Utilizzare regole di rilevamento curate per gli avvisi dei fornitori di terze parti

Supportato in:

Questo documento fornisce una panoramica dei set di regole nella categoria Avvisi di fornitori terzi, delle origini dati richieste e della configurazione che puoi utilizzare per ottimizzare gli avvisi generati da ogni set di regole.

I set di regole nella categoria degli avvisi dei fornitori di terze parti mostrano gli avvisi dei fornitori di terze parti come rilevamenti di Google Security Operations. Questa categoria include i seguenti insiemi di regole:

  • Avvisi Carbon Black: regole di passthrough per gli avvisi Carbon Black.
  • Avvisi CrowdStrike: regole di passthrough per gli avvisi CrowdStrike.
  • Avvisi di Microsoft Defender for Endpoint: regole di passthrough per gli avvisi del grafico di Microsoft Defender for Endpoint.
  • Avvisi sulle minacce di SentinelOne: regole di passthrough per gli avvisi di SentinelOne.

Dispositivi e tipi di log supportati

Questa sezione elenca i dati richiesti da ciascun insieme di regole.

I set di regole nella categoria Avvisi di fornitori di terze parti sono stati testati e sono supportati con le seguenti origini dati EDR supportate da Google SecOps:

  • Carbon Black (CB_EDR)
  • Crowdstrike Falcon (CS_EDR)
  • Microsoft Defender for Endpoint (MICROSOFT_GRAPH_ALERT)
  • SentinelOne CF (SENTINELONE_CF)

Per un elenco di tutte le origini dati supportate da Google SecOps, consulta Tipi di log e parser predefiniti supportati.

Ottimizzare gli avvisi restituiti dai set di regole

Puoi ridurre il numero di rilevamenti generati da una regola o da un insieme di regole utilizzando le esclusioni delle regole.

Un'esclusione di regole definisce i criteri utilizzati per escludere un evento dalla valutazione da parte del set di regole o di regole specifiche nel set di regole. Puoi creare una o più esclusioni di regole per ridurre il volume dei rilevamenti. Per ulteriori informazioni, consulta Configurare le esclusioni delle regole.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.