Persistence
  • CDIR SCC Enhanced Defense Evasion
  • Benutzerdefiniertes CDIR SCC-Modul

Regelsatz „Kubernetes Suspicious Tools“

Wenn Sie den Regelsatz Kubernetes Suspicious Tools verwenden möchten, empfehlen wir, die im Abschnitt Alle Regelsätze aufgeführten Daten zu erheben. Achten Sie darauf, dass die Google Cloud-Dienste so konfiguriert sind, dass Daten in GKE-Knotenlogs aufgezeichnet werden.

Kubernetes RBAC Abuse-Regelsatz

Wenn Sie den Regelsatz Kubernetes RBAC Abuse verwenden möchten, empfehlen wir, die Cloud-Audit-Logs zu erfassen, die im Abschnitt Alle Regelsätze aufgeführt sind.

Regelsatz für vertrauliche Kubernetes-Zertifikatsaktionen

Wenn Sie den Regelsatz Kubernetes Certificate Sensitive Actions verwenden möchten, empfehlen wir, die Cloud-Audit-Logs zu erfassen, die im Abschnitt Alle Regelsätze aufgeführt sind.

Regelsätze für Google Workspace

Mit den folgenden Regelsätzen werden Muster in Google Workspace-Daten erkannt:

  • Potenzielle Daten-Exfiltration durch Insider über Chrome
  • Potenzielle Daten-Exfiltration durch Insider aus Drive
  • Potenzielle Insider-Daten-Exfiltration aus Gmail
  • Mögliche Manipulation von Workspace-Konten
  • Verdächtige administrative Aktionen in Workspace

Für diese Regelsätze sind die folgenden Logtypen erforderlich, die nach Produktname und Google SecOps-Aufnahmelabel aufgeführt sind:

  • Workspace-Aktivitäten (WORKSPACE_ACTIVITY)
  • Workspace-Benachrichtigungen (WORKSPACE_ALERTS)
  • Workspace ChromeOS-Geräte (WORKSPACE_CHROMEOS)
  • Workspace-Mobilgeräte (WORKSPACE_MOBILE)
  • Workspace-Nutzer (WORKSPACE_USERS)
  • Google Chrome-Verwaltung über die Cloud (CHROME_MANAGEMENT)
  • Gmail-Protokolle (GMAIL_LOGS)

So nehmen Sie die erforderlichen Daten auf:

Regelsatz für serverlose Bedrohungen

Cloud Run-Logs enthalten Anfrage- und Containerlogs, die als Logtyp GCP_RUN in Google SecOps aufgenommen werden. GCP_RUN-Logs können über die direkte Erfassung oder über Feeds und Cloud Storage aufgenommen werden. Spezifische Logfilter und weitere Details zur Aufnahme finden Sie unter Google Cloud Logs in Google SecOps exportieren. Mit dem folgenden Exportfilter werden zusätzlich zu den Standardlogs sowohl über den Mechanismus für die direkte Aufnahme als auch über Cloud Storage und Senken Google Cloud Cloud Run-Logs (GCP_RUN) exportiert:

log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)

Ausgewählte Erkennungen für AWS-Regelsätze

AWS-Regelsätze in dieser Kategorie helfen dabei, Bedrohungen in AWS-Umgebungen mithilfe von Ereignis- und Kontextdaten zu erkennen. Sie umfassen die folgenden Regelsätze:

  • AWS – Compute: Erkennt anomale Aktivitäten im Zusammenhang mit AWS-Computing-Ressourcen, einschließlich EC2 und Lambda.
  • AWS – Daten: Erkennt AWS-Aktivitäten, die mit Datenressourcen verknüpft sind, einschließlich öffentlich verfügbar gemachter RDS-Snapshots oder S3-Buckets.
  • AWS – GuardDuty: Kontextsensitive AWS GuardDuty-Benachrichtigungen für Verhalten, Anmeldedatenzugriff, Kryptomining, Erkennung, Umgehung, Ausführung, Exfiltration, Auswirkungen, Erstanmeldung, Malware, Penetrationstests, Persistenz, Richtlinie, Rechteausweitung und unbefugter Zugriff.
  • AWS – Hacktools: Erkennt die Verwendung von Hacktools in einer AWS-Umgebung, z. B. Scanner, Toolkits und Frameworks.
  • AWS – Identität: Erkennungen für AWS-Aktivitäten im Zusammenhang mit IAM und Authentifizierung, einschließlich ungewöhnlicher Anmeldungen von mehreren geografischen Standorten, Erstellung von Rollen mit zu vielen Berechtigungen oder IAM-Aktivitäten von verdächtigen Tools.
  • AWS – Logging und Monitoring: Erkennt AWS-Aktivitäten im Zusammenhang mit der Deaktivierung von Logging- und Monitoring-Diensten, einschließlich CloudTrail, CloudWatch und GuardDuty.
  • AWS – Netzwerk: Erkennt unsichere Änderungen an AWS-Netzwerkeinstellungen wie Sicherheitsgruppen und Firewalls.
  • AWS – Organisation: Erkennt AWS-Aktivitäten, die mit Ihrer Organisation verknüpft sind, einschließlich des Hinzufügens oder Entfernens von Konten und unerwarteter Ereignisse im Zusammenhang mit der Regionsnutzung.
  • AWS – Secrets: Erkennt AWS-Aktivitäten im Zusammenhang mit Secrets, Tokens und Passwörtern, einschließlich des Löschens von KMS-Secrets oder Secrets Manager-Secrets.

Unterstützte Geräte und Logtypen für AWS

Diese Regelsätze wurden getestet und werden mit den folgenden Google SecOps-Datenquellen unterstützt, die nach Produktname und Erfassungslabel aufgeführt sind.

Informationen zum Einrichten der Aufnahme von AWS-Daten finden Sie unter Aufnahme von AWS-Daten konfigurieren.

Eine Liste aller unterstützten Datenquellen finden Sie unter Unterstützte Standardparser.

In den folgenden Abschnitten werden die erforderlichen Daten beschrieben, die von Regelsätzen benötigt werden, mit denen Muster in Daten erkannt werden.

Sie können AWS-Daten aufnehmen, indem Sie einen Amazon S3-Bucket (Amazon Simple Storage Service) als Quelltyp verwenden oder optional Amazon S3 mit Amazon Simple Queue Service (Amazon SQS). Auf übergeordneter Ebene müssen Sie Folgendes tun:

  • Konfigurieren Sie Amazon S3 oder Amazon S3 mit Amazon SQS, um Logdaten zu erfassen.
  • Google SecOps-Feed konfigurieren, um Daten aus Amazon S3 oder Amazon SQS aufzunehmen

Eine detaillierte Anleitung zum Konfigurieren von AWS-Diensten und eines Google SecOps-Feeds zum Erfassen von AWS-Daten finden Sie unter AWS-Logs in Google SecOps aufnehmen.

Mit AWS Managed Detection Testing-Testregeln können Sie überprüfen, ob AWS-Daten in Google SecOps SIEM aufgenommen werden. Mit diesen Testregeln lässt sich überprüfen, ob AWS-Logdaten wie erwartet erfasst werden. Nachdem Sie die Aufnahme von AWS-Daten eingerichtet haben, führen Sie Aktionen in AWS aus, die die Testregeln auslösen sollten.

Informationen zum Überprüfen der Aufnahme von AWS-Daten mit AWS Managed Detection Testing-Testregeln finden Sie unter AWS-Datenaufnahme für die Kategorie „Cloud Threats“ überprüfen.

Ausgewählte Erkennungen für Azure-Daten

Bestimmte Regelsätze in dieser Kategorie sind für die Verwendung mit Azure-Daten konzipiert, um Bedrohungen in Azure-Umgebungen mithilfe von Ereignisdaten, Kontextdaten und Benachrichtigungen zu erkennen. Dazu gehören:

  • Azure – Compute: Erkennt anomale Aktivitäten im Zusammenhang mit Azure-Compute-Ressourcen, einschließlich Kubernetes und virtuellen Maschinen (VMs).
  • Azure – Daten: Erkennt Aktivitäten im Zusammenhang mit Datenressourcen, einschließlich Azure-Blobberechtigungen, Änderungen und Einladungen an externe Nutzer zur Verwendung von Azure-Diensten im Mandanten.
  • Azure – Defender for Cloud: Identifiziert Benachrichtigungen, die von kontextbezogenem Microsoft Defender for Cloud in Bezug auf Nutzerverhalten, Anmeldedatenzugriff, Kryptomining, Erkennung, Umgehung, Ausführung, Exfiltration, Auswirkungen, Erstanmeldung, Malware, Penetrationstests, Persistenz, Richtlinien, Rechteausweitung oder unbefugten Zugriff auf alle Azure-Clouddienste empfangen wurden.
  • Azure – Hacktools: Erkennt die Verwendung von Hacking-Tools in einer Azure-Umgebung, einschließlich Tor- und VPN-Anonymisierern, Scannern und Red Teaming-Toolkits.
  • Azure – Identität: Erkennt Aktivitäten im Zusammenhang mit Authentifizierung und Autorisierung, die auf ungewöhnliches Verhalten hinweisen, z. B. gleichzeitiger Zugriff von mehreren geografischen Standorten, zu permissive Zugriffsverwaltungsrichtlinien oder Azure RBAC-Aktivitäten von verdächtigen Tools.
  • Azure – Logging und Monitoring: Erkennt Aktivitäten im Zusammenhang mit dem Deaktivieren von Logging- und Monitoring-Diensten in Azure.
  • Azure – Netzwerk: Erkennt unsichere und wichtige Änderungen an Azure-Netzwerkgeräten oder -Einstellungen, einschließlich Sicherheitsgruppen oder Firewalls, Azure Web Application Firewall und Richtlinien für Denial-of-Service-Angriffe.
  • Azure – Organisation: Erkennt Aktivitäten, die mit Ihrer Organisation verknüpft sind, einschließlich des Hinzufügens oder Entfernens von Abos und Konten.
  • Azure – Secrets: Erkennt Aktivitäten im Zusammenhang mit Secrets, Tokens und Passwörtern, z. B. Änderungen an Azure Key Vault oder Speicherkonto-Zugriffsschlüsseln.

Unterstützte Geräte und erforderliche Protokolltypen für Azure

Diese Regelsätze wurden getestet und werden mit den folgenden Datenquellen unterstützt, die nach Produktname und Google SecOps-Aufnahmelabel aufgeführt sind.

Azure- und Microsoft Entra ID-Daten aufnehmen

Sie müssen Daten aus jeder Datenquelle aufnehmen, um eine maximale Regelabdeckung zu erreichen. In der folgenden Dokumentation finden Sie Informationen zum Erfassen von Daten aus den einzelnen Quellen.

Im folgenden Abschnitt wird beschrieben, wie Sie die Aufnahme von Azure-Daten mithilfe vordefinierter Testregeln überprüfen.

Aufnahme von Azure-Daten prüfen

Im Dashboard für Datenaufnahme und ‑integrität von Google SecOps können Sie Informationen zu Art, Volumen und Integrität aller Daten sehen, die mit SIEM-Aufnahmefunktionen in Google SecOps aufgenommen werden.

Sie können auch Azure Managed Detection Testing-Testregeln verwenden, um die Aufnahme von Azure-Daten zu überprüfen. Nachdem Sie die Aufnahme eingerichtet haben, führen Sie Aktionen im Azure-Portal aus, die die Testregeln auslösen sollten. Sie sollen sicherstellen, dass Daten aufgenommen werden und das erwartete Format haben, damit die kuratierten Erkennungen für Azure-Daten verwendet werden können.

Testregeln für Managed Detection and Response in Azure aktivieren

  1. Klicken Sie in Google Security Operations auf Erkennungen > Regeln & Erkennungen, um die Seite „Kuratierte Erkennungen“ zu öffnen.
  2. Wählen Sie Managed Detection Testing > Azure Managed Detection Testing aus.
  3. Aktivieren Sie sowohl Status als auch Benachrichtigungen für die allgemeinen und exakten Regeln.

Daten zu Nutzeraktionen senden, um die Testregeln auszulösen

Um zu prüfen, ob Daten wie erwartet aufgenommen werden, erstellen Sie einen Nutzer und melden Sie sich an, um zu prüfen, ob diese Aktionen die Testregeln auslösen. Informationen zum Erstellen von Nutzern in Microsoft Entra ID finden Sie unter Nutzer erstellen, einladen und löschen.

  1. Erstellen Sie in Azure einen neuen Microsoft Entra ID-Nutzer.

    1. Rufen Sie das Azure-Portal auf.
    2. Öffnen Sie Microsoft Entra ID.
    3. Klicken Sie auf Hinzufügen und dann auf Neuen Nutzer erstellen. So definieren Sie den Nutzer:
      1. Geben Sie die folgenden Informationen ein:
        • Hauptnutzername: GCTI_ALERT_VALIDATION
        • Hauptnutzername: GCTI_ALERT_VALIDATION
        • Anzeigename: GCTI_ALERT_VALIDATION
      2. Wählen Sie Passwort automatisch generieren aus, um ein Passwort für diesen Nutzer automatisch generieren zu lassen.
      3. Klicken Sie das Kästchen Konto aktiviert an.
      4. Öffnen Sie den Tab Überprüfen und erstellen.
      5. Merken Sie sich das automatisch generierte Passwort. Sie benötigen sie für die folgenden Schritte.
      6. Klicken Sie auf Erstellen.
    4. Öffnen Sie ein Browserfenster im Inkognitomodus und rufen Sie dann das Azure-Portal auf.
    5. Melden Sie sich mit dem neu erstellten Nutzer und Passwort an.
    6. Ändern Sie das Nutzerpasswort.
    7. Richten Sie die Multi-Faktor-Authentifizierung (MFA) ein, wie von Ihrer Organisation gefordert.
    8. Melden Sie sich vom Azure-Portal ab und bestätigen Sie die Abmeldung.

  2. So prüfen Sie, ob in Google Security Operations Warnungen erstellt werden:

    1. Klicken Sie in Google Security Operations auf Erkennungen > Regeln & Erkennungen, um die Seite Kuratierte Erkennungen zu öffnen.

    2. Klicken Sie auf Dashboard.

    3. Prüfen Sie in der Liste der erkannten Probleme, ob die folgenden Regeln ausgelöst wurden:

      • tst_azure_ad_user_creation
      • tst_azure_ad_user_login

  3. Nachdem Sie bestätigt haben, dass Daten gesendet werden und diese Regeln ausgelöst werden, deaktivieren oder heben Sie die Bereitstellung des Nutzerkontos auf.

Beispielbenachrichtigungen senden, um die Testregeln auszulösen

Führen Sie die folgenden Schritte aus, um zu prüfen, ob durch das Generieren von Sicherheitsbeispielwarnungen in Azure die Testregeln ausgelöst werden. Weitere Informationen zum Generieren von Sicherheitsbeispielbenachrichtigungen in Microsoft Defender for Cloud finden Sie unter Benachrichtigungsvalidierung in Microsoft Defender for Cloud.

  1. Rufen Sie im Azure-Portal Alle Dienste auf.
  2. Öffnen Sie unter Security (Sicherheit) Microsoft Defender for Cloud.
  3. Rufen Sie Sicherheitswarnungen auf.
  4. Klicken Sie auf Beispielbenachrichtigungen und gehen Sie dann so vor:
    1. Wählen Sie Ihr Abo aus.
    2. Wählen Sie für Defender for Cloud-Pläne die Option Alle aus.
    3. Klicken Sie auf Beispielbenachrichtigungen erstellen.
  5. Prüfen Sie, ob Testbenachrichtigungen ausgelöst werden.
  6. Klicken Sie in Google Security Operations auf Erkennungen > Regeln & Erkennungen, um die Seite Kuratierte Erkennungen zu öffnen.
  7. Klicken Sie auf Dashboard.
  8. Prüfen Sie in der Liste der erkannten Verstöße, ob die folgenden Regeln ausgelöst wurden:
    • tst_azure_activity
    • tst_azure_defender_for_cloud_alerts

Führen Sie eine GET-API-Anfrage im Microsoft Graph Explorer aus, um die Testregeln auszulösen.

Führen Sie die folgenden Schritte aus, um zu prüfen, ob durch das Generieren von Sicherheitsbeispielwarnungen in Azure die Testregeln ausgelöst werden.

  1. Rufen Sie den Microsoft Graph Explorer auf.
  2. Prüfen Sie, ob der richtige Mandant ausgewählt ist.
  3. Klicken Sie auf Abfrage ausführen.
  4. Prüfen Sie, ob Testbenachrichtigungen ausgelöst werden.
  5. Klicken Sie in Google Security Operations auf Erkennungen > Regeln & Erkennungen, um die Seite Kuratierte Erkennungen zu öffnen.
  6. Klicken Sie auf Dashboard.
  7. Prüfen Sie in der Liste der erkannten Elemente, ob die Regel tst_microsoft_graph_api_get_activity ausgelöst wurde.

Regelsätze für Azure Managed Detection Testing deaktivieren

  1. Klicken Sie in Google Security Operations auf Detection > Rules & Detections, um die Seite Curated Detections zu öffnen.
  2. Wählen Sie die Regeln für Managed Detection Testing > Azure Managed Detection Testing aus.
  3. Deaktivieren Sie sowohl Status als auch Benachrichtigungen für die allgemeinen und exakten Regeln.

Ausgewählte Erkennungen für Office 365-Daten

Office 365-Regelsätze in dieser Kategorie helfen dabei, Bedrohungen in Office 365-Umgebungen mithilfe von Ereignis- und Kontextdaten zu erkennen. Sie umfassen die folgenden Regelsätze:

  • Office 365 – Administrativ: Erkennt schädliche, verdächtige und risikoreiche Aktivitäten in Office 365, einschließlich Änderungen an Sicherungsrichtlinien, Microsoft Purview und ATP-Erkennungen.

  • Office 365 – eDiscovery: Erkennt schädliche, verdächtige und risikoreiche Aktivitäten in Office 365 eDiscovery, einschließlich Versuchen, nach Anmeldedaten oder anderen sensiblen Daten zu suchen.

  • Office 365 – E‑Mail: Erkennt schädliche, verdächtige und risikoreiche Aktivitäten in Office 365-E‑Mails, einschließlich Phishing-Versuchen, riskanten Änderungen an E‑Mail-Einstellungen und verdächtigen E‑Mail-Aktivitäten.

  • Office 365 – Forms: Erkennt schädliche, verdächtige und risikoreiche Aktivitäten in Office 365 Forms, einschließlich Phishing-Versuchen und Statusaktualisierungen für Forms-Konten.

  • Office 365 – Identität: Erkennt schädliche, verdächtige und risikoreiche Aktivitäten in Office 365 im Zusammenhang mit der Identitäts- und Zugriffsverwaltung, einschließlich potenziellen Token-Diebstahls, riskanter Authentifizierungskonfigurationen, MFA-Angriffen, Kennwortangriffen und bekannten Hacking-Tools.

  • Office 365 – SharePoint und OneDrive: Erkennt schädliche, verdächtige und risikoreiche Aktivitäten in Office 365 SharePoint und OneDrive, einschließlich Malware-Uploads, anonymer Dateifreigabe und Suchen nach Anmeldedaten und Finanzdaten.

  • Office 365 – Teams: Erkennt böswillige, verdächtige und risikoreiche Aktivitäten in Office 365 Teams, einschließlich der Identitätsverschleierung von Teams-Konten, des Exports von Aufzeichnungen und Transkripten.

Unterstützte Geräte und erforderliche Protokolltypen für Office 365

Diese Regelsätze wurden getestet und werden mit den folgenden Datenquellen unterstützt, die nach Produktname und Google SecOps-Aufnahmelabel aufgeführt sind:

Abgestimmte Erkennung für Okta-Regelsätze

Okta-Regelsätze in dieser Kategorie helfen dabei, Bedrohungen in Okta-Umgebungen zu erkennen, indem Ereignis- und Kontextdaten analysiert werden. Der Regelsatz umfasst Folgendes:

  • Okta: Erkennt eine Reihe von schädlichen und verdächtigen Aktivitäten, die auf der Okta-Plattform stattfinden, darunter MFA-Angriffe, Brute-Force-Versuche, Password Spraying, Anmeldeanomalien und mehr.

Unterstützte Geräte und erforderliche Protokolltypen für Okta

Diese Regelsätze wurden getestet und werden mit den folgenden Datenquellen unterstützt, die nach Produktname und Google SecOps-Aufnahmelabel aufgeführt sind:

Von Regelsätzen zurückgegebene Benachrichtigungen optimieren

Mit Regelausschlüssen können Sie die Anzahl der Erkennungen reduzieren, die durch eine Regel oder einen Regelsatz generiert werden.

Mit einem Regelausschluss werden die Kriterien definiert, anhand derer ein Ereignis nicht vom Regelsatz oder von bestimmten Regeln im Regelsatz ausgewertet wird. Erstellen Sie einen oder mehrere Regelausschlüsse, um die Anzahl der erkannten Verstöße zu reduzieren. Weitere Informationen dazu finden Sie unter Regelausschlüsse konfigurieren.

Nächste Schritte

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten