Configurare le esclusioni delle regole

Creare esclusioni dalla scheda Esclusioni

Potresti notare che i rilevamenti selezionati forniti dal team di Google Cloud Threat Intelligence (GCTI) stanno generando troppi rilevamenti. Per ridurre il volume di questi rilevamenti, puoi configurare le esclusioni alle regole di rilevamento selezionate. Le esclusioni delle regole vengono utilizzate solo con i rilevamenti curati di Google Security Operations.

Per configurare un'esclusione per una regola di rilevamento selezionata:

  1. Nella barra di navigazione, seleziona Regole e rilevamenti. Fai clic sulla scheda Esclusioni.

  2. Fai clic su Crea esclusione per creare una nuova esclusione. Viene visualizzata la finestra Crea esclusione.

    Crea esclusione

    Figura 1: creazione dell'esclusione

  3. Specifica un nome di esclusione univoco. Questo nome verrà visualizzato nell'elenco delle esclusioni nella scheda Esclusioni.

  4. Selezionare la regola o la serie di regole a cui applicare l'esclusione. Puoi scorrere l'elenco delle regole o cercare una regola specifica utilizzando il campo di ricerca e facendo clic su Cerca. Le regole in una serie di regole vengono visualizzate solo se hanno attivato un rilevamento.

  5. Inserisci il valore UDM da escludere selezionando un campo UDM, specificando un operatore e inserendo un valore. È necessario premere il tasto Invio per ciascun valore, altrimenti viene visualizzato un messaggio di errore quando fai clic su + Istruzione condizionale. Ad esempio, potresti voler configurare un'esclusione quando principal.hostname = google.com.

    Puoi inserire valori aggiuntivi in una condizione. Ogni volta che premi il tasto Invio, il valore viene registrato e puoi inserirne un altro. Più valori per una condizione sono uniti utilizzando un operatore logico OR, il che significa che viene trovata una corrispondenza di esclusione se uno qualsiasi dei valori corrisponde.

    Puoi aggiungere ulteriori condizioni a questa esclusione facendo clic su + Istruzione condizionale. Se tenti di specificare una condizione non valida, riceverai un messaggio di errore. Più condizioni vengono unite utilizzando un operatore logico AND; ciò significa che un'esclusione trova corrispondenze solo se anche tutte le condizioni sono soddisfatte.

  6. (Facoltativo) Fai clic su Esegui test per determinare quante esclusioni sarebbero state effettuate se attivate, calcolate valutando l'esclusione nelle ultime due settimane di rilevamenti registrati.

  7. (Facoltativo) Deseleziona Abilita l'esclusione alla creazione se vuoi disattivare l'esclusione per il momento (questa opzione è attiva per impostazione predefinita).

  8. Quando è tutto pronto, fai clic su Aggiungi esclusione regola.

Creare esclusioni dal visualizzatore UDM

Puoi anche creare esclusioni dal visualizzatore UDM procedendo nel seguente modo:

  1. Nella barra di navigazione, seleziona Regole e rilevamenti. Fai clic sulla scheda Rilevamenti selezionati.

  2. Fai clic su Dashboard e seleziona una regola con rilevamenti.

  3. Passa a un evento in Spostamenti e fai clic sull'icona del visualizzatore di log non elaborati e UDM.

  4. Nella visualizzazione Evento UDM, seleziona il campo UDM da escludere, seleziona Opzioni di visualizzazione e poi Escludi. Viene visualizzata la finestra Crea esclusione. La finestra è precompilata con la regola, il campo UDM e il valore tratto dalla selezione UDM.

  5. Assegna alla nuova esclusione un nome univoco.

  6. (Facoltativo) Fai clic su Esegui test per determinare quante esclusioni sarebbero state effettuate se attivate, calcolate valutando l'esclusione nelle ultime due settimane di rilevamenti registrati.

  7. Quando è tutto pronto, fai clic su Aggiungi esclusione regola.

Gestisci esclusioni

Dopo aver creato una o più esclusioni, puoi visualizzare le seguenti opzioni nella scheda Esclusioni (nella barra di navigazione, seleziona Regole e rilevamenti. Fai clic sulla scheda Esclusioni.

  • Le esclusioni sono elencate nella tabella delle esclusioni. Puoi disattivare qualsiasi esclusione elencata impostando il pulsante di attivazione/disattivazione Abilitato su Disattivato.
  • Puoi filtrare le esclusioni visualizzate facendo clic sull'icona del filtro . Seleziona le opzioni Attivata, Disattivata o Archiviata in base alle tue esigenze.
  • Per modificare un'esclusione, fai clic sull'icona del menu e seleziona Modifica.
  • Per archiviare un'esclusione, fai clic sull'icona del menu e seleziona Archivia.
  • Per annullare l'archiviazione di un'esclusione, fai clic sull'icona del menu e seleziona Annulla archiviazione.