Descripción general de la categoría de reglas de detección de Mandiant

En este documento, se proporciona una descripción general de los conjuntos de reglas de búsqueda de Mandiant, las fuentes de datos requeridas y las opciones de configuración para ajustar las alertas que generan en la plataforma de Google Security Operations.

Las reglas de búsqueda de Mandiant identifican eventos relevantes para la seguridad de los datos de la nube y los endpoints. Estas reglas se desarrollan en coordinación con el equipo de Mandiant Threat Defense y proporcionan una base para las operaciones de búsqueda de amenazas. Las detecciones de estas reglas se pueden usar en reglas compuestas. En esta categoría, se incluyen los siguientes conjuntos de reglas:

• Reglas de identificación de la nube: Lógica derivada de la investigación y la respuesta de Mandiant Threat Defense a incidentes en la nube en todo el mundo. Estas reglas están diseñadas para detectar eventos de Cloud relevantes para la seguridad y para ser usadas por reglas de correlación en el conjunto de reglas compuestas de Cloud.

• Reglas de identificación de endpoints: Lógica derivada de la investigación y la respuesta de Mandiant Threat Defense a incidentes en todo el mundo. Estas reglas están diseñadas para detectar eventos de extremos relevantes para la seguridad y para ser utilizadas por reglas de correlación en el conjunto de reglas compuestas de extremos.

Dispositivos y tipos de registros compatibles

Estas reglas se basan principalmente en los registros de Registros de auditoría de Cloud, los registros de detección y respuesta de extremos, y los registros de proxy de red. El modelo de datos unificado (UDM) de SecOps de Google normaliza automáticamente estas fuentes de registros.

Para obtener una lista de todas las fuentes de datos compatibles con Google SecOps, consulta Analizadores predeterminados compatibles.

En las siguientes categorías, se describen las fuentes de registros más importantes que se requieren para que el contenido compuesto seleccionado funcione de manera eficaz:

Fuentes de registros de reglas de identificación de extremos

• Amenazas para Linux
• Amenazas para macOS
• Amenazas para Windows

Google Cloud Fuentes de registros de reglas de identificación

• Google Cloud amenazas
• AWS
• Microsoft Azure
• Microsoft Office 365
• Okta

Google Cloud y fuentes de registros de reglas de extremos

• Inteligencia contra amenazas aplicada
• Amenazas de Chrome Enterprise Premium
• Análisis de riesgo para UEBA

Para obtener una lista completa de las detecciones seleccionadas disponibles, consulta Cómo usar las detecciones seleccionadas. Comunícate con tu representante de Google SecOps si necesitas habilitar las fuentes de detección con un mecanismo diferente.

Google SecOps proporciona analizadores predeterminados que analizan y normalizan los registros sin procesar para crear registros de UDM con los datos que requieren los conjuntos de reglas de detección compuestas y seleccionadas. Para obtener una lista de todas las fuentes de datos compatibles con Google SecOps, consulta Tipos de registros admitidos y analizadores predeterminados.

Cómo modificar reglas en un conjunto de reglas

Puedes personalizar el comportamiento de las reglas dentro de un conjunto de reglas para satisfacer las necesidades de tu organización. Para ajustar el funcionamiento de cada regla, selecciona uno de los siguientes modos de detección y configura si las reglas generan alertas:

• Generales: Detectan comportamientos potencialmente maliciosos o anómalos, pero pueden producir más falsos positivos debido a la naturaleza general de la regla.
• Precisa: Detecta comportamientos específicos anómalos o maliciosos.

Para modificar la configuración, haz lo siguiente:

1. En la lista de reglas, selecciona la casilla de verificación junto a cada regla que deseas modificar.
2. Configura los parámetros de Estado y Alertas para las reglas de la siguiente manera:
   • Estado: Aplica el modo (Preciso o Amplio) a la regla seleccionada. Se establece en Enabled para activar el estado de la regla en el modo.
   • Alertas: Controla si la regla genera una alerta en la página Alertas. Configúralo en Activado para habilitar las alertas.

Cómo ajustar las alertas de los conjuntos de reglas

Puedes reducir la cantidad de alertas que genera una regla compuesta con las exclusiones de reglas.

Una exclusión de regla especifica criterios que impiden que una regla o un conjunto de reglas evalúen ciertos eventos. Usa exclusiones para reducir el volumen de detección. Consulta Cómo configurar exclusiones de reglas para obtener más información.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.