Visão geral da categoria de regras da Mandiant Threat Defense
Este documento oferece uma visão geral dos conjuntos de regras do Mandiant Threat Defense, das fontes de dados necessárias e das opções de configuração para ajustar os alertas gerados na plataforma do Google Security Operations.
As regras definidas no rótulo da categoria Regras de busca do Mandiant marcam eventos relevantes para a segurança em todo o conteúdo de detecção ativado pelo Google SecOps para ambientes Google Cloud e de endpoints, que são usados em conjunto com regras compostas. Essa categoria inclui os seguintes conjuntos de regras:
Regras de identificação na nuvem: lógica derivada da investigação e resposta da Mandiant Threat Defense a incidentes na nuvem em todo o mundo. Elas foram criadas para detectar eventos de nuvem relevantes para a segurança e para serem usadas por regras de correlação no conjunto de regras compostas da nuvem.
Regras de identificação de endpoints: lógica derivada da investigação e resposta da Mandiant Threat Defense a incidentes no mundo todo. Elas foram criadas para detectar eventos de endpoint relevantes para a segurança e para serem usadas por regras de correlação no conjunto de regras compostas de endpoint.
Dispositivos e tipos de registros aceitos
Essas regras dependem principalmente dos registros do Registros de auditoria do Cloud, de detecção e resposta de endpoints e de proxy de rede. O modelo de dados unificado (UDM) do Google SecOps normaliza automaticamente essas fontes de registros.
Para uma lista de todas as fontes de dados compatíveis com o Google SecOps, consulte Analistas padrão compatíveis.
As categorias a seguir descrevem as fontes de registros mais importantes necessárias para que o conteúdo composto selecionado funcione de maneira eficaz:
Fontes de registros de regras de identificação de endpoint
Google Cloud origens de registros de regras de identificação
Google Cloud e fontes de registros de regras de endpoint
Para uma lista completa das detecções selecionadas disponíveis, consulte Usar detecções selecionadas. Entre em contato com seu representante do Google SecOps se precisar ativar as fontes de detecção usando outro mecanismo.
O Google SecOps fornece analisadores padrão que analisam e normalizam registros brutos para criar registros UDM com os dados necessários para conjuntos de regras de detecção compostas e selecionadas. Para uma lista de todas as fontes de dados compatíveis com o Google SecOps, consulte Tipos de registros e analisadores padrão compatíveis.
Modificar regras em um conjunto de regras
É possível personalizar o comportamento das regras em um conjunto para atender às necessidades da sua organização. Ajuste o funcionamento de cada regra selecionando um dos seguintes modos de detecção e configure se as regras geram alertas:
- Ampla:detecta comportamentos potencialmente maliciosos ou anômalos, mas pode gerar mais falsos positivos devido à natureza geral da regra.
- Preciso:detecta comportamentos maliciosos ou anômalos específicos.
Para modificar as configurações, faça o seguinte:
- Na lista de regras, marque a caixa de seleção ao lado de cada regra que você quer modificar.
- Configure as opções Status e Alertas das regras da seguinte forma:
- Status:aplica o modo (Preciso ou Amplo) à regra selecionada. Defina como
Enabledpara ativar o status da regra no modo. - Alertas:controla se a regra gera um alerta na página Alertas. Defina como Ativado para ativar os alertas.
- Status:aplica o modo (Preciso ou Amplo) à regra selecionada. Defina como
Ajustar alertas de conjuntos de regras
É possível reduzir o número de alertas gerados por uma regra composta usando exclusões de regra.
Uma exclusão de regra especifica critérios que impedem que determinados eventos sejam avaliados por uma regra ou um conjunto de regras. Use exclusões para reduzir o volume de detecção. Consulte Configurar exclusões de regras para mais informações.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.