Menggunakan aturan deteksi terseleksi untuk notifikasi pihak ketiga

Didukung di:

Dokumen ini memberikan ringkasan set aturan dalam kategori alert vendor pihak ketiga, sumber data yang diperlukan, dan konfigurasi yang dapat Anda gunakan untuk menyesuaikan pemberitahuan yang dihasilkan oleh setiap set aturan.

Kumpulan aturan dalam kategori pemberitahuan vendor pihak ketiga menampilkan pemberitahuan vendor pihak ketiga sebagai deteksi Google Security Operations. Kategori ini mencakup set aturan berikut:

  • Peringatan Carbon Black: Aturan passthrough untuk peringatan Carbon Black.
  • Peringatan CrowdStrike: Aturan teruskan untuk peringatan CrowdStrike.
  • Pemberitahuan Microsoft Defender for Endpoint: Aturan teruskan untuk pemberitahuan Microsoft Defender for Endpoint Graph.
  • Notifikasi Ancaman SentinelOne: Aturan passthrough untuk notifikasi SentinelOne.
  • Aturan passthrough Cybereason EDR: Aturan passthrough untuk pemberitahuan Cybereason EDR.
  • Aturan Penerusan EDR Deep Instinct: Aturan penerusan untuk pemberitahuan EDR Deep Instinct.
  • Aturan Penerusan EDR Digital Guardian: Aturan penerusan untuk pemberitahuan EDR Digital Guardian.
  • Aturan Passthrough EDR ESET: Aturan passthrough untuk pemberitahuan EDR ESET.
  • Aturan Passthrough Fortinet FortiEDR: Aturan passthrough untuk pemberitahuan Fortinet FortiEDR.
  • Aturan Penerusan EDR LimaCharlie: Aturan penerusan untuk pemberitahuan EDR LimaCharlie.
  • Aturan Passthrough MalwareBytes EDR: Aturan passthrough untuk pemberitahuan MalwareBytes EDR.
  • Aturan Penerusan PAN EDR: Aturan penerusan untuk pemberitahuan PAN EDR.
  • Aturan Penerusan Sophos EDR: Aturan penerusan untuk pemberitahuan Sophos EDR.
  • Aturan Penerusan Symantec EDR: Aturan penerusan untuk pemberitahuan Symantec EDR.
  • Aturan Penerusan EDR Uptycs: Aturan penerusan untuk pemberitahuan EDR Uptycs.

Perangkat dan jenis log yang didukung

Bagian ini mencantumkan data yang diperlukan oleh setiap set aturan.

Set aturan dalam kategori pemberitahuan vendor pihak ketiga telah diuji dan didukung dengan sumber data EDR yang didukung Google SecOps berikut:

  • Carbon Black (CB_EDR)
  • Pemantauan Deteksi CrowdStrike (CS_DETECTS)
  • Microsoft Defender untuk Endpoint (MICROSOFT_GRAPH_ALERT)
  • SentinelOne CF (SENTINELONE_CF)
  • Cybereason EDR (CYBEREASON_EDR)
  • Deep Instinct EDR (DEEP_INSTINCT_EDR)
  • Digital Guardian EDR (DIGITAL_GUARDIAN_EDR)
  • ESET EDR (ESET_EDR)
  • FortiEDR Fortinet (FORTINET_FORTIEDR)
  • LimaCharlie EDR (LIMACHARLIE_EDR)
  • MalwareBytes EDR (MALWAREBYTES_EDR)
  • EDR PAN (PAN_EDR)
  • Sophos EDR (SOPHOS_EDR)
  • Symantec EDR (SYMANTEC_EDR)
  • Uptycs EDR (UPTYCS_EDR)

Untuk mengetahui daftar semua sumber data yang didukung Google SecOps, lihat Jenis log dan parser default yang didukung.

Menyesuaikan pemberitahuan yang ditampilkan oleh set aturan

Anda dapat mengurangi jumlah deteksi yang dihasilkan oleh aturan atau kumpulan aturan menggunakan pengecualian aturan.

Pengecualian aturan menentukan kriteria yang digunakan untuk mengecualikan peristiwa agar tidak dievaluasi oleh set aturan, atau oleh aturan tertentu dalam set aturan. Anda dapat membuat satu atau beberapa pengecualian aturan untuk membantu mengurangi volume deteksi. Lihat Mengonfigurasi pengecualian aturan untuk mengetahui informasi selengkapnya.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.