Configurer les exclusions de règles

Créer des exclusions à partir de l'onglet "Exclusions"

Vous constaterez peut-être que les détections proposées par l'équipe Google Cloud Threat Intelligence (GCTI) génèrent trop de détections. Vous pouvez configurer des exclusions au niveau des règles de détection sélectionnées pour réduire le volume de ces détections. Les exclusions de règles ne sont utilisées qu'avec les détections sélectionnées par les opérations de sécurité Google.

Pour configurer une exclusion pour une règle de détection sélectionnée, procédez comme suit:

  1. Dans la barre de navigation, sélectionnez Règles et détections. Cliquez sur l'onglet Exclusions.

  2. Cliquez sur Créer une exclusion pour créer une exclusion. La fenêtre Create Exclusion (Créer une exclusion) s'ouvre.

    Créer une exclusion

    Figure 1: Créer une exclusion

  3. Indiquez un nom d'exclusion unique. Ce nom apparaîtra dans la liste des exclusions de l'onglet "Exclusions".

  4. Sélectionnez la règle ou le jeu de règles auquel appliquer l'exclusion. Vous pouvez soit faire défiler la liste des règles, soit rechercher une règle spécifique à l'aide du champ de recherche et en cliquant sur Rechercher. Les règles d'un jeu de règles ne s'affichent que si elles ont déclenché une détection.

  5. Saisissez la valeur UDM à exclure en sélectionnant un champ UDM, en spécifiant un opérateur et en saisissant une valeur. Vous devez appuyer sur la touche Entrée pour chaque valeur, sinon vous recevrez un message d'erreur lorsque vous cliquerez sur + Instruction conditionnelle. Par exemple, vous pouvez configurer une exclusion lorsque principal.hostname = google.com.

    Vous pouvez saisir des valeurs supplémentaires pour une condition. Chaque fois que vous appuyez sur la touche Entrée, la valeur est enregistrée et vous pouvez en saisir une autre. Plusieurs valeurs pour une condition sont jointes à l'aide d'un opérateur logique OU, ce qui signifie qu'une exclusion correspond si l'une des valeurs correspond.

    Vous pouvez ajouter des conditions à cette exclusion en cliquant sur + Instruction conditionnelle. Si vous tentez de spécifier une condition non valide, un message d'erreur s'affiche. Les conditions multiples sont jointes à l'aide d'un opérateur logique ET, ce qui signifie qu'une exclusion ne correspond que si toutes les conditions sont également remplies.

  6. (Facultatif) Cliquez sur Run Test (Exécuter le test) pour déterminer le nombre d'exclusions qui seraient définies si elles étaient activées, en évaluant l'exclusion au cours des deux dernières semaines de détections enregistrées.

  7. (Facultatif) Décochez l'option Activer l'exclusion lors de la création si vous souhaitez désactiver l'exclusion pour le moment (cette option est activée par défaut).

  8. Lorsque vous êtes prêt, cliquez sur Ajouter une exclusion de règle.

Créer des exclusions à partir du lecteur UDM

Vous pouvez également créer des exclusions depuis la visionneuse UDM en procédant comme suit:

  1. Dans la barre de navigation, sélectionnez Règles et détections. Cliquez sur l'onglet Sélection de détections.

  2. Cliquez sur Tableau de bord, puis sélectionnez une règle avec des détections.

  3. Accédez à un événement dans la chronologie, puis cliquez sur l'icône de l'observateur de journaux bruts et d'événements UDM.

  4. Dans la vue "Événements UDM", sélectionnez le champ UDM à exclure, puis View Options (Options d'affichage), puis Exclude (Exclure). La fenêtre Create Exclusion (Créer une exclusion) s'ouvre. La fenêtre est préremplie avec la règle, le champ UDM et la valeur issue de votre sélection UDM.

  5. Attribuez un nom unique à la nouvelle exclusion.

  6. (Facultatif) Cliquez sur Run Test (Exécuter le test) pour déterminer le nombre d'exclusions qui seraient définies si elles étaient activées, en évaluant l'exclusion au cours des deux dernières semaines de détections enregistrées.

  7. Lorsque vous êtes prêt, cliquez sur Ajouter une exclusion de règle.

Gérer les exclusions

Une fois que vous avez créé une ou plusieurs exclusions, les options suivantes sont disponibles dans l'onglet Exclusions (dans la barre de navigation, sélectionnez Règles et détections). Cliquez sur l'onglet Exclusions.)

  • Les exclusions sont listées dans le tableau des exclusions. Vous pouvez désactiver n'importe quelle exclusion en définissant le bouton Activé sur Désactivé.
  • Vous pouvez filtrer les exclusions à afficher en cliquant sur l'icône Filtre . Sélectionnez les options Activé, Désactivé ou Archivé selon vos besoins.
  • Pour modifier une exclusion, cliquez sur l'icône de menu et sélectionnez Modifier.
  • Pour archiver une exclusion, cliquez sur l'icône de menu et sélectionnez Archiver.
  • Pour annuler l'archivage d'une exclusion, cliquez sur l'icône de menu et sélectionnez Désarchiver.