Configurer des exclusions de règles

Compatible avec:

Créer des exclusions depuis l'onglet "Exclusions"

Il est possible que les détections sélectionnées fournies par l'équipe Google Cloud Threat Intelligence (GCTI) génèrent trop de détections. Vous pouvez configurer des exclusions pour les règles de détection sélectionnées afin de réduire le volume de ces détections. Les exclusions de règles ne sont utilisées que pour les détections sélectionnées par Google Security Operations.

Pour configurer une exclusion pour une règle de détection sélectionnée, procédez comme suit:

  1. Dans la barre de navigation, sélectionnez Règles et détections. Cliquez sur l'onglet Exclusions.

  2. Cliquez sur Create Exclusion (Créer une exclusion) pour créer une exclusion. La fenêtre Create Exclusion (Créer une exclusion) s'ouvre.

    Créer une exclusion

    Figure 1: Créer une exclusion

  3. Indiquez un nom d'exclusion unique. Ce nom apparaîtra dans la liste des exclusions de l'onglet "Exclusions".

  4. Sélectionnez la règle ou le jeu de règles auquel appliquer l'exclusion. Vous pouvez faire défiler la liste des règles ou rechercher une règle spécifique à l'aide du champ de recherche, puis cliquer sur Rechercher. Les règles d'un ensemble de règles ne s'affichent que si elles ont déclenché une détection.

  5. Saisissez la valeur UDM à exclure en sélectionnant un Champ UDM, en spécifiant un opérateur et en saisissant une valeur. Vous devez appuyer sur Entrée pour chaque valeur, sinon un message d'erreur s'affichera lorsque vous cliquerez sur + Instruction conditionnelle. Par exemple, vous pouvez configurer une exclusion lorsque principal.hostname = google.com.

    Vous pouvez ajouter des valeurs supplémentaires à une condition. Chaque fois que vous appuyez sur la touche Entrée, la valeur est enregistrée et vous pouvez en saisir une autre. Plusieurs valeurs pour une même condition sont associées à l'aide d'un opérateur logique OU. Autrement dit, une exclusion correspond si l'une des valeurs correspond.

    Vous pouvez ajouter des conditions supplémentaires à cette exclusion en cliquant sur + Instruction conditionnelle. Si vous essayez de spécifier une condition non valide, un message d'erreur s'affiche. Plusieurs conditions sont jointes à l'aide d'un opérateur logique ET, ce qui signifie qu'une exclusion ne correspond qu'à condition que toutes les conditions soient également remplies.

  6. (Facultatif) Cliquez sur Exécuter le test pour déterminer le nombre d'exclusions qui seraient effectuées si elles étaient activées. Ce nombre est calculé en évaluant l'exclusion au cours des deux dernières semaines de détections enregistrées.

  7. (Facultatif) Décochez Activer l'exclusion lors de sa création si vous souhaitez désactiver l'exclusion pour le moment (cette option est activée par défaut).

  8. Lorsque vous êtes prêt, cliquez sur Ajouter une exclusion de règle.

Créer des exclusions à partir du visualiseur UDM

Vous pouvez également créer des exclusions dans le visionneuse UDM en procédant comme suit:

  1. Dans la barre de navigation, sélectionnez Règles et détections. Cliquez sur l'onglet Détections sélectionnées.

  2. Cliquez sur Tableau de bord, puis sélectionnez une règle avec des détections.

  3. Accédez à un événement dans la chronologie, puis cliquez sur l'icône du journal brut et de l'observateur d'événements UDM.

  4. Dans la vue "Événements UDM", sélectionnez le champ UDM à exclure, Options d'affichage, puis Exclure. La fenêtre Create Exclusion (Créer une exclusion) s'ouvre. La fenêtre est préremplie avec la règle, le champ UDM et la valeur tirée de votre sélection UDM.

  5. Attribuez un nom unique à la nouvelle exclusion.

  6. (Facultatif) Cliquez sur Exécuter le test pour déterminer le nombre d'exclusions qui seraient effectuées si elles étaient activées. Ce nombre est calculé en évaluant l'exclusion sur les deux dernières semaines de détections enregistrées.

  7. Lorsque vous êtes prêt, cliquez sur Ajouter une exclusion de règle.

Gérer les exclusions

Une fois que vous avez créé une ou plusieurs exclusions, vous avez les options suivantes dans l'onglet Exclusions (dans la barre de navigation, sélectionnez Règles et détections). Cliquez sur l'onglet Exclusions.

  • Les exclusions sont listées dans le tableau des exclusions. Vous pouvez désactiver l'une des exclusions listées en définissant le bouton d'activation Activé sur Désactivé.
  • Vous pouvez filtrer les exclusions affichées en cliquant sur l'icône Filtre . Sélectionnez les options Activé, Désactivé ou Archivé selon vos besoins.
  • Pour modifier une exclusion, cliquez sur l'icône de menu , puis sélectionnez Modifier.
  • Pour archiver une exclusion, cliquez sur l'icône de menu , puis sélectionnez Archiver.
  • Pour désarchiver une exclusion, cliquez sur l'icône de menu , puis sélectionnez Désarchiver.