Configura exclusiones de reglas
Crea exclusiones desde la pestaña Exclusiones
Es posible que las detecciones seleccionadas que proporciona el equipo de Google Cloud Threat Intelligence (GCTI) generen demasiadas detecciones. Puedes configurar exclusiones en la detección seleccionada para reducir el volumen de estas detecciones. Las exclusiones de reglas solo se usan con las detecciones seleccionadas de Google Security Operations.
Para configurar una exclusión en una regla de detección seleccionada, completa los siguientes pasos:
En la barra de navegación, selecciona Rules & Detections. Haz clic en la pestaña Exclusiones.
Haz clic en Crear exclusión para crear una exclusión nueva. Se abrirá la ventana Crear exclusión.
Figura 1: Crear exclusión
Especifica un nombre de exclusión único. Este nombre aparecerá en la lista de exclusiones de la pestaña Exclusiones.
Selecciona la regla o el conjunto de reglas a los que deseas aplicar la exclusión. Puedes desplazarte por la lista de reglas o buscar una regla en particular con el campo de búsqueda y haciendo clic en Buscar. Las reglas de un conjunto de reglas se muestran solo si activaron una detección.
Para ingresar el valor de UDM que deseas excluir, selecciona un Campo de UDM, especifica un operador y, luego, ingresa un valor. Debes presionar la tecla Intro para cada valor. De lo contrario, recibirás un mensaje de error cuando hagas clic en + Sentencia condicional. Por ejemplo, es posible que quieras configurar una exclusión cuando
principal.hostname = google.com
.Puedes ingresar valores adicionales a una condición. Cada vez que presionas la tecla Intro, se registra el valor y puedes ingresar otro. Se unen varios valores para una condición mediante un operador lógico OR, lo que significa que una exclusión coincide si alguno de los valores coincide.
Si deseas agregar condiciones adicionales a esta exclusión, haz clic en + Declaración condicional. Si intentas especificar una condición no válida, recibirás un mensaje de error. Varias condiciones se unen usando un operador lógico AND, lo que significa que una exclusión solo coincide si cada una de las condiciones también coincide.
(Opcional) Haz clic en Run Test para determinar cuántas exclusiones se realizarían si se habilitaran. Para ello, se evalúa la exclusión en las últimas dos semanas de detecciones registradas.
(Opcional) Desmarca la opción Habilitar la exclusión tras la creación si deseas inhabilitar la exclusión por el momento (esta opción está habilitada de forma predeterminada).
Haz clic en Agregar exclusión de reglas cuando esté todo listo.
Cómo crear exclusiones desde el visor de la AUA
También puedes crear exclusiones desde el visualizador de UDM. Para ello, sigue estos pasos:
En la barra de navegación, seleccione Reglas y Detecciones. Haz clic en la pestaña Detecciones seleccionadas.
Haz clic en Panel y, luego, selecciona una regla con detecciones.
Navega a un evento en Cronograma y haz clic en el ícono del visor de eventos de UDM y registro sin procesar.
En la vista de eventos de la AUA, selecciona el campo de la AUA que deseas excluir, selecciona Ver opciones y, luego, Excluir. Se abrirá la ventana Crear exclusión. La ventana se prepropaga con la regla, el campo de la UDM y el valor extraído de tu selección de la UDM.
Asigna un nombre único a la exclusión nueva.
(Opcional) Haga clic en Ejecutar prueba para determinar cuántas exclusiones se realizarían si se habilitaran. Para calcularlas, se evalúa la exclusión de las últimas dos semanas de detecciones registradas.
Haz clic en Agregar exclusión de reglas cuando termines.
Administrar exclusiones
Una vez que hayas creado una o más exclusiones, tendrás las siguientes opciones en la pestaña Exclusiones (en la barra de navegación, selecciona Reglas y detecciones). Haga clic en la pestaña Exclusiones.
- Las exclusiones se indican en la tabla de exclusiones. Para inhabilitar cualquiera de las exclusiones que se enumeran, establece el botón de activación Habilitada en Inhabilitada.
- Para filtrar qué exclusiones se muestran, haz clic en el ícono de filtro . Selecciona las opciones Habilitado, Inhabilitado o Archivado según sea necesario.
- Para editar una exclusión, haz clic en el ícono de menú y selecciona Editar.
- Para archivar una exclusión, haz clic en el ícono de menú y selecciona Archivar.
- Para desarchivar una exclusión, haz clic en el ícono de menú y selecciona Desarchivar.