Disponible para:

Cloud SIEM | Amenazas CSM

Información general

Las supresiones son condiciones específicas para cuando no debe generarse una señal, lo que puede mejorar la precisión y pertinencia de las señales que se generan.

Vías de supresión

Puedes configurar una consulta de supresión dentro de una regla de detección individual o definir una regla de supresión separada para suprimir señales en una o más reglas de detección.

Reglas de detección

Cuando creas o modificas una regla de detección, puedes definir una consulta de supresión para evitar que se genere una señal. Por ejemplo, añade una consulta de regla para determinar cuándo una regla de detección activa una señal de seguridad. También puedes personalizar la consulta de supresión para suprimir señales para un valor de atributo específico.

Editor de reglas de detección que muestra la sección para añadir consultas de supresión

Reglas de supresión

Utiliza las reglas de supresión para establecer condiciones generales de supresión en múltiples reglas de detección, en lugar de configurar condiciones de supresión para cada regla de detección individual. Por ejemplo, puedes configurar una regla de supresión para suprimir cualquier señal que contenga una IP específica.

Configuración de las supresiones

Lista de supresiones

La lista de supresiones proporciona una forma centralizada y organizada de gestionar las supresiones en múltiples reglas de detección.

Página Supresiones que muestra una lista de reglas de supresión

Creación de una regla de supresión

  1. Ve a la página Supresiones.
  2. Haz clic en + New Suppression (+ Nueva supresión).
  3. Introduce un nombre para la consulta de supresión.
  4. Añade una descripción para contextualizar por qué se aplica esta supresión.
  5. También puedes añadir una fecha de caducidad en la que se desactivará esta supresión.
  6. Selecciona las reglas de detección a las que quieres aplicar esta supresión. Puedes seleccionar varias reglas de detección.
  7. En la sección Añadir consulta de supresión, tienes la opción de introducir consultas de supresión para que no se genere una señal cuando se cumplen los valores. Por ejemplo, si el usuario john.doe está activando una señal, pero sus acciones son benignas y ya no quieres señales activadas por este usuario, introduce la consulta de logs: @user.username:john.doe.
    Añadir consulta de supresión con la consulta @user.username:john.doe
    Las consultas de reglas de supresión se basan en atributos de señales.
  8. Además, puedes añadir una consulta de exclusión de logs para excluir logs del análisis. Estas consultas se basan en atributos de logs. Nota: La supresión heredada se basaba en consultas de exclusión de logs, pero ahora se incluye en el paso Añadir consulta de supresión de la regla de supresión.

Referencias adicionales

Más enlaces, artículos y documentación útiles: