Descripción general de la categoría de reglas de Mandiant Threat Defense

En este documento se ofrece una descripción general de los conjuntos de reglas de Mandiant Threat Defense, las fuentes de datos necesarias y las opciones de configuración para ajustar las alertas que generan en la plataforma Google Security Operations.

Las reglas definidas en la categoría Reglas de búsqueda de Mandiant etiquetan los eventos relevantes para la seguridad en todo el contenido de detección habilitado de Google SecOps para los entornos de Google Cloud y de endpoint, que se pueden usar junto con reglas compuestas. Esta categoría incluye los siguientes conjuntos de reglas:

• Reglas de identificación en la nube: lógica derivada de la investigación y la respuesta de Mandiant Threat Defense a incidentes en la nube de todo el mundo. Estas reglas se han diseñado para detectar eventos de nube relevantes para la seguridad y para usarse en reglas de correlación del conjunto de reglas compuestas de la nube.

• Reglas de identificación de endpoints: lógica derivada de la investigación y la respuesta de Mandiant Threat Defense a incidentes de todo el mundo. Estas reglas se han diseñado para detectar eventos de endpoints relevantes para la seguridad y para que las usen las reglas de correlación del conjunto de reglas compuestas de endpoints.

Dispositivos y tipos de registros admitidos

Estas reglas se basan principalmente en los registros de auditoría de Cloud, los registros de detección y respuesta de endpoints y los registros de proxy de red. El modelo de datos unificado (UDM) de Google SecOps normaliza automáticamente estas fuentes de registro.

Para ver una lista de todas las fuentes de datos admitidas por Google SecOps, consulta Analizadores predeterminados admitidos.

En las siguientes categorías se describen las fuentes de registro más importantes que se necesitan para que el contenido compuesto seleccionado funcione correctamente:

Fuentes de registro de reglas de identificación de endpoints

• Amenazas de Linux
• Amenazas para macOS
• Amenazas de Windows

Google Cloud fuentes de registro de reglas de identificación

• Google Cloud amenazas
• AWS
• Microsoft Azure
• Microsoft Office 365
• Okta

Google Cloud y fuentes de registro de reglas de endpoint

• Inteligencia de amenazas aplicada
• Amenazas de Chrome Enterprise Premium
• Analíticas de riesgos para UEBA

Para ver una lista completa de las detecciones seleccionadas disponibles, consulta el artículo Usar detecciones seleccionadas. Ponte en contacto con tu representante de Google SecOps si necesitas habilitar las fuentes de detección con otro mecanismo.

Google SecOps proporciona analizadores predeterminados que analizan y normalizan los registros sin procesar para crear registros UDM con los datos que necesitan los conjuntos de reglas de detección compuestos y seleccionados. Para ver una lista de todas las fuentes de datos admitidas por Google SecOps, consulta Tipos de registros y analizadores predeterminados admitidos.

Modificar reglas de un conjunto de reglas

Puedes personalizar el comportamiento de las reglas de un conjunto de reglas para adaptarlas a las necesidades de tu organización. Ajusta el funcionamiento de cada regla seleccionando uno de los siguientes modos de detección y configura si las reglas generan alertas:

• Amplia: detecta comportamientos potencialmente maliciosos o anómalos, pero puede generar más falsos positivos debido a la naturaleza general de la regla.
• Precisa: detecta comportamientos maliciosos o anómalos específicos.

Para modificar los ajustes, sigue estos pasos:

1. En la lista de reglas, marque la casilla situada junto a cada regla que quiera modificar.
2. Configura los ajustes Estado y Alertas de las reglas de la siguiente manera:
   • Estado: aplica el modo (Preciso o Amplio) a la regla seleccionada. Selecciona Enabled para activar el estado de la regla en el modo.
   • Alertas: controla si la regla genera una alerta en la página Alertas. Selecciona Activado para habilitar las alertas.

Ajustar las alertas de los conjuntos de reglas

Puedes reducir el número de alertas generadas por una regla compuesta usando exclusiones de reglas.

Una exclusión de regla especifica criterios que impiden que una regla o un conjunto de reglas evalúen determinados eventos. Usa exclusiones para reducir el volumen de detecciones. Para obtener más información, consulta el artículo sobre cómo configurar exclusiones de reglas.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.