ルールの除外を構成する

[除外] タブから除外を作成する

Google Cloud Threat Intelligence(GCTI)チームによるキュレートされた検出機能では、過剰な数の検出項目が生成される場合があります。キュレートされた検出ルールの除外を構成して、これらの検出の量を減らすことができます。ルールの除外は、Chronicle のキュレートされた検出でのみ使用されます。

キュレートされた検出ルールの除外を構成するには、次の手順を行います。

  1. ナビゲーション バーで、[Rules & Detections] を選択します。[除外] タブをクリックします。

  2. [除外を作成] をクリックして、新しい除外を作成します。[除外を作成] ウィンドウが開きます。

    除外を作成

    図 1: 除外の作成

  3. 一意の除外名を指定します。この名前は、[除外] タブの除外リストに表示されます。

  4. 除外を適用するルールまたはルールセットを選択します。ルールのリストをスクロールするか、検索フィールドを使用して [検索] をクリックし特定のルールを検索します。 ルールセット内のルールは、検出をトリガーした場合にのみ表示されます。

  5. 除外する UDM の値を入力します。[UDM フィールド] を選択し、演算子を指定して、値を入力します。値ごとに Enter キーを押してください。[+ 条件文] をクリックするとエラー メッセージが表示されます。たとえば、principal.hostname = google.com の場合に除外を構成できます。

    条件に追加の値を入力できます。Enter キーを押すと、値は記録され、別の値を入力できるようになります。1 つの条件の複数の値が論理 OR を使用して結合されます。つまり、いずれかの値が一致すると除外に一致します。

    [+ 条件文] をクリックすると、この除外に条件を追加できます。無効な条件を指定しようとすると、エラー メッセージが表示されます。複数の条件は論理 AND を使用して結合されます。つまり、除外は、いずれかの条件も一致した場合にのみ一致します。

  6. (省略可)[テストを実行] をクリックして、過去 2 週間の検出記録で除外を評価し、有効の場合に除外の数を計算します。

  7. (省略可)現時点で除外を無効にする場合は、[作成時に除外を有効にする] をオフにします。(このオプションはデフォルトで有効になっています)

  8. 完了したら、[ルールの除外を追加] をクリックします。

UDM ビューアから除外を作成する

UDM ビューア内から除外を作成することもできます。手順は次のとおりです。

  1. ナビゲーション バーで、[Rules & Detections] を選択します。[キュレートされた検出] タブをクリックします。

  2. [ダッシュボード] をクリックし、検出を使用するルールを選択します。

  3. タイムラインでイベントに移動し、未加工のログと UDM イベント ビューアのアイコンをクリックします。

  4. UDM イベントビューで、除外する UDM フィールドを選択し、[表示オプション] を選択して [除外] を選択します。[除外を作成] ウィンドウが開きます。ウィンドウには、ルール、UDM フィールド、UDM の選択から引き出された値が事前に入力されます。

  5. 新しい除外に一意の名前を付けます。

  6. (省略可)[テストを実行] をクリックして、過去 2 週間の検出記録で除外を評価し、有効の場合に除外の数を計算します。

  7. 完了したら、[ルールの除外を追加] をクリックします。

除外の管理

1 つ以上の除外を作成したら、ナビゲーション バーの [除外] タブで次のオプションを選択し、[ルールと検出] を選択します。[除外] タブをクリックします。

  • 除外表に除外リストが表示されます。指定した除外は、[有効]切り替え を [無効] に設定することで、無効にできます。
  • フィルタ アイコン をクリックすると、表示される除外をフィルタリングできます。必要に応じて、[有効]、[無効]、または [アーカイブ] オプションを選択します。
  • 除外を編集するには、メニュー アイコン をクリックし、[編集] を選択します。
  • 除外をアーカイブするには、メニュー アイコン をクリックし、[アーカイブ] を選択します。
  • 除外のアーカイブを解除するには、メニュー アイコン をクリックし、[アーカイブ解除] を選択します。