Configurer des exclusions de règles

Créer des exclusions à partir de l'onglet "Exclusions"

Vous constaterez peut-être que les détections sélectionnées fournies par l'équipe Google Cloud Threat Intelligence (GCTI) génèrent trop de détections. Vous pouvez configurer des exclusions pour les règles de détection organisées afin de réduire le volume de ces détections. Les exclusions de règles ne sont utilisées qu'avec les détections sélectionnées par Google Security Operations.

Pour configurer une exclusion pour une règle de détection de données organisées, procédez comme suit:

  1. Dans la barre de navigation, sélectionnez Règles et détections. Cliquez sur l'onglet Exclusions.

  2. Cliquez sur Créer une exclusion pour créer une exclusion. La fenêtre Create Exclusion (Créer une exclusion) s'ouvre.

    Créer une exclusion

    Figure 1: Créer une exclusion

  3. Indiquez un nom d'exclusion unique. Ce nom s'affichera dans la liste des exclusions de l'onglet "Exclusions".

  4. Sélectionnez la règle ou le jeu de règles auquel appliquer l'exclusion. Vous pouvez faire défiler la liste des règles ou rechercher une règle spécifique à l'aide du champ prévu à cet effet, puis en cliquant sur Rechercher. Les règles d'un jeu de règles ne s'affichent que si elles ont déclenché une détection.

  5. Saisissez la valeur UDM à exclure en sélectionnant un champ UDM, en spécifiant un opérateur et en saisissant une valeur. Vous devez appuyer sur la touche Entrée pour chaque valeur, sinon vous recevrez un message d'erreur lorsque vous cliquez sur + Instruction conditionnelle. Par exemple, vous pouvez configurer une exclusion lorsque principal.hostname = google.com.

    Vous pouvez saisir des valeurs supplémentaires pour une condition. Chaque fois que vous appuyez sur la touche Entrée, la valeur est enregistrée et vous pouvez en saisir une autre. Plusieurs valeurs pour une condition sont jointes à l'aide d'un opérateur logique OU, ce qui signifie qu'une exclusion correspond si l'une des valeurs correspond.

    Vous pouvez ajouter des conditions à cette exclusion en cliquant sur + Instruction conditionnelle. Si vous tentez de spécifier une condition non valide, vous recevrez un message d'erreur. Plusieurs conditions sont jointes à l'aide d'un opérateur logique ET, ce qui signifie qu'une exclusion ne correspond que si chacune des conditions correspond également.

  6. (Facultatif) Cliquez sur Effectuer le test pour déterminer le nombre d'exclusions qui seraient effectuées si elle était activée, sur la base de l'évaluation de l'exclusion au cours des deux dernières semaines de détections enregistrées.

  7. (Facultatif) Décochez la case Activer l'exclusion lors de la création si vous souhaitez désactiver l'exclusion pour le moment (cette option est activée par défaut).

  8. Cliquez sur Ajouter une exclusion de règle lorsque vous êtes prêt.

Créer des exclusions à partir du lecteur UDM

Vous pouvez également créer des exclusions à partir du lecteur UDM en procédant comme suit:

  1. Dans la barre de navigation, sélectionnez Règles et détections. Cliquez sur l'onglet Détections sélectionnées.

  2. Cliquez sur Tableau de bord, puis sélectionnez une règle comportant des détections.

  3. Accédez à un événement dans la chronologie, puis cliquez sur l'icône de l'outil de visualisation des événements UDM et Journal brut.

  4. Dans la vue "Événements UDM", sélectionnez le champ "UDM" à exclure, puis View Options (Options d'affichage) et Exclude (Exclure). La fenêtre Create Exclusion (Créer une exclusion) s'ouvre. La fenêtre est préremplie avec la règle, le champ UDM et la valeur extraites de votre sélection UDM.

  5. Attribuez un nom unique à la nouvelle exclusion.

  6. (Facultatif) Cliquez sur Effectuer le test pour déterminer le nombre d'exclusions qui seraient effectuées si elle était activée, sur la base de l'évaluation de l'exclusion au cours des deux dernières semaines de détections enregistrées.

  7. Cliquez sur Ajouter une exclusion de règle lorsque vous êtes prêt.

Gérer les exclusions

Une fois que vous avez créé une ou plusieurs exclusions, vous disposez des options suivantes dans l'onglet Exclusions (dans la barre de navigation, sélectionnez Règles et détections). Cliquez sur l'onglet Exclusions):

  • Les exclusions sont listées dans le tableau des exclusions. Vous pouvez désactiver les exclusions répertoriées en définissant le bouton Activé sur Désactivé.
  • Vous pouvez filtrer les exclusions à afficher en cliquant sur l'icône Filtre . Sélectionnez les options Activées, Désactivées ou Archivées selon vos besoins.
  • Pour modifier une exclusion, cliquez sur l'icône de menu , puis sélectionnez Modifier.
  • Pour archiver une exclusion, cliquez sur l'icône de menu , puis sélectionnez Archiver.
  • Pour annuler l'archivage d'une exclusion, cliquez sur l'icône de menu , puis sélectionnez Désarchiver.