Configura las exclusiones de reglas

Compatible con:

Crea exclusiones desde la pestaña Exclusiones

Es posible que las detecciones seleccionadas que proporciona el Google Cloud equipo de Inteligencia de amenazas (GCTI) generen demasiadas detecciones. Puedes configurar exclusiones en las reglas de detección seleccionadas para reducir el volumen de estas detecciones. Las exclusiones de reglas solo se usan con las detecciones seleccionadas de Google Security Operations.

Para configurar una exclusión en una regla de detección seleccionada, completa los siguientes pasos:

  1. En la barra de navegación, selecciona Rules & Detections. Haz clic en la pestaña Exclusiones.

  2. Haz clic en Crear exclusión (Create Exclusion) para crear una exclusión nueva. Se abrirá la ventana Crear exclusión.

    Crear exclusión

    Figura 1: Crear exclusión

  3. Especifica un nombre de exclusión único. Este nombre aparecerá en la lista de exclusiones de la pestaña Exclusiones.

  4. Selecciona la regla o el conjunto de reglas a los que deseas aplicar la exclusión. Puedes desplazarte por la lista de reglas o buscar una regla en particular con el campo de búsqueda y haciendo clic en Buscar. Las reglas de un conjunto de reglas solo se muestran si activaron una detección.

  5. Para ingresar el valor de la AUA que deseas excluir, selecciona un campo de la AUA, especifica un operador y, luego, ingresa un valor. Debes presionar la tecla Intro para cada valor. De lo contrario, recibirás un mensaje de error cuando hagas clic en + Sentencia condicional. Por ejemplo, es posible que quieras configurar una exclusión cuando principal.hostname = google.com.

    Puedes ingresar valores adicionales a una condición. Cada vez que presionas la tecla Intro, se registra el valor y puedes ingresar otro. Varios valores de una condición se unen con un operador O lógico, lo que significa que una exclusión coincide si alguno de los valores coincide.

    Para agregar condiciones adicionales a esta exclusión, haz clic en + Sentencia condicional. Si intentas especificar una condición no válida, recibirás un mensaje de error. Cuando hay varias condiciones, se unen con un operador lógico Y, lo que significa que una exclusión solo coincide si todas las condiciones también coinciden.

  6. (Opcional) Haz clic en Run Test para determinar cuántas exclusiones se realizarían si se habilitaran. Para ello, se evalúa la exclusión en las últimas dos semanas de detecciones registradas.

  7. Opcional: Desmarca Habilitar la exclusión luego de su creación si quieres inhabilitar la exclusión por el momento (esta opción está habilitada de forma predeterminada).

  8. Haz clic en Agregar exclusión de reglas cuando esté todo listo.

Cómo crear exclusiones desde el visor de la AUA

También puedes crear exclusiones desde el visor de la UDM. Para ello, sigue estos pasos:

  1. En la barra de navegación, selecciona Rules & Detections. Haz clic en la pestaña Detección seleccionada.

  2. Haz clic en Panel y, luego, selecciona una regla con detecciones.

  3. Navega a un evento en la Línea de tiempo y haz clic en el ícono del visor de eventos de registro sin procesar y de la AUA.

  4. En la vista de eventos de la AUA, selecciona el campo de la AUA que deseas excluir, selecciona Ver opciones y, luego, Excluir. Se abrirá la ventana Crear exclusión. La ventana se prepropaga con la regla, el campo de la UDM y el valor extraído de tu selección de la UDM.

  5. Asigna un nombre único a la exclusión nueva.

  6. (Opcional) Haz clic en Run Test para determinar cuántas exclusiones se realizarían si se habilitaran. Para ello, se evalúa la exclusión en las últimas dos semanas de detecciones registradas.

  7. Haz clic en Agregar exclusión de reglas cuando esté todo listo.

Administra exclusiones

Una vez que hayas creado una o más exclusiones, tendrás las siguientes opciones en la pestaña Exclusiones (en la barra de navegación, selecciona Reglas y detecciones). Haz clic en la pestaña Exclusiones.

  • Las exclusiones se enumeran en la tabla de exclusiones. Para inhabilitar cualquiera de las exclusiones que se enumeran, establece el botón de activación Habilitada en Inhabilitada.
  • Para filtrar qué exclusiones se muestran, haz clic en el ícono de filtro . Selecciona las opciones Habilitado, Inhabilitado o Archivado según sea necesario.
  • Para editar una exclusión, haz clic en el ícono de menú y selecciona Editar.
  • Para archivar una exclusión, haz clic en el ícono de menú y selecciona Archivar.
  • Para desarchivar una exclusión, haz clic en el ícono de menú y selecciona Desarchivar.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.