Abgestimmte Erkennungsregeln für Drittanbieterbenachrichtigungen verwenden
In diesem Dokument finden Sie eine Übersicht über die Regelsätze in der Kategorie Benachrichtigungen zu Drittanbietern, die erforderlichen Datenquellen und die Konfiguration, mit der Sie die von den einzelnen Regelsätzen generierten Benachrichtigungen optimieren können.
Regelsätze in der Kategorie „Drittanbieter-Benachrichtigungen“ zeigen Drittanbieter-Benachrichtigungen als Google Security Operations-Erkennungen an. Diese Kategorie umfasst die folgenden Regelsätze:
- Carbon Black-Warnungen: Passthrough-Regeln für Carbon Black-Warnungen.
- CrowdStrike-Benachrichtigungen: Passthrough-Regeln für CrowdStrike-Benachrichtigungen.
- Microsoft Defender for Endpoint-Benachrichtigungen: Passthrough-Regeln für Microsoft Defender for Endpoint Graph-Benachrichtigungen.
- SentinelOne Threats alerts (SentinelOne-Bedrohungsbenachrichtigungen): Passthrough-Regeln für SentinelOne-Benachrichtigungen.
- Cybereason EDR-Passthrough-Regeln: Passthrough-Regeln für Cybereason EDR-Benachrichtigungen.
- Deep Instinct EDR-Passthrough-Regeln: Passthrough-Regeln für Deep Instinct EDR-Benachrichtigungen.
- Digital Guardian EDR-Passthrough-Regeln: Passthrough-Regeln für Digital Guardian EDR-Benachrichtigungen.
- ESET EDR-Passthrough-Regeln: Passthrough-Regeln für ESET EDR-Benachrichtigungen.
- Fortinet FortiEDR-Passthrough-Regeln: Passthrough-Regeln für Fortinet FortiEDR-Benachrichtigungen.
- LimaCharlie EDR-Passthrough-Regeln: Passthrough-Regeln für LimaCharlie EDR-Benachrichtigungen.
- MalwareBytes EDR Passthrough-Regeln: Passthrough-Regeln für MalwareBytes EDR-Benachrichtigungen.
- PAN EDR-Passthrough-Regeln: Passthrough-Regeln für PAN EDR-Benachrichtigungen.
- Sophos EDR-Passthrough-Regeln: Passthrough-Regeln für Sophos EDR-Warnungen.
- Symantec EDR-Passthrough-Regeln: Passthrough-Regeln für Symantec EDR-Benachrichtigungen.
- Uptycs EDR-Passthrough-Regeln: Passthrough-Regeln für Uptycs EDR-Warnungen.
Unterstützte Geräte und Protokolltypen
In diesem Abschnitt werden die Daten aufgeführt, die für die einzelnen Regelsätze erforderlich sind.
Regelsätze in der Kategorie „Drittanbieterwarnungen“ wurden getestet und werden mit den folgenden von Google SecOps unterstützten EDR-Datenquellen unterstützt:
- Carbon Black (
CB_EDR
) - CrowdStrike Detection Monitoring (
CS_DETECTS
) - Microsoft Defender for Endpoint (
MICROSOFT_GRAPH_ALERT
) - SentinelOne CF (
SENTINELONE_CF
) - Cybereason EDR (
CYBEREASON_EDR
) - Deep Instinct EDR (
DEEP_INSTINCT_EDR
) - Digital Guardian EDR (
DIGITAL_GUARDIAN_EDR
) - ESET EDR (
ESET_EDR
) - Fortinet FortiEDR (
FORTINET_FORTIEDR
) - LimaCharlie EDR (
LIMACHARLIE_EDR
) - MalwareBytes EDR (
MALWAREBYTES_EDR
) - PAN EDR (
PAN_EDR
) - Sophos EDR (
SOPHOS_EDR
) - Symantec EDR (
SYMANTEC_EDR
) - Uptycs EDR (
UPTYCS_EDR
)
Eine Liste aller von Google SecOps unterstützten Datenquellen finden Sie unter Unterstützte Logtypen und Standardparser.
Von Regelsätzen zurückgegebene Benachrichtigungen optimieren
Mit Regelausschlüssen können Sie die Anzahl der erkannten Elemente reduzieren, die von einer Regel oder einem Regelsatz generiert werden.
Mit einem Regelausschluss werden die Kriterien definiert, anhand derer ein Ereignis nicht vom Regelsatz oder von bestimmten Regeln im Regelsatz ausgewertet wird. Sie können einen oder mehrere Regelausschlüsse erstellen, um die Anzahl der erkannten Verstöße zu reduzieren. Weitere Informationen finden Sie unter Regelausschlüsse konfigurieren.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten