Présentation de la catégorie de règles Mandiant Threat Defense

Ce document présente les ensembles de règles Mandiant Threat Defense, les sources de données requises et les options de configuration permettant d'ajuster les alertes qu'ils génèrent dans la plate-forme Google Security Operations.

Les règles définies dans la catégorie Règles de recherche Mandiant permettent de marquer les événements liés à la sécurité dans tous les contenus de détection compatibles avec Google SecOps pour les environnements Google Cloud et de points de terminaison à utiliser conjointement avec les règles composites. Cette catégorie comprend les ensembles de règles suivants :

• Règles d'identification du cloud : logique dérivée de l'investigation et de la réponse de Mandiant Threat Defense aux incidents cloud dans le monde entier. Ces règles sont conçues pour détecter les événements cloud liés à la sécurité et pour être utilisées par les règles de corrélation dans l'ensemble de règles composites cloud.

• Règles d'identification des points de terminaison : logique dérivée de l'investigation et de la réponse de Mandiant Threat Defense aux incidents dans le monde entier. Ces règles sont conçues pour détecter les événements de point de terminaison liés à la sécurité et sont destinées à être utilisées par les règles de corrélation dans l'ensemble de règles composites de point de terminaison.

Appareils et types de journaux compatibles

Ces règles s'appuient principalement sur les journaux Cloud Audit Logs, les journaux de détection et de réponse des points de terminaison, ainsi que sur les journaux de proxy réseau. Le modèle de données unifié (UDM, Unified Data Model) de Google SecOps normalise automatiquement ces sources de journaux.

Pour obtenir la liste de toutes les sources de données compatibles avec Google SecOps, consultez Analyseurs par défaut compatibles.

Les catégories suivantes décrivent les sources de journaux les plus importantes requises pour que le contenu composite organisé fonctionne efficacement :

Sources de journaux des règles d'identification des points de terminaison

• Menaces Linux
• Menaces macOS
• Menaces Windows

Sources du journal des règles d'identificationGoogle Cloud

• Google Cloud menaces
• AWS
• Microsoft Azure
• Microsoft Office 365
• Okta

Google Cloud et sources de journaux des règles de point de terminaison

• Renseignement sur les menaces appliqué
• Menaces Chrome Enterprise Premium
• Risk Analytics pour UEBA

Pour obtenir la liste complète des détections organisées disponibles, consultez Utiliser des détections organisées. Contactez votre représentant Google SecOps si vous devez activer les sources de détection à l'aide d'un autre mécanisme.

Google SecOps fournit des analyseurs par défaut qui analysent et normalisent les journaux bruts pour créer des enregistrements UDM avec les données requises par les ensembles de règles de détection composites et sélectionnées. Pour obtenir la liste de toutes les sources de données compatibles avec Google SecOps, consultez Types de journaux et analyseurs par défaut acceptés.

Modifier les règles d'un ensemble de règles

Vous pouvez personnaliser le comportement des règles d'un ensemble de règles pour répondre aux besoins de votre organisation. Ajustez le fonctionnement de chaque règle en sélectionnant l'un des modes de détection suivants et en configurant si les règles génèrent des alertes :

• Général : détecte les comportements potentiellement malveillants ou anormaux, mais peut générer plus de faux positifs en raison de la nature générale de la règle.
• Précis : détecte les comportements malveillants ou anormaux spécifiques

Pour modifier les paramètres :

1. Dans la liste des règles, cochez la case à côté de chaque règle à modifier.
2. Configurez les paramètres État et Alertes pour les règles comme suit :
   • État : applique le mode (Précis ou Large) à la règle sélectionnée. Définissez sur Enabled pour activer l'état de la règle sur le mode.
   • Alertes : indique si la règle génère une alerte sur la page Alertes. Définissez la valeur sur Activé pour activer les alertes.

Ajuster les alertes des ensembles de règles

Vous pouvez réduire le nombre d'alertes générées par une règle composite en utilisant des exclusions de règles.

Une exclusion de règle spécifie des critères qui empêchent certains événements d'être évalués par une règle ou un ensemble de règles. Utilisez des exclusions pour réduire le volume de détection. Pour en savoir plus, consultez Configurer des exclusions de règles.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.