Regeln mit dem Regeleditor verwalten

Unterstützt in:

Im Regel-Editor können Sie vorhandene Regeln bearbeiten und neue Regeln erstellen.

  1. Im Feld Regeln suchen können Sie nach einer vorhandenen Regel suchen. Sie können auch mit der Bildlaufleiste durch die Regeln scrollen. Klicken Sie im linken Steuerfeld auf eine der Regeln, um sie in der entsprechenden Anzeige aufzurufen.

  2. Wählen Sie in der Liste der Regeln die gewünschte Regel aus. Die Regel wird im Bearbeitungsfenster für Regeln angezeigt. Wenn Sie eine Regel auswählen, wird das Regelmenü geöffnet. Dort haben Sie folgende Möglichkeiten:

    • Live-Regel: Aktivieren oder deaktivieren Sie die Regel.
    • Regel duplizieren: Hiermit können Sie eine Kopie der Regel erstellen. Das ist hilfreich, wenn Sie eine ähnliche Regel erstellen möchten.
    • Regelerkennung ansehen: Öffnen Sie das Fenster „Regelerkennungen“, um die von dieser Regel erfasste Erkennungen.

  3. Im Fenster zum Bearbeiten von Regeln können Sie vorhandene Regeln bearbeiten und neue Regeln erstellen. Das Fenster „Regeln bearbeiten“ enthält eine Funktion zur automatischen Vervollständigung, mit der Sie die korrekte YARA-L-Syntax für jeden Abschnitt der Regel aufrufen können. Beim Erstellen oder Bearbeiten einer Regel empfiehlt Google Security Operations, die automatischen Empfehlungen zu prüfen, um sicherzustellen, dass die fertige Regel die richtige Syntax verwendet. Wählen Sie zum Aktualisieren des Regelbereichs den Bereich aus der Menü An Bereich binden: Weitere Informationen zum Verknüpfen eines Gültigkeitsbereichs mit einer Regel finden Sie unter Auswirkungen der RBAC-Datenverwaltung auf Regeln. Weitere Informationen zur YARA-L-Syntax und zu Best Practices finden Sie hier.

  4. Klicken Sie im Regeleditor auf Neu, um das Fenster „Regeln“ zu öffnen. Sie wird automatisch mit der Standardregelvorlage ausgefüllt. Google Security Operations generiert automatisch einen eindeutigen Namen für die Regel. Erstellen Sie die neue Regel in YARA-L. Wenn Sie der Regel einen Bereich hinzufügen möchten, wählen Sie ihn im Menü An Bereich binden aus. Weitere Informationen zum Hinzufügen eines Gültigkeitsbereichs zu Regeln finden Sie unter Auswirkungen der rollenbasierten Zugriffssteuerung auf Regeln. Klicken Sie abschließend auf NEUE REGEL SPEICHERN. Google Security Operations prüft die Syntax Ihrer Regel. Wenn die Regel gültig ist, wird sie gespeichert und automatisch aktiviert. Wenn die Syntax ungültig ist, wird ein Fehler zurückgegeben. Wenn Sie die neue Regel löschen möchten, klicken Sie auf VERWERFEN.

  5. Wenn Sie Informationen zu den aktuellen Erkennungen sehen möchten, die mit einer Regel verknüpft sind, klicken Sie in der Liste der Regeln auf die Regel und dann auf Regelnerkennungen ansehen, um die Ansicht „Regelnerkennungen“ zu öffnen.

    In der Ansicht Regelerkennungen werden die mit der Regel verknüpften Metadaten und ein Diagramm mit der Anzahl der Erkennungen angezeigt, die in den letzten Tagen mit der Regel gefunden wurden.

  6. Klicken Sie auf Regel bearbeiten, um zum Regeleditor zurückzukehren.

    Mehrspaltige Ansicht

    Der Tab „Zeitachse“ ist ebenfalls verfügbar. Dort werden die von der Regel erkannten Ereignisse aufgeführt. Wie auf dem Tab „Zeitachse“ in anderen Google Security Operations-Ansicht können Sie ein Ereignis auswählen und das zugehörige Rohprotokoll oder UDM-Ereignis öffnen.

    Sie können auch festlegen, welche Informationen auf dem Tab „Zeitachse“ angezeigt werden. Klicken Sie dazu auf das Spaltensymbol, um die Optionen für die Ansicht mit mehreren Spalten zu öffnen. In der mehrspaltigen Ansicht können Sie eine Vielzahl von Kategorien von Loginformationen auswählen, die angezeigt werden sollen, einschließlich gängiger Typen wie Hostname und Nutzer und viele spezifischere Kategorien, die von UDM bereitgestellt werden.

  7. Klicken Sie auf TEST AUSFÜHREN, um die im Fenster zum Bearbeiten von Regeln angezeigte Regel auszuführen. Google Security Operations beginnt, Erkennungen zu erfassen. So können Sie schnell prüfen, ob die Regel wie erwartet funktioniert. Die Erkennungsinformationen werden im Fenster TEST REGEL ERGEBNISSE angezeigt. Du kannst diesen Vorgang jederzeit beenden, indem du auf TEST ABBRECHEN klickst.

Communitybeiträge zum Verwalten von Regeln: