Gestire le regole con l'editor delle regole

L'editor delle regole consente di modificare le regole esistenti e di crearne di nuove.

1. Utilizza il campo Regole di ricerca per cercare una regola esistente. Puoi anche scorrere le regole utilizzando la barra di scorrimento. Fai clic su una delle regole nel riquadro a sinistra per visualizzarla nel riquadro di visualizzazione delle regole.

2. Seleziona la regola che ti interessa dall'elenco delle regole. La regola viene visualizzata nella finestra di modifica della regola. Selezionando una regola, apri il relativo menu e puoi selezionare una delle seguenti opzioni:

   • Regola attiva: attiva o disattiva la regola.
   • Duplica regola: crea una copia della regola; utile se vuoi creare una regola simile.
   • Visualizza rilevamenti regole: apri la finestra Rilevamenti regole per visualizzare i rilevamenti acquisiti da questa regola.

3. Utilizza la finestra Modifica regole per modificare le regole esistenti e crearne di nuove. La finestra Modifica regola include una funzionalità di completamento automatico che consente di visualizzare la sintassi YARA-L corretta disponibile per ogni sezione della regola. Durante la scrittura o la modifica di una regola, Google Security Operations consiglia di seguire i consigli automatici per garantire che la regola completata utilizzi la sintassi corretta. Ulteriori dettagli sulla sintassi e sulle best practice YARA-L sono disponibili qui.

4. Fai clic su Nuovo nell'Editor regole per aprire la relativa finestra. Lo inserisce automaticamente con il modello di regola predefinito. Google Security Operations genera automaticamente un nome univoco per la regola. Crea la nuova regola in YARA-L. Al termine, fai clic su SALVA NUOVA REGOLA. Google Security Operations controlla la sintassi della regola. Se la regola è valida, viene salvata e attivata automaticamente. Se la sintassi non è valida, restituisce un errore. Per eliminare la nuova regola, fai clic su ELIMINA.

5. Per visualizzare le informazioni sui rilevamenti correnti associati a una regola, fai clic sulla regola nell'elenco delle regole, quindi su Visualizza rilevamenti regole per aprire la visualizzazione Rilevamenti regole.

   La visualizzazione Rilevamenti regole mostra i metadati associati alla regola e un grafico che mostra il numero di rilevamenti rilevati dalla regola nei giorni recenti.

6. Fai clic su Modifica regola per tornare all'editor delle regole.

   Visualizzazione a più colonne

   È disponibile anche la scheda Cronologia, che elenca gli eventi rilevati dalla regola. Come per la scheda Timeline in altre viste delle operazioni di sicurezza di Google, puoi selezionare un evento e aprire il log non elaborato o l'evento UDM associato.

   Puoi anche modificare le informazioni visualizzate nella scheda Timeline facendo clic sull'icona Colonne per aprire le opzioni della visualizzazione a più colonne. La visualizzazione a più colonne consente di selezionare una serie di categorie di informazioni di log da visualizzare, inclusi tipi comuni come nome host e utente e molte categorie più specifiche fornite da UDM.

7. Fai clic su ESEGUI TEST per eseguire la regola visualizzata nella finestra di modifica della regola. Google Security Operations inizia a raccogliere i rilevamenti. In questo modo è possibile verificare rapidamente se la regola funziona come previsto. Le informazioni sul rilevamento vengono visualizzate nella finestra RISULTATI DELLA REGOLA DI TEST. Puoi fare clic su ANNULLA TEST in qualsiasi momento per interrompere la procedura.