Configurar exclusões de regras

Criar exclusões na guia "Exclusões"

Talvez você descubra que as detecções selecionadas fornecidas pela equipe do Google Cloud Threat Intelligence (GCTI) estão gerando muitas detecções. É possível configurar exclusões para as regras de detecção selecionadas a fim de reduzir o volume dessas detecções. As exclusões de regras são usadas apenas com detecções selecionadas das Operações de segurança do Google.

Para configurar uma exclusão em uma regra de detecção selecionada, siga estas etapas:

  1. Na barra de navegação, selecione Regras e detecções. Clique na guia Exclusões.

  2. Clique em Criar exclusão para criar uma nova exclusão. A janela Criar exclusão será aberta.

    Criar exclusão

    Figura 1: criar exclusão

  3. Especifique um nome de exclusão exclusivo. Esse nome aparecerá na lista de exclusões na guia Exclusões.

  4. Selecione a regra ou o conjunto de regras ao qual aplicar a exclusão. Você pode rolar pela lista de regras ou procurar uma regra específica usando o campo de pesquisa e clicando em Pesquisar. As regras em um grupo de regras são exibidas apenas se acionarem uma detecção.

  5. Insira o valor do UDM a ser excluído selecionando um Campo UDM, especificando um operador e inserindo um valor. É necessário pressionar a tecla "Enter" para cada valor. Caso contrário, você receberá uma mensagem de erro ao clicar em + Instrução condicional. Por exemplo, talvez você queira configurar uma exclusão quando principal.hostname = google.com.

    Você pode inserir valores adicionais a uma condição. Cada vez que você pressiona a tecla Enter, o valor é registrado e você pode inserir outro valor. Vários valores para uma condição são unidos usando um OR lógico, o que significa que uma exclusão corresponde se houver correspondência de algum dos valores.

    É possível adicionar outras condições a essa exclusão clicando em + Instrução condicional. Se você tentar especificar uma condição inválida, receberá uma mensagem de erro. Múltiplas condições são unidas usando um AND lógico, o que significa que uma exclusão só corresponde se todas as condições também forem correspondentes.

  6. (Opcional) Clique em Executar teste para determinar quantas exclusões seriam feitas se ativadas. Essas informações são calculadas com base na avaliação das exclusões registradas nas duas últimas semanas.

  7. (Opcional) Desmarque Ativar exclusão após a criação se quiser desativar a exclusão por enquanto (essa opção é ativada por padrão).

  8. Clique em Adicionar exclusão de regra quando estiver tudo pronto.

Criar exclusões do visualizador de UDM

Também é possível criar exclusões no visualizador de UDM seguindo estas etapas:

  1. Na barra de navegação, selecione Regras e detecções. Clique na guia Detecções selecionadas.

  2. Clique em Painel e selecione uma regra com detecções.

  3. Navegue até um evento na Linha do tempo e clique no ícone do visualizador de registros brutos e de eventos de UDM.

  4. Na visualização "Evento de UDM", selecione o campo do UDM a ser excluído, clique em Opções de exibição e selecione Excluir. A janela Criar exclusão será aberta. A janela é pré-preenchida com a regra, o campo do UDM e o valor extraídos da seleção do UDM.

  5. Dê um nome exclusivo à nova exclusão.

  6. (Opcional) Clique em Executar teste para determinar quantas exclusões seriam feitas se ativadas. Essas informações são calculadas com base na avaliação das exclusões registradas nas duas últimas semanas.

  7. Clique em Adicionar exclusão de regra quando estiver tudo pronto.

Gerenciar exclusões

Depois de criar uma ou mais exclusões, você terá as seguintes opções na guia Exclusões (na barra de navegação, selecione Regras e detecções). Clique na guia Exclusões.

  • As exclusões são listadas na tabela de exclusões. Você pode desativar qualquer uma das exclusões listadas definindo o botão Ativada como Desativada.
  • É possível filtrar quais exclusões são exibidas clicando no ícone de filtro . Selecione as opções Ativado, Desativado ou Arquivado conforme necessário.
  • Para editar uma exclusão, clique no ícone de menu e selecione Editar.
  • Para arquivar uma exclusão, clique no ícone de menu e selecione Arquivar.
  • Para desarquivar uma exclusão, clique no ícone de menu e selecione Desarquivar.