使用精选检测规则来生成第三方提醒

支持的语言:

本文档概述了第三方供应商提醒类别中的规则集、所需的数据源,以及可用于调整每个规则集生成的提醒的配置。

第三方供应商提醒类别中的规则集会将第三方供应商提醒显示为 Google Security Operations 检测结果。此类别包括以下规则集:

  • Carbon Black 提醒:Carbon Black 提醒的直通规则。
  • CrowdStrike 提醒:CrowdStrike 提醒的直通规则。
  • Microsoft Defender for Endpoint 提醒:Microsoft Defender for Endpoint Graph 提醒的直通规则。
  • SentinelOne 威胁提醒:SentinelOne 提醒的直通规则。
  • Cybereason EDR 直通规则:针对 Cybereason EDR 提醒的直通规则。
  • Deep Instinct EDR 直通规则:Deep Instinct EDR 警报的直通规则。
  • Digital Guardian EDR 直通规则:Digital Guardian EDR 警报的直通规则。
  • ESET EDR 直通规则:针对 ESET EDR 警报的直通规则。
  • Fortinet FortiEDR 直通规则:针对 Fortinet FortiEDR 提醒的直通规则。
  • LimaCharlie EDR 直通规则:LimaCharlie EDR 提醒的直通规则。
  • MalwareBytes EDR 直通规则:MalwareBytes EDR 提醒的直通规则。
  • PAN EDR 直通规则:PAN EDR 警报的直通规则。
  • Sophos EDR 直通规则:Sophos EDR 警报的直通规则。
  • Symantec EDR 直通规则:Symantec EDR 警报的直通规则。
  • Uptycs EDR 直通规则:Uptycs EDR 警报的直通规则。

支持的设备和日志类型

本部分列出了每个规则集所需的数据。

第三方供应商提醒类别中的规则集已经过测试,并且支持以下 Google SecOps 支持的 EDR 数据源:

  • Carbon Black (CB_EDR)
  • CrowdStrike 检测监控 (CS_DETECTS)
  • Microsoft Defender for Endpoint (MICROSOFT_GRAPH_ALERT)
  • SentinelOne CF (SENTINELONE_CF)
  • Cybereason EDR (CYBEREASON_EDR)
  • Deep Instinct EDR (DEEP_INSTINCT_EDR)
  • Digital Guardian EDR (DIGITAL_GUARDIAN_EDR)
  • ESET EDR (ESET_EDR)
  • Fortinet FortiEDR (FORTINET_FORTIEDR)
  • LimaCharlie EDR (LIMACHARLIE_EDR)
  • MalwareBytes EDR (MALWAREBYTES_EDR)
  • PAN EDR (PAN_EDR)
  • Sophos EDR (SOPHOS_EDR)
  • Symantec EDR (SYMANTEC_EDR)
  • Uptycs EDR (UPTYCS_EDR)

如需查看 Google SecOps 支持的所有数据源的列表,请参阅支持的日志类型和默认解析器

调整规则集返回的提醒

您可以使用规则排除项来减少规则或规则集生成的检测次数。

规则排除项用于定义将事件排除在规则集或规则集中特定规则的评估范围之外所依据的条件。您可以创建一个或多个规则排除项,以帮助减少检测量。如需了解详情,请参阅配置规则排除项

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。