Configurar exclusiones de reglas

Cómo crear exclusiones en la pestaña Exclusiones

Es posible que las detecciones seleccionadas que proporciona el equipo de Google Cloud Threat Intelligence (GCTI) estén generando demasiadas detecciones. Puedes configurar exclusiones en las reglas de detección seleccionadas para ayudar a reducir el volumen de estas detecciones. Las exclusiones de reglas solo se usan con las detecciones seleccionadas de Google Security Operations.

Para configurar una exclusión en una regla de detección seleccionada, completa los siguientes pasos:

  1. En la barra de navegación, selecciona Reglas y detecciones. Haz clic en la pestaña Exclusiones.

  2. Haz clic en Crear exclusión para crear una exclusión nueva. Se abrirá la ventana Crear exclusión.

    Crear exclusión

    Figura 1: Crear exclusión

  3. Especifica un nombre de exclusión único. Este nombre aparecerá en la lista de exclusiones de la pestaña Exclusiones.

  4. Selecciona la regla o el conjunto de reglas a los que se aplicará la exclusión. Puedes desplazarte por la lista de reglas o buscar una en particular usando el campo de búsqueda y haciendo clic en Buscar. Las reglas en un conjunto de reglas se muestran solo si activaron una detección.

  5. Para ingresar el valor de UDM que deseas excluir, selecciona un Campo de UDM, especifica un operador y, luego, ingresa un valor. Debes presionar la tecla Intro para cada valor; de lo contrario, recibirás un mensaje de error cuando hagas clic en + Declaración condicional. Por ejemplo, es posible que desees configurar una exclusión cuando principal.hostname = google.com.

    Puedes ingresar valores adicionales en una condición. Cada vez que presionas la tecla Intro, se registra el valor y puedes ingresar otro. Se unen varios valores para una condición mediante un operador lógico OR, lo que significa que una exclusión coincide si alguno de los valores coincide.

    Si desea agregar condiciones adicionales a esta exclusión, haga clic en + Declaración condicional. Si intentas especificar una condición no válida, recibirás un mensaje de error. Varias condiciones se unen usando un operador lógico AND, lo que significa que una exclusión solo coincide si cada una de las condiciones también coincide.

  6. (Opcional) Haga clic en Ejecutar prueba para determinar cuántas exclusiones se realizarían si se habilitaran. Para calcularlas, se evalúa la exclusión de las últimas dos semanas de detecciones registradas.

  7. (Opcional) Desmarca la opción Habilitar la exclusión tras la creación si deseas inhabilitar la exclusión por el momento (esta opción está habilitada de forma predeterminada).

  8. Haz clic en Agregar exclusión de reglas cuando termines.

Cómo crear exclusiones desde el visualizador de UDM

También puedes crear exclusiones desde el visualizador de UDM. Para ello, sigue estos pasos:

  1. En la barra de navegación, selecciona Reglas y detecciones. Haz clic en la pestaña Detecciones seleccionadas.

  2. Haz clic en Panel y, luego, selecciona una regla con detecciones.

  3. Navega a un evento en Cronograma y haz clic en el ícono del visor de eventos de UDM y registro sin procesar.

  4. En la vista Eventos de UDM, selecciona el campo de UDM que deseas excluir, elige Opciones de vista y, luego, Excluir. Se abrirá la ventana Crear exclusión. La ventana se prepropaga con la regla, el campo de UDM y el valor extraído de tu selección de UDM.

  5. Asigna un nombre único a la exclusión nueva.

  6. (Opcional) Haga clic en Ejecutar prueba para determinar cuántas exclusiones se realizarían si se habilitaran. Para calcularlas, se evalúa la exclusión de las últimas dos semanas de detecciones registradas.

  7. Haz clic en Agregar exclusión de reglas cuando termines.

Administrar exclusiones

Después de crear una o más exclusiones, tienes las siguientes opciones en la pestaña Exclusiones (en la barra de navegación, selecciona Reglas y detecciones). Haz clic en la pestaña Exclusiones.

  • Las exclusiones se indican en la tabla de exclusiones. Para inhabilitar cualquiera de las exclusiones que se enumeran, establece el botón de activación Habilitada en Inhabilitada.
  • Para filtrar qué exclusiones se muestran, haz clic en el ícono de filtro . Selecciona las opciones Habilitado, Inhabilitado o Archivado según sea necesario.
  • Para editar una exclusión, haz clic en el ícono de menú y selecciona Editar.
  • Para archivar una exclusión, haga clic en el ícono de menú y seleccione Archivar.
  • Para desarchivar una exclusión, haz clic en el ícono de menú y selecciona Desarchivar.