Back to hub

CSPM Policy Violations

Detects cloud security policy (CSPM) violations in Azure/GCP including public storage, missing encryption, and exposed management ports.

CloudsofisticngsiemmedioT1078.004cspmazuregcpcloud-accountsmisconfigurationT1078.004
Cloud Beginnerby SOFISTIC SOC 1 min read

Query

product_cspm=true | groupBy([#event_simpleName, azure_application_name, disposition], function=count()) | _count > 20 | sort(_count, limit=20)

Explanation

  • Requiere repositorio NG-SIEM con CID NGSIEM y módulo CSPM (Cloud Security Posture Management) activo.
  • product_cspm=true filtra exclusivamente eventos del motor CSPM de CrowdStrike.
  • Agrupa por tipo de evento, nombre de aplicación Azure y disposición (violación/informativo).
  • Permite identificar aplicaciones cloud con permisos excesivos o configuraciones inseguras recurrentes.

Adjustable Variables

  • Filtrar por `disposition=violation`: Para ver solo violaciones activas, no eventos informativos.
  • Añadir `azure_subscription_id`: Para identificar qué suscripción Azure tiene más violaciones.
  • Umbral `_count > 20`: Ajusta según el volumen de tu inventario cloud; entornos grandes pueden necesitar umbrales más altos.