Mandiant 搜寻规则类别概览

本文档概述了 Mandiant 搜索规则集、所需的数据源，以及用于调整 Google Security Operations 平台中生成的提醒的配置选项。

Mandiant 搜索规则可识别云数据和端点数据中与安全性相关的事件。这些规则是与 Mandiant Threat Defense 团队协调开发的，可为威胁搜寻操作提供基准。这些规则的检测结果可用于复合规则。此类别包含以下规则集：

• 云识别规则：从 Mandiant Threat Defense 对全球云突发事件的调查和响应中得出的逻辑。这些规则旨在检测与安全性相关的云事件，并旨在供云复合规则集中的关联规则使用。

• 端点识别规则：从 Mandiant Threat Defense 对全球事件的调查和响应中得出的逻辑。这些规则旨在检测与安全相关的端点事件，并供端点复合规则集中的关联规则使用。

支持的设备和日志类型

这些规则主要依赖于 Cloud Audit Logs 日志、端点检测和响应日志以及网络代理日志。Google SecOps 统一数据模型 (UDM) 会自动对这些日志源进行标准化处理。

如需查看 Google SecOps 支持的所有数据源的列表，请参阅支持的默认解析器。

以下类别列出了精选的复合内容有效运行所需的最重要日志来源：

端点识别规则日志源

• Linux 威胁
• macOS 威胁
• Windows 威胁

Google Cloud 识别规则日志源

• Google Cloud 威胁
• AWS
• Microsoft Azure
• Microsoft Office 365
• Okta

Google Cloud 和端点规则日志源

• 实用威胁情报
• Chrome 企业进阶版威胁
• UEBA 的风险分析

如需查看可用精选检测的完整列表，请参阅使用精选检测。 如果您需要使用其他机制启用检测来源，请与您的 Google SecOps 代表联系。

Google SecOps 提供默认解析器，用于解析和标准化原始日志，以创建包含复合检测规则集和精选检测规则集所需数据的 UDM 记录。如需查看 Google SecOps 支持的所有数据源的列表，请参阅支持的日志类型和默认解析器。

修改规则集中的规则

您可以自定义规则集内规则的行为，以满足组织的需要。选择以下检测模式之一，调整每条规则的运作方式，并配置规则是否生成提醒：

• 宽泛：检测潜在的恶意行为或异常行为，但由于规则的通用性，可能会产生更多误报。
• 精确：检测特定的恶意行为或异常行为。

如需修改设置，请执行以下操作：

1. 在规则列表中，选中要修改的每条规则旁边的复选框。
2. 为规则配置状态和提醒设置，如下所示：
   • 状态：将模式（精确或宽泛）应用于所选规则。设置为 Enabled 可将规则的状态激活为相应模式。
   • 提醒：控制规则是否在提醒页面上生成提醒。设置为开启可启用提醒。

调整规则集中的提醒

您可以使用规则排除对象来减少复合规则生成的提醒数量。

规则排除对象用于指定可防止规则或规则集评估特定事件的条件。使用排除对象来减少检测量。 如需了解详情，请参阅配置规则排除项。

需要更多帮助？获得社区成员和 Google SecOps 专业人士的解答。