Ringkasan kategori Aturan Hunting Mandiant

Dokumen ini memberikan ringkasan tentang set Aturan Hunting Mandiant, sumber data yang diperlukan, dan opsi konfigurasi untuk menyesuaikan pemberitahuan yang dihasilkan di platform Google Security Operations.

Aturan Hunting Mandiant mengidentifikasi peristiwa yang relevan dengan keamanan untuk data cloud dan endpoint. Aturan ini dikembangkan berkoordinasi dengan tim Mandiant Threat Defense dan memberikan dasar untuk operasi perburuan ancaman. Deteksi dari aturan ini dapat digunakan dalam aturan gabungan. Kategori ini mencakup set aturan berikut:

• Aturan Identifikasi Cloud: Logika yang berasal dari investigasi dan respons Mandiant Threat Defense terhadap insiden cloud di seluruh dunia. Aturan ini dirancang untuk mendeteksi peristiwa cloud yang relevan dengan keamanan dan dirancang untuk digunakan oleh aturan korelasi dalam set aturan komposit cloud.

• Aturan Identifikasi Endpoint: Logika yang berasal dari investigasi dan respons Mandiant Threat Defense terhadap insiden di seluruh dunia. Aturan ini dirancang untuk mendeteksi peristiwa endpoint yang relevan dengan keamanan dan dirancang untuk digunakan oleh aturan korelasi dalam set aturan komposit endpoint.

Perangkat dan jenis log yang didukung

Aturan ini terutama mengandalkan log Cloud Audit Logs, log deteksi dan respons endpoint, serta log proxy jaringan. Model Data Terpadu (UDM) Google SecOps secara otomatis menormalisasi sumber log ini.

Untuk mengetahui daftar semua sumber data yang didukung Google SecOps, lihat Parser default yang didukung.

Kategori berikut menguraikan sumber log paling penting yang diperlukan agar konten komposit pilihan dapat berfungsi secara efektif:

Sumber log aturan identifikasi endpoint

• Ancaman Linux
• Ancaman macOS
• Ancaman Windows

Sumber log aturan identifikasiGoogle Cloud

• AncamanGoogle Cloud
• AWS
• Microsoft Azure
• Microsoft Office 365
• Okta

Google Cloud dan sumber log aturan endpoint

• Praktik Kecerdasan Ancaman
• Ancaman Chrome Enterprise Premium
• Analisis Risiko untuk UEBA

Untuk mengetahui daftar lengkap deteksi pilihan yang tersedia, lihat Menggunakan deteksi pilihan. Hubungi perwakilan Google SecOps Anda jika Anda perlu mengaktifkan sumber deteksi menggunakan mekanisme yang berbeda.

Google SecOps menyediakan parser default yang mem-parsing dan menormalisasi log mentah untuk membuat rekaman UDM dengan data yang diperlukan oleh set aturan deteksi komposit dan pilihan. Untuk mengetahui daftar semua sumber data yang didukung Google SecOps, lihat Jenis log dan parser default yang didukung.

Mengubah aturan dalam kumpulan aturan

Anda dapat menyesuaikan perilaku aturan dalam set aturan untuk memenuhi kebutuhan organisasi Anda. Sesuaikan cara kerja setiap aturan dengan memilih salah satu mode deteksi berikut, dan konfigurasikan apakah aturan menghasilkan pemberitahuan:

• Luas: mendeteksi perilaku yang berpotensi berbahaya atau tidak normal, tetapi dapat menghasilkan lebih banyak positif palsu karena sifat umum aturan.
• Akurat: mendeteksi perilaku berbahaya atau anomali tertentu.

Untuk mengubah setelan, lakukan hal berikut:

1. Dari daftar aturan, centang kotak di samping setiap aturan yang ingin Anda ubah.
2. Konfigurasikan setelan Status dan Pemberitahuan untuk aturan sebagai berikut:
   • Status: menerapkan mode (Precise atau Broad) ke aturan yang dipilih. Setel ke Enabled untuk mengaktifkan status aturan ke mode.
   • Pemberitahuan: mengontrol apakah aturan menghasilkan pemberitahuan di halaman Pemberitahuan. Setel ke Aktif untuk mengaktifkan pemberitahuan.

Menyesuaikan notifikasi dari set aturan

Anda dapat mengurangi jumlah pemberitahuan yang dihasilkan oleh aturan komposit dengan menggunakan pengecualian aturan.

Pengecualian aturan menentukan kriteria yang mencegah peristiwa tertentu dievaluasi oleh aturan atau set aturan. Gunakan pengecualian untuk mengurangi volume deteksi. Lihat Mengonfigurasi pengecualian aturan untuk mengetahui informasi selengkapnya.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.