Regelausschlüsse konfigurieren

Unterstützt in:

Ausschlüsse über den Tab „Ausschlüsse“ erstellen

Möglicherweise stellen Sie fest, dass die kuratierten Erkennungen des Google Cloud Threat Intelligence-Teams (GCTI) zu viele Erkennungen generieren. Sie können Ausschlüsse für die kuratierten Erkennungsregeln konfigurieren, um die Anzahl dieser Erkennungen zu reduzieren. Regelausschlüsse werden nur bei von Google Security Operations kuratierten Erkennungen verwendet.

So konfigurieren Sie einen Ausschluss für eine kuratierte Erkennungsregel:

  1. Wählen Sie in der Navigationsleiste Regeln und Erkennungen aus. Klicken Sie auf den Tab Ausschlüsse.

  2. Klicken Sie auf Ausschluss erstellen, um einen neuen Ausschluss zu erstellen. Das Fenster Ausschluss erstellen wird geöffnet.

    Ausschluss erstellen

    Abbildung 1: Ausschluss erstellen

  3. Geben Sie einen eindeutigen Namen für den Ausschluss an. Dieser Name wird auf dem Tab „Ausschlüsse“ in der Liste der Ausschlüsse angezeigt.

  4. Wählen Sie die Regel oder den Regelsatz aus, auf die bzw. den der Ausschluss angewendet werden soll. Sie können entweder durch die Liste der Regeln scrollen oder mit dem Suchfeld nach einer bestimmten Regel suchen und auf Suchen klicken. Regeln in einem Regelsatz werden nur angezeigt, wenn sie eine Erkennung ausgelöst haben.

  5. Geben Sie den auszuschließenden UDM-Wert ein, indem Sie ein UDM-Feld auswählen, einen Operator angeben und einen Wert eingeben. Sie müssen für jeden Wert die Eingabetaste drücken, da Sie sonst eine Fehlermeldung erhalten, wenn Sie auf + Bedingte Anweisung klicken. Sie können beispielsweise einen Ausschluss konfigurieren, wenn principal.hostname = google.com.

    Sie können einer Bedingung zusätzliche Werte hinzufügen. Jedes Mal, wenn Sie die Eingabetaste drücken, wird der Wert aufgezeichnet und Sie können einen weiteren Wert eingeben. Mehrere Werte für eine Bedingung werden mit einem logischen ODER verknüpft. Ein Ausschluss stimmt also überein, wenn einer der Werte übereinstimmt.

    Sie können dieser Ausnahme weitere Bedingungen hinzufügen, indem Sie auf + Bedingte Anweisung klicken. Wenn Sie versuchen, eine ungültige Bedingung anzugeben, erhalten Sie eine Fehlermeldung. Mehrere Bedingungen werden mit einem logischen UND verknüpft. Das bedeutet, dass ein Ausschluss nur dann angewendet wird, wenn alle Bedingungen erfüllt sind.

  6. Optional: Klicken Sie auf Test ausführen, um zu ermitteln, wie viele Ausschlüsse vorgenommen würden, wenn die Funktion aktiviert wäre. Dazu wird der Ausschluss anhand der aufgezeichneten Erkennungen der letzten zwei Wochen bewertet.

  7. Optional: Entfernen Sie das Häkchen bei Ausschluss nach Erstellung aktivieren, wenn Sie den Ausschluss vorübergehend deaktivieren möchten. Diese Option ist standardmäßig aktiviert.

  8. Klicken Sie auf Regelausschluss hinzufügen, wenn Sie fertig sind.

Ausschlüsse über die UDM-Ansicht erstellen

Sie können Ausschlüsse auch im UDM-Viewer erstellen. Gehen Sie dazu so vor:

  1. Wählen Sie in der Navigationsleiste Regeln und Erkennungen aus. Klicken Sie auf den Tab Curated Detections (Kuratiert erkannte Inhalte).

  2. Klicken Sie auf Dashboard und wählen Sie dann eine Regel mit erkannten Verstößen aus.

  3. Rufen Sie in der Zeitachse ein Ereignis auf und klicken Sie auf das Symbol für die Rohlog- und UDM-Ereignisanzeige.

  4. Wählen Sie in der Ansicht „UDM-Ereignis“ das auszuschließende UDM-Feld aus, klicken Sie auf Ansichtsoptionen und dann auf Ausschließen. Das Fenster Ausschluss erstellen wird geöffnet. Das Fenster ist bereits mit der Regel, dem UDM-Feld und dem Wert aus Ihrer UDM-Auswahl gefüllt.

  5. Geben Sie der neuen Ausnahme einen eindeutigen Namen.

  6. Optional: Klicken Sie auf Test ausführen, um zu ermitteln, wie viele Ausschlüsse vorgenommen würden, wenn die Funktion aktiviert wäre. Dazu wird der Ausschluss anhand der aufgezeichneten Erkennungen der letzten zwei Wochen bewertet.

  7. Klicken Sie auf Regelausschluss hinzufügen, wenn Sie fertig sind.

Ausschlüsse verwalten

Nachdem Sie einen oder mehrere Ausschlüsse erstellt haben, stehen Ihnen auf dem Tab Ausschlüsse (wählen Sie in der Navigationsleiste Regeln und Erkennungen aus) die folgenden Optionen zur Verfügung. Klicken Sie auf den Tab Ausschlüsse:

  • Die Ausschlüsse sind in der Tabelle mit Ausschlüssen aufgeführt. Sie können alle aufgeführten Ausschlüsse deaktivieren, indem Sie die Ein/Aus-Schaltfläche Aktiviert auf Deaktiviert stellen.
  • Sie können filtern, welche Ausschlüsse angezeigt werden, indem Sie auf das Filtersymbol  klicken. Wählen Sie die Optionen Aktiviert, Deaktiviert oder Archiviert aus.
  • Wenn Sie einen Ausschluss bearbeiten möchten, klicken Sie auf das Menüsymbol  und wählen Sie Bearbeiten aus.
  • Wenn Sie einen Ausschluss archivieren möchten, klicken Sie auf das Menüsymbol  und wählen Sie Archivieren aus.
  • Wenn Sie eine ausgeschlossene Website aus dem Archiv entfernen möchten, klicken Sie auf das Menüsymbol  und wählen Sie Aus Archiv entfernen aus.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten