Cette page a été traduite par l'API Cloud Translation.

Utiliser des règles de détection sélectionnées pour les alertes de fournisseurs tiers

Compatible avec :

Google SecOps SIEM

Ce document présente les ensembles de règles de la catégorie Alertes concernant les fournisseurs tiers, les sources de données requises et la configuration que vous pouvez utiliser pour ajuster les alertes générées par chaque ensemble de règles.

Les ensembles de règles de la catégorie "Alertes de fournisseurs tiers" affichent les alertes de fournisseurs tiers en tant que détections Google Security Operations. Cette catégorie inclut les ensembles de règles suivants :

Alertes Carbon Black : règles de transfert pour les alertes Carbon Black.
Alertes CrowdStrike : règles de transfert pour les alertes CrowdStrike.
Alertes Microsoft Defender pour point de terminaison : règles de transfert pour les alertes Graph Microsoft Defender pour point de terminaison.
Alertes SentinelOne sur les menaces : règles de transfert pour les alertes SentinelOne.

Appareils et types de journaux compatibles

Cette section liste les données requises par chaque ensemble de règles.

Les ensembles de règles de la catégorie "Alertes de fournisseurs tiers" ont été testés et sont compatibles avec les sources de données EDR Google SecOps suivantes :

Carbon Black (CB_EDR)
Crowdstrike Falcon (CS_EDR)
Microsoft Defender for Endpoint (MICROSOFT_GRAPH_ALERT)
SentinelOne CF (SENTINELONE_CF)

Pour obtenir la liste de toutes les sources de données compatibles avec Google SecOps, consultez Types de journaux et analyseurs par défaut acceptés.

Ajuster les alertes renvoyées par les ensembles de règles

Vous pouvez réduire le nombre de détections générées par une règle ou un ensemble de règles à l'aide des exclusions de règles.

Une exclusion de règle définit les critères utilisés pour empêcher l'évaluation d'un événement par l'ensemble de règles ou par des règles spécifiques de l'ensemble de règles. Vous pouvez créer une ou plusieurs exclusions de règles pour réduire le volume de détections. Pour en savoir plus, consultez Configurer des exclusions de règles.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.