Use regras de deteção preparadas para alertas de terceiros

Compatível com:

Este documento fornece uma vista geral dos conjuntos de regras na categoria Alertas de fornecedores externos, as origens de dados necessárias e a configuração que pode usar para ajustar os alertas gerados por cada conjunto de regras.

Os conjuntos de regras na categoria de alertas de fornecedores externos apresentam alertas de fornecedores externos como deteções do Google Security Operations. Esta categoria inclui os seguintes conjuntos de regras:

  • Alertas do Carbon Black: regras de encaminhamento para alertas do Carbon Black.
  • Alertas do CrowdStrike: regras de encaminhamento para alertas do CrowdStrike.
  • Alertas do Microsoft Defender for Endpoint: regras de encaminhamento para alertas do Microsoft Defender for Endpoint Graph.
  • Alertas de ameaças do SentinelOne: regras de encaminhamento para alertas do SentinelOne.
  • Regras de encaminhamento do Cybereason EDR: regras de encaminhamento para alertas do Cybereason EDR.
  • Regras de encaminhamento da solução EDR Deep Instinct: regras de encaminhamento para alertas da solução EDR Deep Instinct.
  • Regras de passagem do Digital Guardian EDR: regras de passagem para alertas do Digital Guardian EDR.
  • Regras de encaminhamento do ESET EDR: regras de encaminhamento para alertas do ESET EDR.
  • Regras de encaminhamento do Fortinet FortiEDR: regras de encaminhamento para alertas do Fortinet FortiEDR.
  • Regras de encaminhamento do EDR do LimaCharlie: regras de encaminhamento para alertas do EDR do LimaCharlie.
  • Regras de passagem do MalwareBytes EDR: regras de passagem para alertas do MalwareBytes EDR.
  • Regras de encaminhamento de EDR de PAN: regras de encaminhamento para alertas de EDR de PAN.
  • Regras de encaminhamento do Sophos EDR: regras de encaminhamento para alertas do Sophos EDR.
  • Regras de encaminhamento da Symantec EDR: regras de encaminhamento para alertas da Symantec EDR.
  • Regras de encaminhamento da Uptycs EDR: regras de encaminhamento para alertas da Uptycs EDR.

Dispositivos e tipos de registos suportados

Esta secção indica os dados exigidos por cada conjunto de regras.

Os conjuntos de regras na categoria de alertas de fornecedores externos foram testados e são compatíveis com as seguintes origens de dados de EDR suportadas pelo Google SecOps:

  • Carbon Black (CB_EDR)
  • Crowdstrike Falcon (CS_EDR)
  • Microsoft Defender para Ponto Final (MICROSOFT_GRAPH_ALERT)
  • SentinelOne CF (SENTINELONE_CF)
  • Cybereason EDR (CYBEREASON_EDR)
  • Deep Instinct EDR (DEEP_INSTINCT_EDR)
  • Digital Guardian EDR (DIGITAL_GUARDIAN_EDR)
  • ESET EDR (ESET_EDR)
  • Fortinet FortiEDR (FORTINET_FORTIEDR)
  • LimaCharlie EDR (LIMACHARLIE_EDR)
  • MalwareBytes EDR (MALWAREBYTES_EDR)
  • PAN EDR (PAN_EDR)
  • Sophos EDR (SOPHOS_EDR)
  • Symantec EDR (SYMANTEC_EDR)
  • Uptycs EDR (UPTYCS_EDR)

Para ver uma lista de todas as origens de dados suportadas pelo Google SecOps, consulte o artigo Tipos de registos suportados e analisadores predefinidos.

Ajuste os alertas devolvidos pelos conjuntos de regras

Pode reduzir o número de deteções que uma regra ou um conjunto de regras gera através de exclusões de regras.

Uma exclusão de regra define os critérios usados para excluir um evento da avaliação pelo conjunto de regras ou por regras específicas no conjunto de regras. Pode criar uma ou mais exclusões de regras para ajudar a reduzir o volume de deteções. Consulte o artigo Configure exclusões de regras para mais informações.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.