Utiliser des règles de détection sélectionnées pour les alertes tierces

Compatible avec :

Ce document présente les ensembles de règles de la catégorie Alertes concernant les fournisseurs tiers, les sources de données requises et la configuration que vous pouvez utiliser pour ajuster les alertes générées par chaque ensemble de règles.

Les ensembles de règles de la catégorie "Alertes de fournisseurs tiers" affichent les alertes de fournisseurs tiers en tant que détections Google Security Operations. Cette catégorie inclut les ensembles de règles suivants :

  • Alertes Carbon Black : règles de transfert pour les alertes Carbon Black.
  • Alertes CrowdStrike : règles de transfert pour les alertes CrowdStrike.
  • Alertes Microsoft Defender pour point de terminaison : règles de transfert pour les alertes Graph Microsoft Defender pour point de terminaison.
  • Alertes SentinelOne sur les menaces : règles de transfert pour les alertes SentinelOne.
  • Règles de transfert Cybereason EDR : règles de transfert pour les alertes Cybereason EDR.
  • Règles de transfert Deep Instinct EDR : règles de transfert pour les alertes Deep Instinct EDR.
  • Règles de transfert Digital Guardian EDR : règles de transfert pour les alertes Digital Guardian EDR.
  • Règles de transfert ESET EDR : règles de transfert pour les alertes ESET EDR.
  • Règles passthrough Fortinet FortiEDR : règles passthrough pour les alertes Fortinet FortiEDR.
  • Règles de transfert LimaCharlie EDR : règles de transfert pour les alertes LimaCharlie EDR.
  • Règles de transfert MalwareBytes EDR : règles de transfert pour les alertes MalwareBytes EDR.
  • Règles de transfert PAN EDR : règles de transfert pour les alertes PAN EDR.
  • Règles de transfert Sophos EDR : règles de transfert pour les alertes Sophos EDR.
  • Règles de transfert Symantec EDR : règles de transfert pour les alertes Symantec EDR.
  • Règles de transfert Uptycs EDR : règles de transfert pour les alertes Uptycs EDR.

Appareils et types de journaux compatibles

Cette section liste les données requises par chaque ensemble de règles.

Les ensembles de règles de la catégorie "Alertes de fournisseurs tiers" ont été testés et sont compatibles avec les sources de données EDR Google SecOps suivantes :

  • Carbon Black (CB_EDR)
  • Surveillance des détections CrowdStrike (CS_DETECTS)
  • Microsoft Defender for Endpoint (MICROSOFT_GRAPH_ALERT)
  • SentinelOne CF (SENTINELONE_CF)
  • Cybereason EDR (CYBEREASON_EDR)
  • Deep Instinct EDR (DEEP_INSTINCT_EDR)
  • Digital Guardian EDR (DIGITAL_GUARDIAN_EDR)
  • ESET EDR (ESET_EDR)
  • Fortinet FortiEDR (FORTINET_FORTIEDR)
  • LimaCharlie EDR (LIMACHARLIE_EDR)
  • MalwareBytes EDR (MALWAREBYTES_EDR)
  • PAN EDR (PAN_EDR)
  • Sophos EDR (SOPHOS_EDR)
  • Symantec EDR (SYMANTEC_EDR)
  • Uptycs EDR (UPTYCS_EDR)

Pour obtenir la liste de toutes les sources de données compatibles avec Google SecOps, consultez Types de journaux et analyseurs par défaut acceptés.

Ajuster les alertes renvoyées par les ensembles de règles

Vous pouvez réduire le nombre de détections générées par une règle ou un ensemble de règles à l'aide des exclusions de règles.

Une exclusion de règle définit les critères utilisés pour empêcher l'évaluation d'un événement par l'ensemble de règles ou par des règles spécifiques de l'ensemble de règles. Vous pouvez créer une ou plusieurs exclusions de règles pour réduire le volume de détections. Pour en savoir plus, consultez Configurer des exclusions de règles.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.