Gerenciar regras usando o Editor de regras

O Editor de regras permite que você edite as regras existentes e crie novas.

  1. Use o campo Regras de pesquisa para procurar uma regra. Também é possível navegar pelas regras usando a barra de rolagem. Clique em qualquer uma das regras no painel esquerdo para vê-la no painel de exibição de regras.

  2. Selecione a regra em que você tem interesse na lista de regras. A regra é exibida na janela de edição de regras. Ao selecionar uma regra, você abre o menu de regras e pode escolher entre as seguintes opções:

    • Live Rule: ativa ou desativa a regra.
    • Duplicar Regra: faça uma cópia da regra. Útil se você quiser criar uma regra semelhante.
    • Ver detecções de regras: abra a janela "Detecções de regras" para exibir as detecções capturadas por essa regra.

  3. Use a janela Edição de regras para editar regras existentes e criar novas. A janela "Edição de regras" inclui um recurso de preenchimento automático para que você visualize a sintaxe YARA-L correta, disponível para cada seção da regra. Sempre que você escrever ou editar uma regra, as Operações de segurança do Google recomendam analisar as recomendações automáticas para garantir que a regra concluída use a sintaxe correta. Para atualizar o escopo da regra, selecione-o no menu Vincular ao escopo. Para mais informações sobre como associar um escopo a uma regra, consulte Impacto do RBAC de dados nas regras. Mais detalhes sobre a sintaxe da YARA-L e as práticas recomendadas podem ser encontrados aqui.

  4. Clique em Novo no Editor de regras para abrir a janela do editor. Ele o preenche automaticamente com o modelo de regra padrão. O Google Security Operations gera automaticamente um nome exclusivo para a regra. Crie sua nova regra em YARA-L. Para adicionar um escopo à regra, selecione-o no menu Vincular ao escopo. Para mais informações sobre como adicionar um escopo às regras, consulte Impacto do RBAC de dados nas regras. Quando terminar, clique em SALVAR NOVA REGRA. As Operações de segurança do Google verificam a sintaxe da regra. Se a regra for válida, ela será salva e ativada automaticamente. Se a sintaxe for inválida, ela retornará um erro. Para excluir a nova regra, clique em DESCARTAR.

  5. Para visualizar informações sobre as detecções atuais associadas a uma regra, clique na regra na lista e em Visualizar detecções de regras para abrir essa visualização.

    A visualização Detecções de regras exibe os metadados anexados à regra e um gráfico mostrando o número de detecções encontradas pela regra nos últimos dias.

  6. Clique em Editar regra para retornar ao Editor de regras.

    Visualização de várias colunas

    A guia "Linha do tempo" também está disponível e lista os eventos detectados pela regra. Assim como na guia "Linha do tempo" em outras visualizações das Operações de segurança do Google, é possível selecionar um evento e abrir o registro bruto ou o evento de UDM associado.

    Você também pode manipular quais informações são exibidas na guia Linha do tempo clicando no ícone Colunas para abrir as opções de visualização de várias colunas. A visualização em várias colunas permite selecionar várias categorias de informações de registro para exibir, incluindo tipos comuns, como nome do host e usuário, e muitas outras categorias específicas fornecidas pelo UDM.

  7. Clique em EXECUTAR TESTE para executar a regra exibida na janela de edição de regras. As Operações de segurança do Google começam a coletar detecções. Com isso, você verifica rapidamente se a regra está funcionando conforme o esperado. As informações de detecção são exibidas na janela RESULTADOS DA REGRA DE TESTE. A qualquer momento, você pode clicar em CANCELAR TESTE para interromper esse processo.