Regelausschlüsse konfigurieren

Unterstützt in:

Ausschlüsse auf dem Tab „Ausschlüsse“ erstellen

Möglicherweise stellen Sie fest, dass die vom Google Cloud Threat Intelligence-Team (GCTI) bereitgestellten ausgewählten Erkennungen zu viele Erkennungen generieren. Sie können Ausschlüsse für die ausgewählten Erkennungsregeln konfigurieren, um die Anzahl dieser Erkennungen zu reduzieren. Regelausschlüsse werden nur für von Google Security Operations ausgewählte Erkennungen verwendet.

So konfigurieren Sie eine Ausnahme für eine Regel zur kuratierten Erkennung:

  1. Wählen Sie in der Navigationsleiste Regeln und Erkennungen aus. Klicken Sie auf den Tab Ausschlüsse.

  2. Klicken Sie auf Ausschluss erstellen, um einen neuen Ausschluss zu erstellen. Das Fenster Ausschluss erstellen wird geöffnet.

    Ausschluss erstellen

    Abbildung 1: Ausschluss erstellen

  3. Geben Sie einen eindeutigen Namen für die Ausschlüsse an. Dieser Name wird auf dem Tab „Ausschlüsse“ in der Liste der Ausschlüsse angezeigt.

  4. Wählen Sie die Regel oder das Regelset aus, auf die bzw. das der Ausschluss angewendet werden soll. Sie können entweder durch die Liste der Regeln scrollen oder über das Suchfeld nach einer bestimmten Regel suchen und auf Suchen klicken. Regeln in einem Regelsatz werden nur angezeigt, wenn sie eine Erkennung ausgelöst haben.

  5. Geben Sie den auszuschließenden UDM-Wert ein, indem Sie ein UDM-Feld auswählen, einen Operator angeben und einen Wert eingeben. Sie müssen für jeden Wert die Eingabetaste drücken, da Sie sonst eine Fehlermeldung erhalten, wenn Sie auf + Bedingte Anweisung klicken. Sie können beispielsweise einen Ausschluss konfigurieren, wenn principal.hostname = google.com.

    Sie können einer Bedingung zusätzliche Werte hinzufügen. Jedes Mal, wenn Sie die Eingabetaste drücken, wird der Wert erfasst und Sie können einen weiteren Wert eingeben. Mehrere Werte für eine Bedingung werden mit einem logischen OR verknüpft. Das bedeutet, dass ein Ausschluss zutrifft, wenn einer der Werte übereinstimmt.

    Sie können dieser Ausnahme weitere Bedingungen hinzufügen, indem Sie auf + Bedingte Anweisung klicken. Wenn Sie versuchen, eine ungültige Bedingung anzugeben, erhalten Sie eine Fehlermeldung. Mehrere Bedingungen werden mit einem logischen UND verknüpft. Das bedeutet, dass eine Ausgrenzung nur dann zutrifft, wenn alle Bedingungen erfüllt sind.

  6. Optional: Klicken Sie auf Test ausführen, um zu sehen, wie viele Ausschlüsse bei Aktivierung vorgenommen würden. Dazu wird die Auswirkung der Ausschlüsse auf die erfassten Erkennungen in den letzten zwei Wochen berechnet.

  7. Optional: Entfernen Sie das Häkchen bei Ausschluss nach Erstellung aktivieren, wenn Sie den Ausschluss vorerst deaktivieren möchten. Diese Option ist standardmäßig aktiviert.

  8. Klicken Sie auf Regel-Ausschluss hinzufügen.

Ausschlüsse über den UDM-Viewer erstellen

Sie können Ausschlüsse auch über den UDM-Viewer erstellen. Gehen Sie dazu so vor:

  1. Wählen Sie in der Navigationsleiste Regeln und Erkennungen aus. Klicken Sie auf den Tab Ausgewählte Erkennungen.

  2. Klicken Sie auf Dashboard und wählen Sie eine Regel mit erkannten Problemen aus.

  3. Rufen Sie in der Zeitachse ein Ereignis auf und klicken Sie auf das Symbol für die Ereignisanzeige für Rohprotokolle und UDM.

  4. Wählen Sie in der UDM-Ereignisansicht das UDM-Feld aus, das Sie ausschließen möchten, und dann Ansichtsoptionen und Ausschließen. Das Fenster Ausschluss erstellen wird geöffnet. Das Fenster enthält bereits die Regel, das UDM-Feld und den Wert aus Ihrer UDM-Auswahl.

  5. Geben Sie dem neuen Ausschluss einen eindeutigen Namen.

  6. Optional: Klicken Sie auf Test ausführen, um zu sehen, wie viele Ausschlüsse bei Aktivierung vorgenommen würden. Dazu wird die Auswirkung der Ausschlüsse auf die erfassten Erkennungen in den letzten zwei Wochen berechnet.

  7. Klicken Sie auf Regel-Ausschluss hinzufügen.

Ausschlüsse verwalten

Nachdem Sie eine oder mehrere Ausschlüsse erstellt haben, stehen Ihnen auf dem Tab Ausschlüsse die folgenden Optionen zur Verfügung. Wählen Sie dazu in der Navigationsleiste Regeln und Erkennungen aus. Klicken Sie auf den Tab Ausschlüsse.

  • Die Ausschlüsse sind in der Tabelle mit den Ausschlüssen aufgeführt. Sie können die aufgeführten Ausschlüsse deaktivieren, indem Sie die Ein/Aus-Schaltfläche auf Deaktiviert stellen.
  • Sie können auswählen, welche Ausschlüsse angezeigt werden sollen, indem Sie auf das Filtersymbol  klicken. Wählen Sie nach Bedarf die Optionen Aktiviert, Deaktiviert oder Archiviert aus.
  • Wenn Sie einen Ausschluss bearbeiten möchten, klicken Sie auf das Dreipunkt-Menü  und wählen Sie Bearbeiten aus.
  • Wenn Sie einen Ausschluss archivieren möchten, klicken Sie auf das Dreipunkt-Menü  und wählen Sie Archivieren aus.
  • Wenn Sie einen Ausschluss aus dem Archiv entfernen möchten, klicken Sie auf das Dreistrich-Menü  und wählen Sie Aus dem Archiv entfernen aus.