配置规则排除项

通过“排除对象”标签页创建排除对象

您可能会发现,Google Cloud 威胁情报 (GCTI) 团队提供的精选检测 会生成过多检测,您可以为精选检测配置排除项 规则,以帮助减少此类检测的数量。规则排除项仅适用于 Google Security Operations 检测。

如需为特选检测规则配置排除项,请完成以下步骤:

  1. 在导航栏中,选择规则和检测。点击排除项标签页。

  2. 点击创建排除项以创建新的排除项。系统随即会打开创建排除项窗口。

    创建排除项

    图 1:创建排除项

  3. 指定唯一的排除项名称。此名称将显示在“排除对象”标签的排除对象列表中。

  4. 选择要应用排除规则的规则或规则集。您可以滚动浏览规则列表,也可以使用搜索字段搜索特定规则,然后点击搜索。 规则集中的规则仅在触发检测时才会显示。

  5. 选择 UDM 字段,指定运算符,然后输入一个值,以输入要排除的 UDM 值。您必须按 Enter 键输入每个值,否则您在点击 + 条件语句时会收到错误消息。例如,当 principal.hostname = google.com 时,您可能希望配置排除项。

    您可以为条件输入其他值。每次按 Enter 键时,系统都会记录一个值,您可以输入其他值。一个条件的多个值使用逻辑 OR 进行连接,这意味着只要任一值匹配,排除项就会匹配。

    您可以点击 + 条件语句,以为此排除项添加其他条件。如果您尝试指定无效条件,则会收到错误消息。多个条件之间使用逻辑 AND 连接,这意味着只有当所有条件也都匹配时,才会符合排除项。

  6. (可选)点击运行测试,确定在启用后要创建的排除对象数量,通过评估排除对象在过去两周内记录的检测结果计算得出。

  7. (可选)如果您想暂时停用排除项,请取消选中创建排除项时启用(此选项默认处于启用状态)。

  8. 准备就绪后,点击添加规则排除项

从 UDM 查看器创建排除对象

您也可以在 UDM 查看器中创建排除对象,具体操作步骤如下:

  1. 在导航栏中,选择规则和检测。点击 Curated Detections 标签页。

  2. 点击信息中心,然后选择包含检测的规则。

  3. 时间轴中导航至某个事件,然后点击“原始日志”和“UDM 事件查看器”图标。

  4. 在 UDM 活动视图中,选择要排除的 UDM 字段,然后依次选择查看选项排除。系统随即会打开创建排除项窗口。该窗口会预先填充规则、UDM 字段以及根据您的 UDM 选项提取的值。

  5. 为新的排除项指定唯一的名称。

  6. (可选)点击运行测试,确定在启用后要创建的排除对象数量,通过评估排除对象在过去两周内记录的检测结果计算得出。

  7. 准备就绪后,点击添加规则排除项

管理排除对象

创建一个或多个排除对象后,您可以从排除对象标签页(在导航栏中选择规则和检测)中看到以下选项。点击排除对象标签页:)

  • 这些排除项已列在排除项表格中。您可以停用列出的任何排除对象,方法是将已启用开关切换为已停用
  • 您可以点击过滤图标 来过滤要显示的排除对象。根据需要选择已启用已停用已归档选项。
  • 要修改排除对象,请点击菜单图标 ,然后选择修改
  • 若要归档排除项,请点击菜单图标 ,然后选择归档
  • 要将排除对象取消归档,请点击菜单图标 ,然后选择取消归档