Ringkasan kategori Aturan Mandiant Threat Defense

Dokumen ini memberikan ringkasan set aturan Mandiant Threat Defense, sumber data yang diperlukan, dan opsi konfigurasi untuk menyesuaikan pemberitahuan yang dihasilkan di platform Google Security Operations.

Aturan yang ditetapkan dalam kategori Aturan Perburuan Mandiant memberi label pada peristiwa yang relevan dengan keamanan di semua konten deteksi yang kompatibel dengan Google SecOps untuk lingkungan endpoint dan Google Cloud yang akan digunakan bersama dengan aturan komposit. Kategori ini mencakup set aturan berikut:

• Aturan Identifikasi Cloud: Logika yang berasal dari investigasi dan respons Mandiant Threat Defense terhadap insiden cloud di seluruh dunia. Aturan ini dirancang untuk mendeteksi peristiwa cloud yang relevan dengan keamanan dan dirancang untuk digunakan oleh aturan korelasi dalam set aturan komposit cloud.

• Aturan Identifikasi Endpoint: Logika yang berasal dari investigasi dan respons Mandiant Threat Defense terhadap insiden di seluruh dunia. Aturan ini dirancang untuk mendeteksi peristiwa endpoint yang relevan dengan keamanan dan dirancang untuk digunakan oleh aturan korelasi dalam set aturan komposit endpoint.

Perangkat dan jenis log yang didukung

Aturan ini terutama mengandalkan log Cloud Audit Logs, log deteksi dan respons endpoint, serta log proxy jaringan. Model Data Terpadu (UDM) Google SecOps secara otomatis menormalisasi sumber log ini.

Untuk mengetahui daftar semua sumber data yang didukung Google SecOps, lihat Parser default yang didukung.

Kategori berikut menguraikan sumber log paling penting yang diperlukan agar konten komposit pilihan dapat berfungsi secara efektif:

Sumber log aturan identifikasi endpoint

• Ancaman Linux
• Ancaman macOS
• Ancaman Windows

Sumber log aturan identifikasiGoogle Cloud

• Google Cloud ancaman
• AWS
• Microsoft Azure
• Microsoft Office 365
• Okta

Google Cloud dan sumber log aturan endpoint

• Praktik Kecerdasan Ancaman
• Ancaman Chrome Enterprise Premium
• Analisis Risiko untuk UEBA

Untuk mengetahui daftar lengkap deteksi pilihan yang tersedia, lihat Menggunakan deteksi pilihan. Hubungi perwakilan Google SecOps Anda jika Anda perlu mengaktifkan sumber deteksi menggunakan mekanisme yang berbeda.

Google SecOps menyediakan parser default yang mem-parsing dan menormalisasi log mentah untuk membuat rekaman UDM dengan data yang diperlukan oleh set aturan deteksi komposit dan pilihan. Untuk mengetahui daftar semua sumber data yang didukung Google SecOps, lihat Jenis log dan parser default yang didukung.

Mengubah aturan dalam kumpulan aturan

Anda dapat menyesuaikan perilaku aturan dalam set aturan untuk memenuhi kebutuhan organisasi Anda. Sesuaikan cara kerja setiap aturan dengan memilih salah satu mode deteksi berikut, dan konfigurasikan apakah aturan menghasilkan pemberitahuan:

• Luas: mendeteksi perilaku yang berpotensi berbahaya atau tidak normal, tetapi dapat menghasilkan lebih banyak positif palsu karena sifat umum aturan.
• Akurat: mendeteksi perilaku berbahaya atau anomali tertentu

Untuk mengubah setelan, lakukan hal berikut:

1. Dari daftar aturan, centang kotak di samping setiap aturan yang ingin Anda ubah.
2. Konfigurasi setelan Status dan Pemberitahuan untuk aturan sebagai berikut:
   • Status: menerapkan mode (Tepat atau Luas) ke aturan yang dipilih. Setel ke Enabled untuk mengaktifkan status aturan ke mode.
   • Pemberitahuan: mengontrol apakah aturan menghasilkan pemberitahuan di halaman Pemberitahuan. Setel ke Aktif untuk mengaktifkan pemberitahuan.

Menyesuaikan notifikasi dari set aturan

Anda dapat mengurangi jumlah pemberitahuan yang dihasilkan oleh aturan gabungan dengan menggunakan pengecualian aturan.

Pengecualian aturan menentukan kriteria yang mencegah peristiwa tertentu dievaluasi oleh aturan atau set aturan. Gunakan pengecualian untuk mengurangi volume deteksi. Lihat Mengonfigurasi pengecualian aturan untuk mengetahui informasi selengkapnya.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.