Configurare le esclusioni delle regole

Supportato in:

Creare esclusioni dalla scheda Esclusioni

Potresti scoprire che i rilevamenti selezionati forniti dal team di Google Cloud Threat Intelligence (GCTI) generano troppi rilevamenti. Puoi configurare le esclusioni per il rilevamento selezionato per ridurre il volume di questi rilevamenti. Le esclusioni delle regole vengono utilizzate solo con Google Security Operations rilevamenti curati.

Per configurare un'esclusione per una regola di rilevamento selezionata:

  1. Nella barra di navigazione, seleziona Regole e Rilevamenti. Fai clic sulla scheda Esclusioni.

  2. Fai clic su Crea esclusione per creare una nuova esclusione. Viene visualizzata la finestra Crea esclusione.

    Crea esclusione

    Figura 1: Crea esclusione

  3. Specifica un nome univoco per l'esclusione. Questo nome verrà visualizzato nell'elenco delle esclusioni nella scheda Esclusioni.

  4. Seleziona la regola o l'insieme di regole a cui applicare l'esclusione. Puoi scorrere l'elenco delle regole o cercare una regola specifica utilizzando il campo di ricerca e facendo clic su Cerca. Le regole in una serie di regole vengono visualizzate solo se hanno attivato un rilevamento.

  5. Inserisci il valore UDM da escludere selezionando un campo UDM, specificando un operatore e inserendo un valore. È necessario premere il tasto Invio per ciascun valore, altrimenti viene visualizzato un messaggio di errore quando fai clic su + Istruzione condizionale. Ad esempio, potresti voler configurare un'esclusione quando principal.hostname = google.com.

    Puoi inserire valori aggiuntivi in una condizione. Ogni volta che premi il tasto Invio, il valore viene registrato e puoi inserire un altro valore. Più valori per una condizione vengono uniti utilizzando un operatore OR logico, il che significa che un'esclusione corrisponde se uno qualsiasi dei valori corrisponde.

    Puoi aggiungere ulteriori condizioni a questa esclusione facendo clic su + Istruzione condizionale. Se provi a specificare una condizione non valida, riceverai un messaggio di errore. Più condizioni vengono unite utilizzando un AND logico, il che significa che un'esclusione corrisponde solo se corrisponde anche a tutte le condizioni.

  6. (Facoltativo) Fai clic su Esegui test per determinare quante esclusioni verrebbero effettuate se l'opzione fosse attivata, calcolate valutando l'esclusione negli ultimi due mesi di rilevamenti registrati.

  7. (Facoltativo) Deseleziona Abilita l'esclusione alla creazione se vuoi disattivare l'esclusione per il momento (questa opzione è attiva per impostazione predefinita).

  8. Quando è tutto pronto, fai clic su Aggiungi esclusione regola.

Creare esclusioni dal visualizzatore UDM

Puoi anche creare esclusioni dal visualizzatore UDM procedendo nel seguente modo:

  1. Nella barra di navigazione, seleziona Regole e rilevamenti. Fai clic sulla scheda Rilevamento selezionati.

  2. Fai clic su Dashboard e seleziona una regola con rilevamenti.

  3. Passa a un evento in Spostamenti e fai clic sull'icona del visualizzatore di log non elaborati e UDM.

  4. Nella visualizzazione Evento UDM, seleziona il campo UDM da escludere, seleziona Opzioni di visualizzazione e poi Escludi. Viene visualizzata la finestra Crea esclusione. La finestra viene precompilata con la regola, il campo UDM e il valore ricavato dalla selezione UDM.

  5. Assegna un nome univoco alla nuova esclusione.

  6. (Facoltativo) Fai clic su Esegui test per determinare quante esclusioni verrebbero effettuate se l'opzione fosse attivata, calcolate valutando l'esclusione negli ultimi due mesi di rilevamenti registrati.

  7. Quando è tutto pronto, fai clic su Aggiungi esclusione regola.

Gestisci esclusioni

Dopo aver creato una o più esclusioni, nella scheda Esclusioni (nella barra di navigazione, seleziona Regole e rilevamenti) hai a disposizione le seguenti opzioni: Fai clic sulla scheda Esclusioni.

  • Le esclusioni sono elencate nella tabella delle esclusioni. Puoi disattivare una delle esclusioni elencate impostando l'opzione Attivata su Disattivata.
  • Puoi filtrare le esclusioni da visualizzare facendo clic sull'icona del filtro . Seleziona le opzioni Attivata, Disattivata o Archiviata in base alle tue esigenze.
  • Per modificare un'esclusione, fai clic sull'icona del menu e seleziona Modifica.
  • Per archiviare un'esclusione, fai clic sull'icona del menu e seleziona Archivia.
  • Per annullare l'archiviazione di un'esclusione, fai clic sull'icona del menu e seleziona Annulla archiviazione.