Usar reglas de detección seleccionadas para alertas de terceros

Disponible en:

En este documento se ofrece una descripción general de los conjuntos de reglas de la categoría Alertas de proveedores externos, las fuentes de datos necesarias y la configuración que puede usar para ajustar las alertas generadas por cada conjunto de reglas.

Los conjuntos de reglas de la categoría de alertas de proveedores externos muestran las alertas de proveedores externos como detecciones de Google Security Operations. Esta categoría incluye los siguientes conjuntos de reglas:

  • Alertas de Carbon Black: reglas de transferencia para alertas de Carbon Black.
  • Alertas de CrowdStrike: reglas de transferencia para alertas de CrowdStrike.
  • Alertas de Microsoft Defender for Endpoint: reglas de transferencia para alertas de Microsoft Defender for Endpoint Graph.
  • Alertas de amenazas de SentinelOne: reglas de transferencia para alertas de SentinelOne.
  • Reglas de pasarela de Cybereason EDR: reglas de pasarela para alertas de Cybereason EDR.
  • Reglas de pasarela de EDR de Deep Instinct: reglas de pasarela para las alertas de EDR de Deep Instinct.
  • Reglas de paso a través de Digital Guardian EDR: reglas de paso a través para alertas de Digital Guardian EDR.
  • Reglas de transferencia de ESET EDR: reglas de transferencia de alertas de ESET EDR.
  • Reglas de transferencia de Fortinet FortiEDR: reglas de transferencia para alertas de Fortinet FortiEDR.
  • Reglas de transferencia de LimaCharlie EDR: reglas de transferencia de alertas de LimaCharlie EDR.
  • Reglas de pasarela de MalwareBytes EDR: reglas de pasarela para alertas de MalwareBytes EDR.
  • Reglas de pasarela de PAN EDR: reglas de pasarela para alertas de PAN EDR.
  • Reglas de pasarela de Sophos EDR: reglas de pasarela para alertas de Sophos EDR.
  • Reglas de transferencia de Symantec EDR: reglas de transferencia para alertas de Symantec EDR.
  • Reglas de transferencia de Uptycs EDR: reglas de transferencia para alertas de Uptycs EDR.

Dispositivos y tipos de registros admitidos

En esta sección se indican los datos que requiere cada conjunto de reglas.

Los conjuntos de reglas de la categoría de alertas de proveedores externos se han probado y son compatibles con las siguientes fuentes de datos de EDR compatibles con Google SecOps:

  • Carbon Black (CB_EDR)
  • Monitorización de detecciones de CrowdStrike (CS_DETECTS)
  • Microsoft Defender for Endpoint (MICROSOFT_GRAPH_ALERT)
  • SentinelOne CF (SENTINELONE_CF)
  • Cybereason EDR (CYBEREASON_EDR)
  • Deep Instinct EDR (DEEP_INSTINCT_EDR)
  • Digital Guardian EDR (DIGITAL_GUARDIAN_EDR)
  • ESET EDR (ESET_EDR)
  • FortiEDR de Fortinet (FORTINET_FORTIEDR)
  • EDR de LimaCharlie (LIMACHARLIE_EDR)
  • MalwareBytes EDR (MALWAREBYTES_EDR)
  • PAN EDR (PAN_EDR)
  • Sophos EDR (SOPHOS_EDR)
  • Symantec EDR (SYMANTEC_EDR)
  • EDR de Uptycs (UPTYCS_EDR)

Para ver una lista de todas las fuentes de datos admitidas por Google SecOps, consulta Tipos de registros y analizadores predeterminados admitidos.

Ajustar las alertas devueltas por los conjuntos de reglas

Puedes reducir el número de detecciones que genera una regla o un conjunto de reglas mediante exclusiones de reglas.

Una exclusión de regla define los criterios que se utilizan para excluir un evento de la evaluación del conjunto de reglas o de reglas específicas del conjunto de reglas. Puedes crear una o varias exclusiones de reglas para reducir el volumen de detecciones. Para obtener más información, consulta el artículo sobre cómo configurar exclusiones de reglas.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.