Mandiant 搜尋規則類別總覽

本文將概要介紹 Mandiant Hunting Rule 集、必要資料來源，以及在 Google Security Operations 平台中調整警報的設定選項。

Mandiant Hunting Rules 可識別雲端和端點資料的安全相關事件。這些規則是與 Mandiant Threat Defense 團隊合作制定，可做為威脅搜尋作業的基準。這些規則的偵測結果可用於複合規則。這個類別包含下列規則集：

• 雲端識別規則：從 Mandiant Threat Defense 調查和回應全球雲端事件中衍生的邏輯。這些規則旨在偵測與安全性相關的雲端事件，並供雲端複合規則集中的關聯規則使用。

• 端點識別規則：邏輯衍生自 Mandiant Threat Defense 的調查和回應，可處理全球各地的事件。這些規則旨在偵測與安全性相關的端點事件，並供端點複合規則集中的關聯規則使用。

支援的裝置和記錄類型

這些規則主要依據 Cloud 稽核記錄、端點偵測和回應記錄，以及網路 Proxy 記錄。Google SecOps 統一資料模型 (UDM) 會自動正規化這些記錄來源。

如需 Google SecOps 支援的所有資料來源清單，請參閱「支援的預設剖析器」。

以下類別列出精選複合內容有效運作所需的最重要記錄來源：

端點識別規則記錄來源

• Linux 威脅
• macOS 威脅
• Windows 威脅

Google Cloud 識別規則記錄來源

• Google Cloud 威脅
• AWS
• Microsoft Azure
• Microsoft Office 365
• Okta

Google Cloud 和端點規則記錄來源

• 應用威脅情報
• Chrome Enterprise 進階版威脅
• UEBA 的風險分析

如需可用精選偵測項目的完整清單，請參閱「使用精選偵測項目」。如需使用其他機制啟用偵測來源，請與 Google SecOps 代表聯絡。

Google SecOps 提供預設剖析器，可剖析及正規化原始記錄，建立 UDM 記錄，其中包含複合式和精選偵測規則集所需的資料。如需 Google SecOps 支援的所有資料來源清單，請參閱「支援的記錄類型和預設剖析器」。

修改規則集中的規則

您可以自訂規則集中的規則行為，以符合貴機構的需求。選取下列其中一種偵測模式，調整每項規則的運作方式，並設定規則是否要產生快訊：

• 廣泛：偵測可能具有惡意的行為或異常狀況，但由於規則性質較為一般，因此誤判的機率較高。
• 精確：偵測特定惡意或異常行為。

如要修改設定，請按照下列步驟操作：

1. 在規則清單中，找出要修改的規則，然後勾選旁邊的核取方塊。
2. 為規則設定「狀態」和「快訊」，如下所示：
   • 狀態：將模式 (「精確」或「廣泛」) 套用至所選規則。設為 Enabled，即可將規則狀態設為該模式。
   • 快訊：控制規則是否要在「快訊」頁面產生快訊。設為「開啟」即可啟用快訊。

調整規則集的快訊

您可以使用規則排除條件，減少複合規則產生的快訊數量。

規則排除條件會指定條件，防止規則或規則集評估特定事件。使用排除條件減少偵測量。詳情請參閱「設定規則排除條件」。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。