Utilizzare regole di rilevamento selezionate per gli avvisi di terze parti

Supportato in:

Questo documento fornisce una panoramica dei set di regole all'interno della categoria Avvisi per fornitori di terze parti, delle origini dati richieste e della configurazione che puoi utilizzare per ottimizzare gli avvisi generati da ogni set di regole.

I set di regole nella categoria degli avvisi dei fornitori di terze parti mostrano gli avvisi dei fornitori di terze parti come rilevamenti di Google Security Operations. Questa categoria include i seguenti insiemi di regole:

  • Avvisi Carbon Black: regole di passthrough per gli avvisi Carbon Black.
  • Avvisi CrowdStrike: regole di passthrough per gli avvisi CrowdStrike.
  • Avvisi di Microsoft Defender for Endpoint: regole di passthrough per gli avvisi del grafico di Microsoft Defender for Endpoint.
  • Avvisi sulle minacce di SentinelOne: regole di passthrough per gli avvisi di SentinelOne.
  • Regole di passthrough Cybereason EDR: regole di passthrough per gli avvisi Cybereason EDR.
  • Regole di passthrough di Deep Instinct EDR: regole di passthrough per gli avvisi di Deep Instinct EDR.
  • Regole di passthrough di Digital Guardian EDR: regole di passthrough per gli avvisi di Digital Guardian EDR.
  • Regole passthrough ESET EDR: regole passthrough per gli avvisi ESET EDR.
  • Regole passthrough di Fortinet FortiEDR: regole passthrough per gli avvisi di Fortinet FortiEDR.
  • Regole passthrough di LimaCharlie EDR: regole passthrough per gli avvisi di LimaCharlie EDR.
  • Regole passthrough di MalwareBytes EDR: regole passthrough per gli avvisi di MalwareBytes EDR.
  • Regole di passthrough PAN EDR: regole di passthrough per gli avvisi PAN EDR.
  • Regole passthrough di Sophos EDR: regole passthrough per gli avvisi di Sophos EDR.
  • Regole di passthrough di Symantec EDR: regole di passthrough per gli avvisi di Symantec EDR.
  • Regole passthrough Uptycs EDR: regole passthrough per gli avvisi Uptycs EDR.

Dispositivi e tipi di log supportati

Questa sezione elenca i dati richiesti da ciascun insieme di regole.

I set di regole nella categoria Avvisi di fornitori di terze parti sono stati testati e sono supportati con le seguenti origini dati EDR supportate da Google SecOps:

  • Carbon Black (CB_EDR)
  • Monitoraggio del rilevamento CrowdStrike (CS_DETECTS)
  • Microsoft Defender for Endpoint (MICROSOFT_GRAPH_ALERT)
  • SentinelOne CF (SENTINELONE_CF)
  • Cybereason EDR (CYBEREASON_EDR)
  • Deep Instinct EDR (DEEP_INSTINCT_EDR)
  • Digital Guardian EDR (DIGITAL_GUARDIAN_EDR)
  • ESET EDR (ESET_EDR)
  • Fortinet FortiEDR (FORTINET_FORTIEDR)
  • LimaCharlie EDR (LIMACHARLIE_EDR)
  • MalwareBytes EDR (MALWAREBYTES_EDR)
  • PAN EDR (PAN_EDR)
  • Sophos EDR (SOPHOS_EDR)
  • Symantec EDR (SYMANTEC_EDR)
  • Uptycs EDR (UPTYCS_EDR)

Per un elenco di tutte le origini dati supportate da Google SecOps, consulta Tipi di log e parser predefiniti supportati.

Ottimizzare gli avvisi restituiti dai set di regole

Puoi ridurre il numero di rilevamenti generati da una regola o da un insieme di regole utilizzando le esclusioni delle regole.

Un'esclusione di regole definisce i criteri utilizzati per escludere un evento dalla valutazione da parte del set di regole o di regole specifiche nel set di regole. Puoi creare una o più esclusioni di regole per ridurre il volume dei rilevamenti. Per ulteriori informazioni, consulta Configurare le esclusioni delle regole.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.