使用精選偵測規則取得第三方快訊
支援的國家/地區:
Google SecOps
SIEM
本文將概述「第三方供應商快訊」類別中的規則集、必要資料來源,以及可用於調整各規則集所產生快訊的設定。
第三方供應商快訊類別中的規則集會將第三方供應商快訊顯示為 Google Security Operations 偵測結果。這個類別包含下列規則集:
- Carbon Black 快訊:Carbon Black 快訊的直通規則。
- CrowdStrike 快訊:CrowdStrike 快訊的直通規則。
- 適用於端點的 Microsoft Defender 快訊:適用於端點的 Microsoft Defender Graph 快訊的直通規則。
- SentinelOne 威脅快訊:SentinelOne 快訊的直通規則。
- Cybereason EDR 傳遞規則:Cybereason EDR 警報的傳遞規則。
- Deep Instinct EDR 傳遞規則:Deep Instinct EDR 警報的傳遞規則。
- Digital Guardian EDR 傳遞規則:Digital Guardian EDR 警告的傳遞規則。
- ESET EDR 傳遞規則:ESET EDR 快訊的傳遞規則。
- Fortinet FortiEDR Passthrough 規則:Fortinet FortiEDR 警示的 Passthrough 規則。
- LimaCharlie EDR 傳輸規則:LimaCharlie EDR 警示的傳輸規則。
- MalwareBytes EDR Passthrough 規則:MalwareBytes EDR 快訊的 Passthrough 規則。
- PAN EDR 傳遞規則:PAN EDR 快訊的傳遞規則。
- Sophos EDR 傳輸規則:Sophos EDR 警報的傳輸規則。
- Symantec EDR Passthrough 規則:Symantec EDR 快訊的 Passthrough 規則。
- Uptycs EDR Passthrough 規則:Uptycs EDR 警報的 Passthrough 規則。
支援的裝置和記錄類型
本節列出各規則集所需的資料。
第三方供應商快訊類別中的規則集已通過測試,並支援下列 Google SecOps 支援的 EDR 資料來源:
- Carbon Black (
CB_EDR
) - CrowdStrike 偵測監控 (
CS_DETECTS
) - 適用於端點的 Microsoft Defender (
MICROSOFT_GRAPH_ALERT
) - SentinelOne CF (
SENTINELONE_CF
) - Cybereason EDR (
CYBEREASON_EDR
) - Deep Instinct EDR (
DEEP_INSTINCT_EDR
) - Digital Guardian EDR (
DIGITAL_GUARDIAN_EDR
) - ESET EDR (
ESET_EDR
) - Fortinet FortiEDR (
FORTINET_FORTIEDR
) - LimaCharlie EDR (
LIMACHARLIE_EDR
) - MalwareBytes EDR (
MALWAREBYTES_EDR
) - PAN EDR (
PAN_EDR
) - Sophos EDR (
SOPHOS_EDR
) - Symantec EDR (
SYMANTEC_EDR
) - Uptycs EDR (
UPTYCS_EDR
)
如需 Google SecOps 支援的所有資料來源清單,請參閱「支援的記錄檔類型和預設剖析器」。
調整規則集傳回的快訊
您可以使用規則排除項目,減少規則或規則集產生的偵測次數。
規則排除條件會定義用於排除事件的評估條件,以免規則集或規則集中的特定規則評估事件。您可以建立一或多項規則排除條件,減少偵測量。詳情請參閱「設定規則排除條件」一節。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。