ルールの除外を構成する
[除外] タブから除外を作成する
Google Cloud Threat Intelligence(GCTI)チームによるキュレートされた検出機能では、過剰な数の検出項目が生成される場合があります。キュレーテッド検出ルールに除外を構成すると、検出の量を減らすことができます。ルールの除外は、Google Security Operations のキュレートされた検出でのみ使用されます。
キュレーテッド検出ルールの除外を構成するには、次の手順を行います。
ナビゲーション バーで、[Rules & Detections] を選択します。[除外] タブをクリックします。
[除外を作成] をクリックして、新しい除外を作成します。[除外を作成] ウィンドウが開きます。
図 1: 除外の作成
一意の除外名を指定します。この名前は、[除外] タブの除外リストに表示されます。
除外を適用するルールまたはルールセットを選択します。ルールのリストをスクロールするか、検索フィールドを使用して [検索] をクリックし特定のルールを検索します。 ルールセット内のルールは、検出をトリガーした場合にのみ表示されます。
除外する UDM の値を入力します。[UDM フィールド] を選択し、演算子を指定して、値を入力します。値ごとに Enter キーを押してください。[+ 条件文] をクリックするとエラー メッセージが表示されます。たとえば、
principal.hostname = google.com
の場合に除外を構成できます。条件に追加の値を入力できます。Enter キーを押すと、値は記録され、別の値を入力できるようになります。1 つの条件の複数の値が論理 OR を使用して結合されます。つまり、いずれかの値が一致すると除外に一致します。
[+ 条件文] をクリックすると、この除外に条件を追加できます。無効な条件を指定しようとすると、エラー メッセージが表示されます。複数の条件は論理 AND を使用して結合されます。つまり、除外は、いずれかの条件も一致した場合にのみ一致します。
(省略可)[テストを実行] をクリックして、過去 2 週間の検出記録で除外を評価し、有効の場合に除外の数を計算します。
(省略可)現時点で除外を無効にする場合は、[作成時に除外を有効にする] をオフにします。(このオプションはデフォルトで有効になっています)
完了したら、[ルールの除外を追加] をクリックします。
UDM ビューアから除外を作成する
UDM ビューア内から除外を作成することもできます。手順は次のとおりです。
ナビゲーション バーで、[Rules & Detections] を選択します。[キュレートされた検出] タブをクリックします。
[ダッシュボード] をクリックし、検出を使用するルールを選択します。
タイムラインでイベントに移動し、未加工のログと UDM イベント ビューアのアイコンをクリックします。
UDM イベントビューで、除外する UDM フィールドを選択し、[表示オプション] を選択して [除外] を選択します。[除外を作成] ウィンドウが開きます。ウィンドウには、ルール、UDM フィールド、UDM の選択から引き出された値が事前に入力されます。
新しい除外に一意の名前を付けます。
(省略可)[テストを実行] をクリックして、過去 2 週間の検出記録で除外を評価し、有効の場合に除外の数を計算します。
完了したら、[ルールの除外を追加] をクリックします。
除外の管理
1 つ以上の除外を作成したら、ナビゲーション バーの [除外] タブで次のオプションを選択し、[ルールと検出] を選択します。[除外] タブをクリックします。
- 除外表に除外リストが表示されます。指定した除外は、[有効]切り替え を [無効] に設定することで、無効にできます。
- フィルタ アイコン をクリックすると、表示される除外をフィルタリングできます。必要に応じて、[有効]、[無効]、または [アーカイブ] オプションを選択します。
- 除外を編集するには、メニュー アイコン をクリックし、[編集] を選択します。
- 除外をアーカイブするには、メニュー アイコン をクリックし、[アーカイブ] を選択します。
- 除外のアーカイブを解除するには、メニュー アイコン をクリックし、[アーカイブ解除] を選択します。