Configurar exclusões de regras

Compatível com:

Criar exclusões na guia "Exclusões"

As detecções selecionadas fornecidas pela equipe de Google Cloud Inteligência de Ameaças (GCTI, na sigla em inglês) podem estar gerando muitas detecções. É possível configurar exclusões nas regras de detecção selecionadas para reduzir o volume dessas detecções. As exclusões de regra são usadas apenas com detecções selecionadas pelo Google Security Operations.

Para configurar uma exclusão em uma regra de detecção selecionada, siga estas etapas:

  1. Na barra de navegação, selecione Regras e detecções. Clique na guia Exclusões.

  2. Clique em Criar exclusão para criar uma nova exclusão. A janela Criar exclusão é aberta.

    Criar exclusão

    Figura 1: criar uma exclusão

  3. Especifique um nome de exclusão exclusivo. Esse nome vai aparecer na lista de exclusões na guia "Exclusões".

  4. Selecione a regra ou o conjunto de regras em que a exclusão será aplicada. Você pode rolar a lista de regras ou pesquisar uma regra específica usando o campo de pesquisa e clicando em Pesquisar. As regras em um conjunto de regras só aparecem se tiverem acionado uma detecção.

  5. Insira o valor do UDM a ser excluído selecionando um campo do UDM, especificando um operador e inserindo um valor. Pressione a tecla Enter para cada valor. Caso contrário, você vai receber uma mensagem de erro ao clicar em + Instrução condicional. Por exemplo, você pode configurar uma exclusão quando principal.hostname = google.com.

    É possível inserir valores adicionais em uma condição. Sempre que você pressiona a tecla Enter, o valor é registrado e você pode inserir outro valor. Vários valores de uma condição são agrupados usando uma lógica OR, o que significa que uma exclusão corresponde se algum dos valores corresponder.

    Para adicionar outras condições a essa exclusão, clique em + Condição. Se você tentar especificar uma condição inválida, vai receber uma mensagem de erro. Várias condições são combinadas usando um AND lógico, o que significa que uma exclusão só é atendida se todas as condições também forem atendidas.

  6. (Opcional) Clique em Executar teste para determinar quantas exclusões seriam feitas se a opção fosse ativada, calculadas avaliando a exclusão nas últimas duas semanas de detecções registradas.

  7. (Opcional) Desmarque a opção Ativar exclusão após a criação se quiser desativar a exclusão por enquanto (essa opção é ativada por padrão).

  8. Clique em Adicionar regra de exclusão quando estiver tudo pronto.

Criar exclusões no visualizador da UDM

Também é possível criar exclusões no visualizador da UDM seguindo estas etapas:

  1. Na barra de navegação, selecione Regras e detecções. Clique na guia Detecções selecionadas.

  2. Clique em Painel e selecione uma regra com detecções.

  3. Navegue até um evento na Linha do tempo e clique no ícone do visualizador de eventos brutos e da UDM.

  4. Na visualização de eventos do UDM, selecione o campo do UDM a ser excluído, Opções de visualização e Excluir. A janela Criar exclusão é aberta. A janela é preenchida com a regra, o campo do UDM e o valor extraído da sua seleção do UDM.

  5. Dê um nome exclusivo à nova exclusão.

  6. (Opcional) Clique em Executar teste para determinar quantas exclusões seriam feitas se a opção fosse ativada, calculadas avaliando a exclusão nas últimas duas semanas de detecções registradas.

  7. Clique em Adicionar regra de exclusão quando estiver tudo pronto.

Gerenciar exclusões

Depois de criar uma ou mais exclusões, você terá as seguintes opções na guia Exclusões (na barra de navegação, selecione Regras e detecções). Clique na guia Exclusões.

  • As exclusões estão listadas na tabela de exclusões. É possível desativar qualquer uma das exclusões listadas definindo a opção Ativada como Desativada.
  • Para filtrar quais exclusões são exibidas, clique no ícone de filtro . Selecione as opções Ativado, Desativado ou Arquivado conforme necessário.
  • Para editar uma exclusão, clique no ícone de menu e selecione Editar.
  • Para arquivar uma exclusão, clique no ícone de menu e selecione Arquivar.
  • Para desarquivar uma exclusão, clique no ícone de menu e selecione Desarquivar.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.