Regelausschlüsse konfigurieren

Ausschlüsse auf dem Tab „Ausschlüsse“ erstellen

Sie werden möglicherweise feststellen, dass die vom Google Cloud Threat Intelligence-Team (GCTI) kuratierten Erkennungen zu viele Erkennungen generieren. Sie können Ausschlüsse für die ausgewählten Erkennungsregeln konfigurieren, um das Volumen dieser Erkennungen zu reduzieren. Regelausschlüsse werden nur bei von Google-Sicherheitsvorgängen ausgewählten Erkennungen verwendet.

So konfigurieren Sie einen Ausschluss für eine ausgewählte Erkennungsregel:

1. Wählen Sie in der Navigationsleiste Regeln und Erkennungen aus. Klicken Sie auf den Tab Ausschlüsse.

2. Klicken Sie auf Ausschluss erstellen, um einen neuen Ausschluss zu erstellen. Das Fenster Ausschluss erstellen wird geöffnet.

   

   Abbildung 1: Ausschluss erstellen

3. Geben Sie einen eindeutigen Ausschlussnamen an. Dieser Name wird in der Liste der Ausschlüsse auf dem Tab „Ausschlüsse“ angezeigt.

4. Wählen Sie die Regel oder den Regelsatz aus, auf die bzw. den der Ausschluss angewendet werden soll. Sie können entweder durch die Liste der Regeln scrollen oder nach einer bestimmten Regel suchen, indem Sie im Suchfeld auf Suchen klicken. Regeln in einem Regelsatz werden nur angezeigt, wenn sie eine Erkennung ausgelöst haben.

5. Geben Sie den auszuschließenden UDM-Wert ein, indem Sie ein UDM-Feld auswählen, einen Operator angeben und einen Wert eingeben. Sie müssen für jeden Wert die Eingabetaste drücken. Andernfalls erhalten Sie eine Fehlermeldung, wenn Sie auf + Bedingte Anweisung klicken. So können Sie beispielsweise einen Ausschluss konfigurieren, wenn principal.hostname = google.com.

   Sie können für eine Bedingung zusätzliche Werte eingeben. Jedes Mal, wenn Sie die Eingabetaste drücken, wird der Wert aufgezeichnet und Sie können einen weiteren Wert eingeben. Mehrere Werte für eine Bedingung werden durch ein logisches ODER verknüpft. Das bedeutet, dass ein Ausschluss zutrifft, wenn einer der Werte übereinstimmt.

   Sie können diesem Ausschluss zusätzliche Bedingungen hinzufügen, indem Sie auf + Bedingte Anweisung klicken. Wenn Sie versuchen, eine ungültige Bedingung anzugeben, erhalten Sie eine Fehlermeldung. Mehrere Bedingungen werden durch ein logisches UND verknüpft. Ein Ausschluss gilt also nur, wenn auch jede Bedingung erfüllt ist.

6. Optional: Klicken Sie auf Test ausführen, um zu bestimmen, wie viele Ausschlüsse bei Aktivierung vorgenommen werden würden. Dies wird berechnet, indem der Ausschluss in den letzten zwei Wochen aufgezeichneter Erkennungsvorgänge ausgewertet wird.

7. Optional: Entfernen Sie das Häkchen bei Ausschluss beim Erstellen aktivieren, wenn Sie den Ausschluss vorerst deaktivieren möchten. Diese Option ist standardmäßig aktiviert.

8. Klicken Sie anschließend auf Regelausschluss hinzufügen.

Ausschlüsse über den UDM-Viewer erstellen

Sie können Ausschlüsse auch im UDM-Viewer erstellen. Gehen Sie dazu so vor:

1. Wählen Sie in der Navigationsleiste Regeln und Erkennungen aus. Klicken Sie auf den Tab Ausgewählte Erkennungen.

2. Klicken Sie auf Dashboard und wählen Sie eine Regel mit Erkennungen aus.

3. Gehen Sie auf der Zeitachse zu einem Ereignis und klicken Sie auf das Symbol für Rohdaten- und UDM-Ereignisanzeige.

4. Wählen Sie in der Ansicht „UDM-Ereignis“ das UDM-Feld aus, das Sie ausschließen möchten, wählen Sie Ansichtsoptionen und dann Ausschließen aus. Das Fenster Ausschluss erstellen wird geöffnet. Das Fenster enthält bereits die Regel, das UDM-Feld und den Wert aus Ihrer UDM-Auswahl.

5. Geben Sie dem neuen Ausschluss einen eindeutigen Namen.

6. Optional: Klicken Sie auf Test ausführen, um zu bestimmen, wie viele Ausschlüsse bei Aktivierung vorgenommen werden würden. Dies wird berechnet, indem der Ausschluss in den letzten zwei Wochen aufgezeichneter Erkennungsvorgänge ausgewertet wird.

7. Klicken Sie anschließend auf Regelausschluss hinzufügen.

Ausschlüsse verwalten

Nachdem Sie einen oder mehrere Ausschlüsse erstellt haben, stehen auf dem Tab Ausschlüsse folgende Optionen zur Verfügung. Wählen Sie in der Navigationsleiste die Option Regeln und Erkennungen aus. Klicken Sie auf den Tab Ausschlüsse.

• Die Ausschlüsse sind in der Ausschlusstabelle aufgeführt. Sie können jeden der aufgeführten Ausschlüsse deaktivieren, indem Sie den Schalter Aktiviert auf Deaktiviert setzen.
• Über das Filtersymbol filter_alt können Sie filtern, welche Ausschlüsse angezeigt werden. Wählen Sie nach Bedarf die Optionen Aktiviert, Deaktiviert oder Archiviert aus.
• Um einen Ausschluss zu bearbeiten, klicken Sie auf das Dreipunkt-Menü more_vert und wählen Sie Bearbeiten aus.
• Um einen Ausschluss zu archivieren, klicken Sie auf das Menüsymbol more_vert und wählen Sie Archivieren aus.
• Wenn Sie einen Ausschluss wieder aktivieren möchten, klicken Sie auf das Dreipunkt-Menü more_vert und wählen Sie Wieder aktivieren aus.