서드 파티 알림에 선별된 감지 규칙 사용

이 문서에서는 서드 파티 공급업체 알림 카테고리의 규칙 집합, 필요한 데이터 소스, 각 규칙 집합에서 생성된 알림을 조정하는 데 사용할 수 있는 구성에 대해 간략하게 설명합니다.

서드 파티 공급업체 알림 카테고리의 규칙 집합은 서드 파티 공급업체 알림을 Google Security Operations 감지로 표시합니다. 이 카테고리에는 다음 규칙 집합이 포함됩니다.

• Carbon Black 알림: Carbon Black 알림의 패스 스루 규칙입니다.
• CrowdStrike 알림: CrowdStrike 알림의 패스스루 규칙입니다.
• 엔드포인트용 Microsoft Defender 알림: 엔드포인트용 Microsoft Defender 그래프 알림의 통과 규칙입니다.
• SentinelOne 위협 알림: SentinelOne 알림의 패스스루 규칙입니다.
• Cybereason EDR 패스 스루 규칙: Cybereason EDR 알림의 패스 스루 규칙입니다.
• Deep Instinct EDR 통과 규칙: Deep Instinct EDR 알림의 통과 규칙입니다.
• Digital Guardian EDR 통과 규칙: Digital Guardian EDR 알림의 통과 규칙입니다.
• ESET EDR 패스 스루 규칙: ESET EDR 알림의 패스 스루 규칙입니다.
• Fortinet FortiEDR 패스 스루 규칙: Fortinet FortiEDR 알림의 패스 스루 규칙입니다.
• LimaCharlie EDR 패스 스루 규칙: LimaCharlie EDR 알림의 패스 스루 규칙입니다.
• MalwareBytes EDR 통과 규칙: MalwareBytes EDR 알림의 통과 규칙입니다.
• PAN EDR 통과 규칙: PAN EDR 알림의 통과 규칙입니다.
• Sophos EDR 패스스루 규칙: Sophos EDR 알림의 패스스루 규칙입니다.
• Symantec EDR 통과 규칙: Symantec EDR 알림의 통과 규칙입니다.
• Uptycs EDR 패스스루 규칙: Uptycs EDR 알림의 패스스루 규칙입니다.

지원되는 기기 및 로그 유형

이 섹션에서는 각 규칙 집합에 필요한 데이터를 나열합니다.

서드 파티 공급업체 알림 카테고리의 규칙 집합은 테스트되었으며 다음과 같은 Google SecOps 지원 EDR 데이터 소스에서 지원됩니다.

• Carbon Black(CB_EDR)
• CrowdStrike 감지 모니터링 (CS_DETECTS)
• 엔드포인트용 Microsoft Defender (MICROSOFT_GRAPH_ALERT)
• SentinelOne CF (SENTINELONE_CF)
• Cybereason EDR(CYBEREASON_EDR)
• Deep Instinct EDR (DEEP_INSTINCT_EDR)
• Digital Guardian EDR (DIGITAL_GUARDIAN_EDR)
• ESET EDR (ESET_EDR)
• Fortinet FortiEDR (FORTINET_FORTIEDR)
• LimaCharlie EDR (LIMACHARLIE_EDR)
• MalwareBytes EDR (MALWAREBYTES_EDR)
• PAN EDR (PAN_EDR)
• Sophos EDR (SOPHOS_EDR)
• Symantec EDR (SYMANTEC_EDR)
• Uptycs EDR (UPTYCS_EDR)

지원되는 모든 Google SecOps 데이터 소스 목록은 지원되는 로그 유형 및 기본 파서를 참고하세요.

규칙 집합에서 반환하는 알림 조정

규칙 제외를 사용해서 규칙 또는 규칙 집합으로 생성되는 감지 수를 줄일 수 있습니다.

규칙 제외 항목은 규칙 집합 또는 규칙 집합의 특정 규칙에서 이벤트 평가를 제외하는 데 사용되는 기준을 정의합니다. 감지 볼륨을 줄이는 데 도움이 되는 규칙 제외 항목을 하나 이상 만들 수 있습니다. 자세한 내용은 규칙 제외 항목 구성을 참고하세요.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.