Mengonfigurasi pengecualian aturan

Didukung di:

Membuat pengecualian dari tab Pengecualian

Anda mungkin mendapati bahwa deteksi pilihan yang disediakan oleh tim Google Cloud Threat Intelligence (GCTI) menghasilkan terlalu banyak deteksi. Anda dapat mengonfigurasi pengecualian pada aturan deteksi pilihan untuk membantu mengurangi volume deteksi ini. Pengecualian aturan hanya digunakan dengan deteksi yang dikurasi Google Security Operations.

Untuk mengonfigurasi pengecualian pada aturan deteksi yang dikurasi, selesaikan langkah-langkah berikut:

  1. Di menu navigasi, pilih Rules & Detections. Klik tab Pengecualian.

  2. Klik Buat Pengecualian untuk membuat pengecualian baru. Jendela Buat Pengecualian akan terbuka.

    Buat Pengecualian

    Gambar 1: Buat Pengecualian

  3. Tentukan nama pengecualian yang unik. Nama ini akan muncul dalam daftar pengecualian di tab Pengecualian.

  4. Pilih Aturan atau Kumpulan Aturan untuk menerapkan pengecualian. Anda dapat men-scroll daftar aturan atau menelusuri aturan tertentu menggunakan kolom penelusuran dan mengklik Telusuri. Aturan dalam set aturan hanya ditampilkan jika memicu deteksi.

  5. Masukkan nilai UDM yang akan dikecualikan dengan memilih Kolom UDM, menentukan operator, dan memasukkan nilai. Anda harus menekan tombol Enter untuk setiap nilai, jika tidak, Anda akan menerima pesan error saat mengklik + Pernyataan Bersyarat. Misalnya, Anda mungkin ingin mengonfigurasi pengecualian saat principal.hostname = google.com.

    Anda dapat memasukkan nilai tambahan ke dalam ketentuan. Setiap kali Anda menekan tombol Enter, nilai akan dicatat dan Anda dapat memasukkan nilai lain. Beberapa nilai untuk satu kondisi digabungkan menggunakan OR logis, yang berarti pengecualian cocok jika salah satu nilai cocok.

    Anda dapat menambahkan kondisi tambahan ke pengecualian ini dengan mengklik + Pernyataan Bersyarat. Jika Anda mencoba menentukan kondisi yang tidak valid, Anda akan menerima pesan error. Beberapa kondisi digabungkan menggunakan AND logis, yang berarti pengecualian hanya cocok jika setiap kondisi juga cocok.

  6. (Opsional) Klik Jalankan Tes untuk menentukan jumlah pengecualian yang akan dilakukan jika diaktifkan, yang dihitung dengan mengevaluasi pengecualian selama dua minggu terakhir dari deteksi yang tercatat.

  7. (Opsional) Hapus centang Aktifkan Pengecualian setelah Pembuatan jika Anda ingin menonaktifkan pengecualian untuk saat ini (opsi ini diaktifkan secara default).

  8. Klik Tambahkan Pengecualian Aturan jika sudah siap.

Membuat pengecualian dari penampil UDM

Anda juga dapat membuat pengecualian dari dalam penampil UDM dengan menyelesaikan langkah-langkah berikut:

  1. Di menu navigasi, pilih Rules & Detections. Klik tab Deteksi yang Dikurasi.

  2. Klik Dasbor, lalu pilih aturan dengan deteksi.

  3. Buka acara di Linimasa, lalu klik ikon penampil Peristiwa UDM dan Log Mentah.

  4. Di tampilan Peristiwa UDM, pilih kolom UDM yang akan dikecualikan, pilih Opsi Tampilan, lalu pilih Kecualikan. Jendela Buat Pengecualian akan terbuka. Jendela ini sudah diisi sebelumnya dengan aturan, kolom UDM, dan nilai yang diambil dari pilihan UDM Anda.

  5. Beri nama unik untuk pengecualian baru.

  6. (Opsional) Klik Jalankan Tes untuk menentukan jumlah pengecualian yang akan dilakukan jika diaktifkan, yang dihitung dengan mengevaluasi pengecualian selama dua minggu terakhir dari deteksi yang tercatat.

  7. Klik Tambahkan Pengecualian Aturan jika sudah siap.

Mengelola pengecualian

Setelah membuat satu atau beberapa pengecualian, Anda memiliki opsi berikut dari tab Pengecualian (di menu navigasi, pilih Aturan & Deteksi. Klik tab Pengecualian.):

  • Pengecualian tercantum dalam tabel pengecualian. Anda dapat menonaktifkan pengecualian yang tercantum dengan menyetel tombol Diaktifkan ke Dinonaktifkan.
  • Anda dapat memfilter pengecualian yang ditampilkan dengan mengklik ikon filter . Pilih opsi Diaktifkan, Dinonaktifkan, atau Diarsipkan sesuai kebutuhan.
  • Untuk mengedit pengecualian, klik ikon menu , lalu pilih Edit.
  • Untuk mengarsipkan pengecualian, klik ikon menu , lalu pilih Arsipkan.
  • Untuk mengembalikan pengecualian dari arsip, klik ikon menu , lalu pilih Kembalikan dari arsip.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.