Panoramica della categoria Regole di caccia di Mandiant

Questo documento fornisce una panoramica dei set di regole di ricerca di Mandiant, delle origini dati richieste e delle opzioni di configurazione per ottimizzare gli avvisi che generano nella piattaforma Google Security Operations.

Le regole di ricerca di Mandiant identificano gli eventi rilevanti per la sicurezza per i dati cloud e degli endpoint. Queste regole sono sviluppate in coordinamento con il team di Mandiant Threat Defense e forniscono una base di riferimento per le operazioni di ricerca delle minacce. I rilevamenti di queste regole possono essere utilizzati nelle regole composite. Questa categoria include i seguenti insiemi di regole:

• Regole di identificazione del cloud: logica derivata dall'indagine e dalla risposta di Mandiant Threat Defense agli incidenti cloud in tutto il mondo. Queste regole sono progettate per rilevare eventi cloud pertinenti per la sicurezza e sono progettate per essere utilizzate dalle regole di correlazione nel set di regole composite del cloud.

• Regole di identificazione degli endpoint: logica derivata dall'indagine e dalla risposta di Mandiant Threat Defense agli incidenti in tutto il mondo. Queste regole sono progettate per rilevare eventi degli endpoint pertinenti alla sicurezza e sono pensate per essere utilizzate dalle regole di correlazione nel set di regole composite degli endpoint.

Dispositivi e tipi di log supportati

Queste regole si basano principalmente sui log di Cloud Audit Logs, sui log di rilevamento e risposta degli endpoint e sui log proxy di rete. Il modello UDM (Unified Data Model) di Google SecOps normalizza automaticamente queste origini log.

Per un elenco di tutte le origini dati supportate da Google SecOps, consulta Parser predefiniti supportati.

Le seguenti categorie descrivono le origini log più importanti necessarie per il funzionamento efficace dei contenuti compositi curati:

Origini log delle regole di identificazione degli endpoint

• Minacce per Linux
• Minacce per macOS
• Minacce per Windows

Google Cloud origini log delle regole di identificazione

• MinacceGoogle Cloud
• AWS
• Microsoft Azure
• Microsoft Office 365
• Okta

Google Cloud e origini log delle regole degli endpoint

• Applied Threat Intelligence
• Minacce di Chrome Enterprise Premium
• Analisi dei rischi per UEBA

Per un elenco completo dei rilevamenti curati disponibili, vedi Utilizzare i rilevamenti curati. Contatta il tuo rappresentante Google SecOps se devi attivare le origini di rilevamento utilizzando un meccanismo diverso.

Google SecOps fornisce parser predefiniti che analizzano e normalizzano i log non elaborati per creare record UDM con i dati richiesti dai set di regole di rilevamento compositi e curati. Per un elenco di tutte le origini dati supportate da Google SecOps, consulta Tipi di log e parser predefiniti supportati.

Modificare le regole in un insieme di regole

Puoi personalizzare il comportamento delle regole all'interno di un insieme di regole in base alle esigenze della tua organizzazione. Modifica il funzionamento di ogni regola selezionando una delle seguenti modalità di rilevamento e configura se le regole generano avvisi:

• Generale:rileva comportamenti potenzialmente dannosi o anomali, ma potrebbe produrre più falsi positivi a causa della natura generale della regola.
• Precise:rileva comportamenti dannosi o anomali specifici.

Per modificare le impostazioni:

1. Nell'elenco delle regole, seleziona la casella di controllo accanto a ogni regola da modificare.
2. Configura le impostazioni Stato e Avvisi per le regole nel seguente modo:
   • Stato:applica la modalità (Precisa o Generica) alla regola selezionata. Imposta su Enabled per attivare lo stato della regola nella modalità.
   • Avvisi:controlla se la regola genera un avviso nella pagina Avvisi. Imposta l'opzione su On per attivare gli avvisi.

Ottimizzare gli avvisi dai set di regole

Puoi ridurre il numero di avvisi generati da una regola composita utilizzando le esclusioni delle regole.

Un'esclusione di regole specifica i criteri che impediscono la valutazione di determinati eventi da parte di una regola o di un insieme di regole. Utilizza le esclusioni per ridurre il volume del rilevamento. Per saperne di più, consulta Configurare le esclusioni delle regole.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.