使用精选检测规则来接收第三方供应商提醒
支持的语言:
Google SecOps
SIEM
本文档概述了第三方供应商提醒类别中的规则集、所需的数据源,以及可用于调整每个规则集生成的提醒的配置。
第三方供应商提醒类别中的规则集会将第三方供应商提醒显示为 Google Security Operations 检测结果。此类别包括以下规则集:
- Carbon Black 提醒:Carbon Black 提醒的直通规则。
- CrowdStrike 提醒:CrowdStrike 提醒的直通规则。
- Microsoft Defender for Endpoint 提醒:Microsoft Defender for Endpoint Graph 提醒的直通规则。
- SentinelOne 威胁提醒:SentinelOne 提醒的直通规则。
支持的设备和日志类型
本部分列出了每个规则集所需的数据。
第三方供应商提醒类别中的规则集已通过测试,并支持以下 Google SecOps 支持的 EDR 数据源:
- Carbon Black (
CB_EDR) - CrowdStrike Falcon (
CS_EDR) - Microsoft Defender for Endpoint (
MICROSOFT_GRAPH_ALERT) - SentinelOne CF (
SENTINELONE_CF)
如需查看 Google SecOps 支持的所有数据源的列表,请参阅支持的日志类型和默认解析器。
调整规则集返回的提醒
您可以使用规则排除项来减少规则或规则集生成的检测数量。
规则排除项用于定义将事件排除在规则集或规则集中特定规则的评估范围之外所依据的条件。您可以创建一个或多个规则排除项,以帮助减少检测量。如需了解详情,请参阅配置规则排除项。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。