Usar regras de detecção selecionadas para alertas de fornecedores terceirizados

Compatível com:

Este documento oferece uma visão geral dos conjuntos de regras na categoria alertas de fornecedores terceirizados, das fontes de dados necessárias e da configuração que você pode usar para ajustar os alertas gerados por cada conjunto de regras.

Os conjuntos de regras na categoria de alertas de fornecedores terceirizados mostram alertas de fornecedores terceirizados como detecções do Google Security Operations. Essa categoria inclui os seguintes conjuntos de regras:

  • Alertas do Carbon Black: regras de passagem para alertas do Carbon Black.
  • Alertas da CrowdStrike: regras de transmissão para alertas da CrowdStrike.
  • Alertas do Microsoft Defender para Ponto de Extremidade: regras de passagem para alertas do Microsoft Defender para Ponto de Extremidade Graph.
  • Alertas de ameaças da SentinelOne: regras de transmissão para alertas da SentinelOne.

Dispositivos e tipos de registros aceitos

Esta seção lista os dados exigidos por cada conjunto de regras.

Os grupos de regras na categoria de alertas de fornecedores terceirizados foram testados e são compatíveis com as seguintes fontes de dados de EDR aceitas pelo Google SecOps:

  • Carbon Black (CB_EDR)
  • Crowdstrike Falcon (CS_EDR)
  • Microsoft Defender para Ponto de Extremidade (MICROSOFT_GRAPH_ALERT)
  • SentinelOne CF (SENTINELONE_CF)

Para uma lista de todas as fontes de dados compatíveis com o Google SecOps, consulte Tipos de registros e analisadores padrão compatíveis.

Ajustar os alertas retornados por conjuntos de regras

É possível reduzir o número de detecções geradas por uma regra ou um conjunto de regras usando exclusões de regras.

Uma exclusão de regra define os critérios usados para impedir que um evento seja avaliado pelo conjunto de regras ou por regras específicas nele. É possível criar uma ou mais exclusões de regra para reduzir o volume de detecções. Consulte Configurar exclusões de regras para mais informações.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.