Cómo administrar reglas con el editor de reglas

El editor de reglas te permite modificar las reglas existentes y crear otras nuevas.

  1. Usa el campo Buscar reglas para buscar una regla existente. También puedes desplazarte por las reglas con la barra de desplazamiento. Haz clic en cualquiera de las reglas del panel izquierdo para verlas en el panel de visualización.

  2. Selecciona la regla que te interesa de la lista de reglas. La regla se mostrará en la ventana de edición de la regla. Si seleccionas una regla, abres el menú de reglas y puedes seleccionar una de las siguientes opciones:

    • Regla activa: habilita o inhabilita la regla.
    • Duplicar regla: hacer una copia de la regla útil si quieres hacer una regla similar.
    • View Rule Detections: Abre la ventana Rule Detections para ver los detecciones que captura esta regla.

  3. Utiliza la ventana Edición de reglas para modificar las reglas existentes y crear reglas nuevas. La ventana de edición de reglas incluye una función de finalización automática que permite para ver la sintaxis de YARA-L correcta disponible para cada sección de la regla. Cuando redacte o edite una regla, Google Security Operations recomienda desplazarse por las recomendaciones automáticas para asegurarse de que su regla completa use los la sintaxis correcta. Para actualizar el alcance de la regla, selecciona el permiso Menú Vincular con alcance. Para obtener más información sobre cómo asociar un permiso con una regla, consulta Impacto del RBAC de datos en las reglas. Aquí encontrarás más detalles sobre la sintaxis y las prácticas recomendadas de YARA-L.

  4. Haz clic en Nuevo en el Editor de reglas para abrir la ventana correspondiente. Integra lo completará automáticamente con la plantilla de reglas predeterminada. Google Security Operations genera automáticamente un nombre único para la regla. Crea tu nueva regla en YARA-L. Para agregar un permiso a la regla, selecciona permiso desde el menú Vincular con alcance. Para obtener más información sobre cómo agregar un permiso sobre las reglas, consulta Impacto del RBAC de datos en las reglas. Cuando haya terminado, haga clic en GUARDAR NUEVA REGLA. Google Security Operations verifica la sintaxis de la regla. Si la regla es válida, se guarda y se habilita automáticamente. Si la sintaxis no es válida, se muestra un error. Para borrar la regla nueva, haz clic en DESCARTAR.

  5. Para ver información sobre las detecciones actuales asociadas con una regla, haga clic en la regla en la lista y haz clic en Ver detecciones de reglas para abrirla Vista Detecciones

    La vista Detecciones de reglas muestra los metadatos adjuntos a la regla y un gráfico que muestra la cantidad de detecciones que encontró la regla en los últimos días.

  6. Haz clic en Editar regla para volver al editor de reglas.

    Vista de varias columnas

    La pestaña Rutas también está disponible, en la que se enumeran los eventos que detecta la regla. Al igual que en la pestaña Cronograma de otras vistas de Google Security Operations, puedes seleccionar un evento y abrir el registro sin procesar asociado o el evento de UDM.

    También puedes manipular la información que se muestra en la pestaña Cronograma haciendo clic en el ícono Columnas para abrir las opciones de la vista de varias columnas. La vista de varias columnas te permite seleccionar varias categorías de información de registro para mostrar, incluidos tipos comunes, como nombre de host y usuario, y muchas categorías más específicas proporcionadas por UDM.

  7. Haz clic en EJECUTAR PRUEBA para ejecutar la regla que aparece en la ventana de edición de reglas. Google Security Operations comienza a recopilar detecciones. Esto te proporciona una forma rápida de comprobar si la regla está funcionando según lo esperado. La información de detección se muestra en la ventana TEST RULE RESULTS. Puedes hacer clic en CANCELAR PRUEBA en cualquier momento para detener este proceso.