配置规则排除项

支持的平台:

在“排除对象”标签页中创建排除对象

您可能会发现, Google Cloud 威胁情报 (GCTI) 团队提供的精选检测生成的检测过多。您可以为精选检测规则配置排除对象,以帮助减少此类检测的数量。规则排除项仅适用于 Google Security Operations 管理的检测。

如需为精选检测规则配置排除对象,请完成以下步骤:

  1. 在导航栏中,选择规则和检测。点击排除对象标签页。

  2. 点击创建排除项以创建新的排除项。系统随即会打开创建排除对象窗口。

    创建排除项

    图 1:创建排除项

  3. 指定一个唯一的排除对象名称。此名称将显示在“排除对象”标签页的排除对象列表中。

  4. 选择要将排除对象应用到的规则或规则集。您可以滚动浏览规则列表,也可以使用搜索字段搜索特定规则,然后点击搜索。 只有在规则集中的规则触发了检测时,系统才会显示这些规则。

  5. 选择 UDM 字段、指定运算符并输入值,以输入要排除的 UDM 值。您必须为每个值按 Enter 键,否则在点击 + 条件语句时,您会收到错误消息。例如,您可能希望在 principal.hostname = google.com 时配置排除项。

    您可以为条件输入其他值。每次您按 Enter 键时,系统都会记录该值,然后您可以输入另一个值。一个条件的多个值会使用逻辑 OR 联接,这意味着只要有任何一个值匹配,排除对象就会匹配。

    您可以点击 + 条件语句,为此排除对象添加其他条件。如果您尝试指定无效的条件,则会收到错误消息。多个条件使用逻辑“与”运算符联接,这意味着只有当所有条件都匹配时,排除对象才会匹配。

  6. (可选)点击运行测试,确定启用此功能后会排除多少网页,系统会通过评估过去两周内记录的检测结果来计算排除网页的数量。

  7. (可选)如果您想暂时停用排除功能,请取消选中创建排除项后即启用(此选项默认处于启用状态)。

  8. 准备就绪后,点击添加规则排除对象

通过 UDM 查看器创建排除对象

您还可以在 UDM 查看器中创建排除对象,具体步骤如下:

  1. 在导航栏中,选择规则和检测。点击精选检测标签页。

  2. 点击信息中心,然后选择包含检测结果的规则。

  3. 时间轴中前往相应事件,然后点击“原始日志和 UDM 事件查看器”图标。

  4. 在 UDM 事件视图中,选择要排除的 UDM 字段,选择视图选项,然后选择排除。系统随即会打开创建排除对象窗口。该窗口会预先填充规则、UDM 字段和从您选择的 UDM 中提取的值。

  5. 为新排除对象指定一个具有唯一性的名称。

  6. (可选)点击运行测试,确定启用此功能后会排除多少网页,系统会通过评估过去两周内记录的检测结果来计算排除网页的数量。

  7. 准备就绪后,点击添加规则排除对象

管理排除对象

创建一个或多个排除对象后,您可以在排除对象标签页中使用以下选项(在导航栏中,选择规则和检测)。点击排除对象标签页。

  • 排除对象列在排除对象表中。您可以将已启用切换开关切换到已停用,以停用所列的任何排除对象。
  • 您可以点击过滤图标 来过滤要显示的排除对象。根据需要选择已启用已停用已归档选项。
  • 如需修改排除对象,请点击菜单图标 ,然后选择修改
  • 如需归档排除对象,请点击菜单图标 ,然后选择归档
  • 如需解压缩排除对象,请点击菜单图标 ,然后选择解压缩

需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。