Configura exclusiones de reglas

Cómo crear exclusiones desde la pestaña Exclusiones

Es posible que las detecciones seleccionadas que proporciona el equipo de Google Cloud Threat Intelligence (GCTI) generen demasiadas detecciones. Puedes configurar exclusiones en las reglas de detección seleccionadas para ayudar a reducir el volumen de estas detecciones. Las exclusiones de reglas solo se usan con las detecciones seleccionadas de las operaciones de seguridad de Google.

Para configurar una exclusión de una regla de detección seleccionada, completa los siguientes pasos:

  1. En la barra de navegación, selecciona Reglas y detecciones. Haz clic en la pestaña Exclusiones.

  2. Haz clic en Crear exclusión para crear una exclusión nueva. Se abrirá la ventana Crear exclusión.

    Crear exclusión

    Figura 1: Crea exclusión

  3. Especifica un nombre de exclusión único. Este nombre aparecerá en la lista de exclusiones de la pestaña Exclusiones.

  4. Selecciona la regla o el conjunto de reglas al que deseas aplicar la exclusión. Puedes desplazarte por la lista de reglas o buscar una regla específica con el campo de búsqueda y hacer clic en Buscar. Las reglas de un conjunto de reglas se muestran solo si activaron una detección.

  5. Para ingresar el valor de UDM que deseas excluir, selecciona un campo de UDM, especifica un operador y, luego, ingresa un valor. Debes presionar la tecla Intro para cada valor; de lo contrario, recibirás un mensaje de error cuando hagas clic en + Condicional sentencia. Por ejemplo, es posible que quieras configurar una exclusión cuando principal.hostname = google.com.

    Puedes ingresar valores adicionales para una condición. Cada vez que presiones la tecla Intro, se registrará el valor y podrás ingresar otro. Los valores múltiples de una condición se unen mediante un operador lógico OR, lo que significa que una exclusión coincide con alguno de los valores.

    Para agregar condiciones adicionales a esta exclusión, haz clic en + Declaración condicional. Si intentas especificar una condición no válida, recibirás un mensaje de error. Varias condiciones se unen mediante un operador lógico AND, lo que significa que una exclusión solo coincide si también coincide cada una de las condiciones.

  6. (Opcional) Haz clic en Ejecutar prueba para determinar cuántas exclusiones se realizarían si se habilitaran. Esto se calcula evaluando la exclusión en las últimas dos semanas de detecciones registradas.

  7. (Opcional) Desmarca Habilitar exclusión durante la creación si deseas inhabilitar la exclusión por el momento (esta opción está habilitada de forma predeterminada).

  8. Haz clic en Agregar exclusión de reglas cuando tengas todo listo.

Cómo crear exclusiones desde el visualizador de UDM

También puedes crear exclusiones desde el visualizador de UDM siguiendo estos pasos:

  1. En la barra de navegación, selecciona Reglas y detecciones. Haz clic en la pestaña Detecciones seleccionadas.

  2. Haz clic en Panel y, luego, selecciona una regla con detecciones.

  3. Navega a un evento en el cronograma y haz clic en el ícono de registro sin procesar y de visor de eventos de UDM.

  4. En la vista Evento de UDM, selecciona el campo de UDM que deseas excluir, selecciona Opciones de vista y, luego, Excluir. Se abrirá la ventana Crear exclusión. La ventana se prepropaga con la regla, el campo de UDM y el valor extraído de la selección de UDM.

  5. Asigna un nombre único a la exclusión nueva.

  6. (Opcional) Haz clic en Ejecutar prueba para determinar cuántas exclusiones se realizarían si se habilitaran. Esto se calcula evaluando la exclusión en las últimas dos semanas de detecciones registradas.

  7. Haz clic en Agregar exclusión de reglas cuando tengas todo listo.

Administrar exclusiones

Una vez que hayas creado una o más exclusiones, tienes las siguientes opciones de la pestaña Exclusiones (en la barra de navegación, selecciona Reglas y detecciones). Haz clic en la pestaña Exclusiones.):

  • Las exclusiones se indican en la tabla de exclusiones. Para inhabilitar cualquiera de las exclusiones enumeradas, establece la opción Habilitada en Inhabilitada.
  • Para filtrar qué exclusiones se muestran, haz clic en el ícono de filtro . Selecciona las opciones Habilitado, Inhabilitado o Archivado, según sea necesario.
  • Para editar una exclusión, haz clic en el ícono de menú y selecciona Editar.
  • Para archivar una exclusión, haz clic en el ícono de menú y selecciona Archivar.
  • Para desarchivar una exclusión, haz clic en el ícono de menú y selecciona Desarchivar.