設定規則排除條件

在「排除條件」分頁中建立排除條件

您可能會發現， Google Cloud Threat Intelligence (GCTI) 團隊提供的精選偵測項目產生太多偵測項目。您可以為精選偵測規則設定排除條件，藉此減少這些偵測的數量。排除規則僅適用於 Google 安全作業團隊精選的偵測項目。

如要為精選偵測規則設定排除條件，請完成下列步驟：

1. 在導覽列中，選取「規則與偵測」。按一下「排除條件」分頁標籤。

2. 按一下「建立排除條件」，即可建立新的排除條件。系統會隨即開啟「建立排除條件」視窗。

   

   圖 1：建立排除條件

3. 指定不重複的排除項目名稱。這個名稱會顯示在「排除條件」分頁的排除清單中。

4. 選取要套用排除條件的規則或規則集。您可以捲動規則清單，也可以使用搜尋欄搜尋特定規則，然後按一下「搜尋」。只有在規則觸發偵測時，系統才會顯示規則集。

5. 選取「UDM 欄位」、指定運算子並輸入值，即可輸入要排除的 UDM 值。您必須為每個值按下 Enter 鍵，否則點選「+ 條件式陳述式」時，系統會顯示錯誤訊息。舉例來說，您可能會在 principal.hostname = google.com 時設定排除條件。

   您可以為條件輸入其他值。每次按下 Enter 鍵，系統就會記錄值，您可以輸入其他值。一個條件的多個值會使用邏輯 OR 合併，也就是說，只要任何一個值符合條件，系統就會將該排除條件視為相符。

   如要為這個排除條件新增其他條件，請按一下「+ 條件語句」。如果您嘗試指定無效的條件，系統會顯示錯誤訊息。系統會使用邏輯 AND 連結多個條件，也就是說，只有在所有條件都符合時，系統才會將排除條件視為相符。

6. (選用) 按一下「執行測試」，即可判斷啟用排除條件後會產生多少排除條件，系統會根據過去兩週內記錄的偵測結果評估排除條件。

7. (選用) 如果您想暫時停用排除條件 (這個選項預設為啟用)，請取消勾選「建立時啟用排除條件」。

8. 準備好後，按一下「新增排除規則」。

透過 UDM 檢視器建立排除條件

您也可以在 UDM 檢視器中建立排除條件，方法如下：

1. 在導覽列中，選取「規則與偵測」。按一下「精選偵測項目」分頁標籤。

2. 按一下「資訊主頁」，然後選取有偵測結果的規則。

3. 在時間軸中瀏覽至事件，然後按一下「原始記錄和 UDM 事件檢視器」圖示。

4. 在 UDM 事件檢視畫面中，選取要排除的 UDM 欄位，然後依序選取「View Options」和「Exclude」。「Create Exclusion」視窗隨即開啟。視窗會預先填入從 UDM 選項中擷取的規則、UDM 欄位和值。

5. 為新排除條件輸入不重複的名稱。

6. (選用) 按一下「執行測試」，即可判斷啟用排除條件後會產生多少排除條件，系統會根據過去兩週內記錄的偵測結果評估排除條件。

7. 準備好後，按一下「新增排除規則」。

管理排除條件

建立一或多個排除項目後，您可以在「排除項目」分頁中使用下列選項 (在導覽列中選取「規則與偵測」)。按一下「排除條件」分頁標籤：

• 排除條件會列在排除條件表格中。如要停用任何排除條件，請將「啟用」切換鈕設為「停用」。
• 按一下篩選器圖示 filter_alt，即可篩選要顯示的排除條件。視需要選取「已啟用」、「已停用」或「已封存」選項。
• 如要編輯排除條件，請按一下選單圖示 more_vert，然後選取「編輯」。
• 如要封存排除條件，請按一下選單圖示 more_vert，然後選取「封存」。
• 如要取消封存排除條件，請按一下選單圖示 more_vert，然後選取「取消封存」。

還有其他問題嗎？向社群成員和 Google SecOps 專家尋求解答。