Available for:
Cloud SIEM
|
Amenazas CSM
Las supresiones son condiciones específicas para cuando no debe generarse una señal, lo que puede mejorar la precisión y pertinencia de las señales que se generan.
Vías de supresión
Puedes configurar una consulta de supresión dentro de una regla de detección individual o definir una regla de supresión separada para suprimir señales en una o más reglas de detección.
Reglas de detección
Cuando creas o modificas una regla de detección, puedes definir una consulta de supresión para evitar que se genere una señal. Por ejemplo, añade una consulta de regla para determinar cuándo una regla de detección activa una señal de seguridad. También puedes personalizar la consulta de supresión para suprimir señales para un valor de atributo específico.
Reglas de supresión
Utiliza las reglas de supresión para establecer condiciones generales de supresión en múltiples reglas de detección, en lugar de configurar condiciones de supresión para cada regla de detección individual. Por ejemplo, puedes configurar una regla de supresión para suprimir cualquier señal que contenga una IP específica.
Configuración de las supresiones
Lista de supresiones
La lista de supresiones proporciona una forma centralizada y organizada de gestionar las supresiones en múltiples reglas de detección.
Creación de una regla de supresión
- Ve a la página Supresiones.
- Haz clic en + New Suppression (+ Nueva supresión).
- Introduce un nombre para la consulta de supresión.
- Añade una descripción para contextualizar por qué se aplica esta supresión.
- También puedes añadir una fecha de caducidad en la que se desactivará esta supresión.
- Selecciona las reglas de detección a las que quieres aplicar esta supresión. Puedes seleccionar varias reglas de detección.
- En la sección Añadir consulta de supresión, tienes la opción de introducir consultas de supresión para que no se genere una señal cuando se cumplen los valores. Por ejemplo, si el usuario
john.doe
está activando una señal, pero sus acciones son benignas y ya no quieres señales activadas por este usuario, introduce la consulta de logs: @user.username:john.doe
.Las consultas de reglas de supresión se basan en atributos de señales. - Además, puedes añadir una consulta de exclusión de logs para excluir logs del análisis. Estas consultas se basan en atributos de logs. Nota: La supresión heredada se basaba en consultas de exclusión de logs, pero ahora se incluye en el paso Añadir consulta de supresión de la regla de supresión.
Referencias adicionales
Additional helpful documentation, links, and articles: