設定規則排除條件

在「排除條件」分頁中建立排除條件

您可能會發現 Google Cloud 威脅情報 (GCTI) 團隊 提供的精選偵測項目產生過多偵測結果。您可以為精選偵測規則設定排除條件，藉此減少這類偵測的數量。規則排除項目僅適用於 Google Security Operations 策劃的偵測項目。

如要為精選偵測規則設定排除條件，請完成下列步驟：

1. 在導覽列中，選取「規則與偵測」。按一下「排除條件」分頁標籤。

2. 按一下「建立排除條件」，即可建立新的排除條件。「建立排除條件」視窗隨即開啟。

   

   圖 1：建立排除條件

3. 指定不重複的排除項目名稱。這個名稱會顯示在「排除條件」分頁的排除清單中。

4. 選取要套用排除規則的規則或規則集。您可以捲動瀏覽規則清單，或使用搜尋欄搜尋特定規則，然後按一下「搜尋」。 只有在觸發偵測時，規則集中的規則才會顯示。

5. 選取「UDM 欄位」、指定運算子並輸入值，即可輸入要排除的 UDM 值。您必須為每個值按下 Enter 鍵，否則點選「+ Conditional Statement」(+ 條件陳述式) 時會收到錯誤訊息。舉例來說，您可能想在 principal.hostname = google.com 時設定排除條件。

   你可以為條件輸入其他值。每次按下 Enter 鍵，系統就會記錄該值，並允許您輸入其他值。一個條件的多個值會使用邏輯 OR 合併，也就是說，只要符合任何值，就會視為排除條件相符。

   如要為這項排除條件新增其他條件，請按一下「+ 條件陳述式」。如果您嘗試指定無效條件，系統會顯示錯誤訊息。多個條件會以邏輯 AND 連結，也就是說，只有在所有條件都相符時，排除條件才會相符。

6. (選用) 按一下「執行測試」，系統會評估過去兩週記錄到的偵測結果，計算出啟用排除條件後會排除多少項目。

7. (選用) 如要暫時停用排除條件 (預設啟用)，請取消勾選「排除條件建立後即啟用」。

8. 準備就緒後，按一下「新增規則排除條件」。

從 UDM 檢視器建立排除條件

您也可以在 UDM 檢視器中建立排除條件，方法如下：

1. 在導覽列中，選取「規則與偵測」。按一下「精選偵測結果」分頁標籤。

2. 按一下「資訊主頁」，然後選取有偵測結果的規則。

3. 前往「時間軸」中的事件，然後按一下「原始記錄」和「UDM 事件檢視器」圖示。

4. 在 UDM 事件檢視畫面中，選取要排除的 UDM 欄位，然後依序選取「檢視選項」和「排除」。「建立排除條件」視窗隨即開啟。視窗會預先填入從 UDM 選項擷取的規則、UDM 欄位和值。

5. 為新的排除條件指定專屬名稱。

6. (選用) 按一下「執行測試」，系統會評估過去兩週記錄到的偵測結果，計算出啟用排除條件後會排除多少項目。

7. 準備就緒後，按一下「新增規則排除條件」。

管理排除條件

建立一或多項排除條件後，您可以在「排除條件」分頁中執行下列操作 (在導覽列中選取「規則與偵測」。按一下「排除條件」分頁標籤：

• 排除條件會列在排除條件表格中。如要停用清單中的任何排除條件，請將「已啟用」切換鈕設為「已停用」。
• 按一下篩選器圖示 filter_alt，即可篩選要顯示的排除條件。視需要選取「已啟用」、「已停用」或「已封存」選項。
• 如要編輯排除條件，請按一下選單圖示 more_vert，然後選取「編輯」。
• 如要封存排除條件，請按一下選單圖示 more_vert，然後選取「封存」。
• 如要取消封存排除條件，請按一下選單圖示 more_vert，然後選取「取消封存」。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。