Configure exclusões de regras

Compatível com:

Crie exclusões a partir do separador Exclusões

Pode verificar que as deteções organizadas fornecidas pela Google Cloud equipa de informações sobre ameaças (GCTI) estão a gerar demasiadas deteções. Pode configurar exclusões às regras de deteção preparadas para ajudar a reduzir o volume destas deteções. As exclusões de regras são usadas apenas com deteções preparadas do Google Security Operations.

Para configurar uma exclusão a uma regra de deteção organizada, conclua os seguintes passos:

  1. Na barra de navegação, selecione Regras e deteções. Clique no separador Exclusões.

  2. Clique em Criar exclusão para criar uma nova exclusão. É apresentada a janela Criar exclusão.

    Criar exclusão

    Figura 1: criar exclusão

  3. Especifique um nome de exclusão exclusivo. Este nome é apresentado na lista de exclusões no separador Exclusões.

  4. Selecione a regra ou o conjunto de regras ao qual aplicar a exclusão. Pode percorrer a lista de regras ou pesquisar uma regra específica através do campo de pesquisa e clicando em Pesquisar. As regras num conjunto de regras só são apresentadas se tiverem acionado uma deteção.

  5. Introduza o valor de UDM a excluir selecionando um campo de UDM, especificando um operador e introduzindo um valor. Tem de premir a tecla Enter para cada valor. Caso contrário, recebe uma mensagem de erro quando clica em + Declaração condicional. Por exemplo, pode querer configurar uma exclusão quando principal.hostname = google.com.

    Pode introduzir valores adicionais numa condição. Sempre que prime a tecla Enter, o valor é registado e pode introduzir outro valor. Vários valores para uma condição são unidos através de um OU lógico, o que significa que uma exclusão corresponde se algum dos valores corresponder.

    Pode adicionar condições adicionais a esta exclusão clicando em + Declaração condicional. Se tentar especificar uma condição inválida, recebe uma mensagem de erro. As várias condições são unidas através de um operador lógico E, o que significa que uma exclusão só corresponde se todas as condições também corresponderem.

  6. (Opcional) Clique em Executar teste para determinar quantas exclusões seriam feitas se estivessem ativadas, calculadas através da avaliação da exclusão nas últimas duas semanas de deteções registadas.

  7. (Opcional) Desmarque a opção Ativar exclusão após a criação se quiser desativar a exclusão por agora (esta opção está ativada por predefinição).

  8. Clique em Adicionar exclusão de regra quando estiver tudo pronto.

Crie exclusões a partir do visualizador do UDM

Também pode criar exclusões no visualizador da UDM concluindo os seguintes passos:

  1. Na barra de navegação, selecione Regras e deteções. Clique no separador Deteções organizadas.

  2. Clique em Painel de controlo e, de seguida, selecione uma regra com deteções.

  3. Navegue para um evento na Linha cronológica e clique no ícone do visualizador de registos não processados e eventos UDM.

  4. Na vista de eventos do UDM, selecione o campo do UDM a excluir, selecione Opções de visualização e, de seguida, selecione Excluir. É apresentada a janela Criar exclusão. A janela é pré-preenchida com a regra, o campo de DUA e o valor extraído da sua seleção de DUA.

  5. Atribua um nome exclusivo à nova exclusão.

  6. (Opcional) Clique em Executar teste para determinar quantas exclusões seriam feitas se estivessem ativadas, calculadas através da avaliação da exclusão nas últimas duas semanas de deteções registadas.

  7. Clique em Adicionar exclusão de regra quando estiver tudo pronto.

Faça a gestão das exclusões

Depois de criar uma ou mais exclusões, tem as seguintes opções no separador Exclusões (na barra de navegação, selecione Regras e deteções). Clique no separador Exclusões):

  • As exclusões são apresentadas na tabela de exclusões. Pode desativar qualquer uma das exclusões apresentadas definindo o botão Ativado como Desativado.
  • Pode filtrar as exclusões apresentadas clicando no ícone de filtro . Selecione as opções Ativado, Desativado ou Arquivado, conforme necessário.
  • Para editar uma exclusão, clique no ícone do menu e selecione Editar.
  • Para arquivar uma exclusão, clique no ícone de menu e selecione Arquivar.
  • Para anular a anulação da exclusão, clique no ícone de menu e selecione Anular anulação.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.