「Mandiant Threat Defense 規則」類別總覽

本文將概略介紹 Mandiant Threat Defense 規則集、必要資料來源，以及在 Google Security Operations 平台中調整警報的設定選項。

在「Mandian Hunt Rules」類別中設定的規則，會標示所有啟用 Google SecOps 的偵測內容和端點環境中，與安全性相關的事件，以便與複合規則搭配使用。 Google Cloud 這個類別包含下列規則集：

• 雲端識別規則：邏輯衍生自 Mandiant Threat Defense 對全球雲端事件的調查和回應。這些規則旨在偵測與安全性相關的雲端事件，並供雲端複合規則集中的關聯規則使用。

• 端點識別規則：邏輯衍生自 Mandiant Threat Defense 的調查結果，以及全球事件的應變措施。這些規則旨在偵測與安全性相關的端點事件，並供端點複合規則集中的關聯規則使用。

支援的裝置和記錄類型

這些規則主要依據 Cloud 稽核記錄、端點偵測和回應記錄，以及網路 Proxy 記錄。Google SecOps 統合資料模型 (UDM) 會自動將這些記錄來源正規化。

如需 Google SecOps 支援的所有資料來源清單，請參閱「支援的預設剖析器」。

以下類別列出精選複合內容有效運作所需的最重要記錄來源：

端點識別規則記錄來源

• Linux 威脅
• macOS 威脅
• Windows 威脅

Google Cloud 識別規則記錄來源

• Google Cloud 威脅
• AWS
• Microsoft Azure
• Microsoft Office 365
• Okta

Google Cloud 和端點規則記錄來源

• 應用威脅情報
• Chrome Enterprise 進階版威脅
• UEBA 風險分析

如需可用精選偵測項目的完整清單，請參閱「使用精選偵測項目」。如需使用其他機制啟用偵測來源，請與 Google SecOps 代表聯絡。

Google SecOps 提供預設剖析器，可剖析及正規化原始記錄，建立 UDM 記錄，其中包含複合式和精選偵測規則集所需的資料。如需 Google SecOps 支援的所有資料來源清單，請參閱「支援的記錄檔類型和預設剖析器」。

修改規則集中的規則

您可以自訂規則集中的規則行為，以符合貴機構的需求。選取下列其中一種偵測模式，調整每項規則的運作方式，並設定規則是否要產生快訊：

• 廣泛：偵測可能具有惡意的行為或異常狀況，但由於規則性質一般，可能產生較多誤判。
• 精確：偵測特定惡意或異常行為

如要修改設定，請按照下列步驟操作：

1. 在規則清單中，找出要修改的規則，然後勾選旁邊的核取方塊。
2. 為規則設定「狀態」和「快訊」，如下所示：
   • 狀態：將模式 (「精確」或「廣泛」) 套用至所選規則。設為 Enabled，即可將規則的狀態設為模式。
   • 快訊：控制規則是否要在「快訊」頁面產生快訊。設為「開啟」即可啟用快訊。

調整規則集的快訊

您可以使用規則排除條件，減少複合規則產生的快訊數量。

規則排除條件會指定條件，防止規則或規則集評估特定事件。使用排除條件減少偵測量。詳情請參閱「設定規則排除條件」一節。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。