Regeln mit dem Regeleditor verwalten

Mit dem Regeleditor können Sie vorhandene Regeln bearbeiten und neue Regeln erstellen.

  1. Im Feld Regeln suchen können Sie nach einer vorhandenen Regel suchen. Sie können auch mithilfe der Bildlaufleiste durch die Regeln scrollen. Klicken Sie im linken Steuerfeld auf eine der Regeln, um sie in der entsprechenden Anzeige aufzurufen.

  2. Wählen Sie aus der Liste der Regeln die gewünschte Regel aus. Die Regel wird im Bearbeitungsfenster für Regeln angezeigt. Wenn Sie eine Regel auswählen, wird das Regelmenü geöffnet. Folgende Optionen stehen zur Auswahl:

    • Live-Regel: Aktivieren oder deaktivieren Sie die Regel.
    • Regel duplizieren: Erstellen Sie eine Kopie der Regel. ist hilfreich, wenn Sie eine ähnliche Regel.
    • Regelerkennung ansehen: Öffnen Sie das Fenster „Regelerkennungen“, um die von dieser Regel erfasste Erkennungen.
  3. Im Fenster zum Bearbeiten von Regeln können Sie vorhandene Regeln bearbeiten und neue Regeln erstellen. Das Fenster "Regelbearbeitung" enthält eine Funktion zur automatischen Vervollständigung, mit der Sie um die korrekte YARA-L-Syntax anzuzeigen, die für jeden Abschnitt der Regel verfügbar ist. Beim Erstellen oder Bearbeiten einer Regel empfiehlt Google Security Operations, automatisch Empfehlungen durch, damit in der erstellten Regel und korrekte Syntax enthält. Wählen Sie zum Aktualisieren des Regelbereichs den Bereich aus der Menü An Bereich binden: Weitere Informationen zum Zuweisen eines Bereichs mit einer Regel, siehe Auswirkungen von Daten-RBAC auf Regeln. Weitere Informationen zur YARA-L-Syntax und Best Practices finden Sie hier.

  4. Klicken Sie im Regeleditor auf Neu, um den Regeleditor zu öffnen. Es automatisch mit der Standardregelvorlage gefüllt. Google Security Operations generiert automatisch einen eindeutigen Namen für der Regel. Erstellen Sie die neue Regel in YARA-L. Um der Regel einen Geltungsbereich hinzuzufügen, wählen Sie das Bereich aus dem Menü An Bereich binden aus. Weitere Informationen zum Hinzufügen eines Bereichs Informationen dazu finden Sie unter Auswirkungen von Daten-RBAC auf Regeln. Klicken Sie abschließend auf NEUE REGEL SPEICHERN. Google Security Operations prüft die Syntax Ihrer Regel. Wenn die Regel gültig ist, wird sie gespeichert und automatisch aktiviert. Wenn die Syntax ungültig ist, wird ein Fehler zurückgegeben. Klicken Sie auf VERWERFEN, um die neue Regel zu löschen.

  5. Um Informationen zu den aktuellen Erkennungen aufzurufen, die einer Regel zugeordnet sind, klicken Sie auf die Regel in der Regelliste und klicken Sie auf Regelerkennungen ansehen, um die Regel zu öffnen. Erkennungsansicht.

    In der Ansicht Regelerkennungen werden die mit der Regel verknüpften Metadaten und Ein Diagramm mit der Anzahl der Erkennungen, die mit der Regel in den letzten Tagen erkannt wurden.

  6. Klicken Sie auf Regel bearbeiten, um zum Regeleditor zurückzukehren.

    Ansicht mit mehreren Spalten

    Der Tab „Zeitachse“ ist ebenfalls verfügbar. Dort werden die von der Regel erkannten Ereignisse aufgeführt. Wie auf dem Tab „Zeitachse“ in anderen Google Security Operations-Ansichten können Sie ein Ereignis auswählen und das zugehörige Rohprotokoll oder UDM-Ereignis öffnen.

    Sie können auch beeinflussen, welche Informationen auf dem Tab „Zeitachse“ angezeigt werden, indem Sie auf das Spaltensymbol klicken, um die Optionen für die mehrspaltige Ansicht zu öffnen. In der mehrspaltigen Ansicht können Sie eine Vielzahl von Kategorien von Loginformationen auswählen, die angezeigt werden sollen, einschließlich gängiger Typen wie Hostname und Nutzer und viele spezifischere Kategorien, die von UDM bereitgestellt werden.

  7. Klicken Sie auf TEST AUSFÜHREN, um die Regel auszuführen, die im Bearbeitungsfenster für Regeln angezeigt wird. Google Security Operations beginnt mit der Erfassung von Erkennungsmechanismen. So können Sie schnell prüfen, ob die Regel wie erwartet funktioniert. Die Erkennungsinformationen werden im Fenster TEST REGEL ERGEBNISSE angezeigt. Du kannst den Vorgang jederzeit beenden, indem du auf TEST ABBRECHEN klickst.