Gerenciar regras usando o editor de regras

Compatível com:

Com o Rules Editor, você pode editar regras existentes e criar novas.

  1. Use o campo Regras de pesquisa para procurar uma regra. Também é possível rolar pelas regras usando a barra de rolagem. Clique em qualquer uma das regras no painel à esquerda para conferir no painel de exibição.

  2. Selecione a regra de seu interesse na lista de regras. A regra é exibida na janela de edição. Ao selecionar uma regra, você abre o menu de regras e pode escolher entre as seguintes opções:

    • Regra ativa: ative ou desative a regra.
    • Duplicar regra: faça uma cópia da regra. Isso é útil se você quiser criar uma regra semelhante.
    • Visualizar detectações de regras: abra a janela "Detectações de regras" para mostrar as detectações capturadas por essa regra.

  3. Use a janela de edição de regras para editar regras existentes e criar novas. A janela de edição de regras inclui um recurso de preenchimento automático para que você possa conferir a sintaxe YARA-L correta disponível para cada seção da regra. Sempre que você estiver criando ou editando uma regra, o Google Security Operations recomenda seguir as recomendações automáticas para garantir que a regra concluída use a sintaxe correta. Para atualizar o escopo da regra, selecione o escopo no menu Vincular ao escopo. Para mais informações sobre como associar um escopo a uma regra, consulte Impacto do RBAC de dados nas regras. Confira aqui mais detalhes sobre a sintaxe e as práticas recomendadas da YARA-L.

  4. Clique em Novo no editor de regras para abrir a janela do editor de regras. Ele é preenchido automaticamente com o modelo de regra padrão. O Google Security Operations gera automaticamente um nome exclusivo para a regra. Crie sua nova regra em YARA-L. Para adicionar um escopo à regra, selecione o escopo no menu Vincular ao escopo. Para mais informações sobre como adicionar um escopo às regras, consulte Impacto do RBAC de dados nas regras. Quando terminar, clique em SALVAR NOVA REGRA. O Google Security Operations verifica a sintaxe da sua regra. Se a regra for válida, ela será salva e ativada automaticamente. Se a sintaxe for inválida, um erro será retornado. Para excluir a nova regra, clique em DESCARTAR.

  5. Para conferir informações sobre as detecções atuais associadas a uma regra, clique na regra na lista de regras e clique em Ver detecções de regras para abrir a visualização "Detecções de regras".

    A visualização Rule Detections mostra os metadados anexados à regra e um gráfico com o número de detecções encontradas pela regra nos últimos dias.

  6. Clique em Editar regra para voltar ao editor de regras.

    Visualização de várias colunas

    A guia "Linha do tempo" também está disponível e lista os eventos detectados pela regra. Assim como na guia "Timeline" em outras visualizações do Google Security Operations, é possível selecionar um evento e abrir o registro bruto ou o evento do UDM associado.

    Também é possível manipular as informações exibidas na guia "Linha do tempo" clicando no ícone de colunas para abrir as opções de visualização de várias colunas. A visualização de várias colunas permite selecionar várias categorias de informações de registro para exibição, incluindo tipos comuns, como nome de host e usuário, e muitas outras categorias específicas fornecidas pelo UDM.

  7. Clique em RUN TEST para executar a regra exibida na janela de edição. As Operações de segurança do Google começam a coletar as detecções. Isso oferece uma maneira rápida de verificar se a regra está funcionando conforme o esperado. As informações de detecção são exibidas na janela TEST RULE RESULTS. Você pode clicar em CANCELAR TESTE a qualquer momento para interromper o processo.

Para saber mais sobre as regras de gerenciamento, consulte: