配置规则排除项

在“排除对象”标签页中创建排除对象

您可能会发现，Google Cloud 威胁情报 (GCTI) 团队提供的精选检测生成的检测过多。您可以为精选检测规则配置排除对象，以帮助减少此类检测的数量。规则排除项仅适用于 Google Security Operations 管理的检测。

如需为精选检测规则配置排除对象，请完成以下步骤：

1. 在导航栏中，选择规则和检测。点击排除对象标签页。

2. 点击创建排除对象以创建新的排除对象。系统随即会打开创建排除对象窗口。

   

   图 1：创建排除项

3. 指定一个唯一的排除对象名称。此名称将显示在“排除对象”标签页的排除对象列表中。

4. 选择要将排除对象应用到的规则或规则集。您可以滚动浏览规则列表，也可以使用搜索字段搜索特定规则，然后点击搜索。 只有在规则集中的规则触发了检测时，系统才会显示相应规则。

5. 选择 UDM 字段、指定运算符并输入值，以输入要排除的 UDM 值。您必须为每个值按 Enter 键，否则在点击 + 条件语句时，您会收到错误消息。例如，您可能希望在 principal.hostname = google.com 时配置排除项。

   您可以为条件输入其他值。每次您按 Enter 键时，系统都会记录该值，然后您可以输入另一个值。一个条件的多个值会使用逻辑 OR 联接，这意味着只要有任何一个值匹配，排除对象就会匹配。

   您可以点击 + 条件语句，为此排除对象添加其他条件。如果您尝试指定无效的条件，则会收到错误消息。多个条件使用逻辑“与”运算符连接，这意味着只有当所有条件都匹配时，排除对象才会匹配。

6. （可选）点击运行测试，确定启用此功能后会排除多少检测结果，计算方法是评估过去两周内记录的检测结果。

7. （可选）如果您想暂时停用排除功能，请取消选中创建排除项后即启用（此选项默认处于启用状态）。

8. 准备就绪后，点击添加规则排除对象。

通过 UDM 查看器创建排除对象

您还可以在 UDM 查看器中创建排除对象，具体步骤如下：

1. 在导航栏中，选择规则和检测。点击精选检测标签页。

2. 点击信息中心，然后选择包含检测结果的规则。

3. 在时间轴中前往相应事件，然后点击“原始日志和 UDM 事件查看器”图标。

4. 在 UDM 事件视图中，选择要排除的 UDM 字段，选择视图选项，然后选择排除。系统随即会打开创建排除对象窗口。该窗口会预先填充规则、UDM 字段和从您选择的 UDM 中提取的值。

5. 为新排除对象指定一个具有唯一性的名称。

6. （可选）点击运行测试，确定启用此功能后会排除多少网页，系统会通过评估过去两周内记录的检测结果来计算排除网页的数量。

7. 准备就绪后，点击添加规则排除对象。

管理排除对象

创建一个或多个排除对象后，您可以在排除对象标签页中使用以下选项（在导航栏中，选择规则和检测）。点击排除对象标签页。

• 排除对象列在排除对象表中。您可以将已启用切换开关切换到已停用，以停用所列的任何排除对象。
• 您可以点击过滤图标 filter_alt，过滤要显示的排除对象。根据需要选择已启用、已停用或已归档选项。
• 如需修改排除对象，请点击菜单图标 more_vert，然后选择修改。
• 如需归档排除对象，请点击菜单图标 more_vert，然后选择归档。
• 如需解压缩排除对象，请点击菜单图标 more_vert，然后选择解压缩。