Configurer des exclusions de règles

Compatible avec:

Créer des exclusions depuis l'onglet "Exclusions"

Il est possible que les détections sélectionnées fournies par l'équipe Google Cloud Threat Intelligence (GCTI) génèrent trop de détections. Vous pouvez configurer des exclusions afin de réduire le volume de ces détections. Les exclusions de règles ne sont utilisées qu'avec Google Security Operations détections personnalisées.

Pour configurer une exclusion pour une règle de détection de données organisées, procédez comme suit:

  1. Dans la barre de navigation, sélectionnez Règles et détections. Cliquez sur l'onglet Exclusions.

  2. Cliquez sur Créer une exclusion pour créer une exclusion. La fenêtre Create Exclusion (Créer une exclusion) s'ouvre.

    Créer une exclusion

    Figure 1: Créer une exclusion

  3. Indiquez un nom d'exclusion unique. Ce nom apparaîtra dans la liste des exclusions de l'onglet "Exclusions".

  4. Sélectionnez la règle ou le jeu de règles auquel appliquer l'exclusion. Vous pouvez faire défiler la liste des règles ou rechercher une règle spécifique à l'aide du champ de recherche, puis cliquer sur Rechercher. Les règles d'un jeu de règles ne s'affichent que si elles ont déclenché une détection.

  5. Saisissez la valeur UDM à exclure en sélectionnant un Champ UDM, en spécifiant un opérateur et en saisissant une valeur. Vous devez appuyer sur Entrée pour chaque valeur. Sinon, un message d'erreur s'affichera lorsque vous cliquerez sur + Instruction conditionnelle. Par exemple, vous pouvez configurer une exclusion lorsque principal.hostname = google.com.

    Vous pouvez saisir des valeurs supplémentaires pour une condition. Chaque fois que vous appuyez sur la touche Entrée, la valeur est enregistrée et vous pouvez en saisir une autre. Plusieurs valeurs pour une condition sont jointes à l'aide d'un opérateur logique OU, ce qui signifie qu'une exclusion correspond si l'une des valeurs correspond.

    Vous pouvez ajouter des conditions supplémentaires à cette exclusion en cliquant sur + Instruction conditionnelle. Si vous tentez de spécifier une condition non valide, vous recevrez un message d'erreur. Plusieurs conditions sont jointes à l'aide d'un opérateur logique ET, ce qui signifie qu'une exclusion ne correspond qu'à condition que toutes les conditions soient également remplies.

  6. (Facultatif) Cliquez sur Exécuter le test pour déterminer le nombre d'exclusions qui seraient appliquées si l'option était activée. Ce nombre est calculé en évaluant l'exclusion sur les deux dernières semaines de détections enregistrées.

  7. (Facultatif) Décochez Activer l'exclusion lors de sa création si vous souhaitez désactiver l'exclusion pour le moment (cette option est activée par défaut).

  8. Cliquez sur Ajouter une exclusion de règle lorsque vous êtes prêt.

Créer des exclusions à partir du visualiseur UDM

Vous pouvez également créer des exclusions dans le visionneuse UDM en procédant comme suit :

  1. Dans la barre de navigation, sélectionnez Règles et détections. Cliquez sur l'onglet Détections sélectionnées.

  2. Cliquez sur Tableau de bord, puis sélectionnez une règle avec des détections.

  3. Accédez à un événement dans la chronologie, puis cliquez sur l'icône du journal brut et de l'observateur d'événements UDM.

  4. Dans la vue "Événements UDM", sélectionnez le champ UDM à exclure, Options d'affichage, puis Exclure. La fenêtre Create Exclusion (Créer une exclusion) s'ouvre. La fenêtre est préremplie avec la règle, le champ UDM et la valeur extraites de votre sélection UDM.

  5. Attribuez un nom unique à la nouvelle exclusion.

  6. (Facultatif) Cliquez sur Effectuer le test pour déterminer le nombre d'exclusions qui seraient effectuées si elle était activée, sur la base de l'évaluation de l'exclusion au cours des deux dernières semaines de détections enregistrées.

  7. Cliquez sur Ajouter une exclusion de règle lorsque vous êtes prêt.

Gérer les exclusions

Une fois que vous avez créé une ou plusieurs exclusions, vous avez les options suivantes dans l'onglet Exclusions (dans la barre de navigation, sélectionnez Règles et détections). Cliquez sur l'onglet Exclusions):

  • Les exclusions sont listées dans le tableau des exclusions. Vous pouvez désactiver l'une des exclusions listées en définissant le bouton d'activation Activé sur Désactivé.
  • Vous pouvez filtrer les exclusions à afficher en cliquant sur l'icône Filtre . Sélectionnez les options Activées, Désactivées ou Archivées selon vos besoins.
  • Pour modifier une exclusion, cliquez sur l'icône de menu , puis sélectionnez Modifier.
  • Pour archiver une exclusion, cliquez sur l'icône de menu , puis sélectionnez Archiver.
  • Pour désarchiver une exclusion, cliquez sur l'icône de menu , puis sélectionnez Désarchiver.