Regeln mit dem Regeleditor verwalten

Im Regeleditor können Sie vorhandene Regeln bearbeiten und neue Regeln erstellen.

1. Im Feld Suchregeln können Sie nach einer vorhandenen Regel suchen. Sie können auch mithilfe der Bildlaufleiste durch die Regeln scrollen. Klicken Sie im linken Steuerfeld auf eine der Regeln, um sie in der Regelanzeige aufzurufen.

2. Wählen Sie die Regel aus der Liste der Regeln aus. Die Regel wird im Fenster zur Regelbearbeitung angezeigt. Wenn Sie eine Regel auswählen, öffnen Sie das Regelmenü und können eine der folgenden Optionen auswählen:

   • Live-Regel: Regel aktivieren oder deaktivieren
   • Regel duplizieren: Erstellen Sie eine Kopie der Regel. Das ist hilfreich, wenn Sie eine ähnliche Regel erstellen möchten.
   • Regelerkennungen ansehen: Öffnen Sie das Fenster „Regelerkennungen“, um die von dieser Regel erfassten Erkennungen aufzurufen.

3. Im Fenster zum Bearbeiten von Regeln können Sie vorhandene Regeln bearbeiten und neue Regeln erstellen. Das Fenster zum Bearbeiten von Regeln beinhaltet eine Funktion zur automatischen Vervollständigung, mit der Sie die korrekte, für jeden Abschnitt der Regel verfügbare YARA-L-Syntax anzeigen können. Beim Erstellen oder Bearbeiten einer Regel empfiehlt Google Security Operations, die automatischen Empfehlungen durchzugehen, um sicherzustellen, dass die vollständige Regel die richtige Syntax verwendet. Weitere Informationen zur YARA-L-Syntax und Best Practices finden Sie hier.

4. Klicken Sie im Regeleditor auf Neu, um das Fenster mit dem Regeleditor zu öffnen. Er füllt ihn automatisch mit der Standardregelvorlage. Google Security Operations generiert automatisch einen eindeutigen Namen für die Regel. Erstellen Sie die neue Regel in YARA-L. Wenn Sie fertig sind, klicken Sie auf NEUE REGEL SPEICHERN. Google Security Operations prüft die Syntax der Regel. Wenn die Regel gültig ist, wird sie gespeichert und automatisch aktiviert. Wenn die Syntax ungültig ist, wird ein Fehler zurückgegeben. Um die neue Regel zu löschen, klicken Sie auf VERWERFEN.

5. Wenn Sie Informationen zu den aktuellen Erkennungen einer Regel aufrufen möchten, klicken Sie in der Regelliste auf die Regel und dann auf Regelerkennungen ansehen, um die Ansicht „Regelerkennung“ zu öffnen.

   In der Ansicht Regelerkennungen werden die Metadaten der Regel und eine Grafik mit der Anzahl der von der Regel in den letzten Tagen gefundenen Erkennungen angezeigt.

6. Klicken Sie auf Regel bearbeiten, um zum Regeleditor zurückzukehren.

   Ansicht mit mehreren Spalten

   Der Tab „Zeitachse“ ist ebenfalls verfügbar und enthält die von der Regel erkannten Ereignisse. Wie auch auf dem Tab „Zeitachse“ in anderen Ansichten von Google Security Operations können Sie ein Ereignis auswählen und das zugehörige Rohprotokoll oder UDM-Ereignis öffnen.

   Sie können auch festlegen, welche Informationen auf der Registerkarte Zeitleiste angezeigt werden, indem Sie auf das Spaltensymbol klicken, um die Ansichtsoptionen mit mehreren Spalten zu öffnen. In der mehrspaltigen Ansicht können Sie verschiedene Kategorien von Protokollinformationen auswählen, die angezeigt werden sollen, darunter gängige Typen wie Hostname und Nutzer und viele weitere spezifische Kategorien, die von UDM bereitgestellt werden.

7. Klicken Sie auf TEST AUSFÜHREN, um die Regel im Fenster zur Regelbearbeitung auszuführen. Google Security Operations beginnt mit dem Erfassen der Erkennungsvorgänge. So können Sie schnell überprüfen, ob die Regel wie erwartet funktioniert. Die Erkennungsinformationen werden im Fenster Ergebnisse der Testregel angezeigt. Du kannst jederzeit auf TEST ABBRECHEN klicken, um den Vorgang zu stoppen.