Configurar exclusões de regras
Criar exclusões na guia "Exclusões"
Talvez você descubra que as detecções selecionadas fornecidas pela equipe do Google Cloud Threat Intelligence (GCTI) estejam gerando muitas detecções. É possível configurar exclusões nas regras de detecção selecionadas para reduzir o volume dessas detecções. As exclusões de regras são usadas apenas com as Operações de segurança do Google detecções selecionadas.
Para configurar uma exclusão em uma regra de detecção selecionada, siga estas etapas:
Na barra de navegação, selecione Regras e detecções. Clique na guia Exclusões.
Clique em Criar exclusão para criar uma nova exclusão. A janela Criar exclusão será aberta.
Figura 1: criar uma exclusão
Especifique um nome de exclusão exclusivo. Esse nome aparecerá na lista de exclusões na guia Exclusões.
Selecione a regra ou o conjunto de regras em que a exclusão será aplicada. Você pode rolar a lista de regras ou pesquisar uma regra específica usando o campo de pesquisa e clicando em Pesquisar. As regras em um grupo de regras são exibidas apenas se acionarem uma detecção.
Insira o valor do UDM a ser excluído selecionando um campo do UDM, especificando um operador e inserindo um valor. Pressione a tecla Enter para cada valor. Caso contrário, você vai receber uma mensagem de erro ao clicar em + Expressão condicional. Por exemplo, você pode configurar uma exclusão quando
principal.hostname = google.com
.Você pode inserir valores adicionais a uma condição. Cada vez que você pressiona a tecla Enter, o valor é registrado e você pode inserir outro valor. Vários valores de uma condição são agrupados usando uma lógica OR, o que significa que uma exclusão corresponde se algum dos valores corresponder.
Para adicionar outras condições a essa exclusão, clique em + Condição. Se você tentar especificar uma condição inválida, receberá uma mensagem de erro. Múltiplas condições são unidas usando um AND lógico, o que significa que uma exclusão só corresponde se todas as condições também forem correspondentes.
(Opcional) Clique em Executar teste para determinar quantas exclusões seriam feitas se a opção fosse ativada, calculadas avaliando a exclusão nas últimas duas semanas de detecções registradas.
(Opcional) Desmarque Ativar exclusão após a criação se quiser desativar a exclusão por enquanto (essa opção é ativada por padrão).
Clique em Adicionar regra de exclusão quando estiver tudo pronto.
Criar exclusões do visualizador de UDM
Também é possível criar exclusões no visualizador da UDM seguindo estas etapas:
Na barra de navegação, selecione Regras e detecções. Clique na guia Detecções selecionadas.
Clique em Painel e selecione uma regra com detecções.
Navegue até um evento na Linha do tempo e clique no ícone do visualizador de registros brutos e de eventos de UDM.
Na visualização "Evento de UDM", selecione o campo do UDM a ser excluído, clique em Opções de exibição e selecione Excluir. A janela Criar exclusão será aberta. A janela é pré-preenchida com a regra, o campo do UDM e o valor extraídos da seleção do UDM.
Dê um nome exclusivo à nova exclusão.
(Opcional) Clique em Executar teste para determinar quantas exclusões seriam feitas se a opção fosse ativada, calculadas avaliando a exclusão nas últimas duas semanas de detecções registradas.
Clique em Adicionar exclusão de regra quando estiver tudo pronto.
Gerenciar exclusões
Depois de criar uma ou mais exclusões, você terá as seguintes opções na guia Exclusões (na barra de navegação, selecione Regras e detecções). Clique na guia Exclusões.
- As exclusões são listadas na tabela de exclusões. Você pode desativar qualquer uma das exclusões listadas definindo o botão Ativada como Desativada.
- É possível filtrar quais exclusões são exibidas clicando no ícone de filtro . Selecione as opções Ativado, Desativado ou Arquivado conforme necessário.
- Para editar uma exclusão, clique no ícone de menu e selecione Editar.
- Para arquivar uma exclusão, clique no ícone de menu e selecione Arquivar.
- Para desarquivar uma exclusão, clique no ícone de menu e selecione Desarquivar.