Mengonfigurasi pengecualian aturan
Membuat pengecualian dari tab Pengecualian
Anda mungkin mendapati bahwa terlalu banyak deteksi yang dibuat oleh tim Google Cloud Threat Intelligence (GCTI) yang diseleksi. Anda dapat mengonfigurasi pengecualian pada aturan deteksi yang diseleksi untuk membantu mengurangi volume deteksi ini. Pengecualian aturan hanya digunakan dengan deteksi yang diseleksi Chronicle.
Untuk mengonfigurasi pengecualian ke aturan deteksi yang diseleksi, selesaikan langkah-langkah berikut:
Di menu navigasi, pilih Aturan & Deteksi. Klik tab Pengecualian.
Klik Buat Pengecualian untuk membuat pengecualian baru. Jendela Buat Pengecualian akan terbuka.
Gambar 1: Membuat Pengecualian
Tentukan nama pengecualian yang unik. Nama ini akan muncul dalam daftar pengecualian pada tab Pengecualian.
Pilih Kumpulan Aturan atau Aturan untuk menerapkan pengecualian. Anda dapat men-scroll daftar aturan atau menelusuri aturan tertentu menggunakan kolom penelusuran, lalu mengklik Telusuri. Aturan dalam kumpulan aturan hanya ditampilkan jika memicu deteksi.
Masukkan nilai UDM yang akan dikecualikan dengan memilih Kolom UDM, menentukan operator, dan memasukkan nilai. Anda harus menekan tombol Enter untuk setiap nilai. Jika tidak, Anda akan menerima pesan error saat mengklik + Pernyataan Kondisi. Misalnya, Anda mungkin ingin mengonfigurasi pengecualian saat
principal.hostname = google.com.Anda dapat memasukkan nilai tambahan ke kondisi. Setiap kali Anda menekan tombol Enter, nilai akan dicatat dan Anda dapat memasukkan nilai lainnya. Beberapa nilai untuk satu kondisi digabungkan menggunakan OR logis, yang berarti pengecualian cocok jika ada nilai yang cocok.
Anda dapat menambahkan kondisi tambahan ke pengecualian ini dengan mengklik + Pernyataan Kondisi. Jika Anda mencoba menentukan kondisi yang tidak valid, Anda akan menerima pesan error. Beberapa kondisi digabungkan menggunakan AND logis, yang berarti pengecualian hanya cocok jika setiap kondisi juga cocok.
(Opsional) Klik Jalankan Pengujian untuk menentukan jumlah pengecualian yang akan dibuat jika diaktifkan, yang dihitung dengan mengevaluasi pengecualian selama dua minggu terakhir deteksi yang direkam.
(Opsional) Hapus centang Aktifkan Pengecualian Setelah Pembuatan jika Anda ingin menonaktifkan pengecualian untuk saat ini (opsi ini diaktifkan secara default).
Klik Tambahkan Pengecualian Aturan jika sudah siap.
Membuat pengecualian dari penampil UDM
Anda juga dapat membuat pengecualian dari dalam penampil UDM dengan menyelesaikan langkah-langkah berikut:
Di menu navigasi, pilih Aturan & Deteksi. Klik tab Deteksi yang Diseleksi.
Klik Dashboard, lalu pilih aturan dengan deteksi.
Buka peristiwa di Linimasa, lalu klik ikon Raw Log dan UDM Event viewer.
Di tampilan Peristiwa UDM, pilih kolom UDM yang akan dikecualikan, pilih Opsi Tampilan, lalu pilih Kecualikan. Jendela Buat Pengecualian akan terbuka. Jendela akan diisi otomatis dengan aturan, kolom UDM, dan nilai yang diambil dari pilihan UDM Anda.
Beri nama unik untuk pengecualian baru.
(Opsional) Klik Jalankan Pengujian untuk menentukan jumlah pengecualian yang akan dibuat jika diaktifkan, yang dihitung dengan mengevaluasi pengecualian selama dua minggu terakhir deteksi yang direkam.
Klik Tambahkan Pengecualian Aturan jika sudah siap.
Kelola pengecualian
Setelah membuat satu atau beberapa pengecualian, Anda memiliki opsi berikut dari tab Pengecualian (di menu navigasi, pilih Aturan & Deteksi. Klik tab Pengecualian:
- Pengecualian dicantumkan dalam tabel pengecualian. Anda dapat menonaktifkan semua pengecualian yang tercantum dengan menyetel tombol Diaktifkan ke Nonaktif.
- Anda dapat memfilter pengecualian yang ditampilkan dengan mengklik ikon filter . Pilih opsi Diaktifkan, Dinonaktifkan, atau Diarsipkan sesuai kebutuhan.
- Untuk mengedit pengecualian, klik ikon menu lalu pilih Edit.
- Untuk mengarsipkan pengecualian, klik ikon menu dan pilih Arsipkan.
- Untuk membatalkan pengarsipan pengecualian, klik ikon menu lalu pilih Batalkan pengarsipan.