Cómo administrar reglas con el Editor de reglas

El editor de reglas te permite modificar las reglas existentes y crear otras nuevas.

Editor de reglas de Chronicle Editor de reglas

  1. Usa el campo Buscar reglas para buscar una regla existente. También puedes desplazarte por las reglas con la barra de desplazamiento. Haz clic en cualquiera de las reglas del panel izquierdo para verla en el panel de visualización de reglas.

  2. Selecciona la regla que te interesa en la lista de reglas. La regla se muestra en la ventana de edición de reglas. Si seleccionas una regla, abres el menú de reglas y puedes elegir una de las siguientes opciones:

    • Regla en vivo: Habilita o inhabilita la regla.
    • Duplicar regla: Haz una copia de la regla; es útil si deseas crear una regla similar.
    • Ver detecciones de reglas: Abre la ventana Detecciones de reglas para mostrar las detecciones que capturó esta regla.

  3. Usa la ventana Edición de reglas para editar las reglas existentes y crear otras nuevas. La ventana de edición de reglas incluye una función de finalización automática que te permite ver la sintaxis YARA-L correcta disponible para cada sección de la regla. Cada vez que redactes o edites una regla, Chronicle recomienda seguir las recomendaciones automáticas para asegurarte de que la regla completada utilice la sintaxis correcta. Puedes encontrar más detalles sobre la sintaxis de YARA-L y las prácticas recomendadas aquí.

  4. Haz clic en Nuevo en el editor de reglas para abrir la ventana del editor de reglas. Se completa automáticamente con la plantilla de reglas predeterminada, como se muestra en la siguiente imagen. Chronicle genera automáticamente un nombre único para la regla. Crea tu nueva regla en YARA-L. Cuando termines, haz clic en GUARDAR REGLA NUEVA. Chronicle verifica la sintaxis de tu regla. Si la regla es válida, se guarda y se habilita automáticamente. Si la sintaxis no es válida, se muestra un error. Para borrar la regla nueva, haz clic en DESCARTAR.

    Nueva plantilla de regla Nueva plantilla de reglas

  5. Para ver información sobre las detecciones actuales asociadas con una regla, haz clic en la regla en la lista de reglas y, luego, en Ver detecciones de reglas para abrir la vista Detección de reglas.

    En la vista Rule Detections, se muestran los metadatos adjuntos a la regla y un gráfico que muestra la cantidad de detecciones que encontró la regla en los últimos días.

  6. Haz clic en Editar regla para volver al editor de reglas.

    Detecciones de reglas Detecciones de reglas

    Vista de varias columnas

    También está disponible la pestaña Cronograma, en la que se enumeran los eventos que detectó la regla. Al igual que con la pestaña Cronograma en otras vistas de Chronicle, puedes seleccionar un evento y abrir el registro sin procesar o el evento de UDM asociados.

    También puedes manipular la información que se muestra en la pestaña Cronograma haciendo clic en el ícono Columnas para abrir las opciones de vista de varias columnas. La vista de varias columnas te permite seleccionar una variedad de categorías de información de registro para mostrar, incluidos los tipos comunes, como el nombre de host y el usuario, y muchas categorías más específicas proporcionadas por el UDM.

    vista de varias columnas

    Vista de varias columnas

  7. Haz clic en EJECUTAR PRUEBA para ejecutar la regla que se muestra en la ventana de edición de reglas. Chronicle comenzará a recopilar detecciones. Esto te brinda una forma rápida de verificar si la regla funciona como se espera. La información de detección se muestra en la ventana RESULTADOS DE LA REGLA DE PRUEBA. En cualquier momento, puedes hacer clic en CANCELAR PRUEBA para detener este proceso.

    vista de varias columnas Resultados de las reglas de prueba