Menggunakan aturan deteksi terseleksi untuk notifikasi vendor pihak ketiga

Dokumen ini memberikan ringkasan set aturan dalam kategori peringatan vendor pihak ketiga, sumber data yang diperlukan, dan konfigurasi yang dapat Anda gunakan untuk menyesuaikan peringatan yang dihasilkan oleh setiap set aturan.

Set aturan dalam kategori pemberitahuan vendor pihak ketiga menampilkan pemberitahuan vendor pihak ketiga sebagai deteksi Operasi Keamanan Google. Kategori ini mencakup set aturan berikut:

• Peringatan Carbon Black: Aturan passthrough untuk peringatan Carbon Black.
• Peringatan CrowdStrike: Aturan teruskan untuk peringatan CrowdStrike.
• Pemberitahuan Microsoft Defender for Endpoint: Aturan teruskan untuk pemberitahuan Microsoft Defender for Endpoint Graph.
• Notifikasi Ancaman SentinelOne: Aturan teruskan untuk notifikasi SentinelOne.

Perangkat dan jenis log yang didukung

Bagian ini mencantumkan data yang diperlukan oleh setiap set aturan.

Set aturan dalam kategori pemberitahuan vendor pihak ketiga telah diuji dan didukung dengan sumber data EDR yang didukung Google SecOps berikut:

• Carbon Black (CB_EDR)
• Crowdstrike Falcon (CS_EDR)
• Microsoft Defender untuk Endpoint (MICROSOFT_GRAPH_ALERT)
• SentinelOne CF (SENTINELONE_CF)

Untuk mengetahui daftar semua sumber data yang didukung Google SecOps, lihat Jenis log dan parser default yang didukung.

Menyesuaikan pemberitahuan yang ditampilkan oleh set aturan

Anda dapat mengurangi jumlah deteksi yang dihasilkan oleh aturan atau kumpulan aturan menggunakan pengecualian aturan.

Pengecualian aturan menentukan kriteria yang digunakan untuk mengecualikan peristiwa agar tidak dievaluasi oleh set aturan, atau oleh aturan tertentu dalam set aturan. Anda dapat membuat satu atau beberapa pengecualian aturan untuk membantu mengurangi volume deteksi. Lihat Mengonfigurasi pengecualian aturan untuk mengetahui informasi selengkapnya.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.