Gerenciar regras usando o editor de regras

Compatível com:

O Editor de regras permite que você edite as regras existentes e crie novas.

  1. Use o campo Pesquisar regras para procurar uma regra. Também é possível navegar pelas regras usando a barra de rolagem. Clique em qualquer uma das regras no painel esquerdo para visualizá-la no painel de exibição de regras.

  2. Selecione a regra em que você tem interesse na lista de regras. A regra é exibida na janela de edição de regras. Ao selecionar uma regra, você abre o menu de regras e pode escolher entre as seguintes opções:

    • Live Rule: ativa ou desativa a regra.
    • Duplicar regra: faça uma cópia da regra. Isso é útil se você quiser criar uma regra semelhante.
    • Ver detecções de regras: abra a janela "Detecções de regras" para mostrar as detecções capturadas por essa regra.

  3. Use a janela de edição de regras para editar regras existentes e criar novas. A janela Edição de regras inclui um recurso de preenchimento automático para permitir para visualizar a sintaxe YARA-L correta disponível para cada seção da regra. Sempre que você escrever ou editar uma regra, as Operações de segurança do Google recomendam realizar caminhadas pelas recomendações automáticas para garantir que a regra concluída use o a sintaxe correta. Para atualizar o escopo da regra, selecione-o no Menu Vincular ao escopo. Para mais informações sobre como associar um escopo com uma regra, consulte Impacto do RBAC de dados nas regras. Mais detalhes sobre a sintaxe da YARA-L e as práticas recomendadas podem ser encontrados aqui.

  4. Clique em Novo no Editor de regras para abrir a janela do editor de regras. Ele é preenchido automaticamente com o modelo de regra padrão. O Google Security Operations gera automaticamente um nome exclusivo para a regra. Crie sua nova regra em YARA-L. Para adicionar um escopo à regra, selecione o escopo no menu Vincular ao escopo. Para mais informações sobre como adicionar um escopo às regras, consulte Impacto do RBAC de dados nas regras. Quando terminar, clique em SALVAR NOVA REGRA. As Operações de Segurança do Google verificam da sua regra. Se a regra for válida, ela será salva e ativada automaticamente. Se a sintaxe for inválida, ela retornará um erro. Para excluir a nova regra, clique em DESCARTAR.

  5. Para conferir informações sobre as detecções atuais associadas a uma regra, clique na regra na lista de regras e clique em Ver detecções de regras para abrir a visualização "Detecções de regras".

    A visualização Detecções de regras exibe os metadados anexados à regra e Um gráfico que mostra o número de detecções encontradas pela regra nos últimos dias.

  6. Clique em Editar regra para voltar ao editor de regras.

    Visualização de várias colunas

    A guia "Linha do tempo" também está disponível e lista os eventos detectados pela regra. Assim como na guia "Linha do tempo" em outras visualizações das Operações de segurança do Google, é possível selecionar um evento e abrir o registro bruto ou o evento de UDM associado.

    Você também pode manipular as informações exibidas na guia Linha do tempo clicando no ícone Colunas para abrir as opções de visualização de várias colunas. Com a visualização em várias colunas, é possível selecionar várias categorias de informações de registro para exibir, incluindo tipos comuns, como nome do host e usuário, e muitas outras categorias específicas fornecidas pelo UDM.

  7. Clique em EXECUTAR TESTE para executar a regra mostrada na janela de edição de regras. As Operações de segurança do Google começam a coletar as detecções. Isso oferece uma maneira rápida de verificar se a regra está funcionando conforme o esperado. As informações de detecção são exibidas na janela TEST RULE RESULTS. A qualquer momento, você pode clicar em CANCELAR TESTE para interromper esse processo.

Para blogs da comunidade sobre gerenciamento de regras, consulte: