Gestire le regole con l'editor delle regole

Supportato in:

L'editor delle regole consente di modificare le regole esistenti e crearne di nuove.

  1. Utilizza il campo Regole di ricerca per cercare una regola esistente. Puoi anche scorrere le regole utilizzando la barra di scorrimento. Fai clic su una delle regole nel riquadro a sinistra per visualizzarla nel riquadro di visualizzazione delle regole.

  2. Selezionare la regola che ti interessa dall'Elenco regole. La regola viene visualizzata nella finestra di modifica della regola. Se selezioni una regola, si apre il relativo menu e puoi scegliere tra le seguenti opzioni:

    • Regola dal vivo: attiva o disattiva la regola.
    • Duplica regola: crea una copia della regola. È utile se vuoi creare una regola simile.
    • Visualizza rilevamenti regole: apri la finestra Rilevamenti regole per visualizzare rilevati da questa regola.

  3. Utilizza la finestra di modifica delle regole per modificare le regole esistenti e crearne di nuove. La finestra di modifica delle regole include una funzione di completamento automatico che consente per visualizzare la sintassi YARA-L corretta disponibile per ogni sezione della regola. Ogni volta che compili o modifichi una regola, Google Security Operations consiglia di esaminare i consigli automatici per assicurarti che la regola completata utilizzi la sintassi corretta. Per aggiornare l'ambito della regola, selezionalo dal menu Collega all'ambito. Per ulteriori informazioni sull'associazione di un ambito a una regola, consulta Impatto del RBAC dei dati sulle regole. Maggiori dettagli sulla sintassi YARA-L e le best practice sono disponibili qui.

  4. Fai clic su Nuovo nell'Editor regole per aprire la finestra dell'Editor regole. it lo compila automaticamente con il modello di regola predefinito. Google Security Operations genera automaticamente un nome univoco per la regola. Crea la nuova regola in YARA-L. Per aggiungere un ambito alla regola, seleziona il dall'ambito del menu Associa all'ambito. Per saperne di più sull'aggiunta di un ambito alle regole, consulta l'articolo sull'impatto dei dati RBAC sulle regole. Al termine, fai clic su SALVA NUOVA REGOLA. Google Security Operations controlla la sintassi della regola. Se la regola è valida, viene salvata e attivata automaticamente. Se la sintassi non è valida, viene restituito un errore. Per eliminare la nuova regola, fai clic su ANNULLA.

  5. Per visualizzare le informazioni sui rilevamenti correnti associati a una regola, fai clic sulla regola nell'elenco delle regole e poi su Visualizza rilevamenti regola per aprire la visualizzazione Rilevamenti regola.

    La vista Rilevamento regole mostra i metadati associati alla regola e un grafico che indica il numero di rilevamenti trovati dalla regola negli ultimi giorni.

  6. Fai clic su Modifica regola per tornare all'editor delle regole.

    Visualizzazione a più colonne

    È disponibile anche la scheda Cronologia che elenca gli eventi rilevati dalla regola. Come per la scheda Timeline in altre visualizzazioni di Google Security Operations, puoi selezionare un evento e aprire il log non elaborato o l'evento UDM associato.

    Puoi anche modificare le informazioni visualizzate nella scheda Spostamenti facendo clic sull'icona Colonne per aprire le opzioni di visualizzazione con più colonne. La visualizzazione a più colonne ti consente di selezionare una varietà di categorie di informazioni di log da visualizzare, inclusi tipi comuni come nome host e utente e molte categorie più specifiche fornite da UDM.

  7. Fai clic su ESEGUI TEST per eseguire la regola visualizzata nella finestra di modifica della regola. Google Security Operations inizia a raccogliere i rilevamenti. In questo modo puoi verificare rapidamente se la regola funziona come previsto. Le informazioni sul rilevamento vengono visualizzate nella finestra RISULTATI REGOLA TEST. Puoi fare clic in qualsiasi momento su ANNULLA TEST per interrompere la procedura.

Per i blog della scheda Community sulla gestione delle regole, consulta: