使用精選偵測規則取得第三方快訊

本文將概述「第三方供應商快訊」類別中的規則集、必要資料來源，以及可用於調整各規則集所產生快訊的設定。

第三方供應商快訊類別中的規則集會將第三方供應商快訊顯示為 Google Security Operations 偵測結果。這個類別包含下列規則集：

• Carbon Black 快訊：Carbon Black 快訊的直通規則。
• CrowdStrike 快訊：CrowdStrike 快訊的直通規則。
• 適用於端點的 Microsoft Defender 快訊：適用於端點的 Microsoft Defender Graph 快訊的直通規則。
• SentinelOne 威脅快訊：SentinelOne 快訊的直通規則。
• Cybereason EDR 傳遞規則：Cybereason EDR 警報的傳遞規則。
• Deep Instinct EDR 傳遞規則：Deep Instinct EDR 警報的傳遞規則。
• Digital Guardian EDR 傳遞規則：Digital Guardian EDR 警告的傳遞規則。
• ESET EDR 傳遞規則：ESET EDR 快訊的傳遞規則。
• Fortinet FortiEDR Passthrough 規則：Fortinet FortiEDR 警示的 Passthrough 規則。
• LimaCharlie EDR 傳輸規則：LimaCharlie EDR 警示的傳輸規則。
• MalwareBytes EDR Passthrough 規則：MalwareBytes EDR 快訊的 Passthrough 規則。
• PAN EDR 傳遞規則：PAN EDR 快訊的傳遞規則。
• Sophos EDR 傳輸規則：Sophos EDR 警報的傳輸規則。
• Symantec EDR Passthrough 規則：Symantec EDR 快訊的 Passthrough 規則。
• Uptycs EDR Passthrough 規則：Uptycs EDR 警報的 Passthrough 規則。

支援的裝置和記錄類型

本節列出各規則集所需的資料。

第三方供應商快訊類別中的規則集已通過測試，並支援下列 Google SecOps 支援的 EDR 資料來源：

• Carbon Black (CB_EDR)
• CrowdStrike 偵測監控 (CS_DETECTS)
• 適用於端點的 Microsoft Defender (MICROSOFT_GRAPH_ALERT)
• SentinelOne CF (SENTINELONE_CF)
• Cybereason EDR (CYBEREASON_EDR)
• Deep Instinct EDR (DEEP_INSTINCT_EDR)
• Digital Guardian EDR (DIGITAL_GUARDIAN_EDR)
• ESET EDR (ESET_EDR)
• Fortinet FortiEDR (FORTINET_FORTIEDR)
• LimaCharlie EDR (LIMACHARLIE_EDR)
• MalwareBytes EDR (MALWAREBYTES_EDR)
• PAN EDR (PAN_EDR)
• Sophos EDR (SOPHOS_EDR)
• Symantec EDR (SYMANTEC_EDR)
• Uptycs EDR (UPTYCS_EDR)

如需 Google SecOps 支援的所有資料來源清單，請參閱「支援的記錄檔類型和預設剖析器」。

調整規則集傳回的快訊

您可以使用規則排除項目，減少規則或規則集產生的偵測次數。

規則排除條件會定義用於排除事件的評估條件，以免規則集或規則集中的特定規則評估事件。您可以建立一或多項規則排除條件，減少偵測量。詳情請參閱「設定規則排除條件」一節。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。