Configurar exclusiones de reglas

Disponible en:

Crear exclusiones desde la pestaña Exclusiones

Puede que las detecciones seleccionadas que proporciona el equipo de Google Cloud Inteligencia de amenazas de Google Cloud (GCTI) generen demasiadas detecciones. Puede configurar exclusiones en las reglas de detección seleccionadas para reducir el volumen de estas detecciones. Las exclusiones de reglas solo se usan con las detecciones seleccionadas de Google Security Operations.

Para configurar una exclusión en una regla de detección seleccionada, sigue estos pasos:

  1. En la barra de navegación, selecciona Reglas y detecciones. Haga clic en la pestaña Exclusiones.

  2. Haga clic en Crear exclusión para crear una. Se abrirá la ventana Crear exclusión.

    Crear exclusión

    Imagen 1: Crear exclusión

  3. Especifica un nombre de exclusión único. Este nombre aparecerá en la lista de exclusiones de la pestaña Exclusiones.

  4. Selecciona la regla o el conjunto de reglas al que quieras aplicar la exclusión. Puede desplazarse por la lista de reglas o buscar una regla concreta mediante el campo de búsqueda y haciendo clic en Buscar. Las reglas de un conjunto de reglas solo se muestran si han activado una detección.

  5. Para excluir un valor de UDM, seleccione un Campo de UDM, especifique un operador e introduzca un valor. Debes pulsar la tecla Intro después de introducir cada valor. De lo contrario, recibirás un mensaje de error al hacer clic en + Conditional Statement (+ Declaración condicional). Por ejemplo, puede que quieras configurar una exclusión cuando principal.hostname = google.com.

    Puedes introducir valores adicionales en una condición. Cada vez que pulses la tecla Intro, se registrará el valor y podrás introducir otro. Para unir varios valores de una condición, se usa el operador lógico O, lo que significa que una exclusión coincide si coincide alguno de los valores.

    Puede añadir más condiciones a esta exclusión haciendo clic en + Declaración condicional. Si intentas especificar una condición no válida, recibirás un mensaje de error. Las distintas condiciones se unen mediante un operador lógico Y, lo que significa que una exclusión solo coincide si se cumplen todas las condiciones.

  6. (Opcional) Haz clic en Hacer prueba para determinar cuántas exclusiones se harían si se habilitara, calculadas evaluando la exclusión durante las dos últimas semanas de detecciones registradas.

  7. (Opcional) Desmarca Habilitar exclusión tras crearla si quieres inhabilitar la exclusión por el momento (esta opción está habilitada de forma predeterminada).

  8. Cuando lo tengas todo listo, haz clic en Añadir exclusión de regla.

Crear exclusiones desde el visor de datos de gestión unificada

También puede crear exclusiones desde el visor de UDM siguiendo estos pasos:

  1. En la barra de navegación, selecciona Reglas y detecciones. Haz clic en la pestaña Detecciones seleccionadas.

  2. Haga clic en Panel de control y, a continuación, seleccione una regla con detecciones.

  3. Ve a un evento de la línea de tiempo y haz clic en el icono del visor de eventos de registro sin procesar y de eventos de UDM.

  4. En la vista Evento de UDM, seleccione el campo de UDM que quiera excluir, elija Opciones de vista y, a continuación, Excluir. Se abrirá la ventana Crear exclusión. La ventana se rellena automáticamente con la regla, el campo de UDM y el valor extraídos de su selección de UDM.

  5. Asigna un nombre único a la nueva exclusión.

  6. (Opcional) Haz clic en Hacer prueba para determinar cuántas exclusiones se harían si se habilitara, calculadas evaluando la exclusión durante las dos últimas semanas de detecciones registradas.

  7. Cuando lo tengas todo listo, haz clic en Añadir exclusión de regla.

Gestionar exclusiones

Una vez que haya creado una o varias exclusiones, tendrá las siguientes opciones en la pestaña Exclusiones (en la barra de navegación, seleccione Reglas y detecciones). Haga clic en la pestaña Exclusiones:

  • Las exclusiones se muestran en la tabla de exclusiones. Para inhabilitar cualquiera de las exclusiones de la lista, cambia el interruptor Habilitado a Inhabilitado.
  • Para filtrar las exclusiones que se muestran, haz clic en el icono de filtro . Selecciona las opciones Habilitado, Inhabilitado o Archivado según sea necesario.
  • Para editar una exclusión, haz clic en el icono de menú y selecciona Editar.
  • Para archivar una exclusión, haz clic en el icono de menú y selecciona Archivar.
  • Para desarchivar una exclusión, haz clic en el icono de menú y selecciona Desarchivar.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.