Usa reglas de detección seleccionadas para las alertas de terceros

Compatible con:

En este documento, se proporciona una descripción general de los conjuntos de reglas dentro de la categoría Alertas de proveedores externos, las fuentes de datos requeridas y la configuración que puedes usar para ajustar las alertas que genera cada conjunto de reglas.

Los conjuntos de reglas de la categoría de alertas de proveedores externos muestran las alertas de proveedores externos como detecciones de Google Security Operations. Esta categoría incluye los siguientes conjuntos de reglas:

  • Alertas de Carbon Black: Son reglas de transferencia para las alertas de Carbon Black.
  • Alertas de CrowdStrike: Son reglas de transferencia para las alertas de CrowdStrike.
  • Alertas de Microsoft Defender for Endpoint: Reglas de transferencia para las alertas del gráfico de Microsoft Defender for Endpoint.
  • Alertas de amenazas de SentinelOne: Son reglas de transferencia para las alertas de SentinelOne.
  • Reglas de transferencia de EDR de Cybereason: Son reglas de transferencia para las alertas de EDR de Cybereason.
  • Reglas de transferencia de EDR de Deep Instinct: Son reglas de transferencia para las alertas de EDR de Deep Instinct.
  • Reglas de transferencia de EDR de Digital Guardian: Son reglas de transferencia para las alertas de EDR de Digital Guardian.
  • Reglas de transferencia de ESET EDR: Son reglas de transferencia para las alertas de ESET EDR.
  • Fortinet FortiEDR Passthrough rules: Son reglas de transferencia para las alertas de Fortinet FortiEDR.
  • Reglas de transferencia de EDR de LimaCharlie: Son reglas de transferencia para las alertas de EDR de LimaCharlie.
  • Reglas de transferencia de EDR de MalwareBytes: Son reglas de transferencia para las alertas de EDR de MalwareBytes.
  • Reglas de transferencia de PAN EDR: Son reglas de transferencia para las alertas de PAN EDR.
  • Reglas de transferencia de Sophos EDR: Son reglas de transferencia para las alertas de Sophos EDR.
  • Reglas de transferencia de EDR de Symantec: Son reglas de transferencia para las alertas de EDR de Symantec.
  • Reglas de transferencia de EDR de Uptycs: Son reglas de transferencia para las alertas de EDR de Uptycs.

Dispositivos y tipos de registros compatibles

En esta sección, se enumeran los datos que requiere cada conjunto de reglas.

Los conjuntos de reglas de la categoría de alertas de proveedores externos se probaron y se admiten con las siguientes fuentes de datos de EDR compatibles con Google SecOps:

  • Carbon Black (CB_EDR)
  • Supervisión de detección de CrowdStrike (CS_DETECTS)
  • Microsoft Defender for Endpoint (MICROSOFT_GRAPH_ALERT)
  • SentinelOne CF (SENTINELONE_CF)
  • EDR de Cybereason (CYBEREASON_EDR)
  • EDR de Deep Instinct (DEEP_INSTINCT_EDR)
  • EDR de Digital Guardian (DIGITAL_GUARDIAN_EDR)
  • ESET EDR (ESET_EDR)
  • Fortinet FortiEDR (FORTINET_FORTIEDR)
  • EDR de LimaCharlie (LIMACHARLIE_EDR)
  • EDR de MalwareBytes (MALWAREBYTES_EDR)
  • EDR de PAN (PAN_EDR)
  • Sophos EDR (SOPHOS_EDR)
  • Symantec EDR (SYMANTEC_EDR)
  • EDR de Uptycs (UPTYCS_EDR)

Para obtener una lista de todas las fuentes de datos compatibles con Google SecOps, consulta Tipos de registros admitidos y analizadores predeterminados.

Ajusta las alertas que muestran los conjuntos de reglas

Puedes reducir la cantidad de detecciones que genera una regla o un conjunto de reglas con las exclusiones de reglas.

Una exclusión de regla define los criterios que se usan para excluir un evento de la evaluación del conjunto de reglas o de reglas específicas del conjunto de reglas. Puedes crear una o más exclusiones de reglas para reducir la cantidad de detecciones. Consulta Cómo configurar exclusiones de reglas para obtener más información.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.