“Mandiant Threat Defense 规则”类别概览

本文档概述了 Mandiant Threat Defense 规则集、所需的数据源，以及用于调整 Google Security Operations 平台中生成的提醒的配置选项。

在 Mandian Hunt Rules 类别中设置的规则会标记所有启用 Google SecOps 的检测内容中与安全相关的事件，以便与复合规则结合使用。 Google Cloud 和端点环境。此类别包括以下规则集：

• 云识别规则：从 Mandiant Threat Defense 对全球云突发事件的调查和响应中得出的逻辑。这些规则旨在检测与安全性相关的云事件，并设计为供云复合规则集中的关联规则使用。

• 端点识别规则：从 Mandiant Threat Defense 对全球事件的调查和响应中得出的逻辑。这些规则旨在检测与安全相关的端点事件，并设计为供端点复合规则集中的关联规则使用。

支持的设备和日志类型

这些规则主要依赖于 Cloud Audit Logs 日志、端点检测和响应日志以及网络代理日志。Google SecOps 统一数据模型 (UDM) 会自动对这些日志源进行标准化处理。

如需查看 Google SecOps 支持的所有数据源的列表，请参阅支持的默认解析器。

以下类别列出了精选的复合内容有效运行所需的最重要日志来源：

端点识别规则日志源

• Linux 威胁
• macOS 威胁
• Windows 威胁

Google Cloud 识别规则日志源

• Google Cloud 威胁
• AWS
• Microsoft Azure
• Microsoft Office 365
• Okta

Google Cloud 和端点规则日志源

• 实用威胁情报
• Chrome 企业进阶版威胁
• UEBA 的风险分析

如需查看可用精选检测的完整列表，请参阅使用精选检测。 如果您需要使用其他机制启用检测来源，请与您的 Google SecOps 代表联系。

Google SecOps 提供默认解析器，用于解析和规范化原始日志，以创建包含复合检测规则集和精选检测规则集所需数据的 UDM 记录。如需查看 Google SecOps 支持的所有数据源的列表，请参阅支持的日志类型和默认解析器。

修改规则集中的规则

您可以自定义规则集内规则的行为，以满足组织的需要。选择以下检测模式之一，调整每条规则的运作方式，并配置规则是否生成提醒：

• 宽泛：检测到可能具有恶意或异常的行为，但由于规则的通用性，可能会产生更多假正例。
• 精确：检测特定的恶意行为或异常行为

如需修改设置，请执行以下操作：

1. 在规则列表中，选中要修改的每条规则旁边的复选框。
2. 为规则配置状态和提醒设置，如下所示：
   • 状态：将所选规则的模式（精确或宽泛）应用到相应规则。设置为 Enabled 可将规则的状态激活为相应模式。
   • 提醒：控制规则是否在提醒页面上生成提醒。设置为开启可启用提醒。

调整规则集中的提醒

您可以使用规则排除项来减少复合规则生成的提醒数量。

规则排除项用于指定可防止规则或规则集评估特定事件的条件。使用排除对象来减少检测量。 如需了解详情，请参阅配置规则排除项。

需要更多帮助？从社区成员和 Google SecOps 专业人士那里获得解答。