使用精選偵測規則,接收第三方供應商快訊
支援的國家/地區:
Google SecOps
SIEM
本文將概述「第三方供應商快訊」類別中的規則集、必要資料來源,以及可用於調整各規則集所產生快訊的設定。
第三方供應商快訊類別中的規則集會將第三方供應商快訊顯示為 Google Security Operations 偵測結果。這個類別包含下列規則集:
- Carbon Black 快訊:Carbon Black 快訊的直通規則。
- CrowdStrike 快訊:CrowdStrike 快訊的直通規則。
- 適用於端點的 Microsoft Defender 快訊:適用於端點的 Microsoft Defender Graph 快訊的直通規則。
- SentinelOne 威脅快訊:SentinelOne 快訊的直通規則。
支援的裝置和記錄類型
本節列出各規則集所需的資料。
第三方供應商快訊類別中的規則集已通過測試,並支援下列 Google SecOps 支援的 EDR 資料來源:
- Carbon Black (
CB_EDR) - Crowdstrike Falcon (
CS_EDR) - 適用於端點的 Microsoft Defender (
MICROSOFT_GRAPH_ALERT) - SentinelOne CF (
SENTINELONE_CF)
如需 Google SecOps 支援的所有資料來源清單,請參閱「支援的記錄檔類型和預設剖析器」。
調整規則集傳回的快訊
您可以使用規則排除項目,減少規則或規則集產生的偵測次數。
規則排除條件會定義用於排除事件的評估條件,以免規則集或規則集中的特定規則評估事件。您可以建立一或多個規則排除項目,減少偵測量。詳情請參閱「設定規則排除條件」一節。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。