Gérer les règles à l'aide de l'éditeur de règles

L'éditeur de règles vous permet de modifier des règles existantes et d'en créer.

  1. Recherchez une règle existante à l'aide du champ Search rules (Règles de recherche). Vous pouvez également faire défiler les règles à l'aide de la barre de défilement. Cliquez sur l'une des règles dans le panneau de gauche afin de l'afficher dans le panneau d'affichage des règles.

  2. Sélectionnez la règle qui vous intéresse dans la liste des règles. La règle s'affiche dans la fenêtre de modification des règles. Lorsque vous sélectionnez une règle, vous ouvrez le menu des règles et pouvez choisir l'une des options suivantes:

    • Règle active : activez ou désactivez la règle.
    • Dupliquer la règle : faites une copie de la règle, ce qui peut s'avérer utile si vous souhaitez créer une règle similaire.
    • Afficher les détections de règles : ouvrez la fenêtre "Détection de règles" pour afficher les détections capturées par cette règle.

  3. Utilisez la fenêtre "Modification des règles" pour modifier des règles existantes et en créer de nouvelles. La fenêtre Modification des règles inclut une fonctionnalité de saisie semi-automatique qui vous permet d'afficher la syntaxe YARA-L correcte disponible pour chaque section de la règle. Lorsque vous rédigez ou modifiez une règle, Chronicle vous recommande de parcourir les recommandations automatiques pour vous assurer que votre règle terminée utilise la syntaxe correcte. Pour en savoir plus sur la syntaxe YARA-L et sur les bonnes pratiques, cliquez ici.

  4. Cliquez sur Nouveau dans l'éditeur de règles pour ouvrir la fenêtre correspondante. Le modèle de règle par défaut y est automatiquement renseigné. Chronicle génère automatiquement un nom unique pour la règle. Créez votre nouvelle règle dans YARA-L. Lorsque vous avez terminé, cliquez sur ENREGISTRER LA NOUVELLE RÈGLE. Chronicle vérifie la syntaxe de votre règle. Si la règle est valide, elle est enregistrée et automatiquement activée. Si la syntaxe n'est pas valide, une erreur est renvoyée. Pour supprimer la nouvelle règle, cliquez sur SUPPRIMER.

  5. Pour afficher des informations sur les détections actuelles associées à une règle, cliquez sur la règle dans la liste des règles, puis sur Afficher les détections de règles pour ouvrir la vue des détections de règles.

    La vue Rule Detections (Détection de règles) affiche les métadonnées associées à la règle, ainsi qu'un graphique indiquant le nombre de détections détectées par cette règle au cours des derniers jours.

  6. Cliquez sur Modifier la règle pour revenir à l'éditeur de règles.

    Vue multicolonne

    L'onglet "Chronologie" est également disponible et répertorie les événements détectés par la règle. Comme pour l'onglet "Chronologie" des autres vues Chronicle, vous pouvez sélectionner un événement et ouvrir le journal brut ou l'événement UDM associé.

    Vous pouvez également manipuler les informations affichées dans l'onglet Chronologie en cliquant sur l'icône Colonnes pour ouvrir les options d'affichage à plusieurs colonnes. L'affichage multicolonne vous permet de sélectionner diverses catégories d'informations de journal à afficher, y compris des types courants tels que le nom d'hôte et l'utilisateur, ainsi que de nombreuses catégories plus spécifiques fournies par UDM.

  7. Cliquez sur EXÉCUTER LE TEST pour exécuter la règle affichée dans la fenêtre de modification de la règle. Chronicle commence à collecter les détections. Cela vous permet de vérifier rapidement si la règle fonctionne comme prévu. Les informations de détection s'affichent dans la fenêtre RÉSULTATS DE LA RÈGLE DE TEST. Vous pouvez à tout moment cliquer sur ANNULER LE TEST pour arrêter ce processus.