Möglicherweise stellen Sie fest, dass die kuratierten Erkennungen des Google Cloud Threat Intelligence-Teams (GCTI) zu viele Erkennungen generieren. Sie können Ausschlüsse für die kuratierten Erkennungsregeln konfigurieren, um die Anzahl dieser Erkennungen zu reduzieren. Regelausschlüsse werden nur bei von Google Security Operations kuratierten Erkennungen verwendet.
So konfigurieren Sie einen Ausschluss für eine kuratierte Erkennungsregel:
Wählen Sie in der Navigationsleiste Regeln und Erkennungen aus. Klicken Sie auf den Tab Ausschlüsse.
Klicken Sie auf Ausschluss erstellen, um einen neuen Ausschluss zu erstellen. Das Fenster Ausschluss erstellen wird geöffnet.
Abbildung 1: Ausschluss erstellen
Geben Sie einen eindeutigen Namen für den Ausschluss an. Dieser Name wird auf dem Tab „Ausschlüsse“ in der Liste der Ausschlüsse angezeigt.
Wählen Sie die Regel oder den Regelsatz aus, auf die bzw. den der Ausschluss angewendet werden soll. Sie können entweder durch die Liste der Regeln scrollen oder mit dem Suchfeld nach einer bestimmten Regel suchen und auf Suchen klicken.
Regeln in einem Regelsatz werden nur angezeigt, wenn sie eine Erkennung ausgelöst haben.
Geben Sie den auszuschließenden UDM-Wert ein, indem Sie ein UDM-Feld auswählen, einen Operator angeben und einen Wert eingeben. Sie müssen für jeden Wert die Eingabetaste drücken, da Sie sonst eine Fehlermeldung erhalten, wenn Sie auf + Bedingte Anweisung klicken. Sie können beispielsweise einen Ausschluss konfigurieren, wenn principal.hostname = google.com.
Sie können einer Bedingung zusätzliche Werte hinzufügen. Jedes Mal, wenn Sie die Eingabetaste drücken, wird der Wert aufgezeichnet und Sie können einen weiteren Wert eingeben. Mehrere Werte für eine Bedingung werden mit einem logischen ODER verknüpft. Ein Ausschluss stimmt also überein, wenn einer der Werte übereinstimmt.
Sie können dieser Ausnahme weitere Bedingungen hinzufügen, indem Sie auf + Bedingte Anweisung klicken. Wenn Sie versuchen, eine ungültige Bedingung anzugeben, erhalten Sie eine Fehlermeldung. Mehrere Bedingungen werden mit einem logischen UND verknüpft. Das bedeutet, dass ein Ausschluss nur dann angewendet wird, wenn alle Bedingungen erfüllt sind.
Optional: Klicken Sie auf Test ausführen, um zu ermitteln, wie viele Ausschlüsse vorgenommen würden, wenn die Funktion aktiviert wäre. Dazu wird der Ausschluss anhand der aufgezeichneten Erkennungen der letzten zwei Wochen bewertet.
Optional: Entfernen Sie das Häkchen bei Ausschluss nach Erstellung aktivieren, wenn Sie den Ausschluss vorübergehend deaktivieren möchten. Diese Option ist standardmäßig aktiviert.
Klicken Sie auf Regelausschluss hinzufügen, wenn Sie fertig sind.
Ausschlüsse über die UDM-Ansicht erstellen
Sie können Ausschlüsse auch im UDM-Viewer erstellen. Gehen Sie dazu so vor:
Wählen Sie in der Navigationsleiste Regeln und Erkennungen aus. Klicken Sie auf den Tab Curated Detections (Kuratiert erkannte Inhalte).
Klicken Sie auf Dashboard und wählen Sie dann eine Regel mit erkannten Verstößen aus.
Rufen Sie in der Zeitachse ein Ereignis auf und klicken Sie auf das Symbol für die Rohlog- und UDM-Ereignisanzeige.
Wählen Sie in der Ansicht „UDM-Ereignis“ das auszuschließende UDM-Feld aus, klicken Sie auf Ansichtsoptionen und dann auf Ausschließen. Das Fenster Ausschluss erstellen wird geöffnet. Das Fenster ist bereits mit der Regel, dem UDM-Feld und dem Wert aus Ihrer UDM-Auswahl gefüllt.
Geben Sie der neuen Ausnahme einen eindeutigen Namen.
Optional: Klicken Sie auf Test ausführen, um zu ermitteln, wie viele Ausschlüsse vorgenommen würden, wenn die Funktion aktiviert wäre. Dazu wird der Ausschluss anhand der aufgezeichneten Erkennungen der letzten zwei Wochen bewertet.
Klicken Sie auf Regelausschluss hinzufügen, wenn Sie fertig sind.
Ausschlüsse verwalten
Nachdem Sie einen oder mehrere Ausschlüsse erstellt haben, stehen Ihnen auf dem Tab Ausschlüsse (wählen Sie in der Navigationsleiste Regeln und Erkennungen aus) die folgenden Optionen zur Verfügung. Klicken Sie auf den Tab Ausschlüsse:
Die Ausschlüsse sind in der Tabelle mit Ausschlüssen aufgeführt. Sie können alle aufgeführten Ausschlüsse deaktivieren, indem Sie die Ein/Aus-Schaltfläche Aktiviert auf Deaktiviert stellen.
Sie können filtern, welche Ausschlüsse angezeigt werden, indem Sie auf das Filtersymbol filter_alt klicken. Wählen Sie die Optionen Aktiviert, Deaktiviert oder Archiviert aus.
Wenn Sie einen Ausschluss bearbeiten möchten, klicken Sie auf das Menüsymbol more_vert und wählen Sie Bearbeiten aus.
Wenn Sie einen Ausschluss archivieren möchten, klicken Sie auf das Menüsymbol more_vert und wählen Sie Archivieren aus.
Wenn Sie eine ausgeschlossene Website aus dem Archiv entfernen möchten, klicken Sie auf das Menüsymbol more_vert und wählen Sie Aus Archiv entfernen aus.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-08-21 (UTC)."],[[["\u003cp\u003eRule exclusions in Google Security Operations allow you to reduce the volume of detections generated by Google Cloud Threat Intelligence (GCTI) curated detection rules.\u003c/p\u003e\n"],["\u003cp\u003eExclusions can be created from the Exclusions tab in the Rules & Detections section by specifying a unique name, selecting the rule or rule set, and entering the UDM field values to exclude.\u003c/p\u003e\n"],["\u003cp\u003eYou can create exclusions directly from the UDM viewer by selecting a UDM field within an event, and the exclusion window will be pre-populated with relevant information.\u003c/p\u003e\n"],["\u003cp\u003eExclusions can be managed from the Exclusions tab, where you can enable, disable, filter, edit, archive, or unarchive them.\u003c/p\u003e\n"],["\u003cp\u003eBefore finalizing an exclusion, you have the option to run a test to see how many detections would have been excluded in the past two weeks.\u003c/p\u003e\n"]]],[],null,["Configure rule exclusions \nSupported in: \nGoogle secops [SIEM](/chronicle/docs/secops/google-secops-siem-toc)\n\nCreate exclusions from the Exclusions tab\n\nYou might find that the curated detections provided by the Google Cloud Threat Intelligence (GCTI) team\nare generating too many detections. You can configure exclusions to the curated detection\nrules to help reduce the volume of these detections. Rule exclusions are used only with Google Security Operations\ncurated detections.\n\nTo configure an exclusion to a curated detection rule, complete the following steps:\n\n1. In the navigation bar, select **Rules \\& Detections** . Click the **Exclusions** tab.\n\n2. Click **Create Exclusion** to create a new exclusion. The **Create Exclusion** window opens.\n\n **Figure 1: Create Exclusion**\n3. Specify a unique exclusion name. This name will appear in the list of exclusions on the Exclusions tab.\n\n4. Select the Rule or Rule Set to apply the exclusion to. You can either scroll through the list of rules or search for a particular rule using the search field and clicking **Search**.\n Rules in a rule set are displayed only if they triggered a detection.\n\n5. Enter the UDM value to exclude by selecting a **UDM Field** , specifying an operator, and entering a value. You must press the Enter key for each value, otherwise you receive an error message when you click **+ Conditional Statement** . For example, you might want to configure an exclusion when `principal.hostname = google.com`.\n\n You can enter additional values to a condition. Each time you press the Enter key, the value is recorded and you are able to enter another value. Multiple values for one condition are joined using a logical OR, meaning an exclusion matches if any of the values matches.\n\n You can add additional conditions to this exclusion by clicking **+ Conditional Statement**. If you attempt to specify an invalid condition, you will receive an error message. Multiple conditions are joined using a logical AND, meaning an exclusion only matches if every one of the conditions also matches.\n6. (Optional) Click **Run Test** to determine how many exclusions would be made if enabled, computed by evaluating the exclusion over the past two weeks of recorded detections.\n\n7. (Optional) Uncheck **Enable Exclusion Upon Creation** if you want to disable the exclusion for the time being (this option is enabled by default).\n\n8. Click **Add Rule Exclusion** when ready.\n\nCreate exclusions from the UDM viewer\n\nYou can also create exclusions from within the UDM viewer by completing the following steps:\n\n1. In the navigation bar, select **Rules \\& Detections** . Click the **Curated Detections** tab.\n\n2. Click **Dashboard** and then select a rule with detections.\n\n3. Navigate to an event in the **Timeline** and click the Raw Log and UDM Event viewer icon.\n\n4. In the UDM Event view, select the UDM field to exclude, select **View Options** , and then select **Exclude** . The **Create Exclusion** window opens. The window is pre-populated with the rule, UDM field, and value drawn from your UDM selection.\n\n5. Give the new exclusion a unique name.\n\n6. (Optional) Click **Run Test** to determine how many exclusions would be made if enabled, computed by evaluating the exclusion over the past two weeks of recorded detections.\n\n7. Click **Add Rule Exclusion** when ready.\n\nManage exclusions\n\nOnce you have created one or more exclusions, you have the following options from the **Exclusions** tab (in the navigation bar, select **Rules \\& Detections** . Click the **Exclusions** tab.):\n\n- The exclusions are listed in the exclusions table. You can disable any of the exclusions listed by setting the **Enabled** toggle to the **Disabled**.\n- You can filter which exclusions are displayed by clicking the filter icon filter_alt. Select the **Enabled** , **Disabled** , or **Archived** options as needed.\n- To edit an exclusion, click the menu icon more_vert and select **Edit**.\n- To archive an exclusion, click the menu icon more_vert and select **Archive**.\n- To unarchive an exclusion, click the menu icon more_vert and select **Unarchive**.\n\n**Need more help?** [Get answers from Community members and Google SecOps professionals.](https://security.googlecloudcommunity.com/google-security-operations-2)"]]
