Regeln mit dem Regeleditor verwalten

Im Regeleditor können Sie vorhandene Regeln bearbeiten und neue Regeln erstellen.

Regeleditor

1. Verwenden Sie das Feld Suchregeln, um nach einer vorhandenen Regel zu suchen. Sie können auch mithilfe der Bildlaufleiste durch die Regeln scrollen. Klicken Sie im linken Steuerfeld auf eine Regel, um sie in der Regelanzeige aufzurufen.

2. Wählen Sie die Regel aus der Liste der Regeln aus. Die Regel wird im Fenster zur Regelbearbeitung angezeigt. Wenn Sie eine Regel auswählen, wird das Regelmenü geöffnet und Sie können eine der folgenden Optionen auswählen:

   • Live-Regel: Regel aktivieren oder deaktivieren
   • Regel duplizieren: Erstellen Sie eine Kopie der Regel. Dies ist hilfreich, wenn Sie eine ähnliche Regel erstellen möchten.
   • Regelerkennungen ansehen: Öffnen Sie das Fenster „Regelerkennungen“, um die von dieser Regel erfassten Erkennungen aufzurufen.

3. Im Fenster "Regelbearbeitung" können Sie vorhandene Regeln bearbeiten und neue Regeln erstellen. Das Fenster zum Bearbeiten von Regeln enthält eine Funktion zur automatischen Vervollständigung, mit der Sie die korrekte YARA-L-Syntax anzeigen können, die für jeden Abschnitt der Regel verfügbar ist. Chronicle empfiehlt beim Erstellen oder Bearbeiten einer Regel, die automatischen Empfehlungen durchzugehen, um sicherzustellen, dass die ausgefüllte Regel die richtige Syntax verwendet. Weitere Informationen zur YARA-L-Syntax und Best Practices finden Sie hier.

4. Klicken Sie im Regeleditor auf Neu, um das Fenster „Regeleditor“ zu öffnen. Die Standardregelvorlage wird automatisch darin eingefügt, wie in der folgenden Abbildung dargestellt. Chronicle generiert automatisch einen eindeutigen Namen für die Regel. Erstellen Sie die neue Regel in YARA-L. Wenn Sie fertig sind, klicken Sie auf NEUE REGEL SPEICHERN. Chronicle prüft die Syntax Ihrer Regel. Wenn die Regel gültig ist, wird sie gespeichert und automatisch aktiviert. Wenn die Syntax ungültig ist, wird ein Fehler zurückgegeben. Um die neue Regel zu löschen, klicken Sie auf Verwerfen.

   Neue Regelvorlage

5. Wenn Sie Informationen zu den aktuellen Erkennungen aufrufen möchten, die einer Regel zugeordnet sind, klicken Sie in der Regelliste auf die Regel und dann auf Regelerkennungen ansehen, um die Ansicht „Regelerkennungen“ zu öffnen.

   In der Ansicht Regelerkennungen werden die an die Regel angehängten Metadaten sowie eine Grafik mit der Anzahl der von der Regel in den vergangenen Tagen gefundenen Erkennungen angezeigt.

6. Klicken Sie auf Regel bearbeiten, um zum Regeleditor zurückzukehren.

   Regelerkennungen

   Ansicht mit mehreren Spalten

   Der Tab „Zeitachse“ ist ebenfalls verfügbar und enthält die von der Regel erkannten Ereignisse. Wie auf dem Tab „Zeitachse“ in anderen Chronicle-Ansichten können Sie ein Ereignis auswählen und das zugehörige Rohdatenprotokoll oder UDM-Ereignis öffnen.

   Sie können auch festlegen, welche Informationen auf der Registerkarte Zeitleiste angezeigt werden, indem Sie auf das Spaltensymbol klicken, um die Optionen für die mehrspaltige Ansicht zu öffnen. In der mehrspaltigen Ansicht können Sie verschiedene Kategorien von Protokollinformationen auswählen, die angezeigt werden sollen, darunter gängige Typen wie Hostname und Nutzer und viele spezifischere Kategorien, die von UDM bereitgestellt werden.

   

   Mehrspaltige Ansicht

7. Klicken Sie auf TEST AUSFÜHREN, um die Regel im Fenster zur Regelbearbeitung auszuführen. Chronicle beginnt mit dem Erfassen von Erkennungsvorgängen. So können Sie schnell überprüfen, ob die Regel wie erwartet funktioniert. Die Erkennungsinformationen werden im Fenster Ergebnisse der Testregel angezeigt. Du kannst jederzeit auf TEST ABBRECHEN klicken, um den Vorgang zu stoppen.

   Regelergebnisse testen