サードパーティ ベンダーのアラートにキュレーテッド検出ルールを使用する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、サードパーティ ベンダーのアラート カテゴリのルールセットの概要、必要なデータソース、各ルールセットによって生成されるアラートの調整に使用できる構成について説明します。
サードパーティ ベンダー アラート カテゴリのルールセットは、サードパーティ ベンダー アラートを Google Security Operations 検出として表示します。このカテゴリには、次のルールセットが含まれます。
- Carbon Black アラート: Carbon Black アラートのパススルー ルール。
- CrowdStrike アラート: CrowdStrike アラートのパススルー ルール。
- Microsoft Defender for Endpoint アラート: Microsoft Defender for Endpoint Graph アラートのパススルー ルール。
- SentinelOne Threats アラート: SentinelOne アラートのパススルー ルール。
サポート対象のデバイスとログタイプ
このセクションでは、各ルールセットに必要なデータを示します。
サードパーティ ベンダー アラートのカテゴリのルールセットはテスト済みであり、Google SecOps のサポート対象となっている次の EDR データソースでサポートされています。
- Carbon Black (
CB_EDR) - Crowdstrike Falcon (
CS_EDR) - Microsoft Defender for Endpoint(
MICROSOFT_GRAPH_ALERT) - SentinelOne CF(
SENTINELONE_CF)
Google SecOps がサポートするすべてのデータソースのリストについては、サポートされているログタイプとデフォルト パーサーをご覧ください。
ルールセットによって返されるアラートを調整する
ルール除外を使用して、ルールまたはルールセットが生成する検出数を減らすことができます。
ルールの除外では、ルールセットまたはルールセット内の特定のルールによる評価対象からイベントを除外するために使用される条件を定義します。1 つ以上のルールの除外を作成して、検出の量を減らすことができます。詳細については、ルールの除外対象の構成をご覧ください。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。