Configura exclusiones de reglas

Compatible con:

Cómo crear exclusiones desde la pestaña Exclusiones

Es posible que las detecciones seleccionadas que proporciona el equipo de Google Cloud Threat Intelligence (GCTI) generen demasiadas detecciones. Puedes configurar exclusiones en las reglas de detección seleccionadas para reducir la cantidad de estas detecciones. Las exclusiones de reglas solo se usan con las detecciones seleccionadas de Google Security Operations.

Para configurar una exclusión en una regla de detección seleccionada, completa los siguientes pasos:

  1. En la barra de navegación, selecciona Reglas y detecciones. Haz clic en la pestaña Exclusiones.

  2. Haz clic en Crear exclusión para crear una exclusión nueva. Se abrirá la ventana Crear exclusión.

    Crear exclusión

    Figura 1: Create Exclusion

  3. Especifica un nombre de exclusión único. Este nombre aparecerá en la lista de exclusiones de la pestaña Exclusiones.

  4. Selecciona la regla o el conjunto de reglas al que deseas aplicar la exclusión. Puedes desplazarte por la lista de reglas o buscar una regla en particular con el campo de búsqueda y hacer clic en Buscar. Las reglas de un conjunto de reglas solo se muestran si activaron una detección.

  5. Para ingresar el valor del UDM que se excluirá, selecciona un campo del UDM, especifica un operador y, luego, ingresa un valor. Debes presionar la tecla Intro para cada valor. De lo contrario, recibirás un mensaje de error cuando hagas clic en + Declaración condicional. Por ejemplo, es posible que quieras configurar una exclusión cuando principal.hostname = google.com.

    Puedes ingresar valores adicionales a una condición. Cada vez que presiones la tecla Intro, se registrará el valor y podrás ingresar otro. Los valores múltiples para una condición se unen con un OR lógico, lo que significa que una exclusión coincide si coincide alguno de los valores.

    Puedes agregar condiciones adicionales a esta exclusión haciendo clic en + Declaración condicional. Si intentas especificar una condición no válida, recibirás un mensaje de error. Las múltiples condiciones se unen con un operador lógico AND, lo que significa que una exclusión solo coincide si también coincide cada una de las condiciones.

  6. (Opcional) Haz clic en Ejecutar prueba para determinar cuántas exclusiones se realizarían si se habilitara la función. Para ello, se evalúa la exclusión en las últimas dos semanas de detecciones registradas.

  7. Opcional: Desmarca Habilitar la exclusión luego de su creación si deseas inhabilitar la exclusión por el momento (esta opción está habilitada de forma predeterminada).

  8. Cuando esté todo listo, haz clic en Agregar exclusión de regla.

Cómo crear exclusiones desde el visualizador del UDM

También puedes crear exclusiones desde el visor del UDM. Para ello, sigue estos pasos:

  1. En la barra de navegación, selecciona Reglas y detecciones. Haz clic en la pestaña Detecciones seleccionadas.

  2. Haz clic en Panel y, luego, selecciona una regla con detecciones.

  3. Navega a un evento en la línea de tiempo y haz clic en el ícono del visualizador de eventos de UDM y registro sin procesar.

  4. En la vista Evento del UDM, selecciona el campo del UDM que deseas excluir, selecciona Opciones de vista y, luego, Excluir. Se abrirá la ventana Crear exclusión. La ventana se propaga previamente con la regla, el campo de UDM y el valor extraídos de tu selección de UDM.

  5. Asigna un nombre único a la nueva exclusión.

  6. (Opcional) Haz clic en Ejecutar prueba para determinar cuántas exclusiones se realizarían si se habilitara la función. Para ello, se evalúa la exclusión en las últimas dos semanas de detecciones registradas.

  7. Cuando esté todo listo, haz clic en Agregar exclusión de regla.

Administrar exclusiones

Una vez que hayas creado una o más exclusiones, tendrás las siguientes opciones en la pestaña Exclusiones (en la barra de navegación, selecciona Reglas y detecciones). Haz clic en la pestaña Exclusiones.

  • Las exclusiones se enumeran en la tabla de exclusiones. Puedes inhabilitar cualquiera de las exclusiones que se indican si configuras el botón de activación Habilitado en Inhabilitado.
  • Para filtrar las exclusiones que se muestran, haz clic en el ícono de filtro . Selecciona las opciones Habilitado, Inhabilitado o Archivado según sea necesario.
  • Para editar una exclusión, haz clic en el ícono de menú y selecciona Editar.
  • Para archivar una exclusión, haz clic en el ícono de menú y selecciona Archivar.
  • Para anular el archivado de una exclusión, haz clic en el ícono de menú y selecciona Anular archivado.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.