Configurare le esclusioni delle regole

Supportato in:

Creare esclusioni dalla scheda Esclusioni

Potresti scoprire che i rilevamenti selezionati forniti dal Google Cloud team di Threat Intelligence (GCTI) generano troppi rilevamenti. Puoi configurare esclusioni per le regole di rilevamento selezionate per contribuire a ridurre il volume di questi rilevamenti. Le esclusioni delle regole vengono utilizzate solo con i rilevamenti selezionati di Google Security Operations.

Per configurare un'esclusione per una regola di rilevamento selezionata, completa i seguenti passaggi:

  1. Nella barra di navigazione, seleziona Regole e rilevamenti. Fai clic sulla scheda Esclusioni.

  2. Fai clic su Crea esclusione per creare una nuova esclusione. Viene visualizzata la finestra Crea esclusione.

    Crea esclusione

    Figura 1: Crea esclusione

  3. Specifica un nome di esclusione univoco. Questo nome verrà visualizzato nell'elenco delle esclusioni nella scheda Esclusioni.

  4. Seleziona la regola o l'insieme di regole a cui applicare l'esclusione. Puoi scorrere l'elenco delle regole o cercare una regola specifica utilizzando il campo di ricerca e facendo clic su Cerca. Le regole in un insieme di regole vengono visualizzate solo se hanno attivato un rilevamento.

  5. Inserisci il valore UDM da escludere selezionando un campo UDM, specificando un operatore e inserendo un valore. Devi premere il tasto Invio per ogni valore, altrimenti viene visualizzato un messaggio di errore quando fai clic su + Dichiarazione condizionale. Ad esempio, potresti voler configurare un'esclusione quando principal.hostname = google.com.

    Puoi inserire valori aggiuntivi in una condizione. Ogni volta che premi il tasto Invio, il valore viene registrato e puoi inserire un altro valore. Più valori per una condizione vengono uniti utilizzando un operatore OR logico, il che significa che un'esclusione corrisponde se uno qualsiasi dei valori corrisponde.

    Puoi aggiungere altre condizioni a questa esclusione facendo clic su + Dichiarazione condizionale. Se provi a specificare una condizione non valida, riceverai un messaggio di errore. Più condizioni vengono unite utilizzando un AND logico, il che significa che un'esclusione corrisponde solo se corrisponde anche a tutte le condizioni.

  6. (Facoltativo) Fai clic su Esegui test per determinare quante esclusioni verrebbero effettuate se l'opzione fosse attivata, calcolate valutando l'esclusione negli ultimi due mesi di rilevamenti registrati.

  7. (Facoltativo) Deseleziona Attiva esclusione alla creazione se vuoi disattivare l'esclusione per il momento (questa opzione è attiva per impostazione predefinita).

  8. Quando è tutto pronto, fai clic su Aggiungi esclusione regola.

Creare esclusioni dal visualizzatore UDM

Puoi anche creare esclusioni dal visualizzatore UDM seguendo questi passaggi:

  1. Nella barra di navigazione, seleziona Regole e rilevamenti. Fai clic sulla scheda Rilevamento selezionati.

  2. Fai clic su Dashboard e seleziona una regola con rilevamenti.

  3. Vai a un evento nella Sequenza temporale e fai clic sull'icona del visualizzatore di log non elaborati e di eventi UDM.

  4. Nella visualizzazione Eventi UDM, seleziona il campo UDM da escludere, seleziona Visualizza opzioni e poi Escludi. Viene visualizzata la finestra Crea esclusione. La finestra viene precompilata con la regola, il campo UDM e il valore ricavato dalla selezione UDM.

  5. Assegna un nome univoco alla nuova esclusione.

  6. (Facoltativo) Fai clic su Esegui test per determinare quante esclusioni verrebbero effettuate se l'opzione fosse attivata, calcolate valutando l'esclusione negli ultimi due mesi di rilevamenti registrati.

  7. Quando è tutto pronto, fai clic su Aggiungi esclusione regola.

Gestire le esclusioni

Dopo aver creato una o più esclusioni, nella scheda Esclusioni (nella barra di navigazione, seleziona Regole e rilevamenti) sono disponibili le seguenti opzioni. Fai clic sulla scheda Esclusioni.

  • Le esclusioni sono elencate nella tabella delle esclusioni. Puoi disattivare una delle esclusioni elencate impostando l'opzione Attivata su Disattivata.
  • Puoi filtrare le esclusioni da visualizzare facendo clic sull'icona del filtro . Seleziona le opzioni Attivata, Disattivata o Archiviata in base alle tue esigenze.
  • Per modificare un'esclusione, fai clic sull'icona del menu e seleziona Modifica.
  • Per archiviare un'esclusione, fai clic sull'icona del menu e seleziona Archivia.
  • Per annullare l'archiviazione di un'esclusione, fai clic sull'icona del menu e seleziona Annulla archiviazione.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.