Panoramica della categoria Regole di Mandiant Threat Defense

Questo documento fornisce una panoramica dei set di regole di Mandiant Threat Defense, delle origini dati richieste e delle opzioni di configurazione per ottimizzare gli avvisi che generano nella piattaforma Google Security Operations.

Le regole impostate nell'etichetta della categoria Regole di Mandiant Hunt contrassegnano gli eventi pertinenti alla sicurezza in tutti i contenuti di rilevamento abilitati per Google SecOps per Google Cloud e gli ambienti endpoint da utilizzare insieme alle regole composite. Questa categoria include i seguenti insiemi di regole:

• Regole di identificazione del cloud: logica derivata dall'indagine e dalla risposta di Mandiant Threat Defense agli incidenti cloud in tutto il mondo. Queste regole sono progettate per rilevare eventi cloud pertinenti per la sicurezza e per essere utilizzate dalle regole di correlazione nel set di regole composite del cloud.

• Regole di identificazione degli endpoint: logica derivata dall'indagine e dalla risposta di Mandiant Threat Defense agli incidenti in tutto il mondo. Queste regole sono progettate per rilevare eventi degli endpoint pertinenti per la sicurezza e sono pensate per essere utilizzate dalle regole di correlazione nel set di regole composite degli endpoint.

Dispositivi e tipi di log supportati

Queste regole si basano principalmente sui log di Cloud Audit Logs, sui log di rilevamento e risposta degli endpoint e sui log proxy di rete. Il modello UDM (Unified Data Model) di Google SecOps normalizza automaticamente queste origini log.

Per un elenco di tutte le origini dati supportate da Google SecOps, consulta Parser predefiniti supportati.

Le seguenti categorie descrivono le origini log più importanti necessarie per il funzionamento efficace dei contenuti compositi curati:

Origini log delle regole di identificazione degli endpoint

• Minacce per Linux
• Minacce per macOS
• Minacce per Windows

Google Cloud origini log delle regole di identificazione

• Google Cloud minacce
• AWS
• Microsoft Azure
• Microsoft Office 365
• Okta

Google Cloud e origini log delle regole degli endpoint

• Applied Threat Intelligence
• Minacce di Chrome Enterprise Premium
• Analisi dei rischi per UEBA

Per un elenco completo dei rilevamenti curati disponibili, vedi Utilizzare i rilevamenti curati. Contatta il tuo rappresentante Google SecOps se devi attivare le origini di rilevamento utilizzando un meccanismo diverso.

Google SecOps fornisce parser predefiniti che analizzano e normalizzano i log non elaborati per creare record UDM con i dati richiesti dai set di regole di rilevamento compositi e curati. Per un elenco di tutte le origini dati supportate da Google SecOps, consulta Tipi di log e parser predefiniti supportati.

Modificare le regole in un insieme di regole

Puoi personalizzare il comportamento delle regole all'interno di un insieme di regole per soddisfare le esigenze della tua organizzazione. Modifica il funzionamento di ogni regola selezionando una delle seguenti modalità di rilevamento e configura se le regole generano avvisi:

• Generale:rileva comportamenti potenzialmente dannosi o anomali, ma potrebbe produrre più falsi positivi a causa della natura generale della regola.
• Preciso:rileva comportamenti dannosi o anomali specifici

Per modificare le impostazioni:

1. Nell'elenco delle regole, seleziona la casella di controllo accanto a ogni regola da modificare.
2. Configura le impostazioni Stato e Avvisi per le regole nel seguente modo:
   • Stato:applica la modalità (Precisa o Generica) alla regola selezionata. Imposta su Enabled per attivare lo stato della regola nella modalità.
   • Avvisi:controlla se la regola genera un avviso nella pagina Avvisi. Imposta l'opzione su On per attivare gli avvisi.

Ottimizzare gli avvisi dai set di regole

Puoi ridurre il numero di avvisi generati da una regola composita utilizzando le esclusioni delle regole.

Un'esclusione di regole specifica i criteri che impediscono la valutazione di determinati eventi da parte di una regola o di un insieme di regole. Utilizza le esclusioni per ridurre il volume di rilevamento. Per ulteriori informazioni, consulta Configurare le esclusioni delle regole.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.