Usar regras de detecção selecionadas para alertas de terceiros

Compatível com:

Este documento oferece uma visão geral dos conjuntos de regras na categoria Alertas de fornecedores terceirizados, das fontes de dados necessárias e da configuração que você pode usar para ajustar os alertas gerados por cada conjunto de regras.

Os conjuntos de regras na categoria de alertas de fornecedores terceirizados mostram alertas de fornecedores terceirizados como detecções do Google Security Operations. Essa categoria inclui os seguintes conjuntos de regras:

  • Alertas do Carbon Black: regras de passagem para alertas do Carbon Black.
  • Alertas da CrowdStrike: regras de transmissão para alertas da CrowdStrike.
  • Alertas do Microsoft Defender para Ponto de Extremidade: regras de passagem para alertas do Microsoft Defender para Ponto de Extremidade Graph.
  • Alertas de ameaças da SentinelOne: regras de transmissão para alertas da SentinelOne.
  • Regras de passagem do Cybereason EDR: regras de passagem para alertas do Cybereason EDR.
  • Regras de transferência de EDR do Deep Instinct: regras de transferência para alertas de EDR do Deep Instinct.
  • Regras de passagem de EDR do Digital Guardian: regras de passagem para alertas de EDR do Digital Guardian.
  • Regras de passagem do ESET EDR: regras de passagem para alertas do ESET EDR.
  • Regras de passagem do Fortinet FortiEDR: regras de passagem para alertas do Fortinet FortiEDR.
  • Regras de passagem de EDR do LimaCharlie: regras de passagem para alertas de EDR do LimaCharlie.
  • Regras de passagem de EDR do MalwareBytes: regras de passagem para alertas de EDR do MalwareBytes.
  • Regras de passagem do PAN EDR: regras de passagem para alertas do PAN EDR.
  • Regras de passagem do EDR da Sophos: regras de passagem para alertas do EDR da Sophos.
  • Regras de passagem do Symantec EDR: regras de passagem para alertas do Symantec EDR.
  • Regras de passagem de EDR da Uptycs: regras de passagem para alertas de EDR da Uptycs.

Dispositivos e tipos de registros aceitos

Esta seção lista os dados exigidos por cada conjunto de regras.

Os grupos de regras na categoria de alertas de fornecedores terceirizados foram testados e são compatíveis com as seguintes fontes de dados de EDR aceitas pelo Google SecOps:

  • Carbon Black (CB_EDR)
  • Monitoramento de detecção da CrowdStrike (CS_DETECTS)
  • Microsoft Defender para Ponto de Extremidade (MICROSOFT_GRAPH_ALERT)
  • SentinelOne CF (SENTINELONE_CF)
  • Cybereason EDR (CYBEREASON_EDR)
  • EDR do Deep Instinct (DEEP_INSTINCT_EDR)
  • EDR do Digital Guardian (DIGITAL_GUARDIAN_EDR)
  • ESET EDR (ESET_EDR)
  • Fortinet FortiEDR (FORTINET_FORTIEDR)
  • EDR do LimaCharlie (LIMACHARLIE_EDR)
  • EDR do MalwareBytes (MALWAREBYTES_EDR)
  • PAN EDR (PAN_EDR)
  • EDR da Sophos (SOPHOS_EDR)
  • Symantec EDR (SYMANTEC_EDR)
  • EDR da Uptycs (UPTYCS_EDR)

Para uma lista de todas as fontes de dados compatíveis com o Google SecOps, consulte Tipos de registros e analisadores padrão compatíveis.

Ajustar os alertas retornados por conjuntos de regras

É possível reduzir o número de detecções geradas por uma regra ou um conjunto de regras usando exclusões de regras.

Uma exclusão de regra define os critérios usados para impedir que um evento seja avaliado pelo conjunto de regras ou por regras específicas nele. É possível criar uma ou mais exclusões de regra para reduzir o volume de detecções. Consulte Configurar exclusões de regras para mais informações.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.