Configurare le esclusioni di regole

Creare esclusioni dalla scheda Esclusioni

Potresti scoprire che i rilevamenti selezionati forniti dal team Google Cloud Threat Intelligence (GCTI) stanno generando troppi rilevamenti. Con le regole di rilevamento selezionate, puoi configurare le esclusioni per ridurre il volume di questi rilevamenti. Le esclusioni di regole vengono utilizzate solo con i rilevamenti selezionati da Google Security Operations.

Per configurare un'esclusione in base a una regola di rilevamento selezionata, segui questi passaggi:

  1. Nella barra di navigazione, seleziona Regole e rilevamenti. Fai clic sulla scheda Esclusioni.

  2. Fai clic su Crea esclusione per creare una nuova esclusione. Viene visualizzata la finestra Crea esclusione.

    Crea esclusione

    Figura 1: creazione dell'esclusione

  3. Specifica un nome univoco per l'esclusione. Questo nome verrà visualizzato nell'elenco delle esclusioni nella scheda Esclusioni.

  4. Selezionare la regola o la serie di regole a cui applicare l'esclusione. Puoi scorrere l'elenco delle regole o cercare una determinata regola utilizzando il campo di ricerca e facendo clic su Cerca. Le regole di una serie di regole vengono visualizzate soltanto se hanno attivato un rilevamento.

  5. Inserisci il valore UDM da escludere selezionando un campo UDM, specificando un operatore e inserendo un valore. Devi premere il tasto Invio per ciascun valore. In caso contrario, quando fai clic su + Istruzione condizionale riceverai un messaggio di errore. Ad esempio, potresti voler configurare un'esclusione quando principal.hostname = google.com.

    Puoi inserire valori aggiuntivi per una condizione. Ogni volta che premi il tasto Invio, il valore viene registrato e puoi inserirne un altro. Più valori per una condizione vengono uniti utilizzando un OR logico, il che significa che un'esclusione corrisponde se uno dei valori corrisponde.

    Puoi aggiungere ulteriori condizioni a questa esclusione facendo clic su + Istruzione condizionale. Se tenti di specificare una condizione non valida, riceverai un messaggio di errore. Più condizioni vengono unite utilizzando un AND logico, il che significa che un'esclusione ha una corrispondenza solo se anche ogni condizione soddisfa.

  6. (Facoltativo) Fai clic su Esegui test per determinare quante esclusioni verrebbero effettuate se l'opzione fosse abilitata. Questo valore viene calcolato valutando l'esclusione nelle ultime due settimane di rilevamenti registrati.

  7. (Facoltativo) Deseleziona Abilita l'esclusione al momento della creazione se per il momento vuoi disabilitare l'esclusione (questa opzione è abilitata per impostazione predefinita).

  8. Quando è tutto pronto, fai clic su Aggiungi esclusione di regole.

Creare esclusioni dal visualizzatore UDM

Puoi anche creare esclusioni dal visualizzatore UDM procedendo nel seguente modo:

  1. Nella barra di navigazione, seleziona Regole e rilevamenti. Fai clic sulla scheda Rilevamenti selezionati.

  2. Fai clic su Dashboard e seleziona una regola con rilevamenti.

  3. Passa a un evento nella Sequenza temporale e fai clic sull'icona di visualizzazione dei log non elaborati e del visualizzatore eventi UDM.

  4. Nella vista Evento UDM, seleziona il campo UDM da escludere, seleziona Opzioni di visualizzazione e poi Escludi. Viene visualizzata la finestra Crea esclusione. La finestra viene precompilata con la regola, il campo UDM e il valore ricavati dalla selezione UDM.

  5. Assegna un nome univoco alla nuova esclusione.

  6. (Facoltativo) Fai clic su Esegui test per determinare quante esclusioni verrebbero effettuate se l'opzione fosse abilitata. Questo valore viene calcolato valutando l'esclusione nelle ultime due settimane di rilevamenti registrati.

  7. Quando è tutto pronto, fai clic su Aggiungi esclusione di regole.

Gestisci esclusioni

Una volta create una o più esclusioni, potrai visualizzare le seguenti opzioni nella scheda Esclusioni (nella barra di navigazione, seleziona Regole e rilevamenti). Fai clic sulla scheda Esclusioni.

  • Le esclusioni sono elencate nella tabella delle esclusioni. Puoi disattivare qualsiasi esclusione elencata impostando il pulsante di attivazione/disattivazione Attivata su Disattivata.
  • Per filtrare le esclusioni visualizzate, fai clic sull'icona del filtro . Seleziona le opzioni Attivata, Disattivata o Archiviata in base alle tue esigenze.
  • Per modificare un'esclusione, fai clic sull'icona del menu e seleziona Modifica.
  • Per archiviare un'esclusione, fai clic sull'icona del menu e seleziona Archivia.
  • Per annullare l'archiviazione di un'esclusione, fai clic sull'icona del menu e seleziona Rimuovi dall'archivio.