使用精选检测规则来生成第三方提醒
支持的平台:
Google SecOps
SIEM
本文档概述了第三方供应商提醒类别中的规则集、所需的数据源,以及可用于调整每个规则集生成的提醒的配置。
第三方供应商提醒类别中的规则集会将第三方供应商提醒显示为 Google Security Operations 检测结果。此类别包括以下规则集:
- Carbon Black 提醒:Carbon Black 提醒的直通规则。
- CrowdStrike 提醒:CrowdStrike 提醒的直通规则。
- Microsoft Defender for Endpoint 提醒:Microsoft Defender for Endpoint Graph 提醒的直通规则。
- SentinelOne 威胁提醒:SentinelOne 提醒的直通规则。
- Cybereason EDR 直通规则:针对 Cybereason EDR 警报的直通规则。
- Deep Instinct EDR 直通规则:Deep Instinct EDR 警报的直通规则。
- Digital Guardian EDR 直通规则:Digital Guardian EDR 警报的直通规则。
- ESET EDR 直通规则:针对 ESET EDR 警报的直通规则。
- Fortinet FortiEDR 直通规则:针对 Fortinet FortiEDR 提醒的直通规则。
- LimaCharlie EDR 直通规则:LimaCharlie EDR 提醒的直通规则。
- MalwareBytes EDR 直通规则:MalwareBytes EDR 提醒的直通规则。
- PAN EDR 直通规则:PAN EDR 提醒的直通规则。
- Sophos EDR 直通规则:Sophos EDR 警报的直通规则。
- Symantec EDR 直通规则:Symantec EDR 警报的直通规则。
- Uptycs EDR 直通规则:Uptycs EDR 警报的直通规则。
支持的设备和日志类型
本部分列出了每个规则集所需的数据。
第三方供应商提醒类别中的规则集已经过测试,并且支持以下 Google SecOps 支持的 EDR 数据源:
- Carbon Black (
CB_EDR) - CrowdStrike 检测监控 (
CS_ALERTS) - Microsoft Defender for Endpoint (
MICROSOFT_GRAPH_ALERT) - SentinelOne CF (
SENTINELONE_CF) - Cybereason EDR (
CYBEREASON_EDR) - Deep Instinct EDR (
DEEP_INSTINCT_EDR) - Digital Guardian EDR (
DIGITAL_GUARDIAN_EDR) - ESET EDR (
ESET_EDR) - Fortinet FortiEDR (
FORTINET_FORTIEDR) - LimaCharlie EDR (
LIMACHARLIE_EDR) - MalwareBytes EDR (
MALWAREBYTES_EDR) - PAN EDR (
PAN_EDR) - Sophos EDR (
SOPHOS_EDR) - Symantec EDR (
SYMANTEC_EDR) - Uptycs EDR (
UPTYCS_EDR)
如需查看 Google SecOps 支持的所有数据源的列表,请参阅支持的日志类型和默认解析器。
调整规则集返回的提醒
您可以使用规则排除项来减少规则或规则集生成的检测数量。
规则排除项定义了用于排除某个事件的条件,以使该事件不被规则集或规则集中的特定规则评估。您可以创建一个或多个规则排除项,以帮助减少检测量。如需了解详情,请参阅配置规则排除项。
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。