Regelausschlüsse konfigurieren
Ausschlüsse auf dem Tab „Ausschlüsse“ erstellen
Die ausgewählten Erkennungsmechanismen des Google Cloud Threat Intelligence-Teams (GCTI) generieren zu viele Erkennungsmechanismen. Sie können Ausschlüsse für die ausgewählte Erkennung konfigurieren um die Anzahl der Erkennungsmechanismen zu verringern. Regelausschlüsse werden nur mit Google Security Operations verwendet ausgewählten Erkennungsmechanismen.
So konfigurieren Sie einen Ausschluss für eine ausgewählte Erkennungsregel:
Wählen Sie in der Navigationsleiste Regeln und Erkennungen. Klicken Sie auf den Tab Ausschlüsse.
Klicken Sie auf Ausschluss erstellen, um einen neuen Ausschluss zu erstellen. Das Fenster Ausschluss erstellen wird geöffnet.
Abbildung 1: Ausschluss erstellen
Geben Sie einen eindeutigen Ausschlussnamen an. Dieser Name wird auf dem Tab „Ausschlüsse“ in der Liste der Ausschlüsse angezeigt.
Wählen Sie die Regel oder den Regelsatz aus, auf die bzw. den der Ausschluss angewendet werden soll. Sie können entweder durch die Liste der Regeln scrollen oder nach einer bestimmten Regel suchen, indem Sie das Suchfeld verwenden und auf Suchen klicken. Regeln in einem Regelsatz werden nur angezeigt, wenn sie eine Erkennung ausgelöst haben.
Geben Sie den auszuschließenden UDM-Wert ein, indem Sie ein UDM-Feld auswählen, einen Operator angeben und einen Wert eingeben. Sie müssen für jeden Wert die Eingabetaste drücken, da Sie sonst eine Fehlermeldung erhalten, wenn Sie auf + Bedingte Anweisung klicken. Sie können beispielsweise einen Ausschluss konfigurieren, wenn
principal.hostname = google.com
.Sie können für eine Bedingung zusätzliche Werte eingeben. Jedes Mal, wenn Sie die Eingabetaste drücken, wird der Wert erfasst und Sie können einen weiteren Wert eingeben. Mehrere Werte für eine Bedingung werden durch ein logisches ODER verbunden, d. h., ein Ausschluss stimmt, wenn einer der Werte übereinstimmt.
Sie können diesem Ausschluss weitere Bedingungen hinzufügen, indem Sie auf + Bedingte Anweisung klicken. Wenn Sie versuchen, eine ungültige Bedingung anzugeben, erhalten Sie eine Fehlermeldung. Mehrere Bedingungen werden durch ein logisches UND verknüpft, d. h., ein Ausschluss wird nur dann angewendet, wenn jede der Bedingungen auch zutrifft.
(Optional) Klicken Sie auf Test ausführen, um zu ermitteln, wie viele Ausschlüsse bei der Aktivierung vorgenommen würden. Dazu wird der Ausschluss der erfassten Erkennungen der letzten zwei Wochen ausgewertet.
Optional: Entfernen Sie das Häkchen bei Ausschluss nach Erstellung aktivieren, wenn Sie den Ausschluss vorerst deaktivieren möchten. Diese Option ist standardmäßig aktiviert.
Klicken Sie anschließend auf Regelausschluss hinzufügen.
Ausschlüsse über den UDM-Viewer erstellen
Sie können Ausschlüsse auch im UDM-Viewer erstellen, indem Sie die folgenden Schritte ausführen:
Wählen Sie in der Navigationsleiste Regeln und Erkennungen aus. Klicken Sie auf den Tab Ausgewählte Erkennungen.
Klicken Sie auf Dashboard und wählen Sie eine Regel mit Erkennungen aus.
Gehen Sie auf der Zeitachse zu einem Ereignis und klicken Sie auf das Symbol für das Rohdatenlog und die UDM-Ereignisanzeige.
Wählen Sie in der UDM-Ereignisansicht das UDM-Feld aus, das Sie ausschließen möchten, und dann Ansichtsoptionen und Ausschließen. Das Fenster Ausschluss erstellen wird geöffnet. Das Fenster enthält bereits die Regel, das UDM-Feld und den Wert aus Ihrer UDM-Auswahl.
Geben Sie dem neuen Ausschluss einen eindeutigen Namen.
Optional: Klicken Sie auf Test ausführen, um zu sehen, wie viele Ausschlüsse bei Aktivierung vorgenommen würden. Dazu wird die Auswirkung der Ausschlüsse auf die erfassten Erkennungen in den letzten zwei Wochen berechnet.
Klicken Sie anschließend auf Regelausschluss hinzufügen.
Ausschlüsse verwalten
Nachdem Sie einen oder mehrere Ausschlüsse erstellt haben, stehen Ihnen auf dem Tab Ausschlüsse die folgenden Optionen zur Verfügung. Wählen Sie in der Navigationsleiste die Option Regeln und Erkennungen aus. Klicken Sie auf den Tab Ausschlüsse.
- Die Ausschlüsse sind in der Tabelle mit den Ausschlüssen aufgeführt. Sie können die aufgeführten Ausschlüsse deaktivieren, indem Sie die Ein/Aus-Schaltfläche von Aktiviert auf Deaktiviert stellen.
- Durch Klicken auf das Filtersymbol können Sie filtern, welche Ausschlüsse angezeigt werden. Wählen Sie nach Bedarf die Optionen Aktiviert, Deaktiviert oder Archiviert aus.
- Um einen Ausschluss zu bearbeiten, klicken Sie auf das Dreistrich-Menü und wählen Sie Bearbeiten aus.
- Wenn Sie einen Ausschluss archivieren möchten, klicken Sie auf das Dreipunkt-Menü und wählen Sie Archivieren aus.
- Wenn Sie einen Ausschluss aus dem Archiv entfernen möchten, klicken Sie auf das Dreistrich-Menü und wählen Sie Aus dem Archiv entfernen aus.