Übersicht über die Kategorie „Mandiant Threat Defense Rules“

Dieses Dokument bietet einen Überblick über die Mandiant Threat Defense-Regelsätze, die erforderlichen Datenquellen und die Konfigurationsoptionen zum Optimieren der Warnungen, die sie in der Google Security Operations-Plattform generieren.

Mit Regeln, die in der Kategorie Mandian Hunt Rules festgelegt sind, werden sicherheitsrelevante Ereignisse in allen Google SecOps-fähigen Erkennungsinhalten für Google Cloud und Endpunktumgebungen gekennzeichnet, die in Verbindung mit zusammengesetzten Regeln verwendet werden. Diese Kategorie umfasst die folgenden Regelsätze:

• Cloud-Identifikationsregeln: Logik, die aus der Untersuchung und Reaktion von Mandiant Threat Defense auf Cloud-Vorfälle weltweit abgeleitet wurde. Diese Regeln sind darauf ausgelegt, sicherheitsrelevante Cloud-Ereignisse zu erkennen, und sind für die Verwendung durch Korrelationsregeln im Cloud-Composite-Regelsatz vorgesehen.

• Regeln zur Endpunktidentifizierung: Logik, die aus der Untersuchung und Reaktion von Mandiant Threat Defense auf Vorfälle weltweit abgeleitet wurde. Diese Regeln sind darauf ausgelegt, sicherheitsrelevante Endpunktereignisse zu erkennen, und sind für die Verwendung durch Korrelationsregeln im zusammengesetzten Endpunktregelwerk vorgesehen.

Unterstützte Geräte und Protokolltypen

Diese Regeln basieren hauptsächlich auf Cloud-Audit-Logs, Logs zur Erkennung und Reaktion von Endpunkten und Netzwerk-Proxy-Logs. Das einheitliche Datenmodell (Unified Data Model, UDM) von Google SecOps normalisiert diese Logquellen automatisch.

Eine Liste aller von Google SecOps unterstützten Datenquellen finden Sie unter Unterstützte Standardparser.

In den folgenden Kategorien werden die wichtigsten Log-Quellen beschrieben, die für die effektive Funktion der zusammengestellten Inhalte erforderlich sind:

Log-Quellen für Regeln zur Endpunktidentifizierung

• Linux-Bedrohungen
• macOS-Bedrohungen
• Windows-Bedrohungen

Google Cloud Log-Quellen für Identifikationsregeln

• Google Cloud Bedrohungen
• AWS
• Microsoft Azure
• Microsoft Office 365
• Okta

Google Cloud und Protokollquellen für Endpunktregeln

• Angewandte Bedrohungsinformationen
• Bedrohungen in Chrome Enterprise Premium
• Risikoanalyse für UEBA

Eine vollständige Liste der verfügbaren kuratierten Erkennungen finden Sie unter Kuratierte Erkennungen verwenden. Wenden Sie sich an Ihren Google SecOps-Ansprechpartner, wenn Sie die Erkennungsquellen mit einem anderen Mechanismus aktivieren müssen.

Google SecOps bietet Standardparser, die Rohlogs parsen und normalisieren, um UDM-Datensätze mit Daten zu erstellen, die für zusammengesetzte und kuratierte Erkennungsregelsätze erforderlich sind. Eine Liste aller von Google SecOps unterstützten Datenquellen finden Sie unter Unterstützte Logtypen und Standardparser.

Regeln in einem Regelsatz ändern

Sie können das Verhalten von Regeln in einem Regelsatz an die Anforderungen Ihrer Organisation anpassen. Passen Sie die Funktionsweise der einzelnen Regeln an, indem Sie einen der folgenden Erkennungsmodi auswählen, und konfigurieren Sie, ob durch die Regeln Benachrichtigungen generiert werden sollen:

• Allgemein:Erkennt potenziell schädliches oder anomales Verhalten, kann aber aufgrund der allgemeinen Natur der Regel mehr falsch positive Ergebnisse liefern.
• Präzise:Erkennt spezifisches schädliches oder anomales Verhalten

So ändern Sie die Einstellungen:

1. Klicken Sie in der Liste der Regeln auf das Kästchen neben jeder Regel, die Sie ändern möchten.
2. Konfigurieren Sie die Einstellungen für Status und Benachrichtigungen für die Regeln so:
   • Status:Wendet den Modus (Genau oder Weitgehend passend) auf die ausgewählte Regel an. Legen Sie Enabled fest, um den Status der Regel für den Modus zu aktivieren.
   • Benachrichtigungen:Steuert, ob für die Regel eine Benachrichtigung auf der Seite Benachrichtigungen generiert wird. Setzen Sie den Wert auf Ein, um Benachrichtigungen zu aktivieren.

Benachrichtigungen aus Regelsätzen anpassen

Sie können die Anzahl der von einer zusammengesetzten Regel generierten Benachrichtigungen mithilfe von Regelausschlüssen reduzieren.

Mit einem Regelausschluss werden Kriterien angegeben, die verhindern, dass bestimmte Ereignisse von einer Regel oder einem Regelsatz ausgewertet werden. Mit Ausschlüssen lässt sich das Erkennungsvolumen reduzieren. Weitere Informationen finden Sie unter Regelausschlüsse konfigurieren.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten