Configurer les exclusions de règles

Compatible avec :

Créer des exclusions depuis l'onglet "Exclusions"

Vous constaterez peut-être que les détections organisées fournies par l'équipe Google Cloud Threat Intelligence (GCTI) génèrent trop de détections. Vous pouvez configurer des exclusions pour les règles de détection sélectionnées afin de réduire le volume de ces détections. Les exclusions de règles ne sont utilisées qu'avec les détections organisées de Google Security Operations.

Pour configurer une exclusion à une règle de détection sélectionnée, procédez comme suit :

  1. Dans la barre de navigation, sélectionnez Règles et détections. Cliquez sur l'onglet Exclusions.

  2. Cliquez sur Créer une exclusion pour créer une exclusion. La fenêtre Créer une exclusion s'ouvre.

    Créer une exclusion

    Figure 1 : Créer une exclusion

  3. Spécifiez un nom d'exclusion unique. Ce nom apparaîtra dans la liste des exclusions de l'onglet "Exclusions".

  4. Sélectionnez la règle ou l'ensemble de règles auxquels appliquer l'exclusion. Vous pouvez faire défiler la liste des règles ou rechercher une règle spécifique à l'aide du champ de recherche, puis cliquer sur Rechercher. Les règles d'un ensemble de règles ne s'affichent que si elles ont déclenché une détection.

  5. Saisissez la valeur UDM à exclure en sélectionnant un champ UDM, en spécifiant un opérateur et en saisissant une valeur. Vous devez appuyer sur la touche Entrée pour chaque valeur. Sinon, un message d'erreur s'affiche lorsque vous cliquez sur + Instruction conditionnelle. Par exemple, vous pouvez configurer une exclusion lorsque principal.hostname = google.com.

    Vous pouvez ajouter des valeurs à une condition. Chaque fois que vous appuyez sur la touche Entrée, la valeur est enregistrée et vous pouvez en saisir une autre. Plusieurs valeurs pour une même condition sont associées à l'aide d'un opérateur logique OR. Cela signifie qu'une exclusion correspond si l'une des valeurs correspond.

    Vous pouvez ajouter des conditions à cette exclusion en cliquant sur + Instruction conditionnelle. Si vous essayez de spécifier une condition non valide, un message d'erreur s'affiche. Plusieurs conditions sont associées à l'aide d'un opérateur logique AND. Cela signifie qu'une exclusion ne correspond que si chacune des conditions correspond également.

  6. (Facultatif) Cliquez sur Exécuter le test pour déterminer le nombre d'exclusions qui seraient effectuées si elles étaient activées. Ce nombre est calculé en évaluant l'exclusion au cours des deux dernières semaines de détections enregistrées.

  7. (Facultatif) Décochez Activer l'exclusion lors de sa création si vous souhaitez désactiver l'exclusion pour le moment (cette option est activée par défaut).

  8. Lorsque vous êtes prêt, cliquez sur Ajouter une exclusion de règle.

Créer des exclusions à partir du lecteur UDM

Vous pouvez également créer des exclusions dans le lecteur UDM en procédant comme suit :

  1. Dans la barre de navigation, sélectionnez Règles et détections. Cliquez sur l'onglet Détections sélectionnées.

  2. Cliquez sur Tableau de bord, puis sélectionnez une règle avec des détections.

  3. Accédez à un événement dans la chronologie, puis cliquez sur l'icône de la visionneuse d'événements Raw Log et UDM.

  4. Dans la vue "Événement UDM", sélectionnez le champ UDM à exclure, puis Options d'affichage et Exclure. La fenêtre Créer une exclusion s'ouvre. La fenêtre est préremplie avec la règle, le champ UDM et la valeur extraits de votre sélection UDM.

  5. Attribuez un nom unique à la nouvelle exclusion.

  6. (Facultatif) Cliquez sur Exécuter le test pour déterminer le nombre d'exclusions qui seraient effectuées si elles étaient activées. Ce nombre est calculé en évaluant l'exclusion au cours des deux dernières semaines de détections enregistrées.

  7. Lorsque vous êtes prêt, cliquez sur Ajouter une exclusion de règle.

Gérer les exclusions

Une fois que vous avez créé une ou plusieurs exclusions, vous disposez des options suivantes dans l'onglet Exclusions (dans la barre de navigation, sélectionnez Règles et détections). Cliquez sur l'onglet Exclusions :

  • Les exclusions sont listées dans le tableau des exclusions. Vous pouvez désactiver l'une des exclusions listées en définissant le bouton Activé sur Désactivé.
  • Vous pouvez filtrer les exclusions affichées en cliquant sur l'icône de filtre . Sélectionnez les options Activé, Désactivé ou Archivé selon vos besoins.
  • Pour modifier une exclusion, cliquez sur l'icône de menu , puis sélectionnez Modifier.
  • Pour archiver une exclusion, cliquez sur l'icône de menu , puis sélectionnez Archiver.
  • Pour réactiver une exclusion, cliquez sur l'icône de menu , puis sélectionnez Réactiver.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.