Vista geral da categoria de regras do Mandiant Threat Defense

Este documento oferece uma vista geral dos conjuntos de regras do Mandiant Threat Defense, as origens de dados necessárias e as opções de configuração para otimizar os alertas que geram na plataforma Google Security Operations.

As regras definidas na categoria Regras de deteção de Mandiant etiquetam eventos relevantes para a segurança em todo o conteúdo de deteção ativado no Google SecOps para Google Cloud e ambientes de pontos finais a serem usados em conjunto com regras compostas. Esta categoria inclui os seguintes conjuntos de regras:

• Regras de identificação na nuvem: lógica derivada da investigação e resposta do Mandiant Threat Defense a incidentes na nuvem em todo o mundo. Estas regras foram concebidas para detetar eventos de nuvem relevantes para a segurança e destinam-se a ser usadas por regras de correlação no conjunto de regras composto da nuvem.

• Regras de identificação de pontos finais: lógica derivada da investigação e resposta do Mandiant Threat Defense a incidentes em todo o mundo. Estas regras foram concebidas para detetar eventos de pontos finais relevantes para a segurança e destinam-se a ser usadas por regras de correlação no conjunto de regras composto de pontos finais.

Dispositivos e tipos de registos suportados

Estas regras baseiam-se principalmente nos registos de auditoria do Cloud, nos registos de deteção e resposta de endpoints e nos registos de proxy de rede. O modelo de dados unificados (UDM) do Google SecOps normaliza automaticamente estas origens de registos.

Para ver uma lista de todas as origens de dados suportadas pelo Google SecOps, consulte o artigo Analizadores predefinidos suportados.

As categorias seguintes descrevem as origens de registos mais importantes necessárias para que o conteúdo composto organizado funcione eficazmente:

Origens dos registos de regras de identificação de pontos finais

• Ameaças do Linux
• Ameaças do macOS
• Ameaças do Windows

Google Cloud origens de registos de regras de identificação

• Google Cloud ameaças
• AWS
• Microsoft Azure
• Microsoft Office 365
• Okta

Google Cloud e origens dos registos de regras de pontos finais

• Applied Threat Intelligence
• Ameaças do Chrome Enterprise Premium
• Risk Analytics para UEBA

Para ver uma lista completa das deteções organizadas disponíveis, consulte o artigo Use deteções organizadas. Contacte o seu representante da Google SecOps se precisar de ativar as origens de deteção através de um mecanismo diferente.

O Google SecOps fornece analisadores predefinidos que analisam e normalizam os registos não processados para criar registos UDM com dados exigidos por conjuntos de regras de deteção compostos e preparados. Para ver uma lista de todas as origens de dados suportadas pelo Google SecOps, consulte o artigo Tipos de registos suportados e analisadores predefinidos.

Modifique regras num conjunto de regras

Pode personalizar o comportamento das regras num conjunto de regras para satisfazer as necessidades da sua organização. Ajuste o funcionamento de cada regra selecionando um dos seguintes modos de deteção e configure se as regras geram alertas:

• Abrangente: deteta comportamentos potencialmente maliciosos ou anómalos, mas pode produzir mais falsos positivos devido à natureza geral da regra.
• Precisa: deteta comportamentos maliciosos ou anómalos específicos

Para modificar as definições, faça o seguinte:

1. Na lista de regras, selecione a caixa de verificação junto a cada regra que quer modificar.
2. Configure as definições de Estado e Alertas para as regras da seguinte forma:
   • Estado: aplica o modo (Preciso ou Amplo) à regra selecionada. Defina como Enabled para ativar o estado da regra para o modo.
   • Alertas: controla se a regra gera um alerta na página Alertas. Defina como Ativado para ativar os alertas.

Ajuste os alertas dos conjuntos de regras

Pode reduzir o número de alertas gerados por uma regra composta usando exclusões de regras.

Uma exclusão de regra especifica critérios que impedem que determinados eventos sejam avaliados por uma regra ou um conjunto de regras. Use exclusões para reduzir o volume de deteção. Consulte o artigo Configure exclusões de regras para mais informações.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.