Regeln mit dem Regeleditor verwalten

Unterstützt in:

Im Regel-Editor können Sie vorhandene Regeln bearbeiten und neue Regeln erstellen.

  1. Verwenden Sie das Feld Suchregeln, um nach einer vorhandenen Regel zu suchen. Sie können auch mit der Bildlaufleiste durch die Regeln scrollen. Klicken Sie auf eine der Regeln im linken Bereich, um sie im Bereich „Regeln anzeigen“ aufzurufen.

  2. Wählen Sie in der Liste der Regeln die gewünschte Regel aus. Die Regel wird im Fenster „Regel bearbeiten“ angezeigt. Wenn Sie eine Regel auswählen, wird das Regelmenü geöffnet. Dort haben Sie folgende Möglichkeiten:

    • Live-Regel: Aktivieren oder deaktivieren Sie die Regel.
    • Regel duplizieren: Hiermit können Sie eine Kopie der Regel erstellen. Das ist hilfreich, wenn Sie eine ähnliche Regel erstellen möchten.
    • Regelerkennungen ansehen: Öffnet das Fenster „Regelerkennungen“, in dem die mit dieser Regel erfassten Erkennungen angezeigt werden.

  3. Im Fenster „Regel bearbeiten“ können Sie vorhandene Regeln bearbeiten und neue Regeln erstellen. Das Fenster „Regeln bearbeiten“ enthält eine Funktion zur automatischen Vervollständigung, mit der Sie die korrekte YARA-L-Syntax für jeden Abschnitt der Regel aufrufen können. Beim Erstellen oder Bearbeiten einer Regel empfiehlt Google Security Operations, die automatischen Empfehlungen zu prüfen, um sicherzustellen, dass die fertige Regel die richtige Syntax verwendet. Wenn Sie den Bereich der Regel aktualisieren möchten, wählen Sie ihn im Menü An Bereich binden aus. Weitere Informationen zum Verknüpfen eines Gültigkeitsbereichs mit einer Regel finden Sie unter Auswirkungen der RBAC-Datenverwaltung auf Regeln. Weitere Informationen zur YARA-L-Syntax und zu Best Practices finden Sie hier.

  4. Klicken Sie im Regeleditor auf Neu, um das Fenster „Regeln“ zu öffnen. Sie wird automatisch mit der Standardregelvorlage ausgefüllt. Google Security Operations generiert automatisch einen eindeutigen Namen für die Regel. Erstellen Sie die neue Regel in YARA-L. Wenn Sie der Regel einen Bereich hinzufügen möchten, wählen Sie ihn im Menü An Bereich binden aus. Weitere Informationen zum Hinzufügen eines Gültigkeitsbereichs zu Regeln finden Sie unter Auswirkungen der rollenbasierten Zugriffssteuerung auf Regeln. Klicken Sie abschließend auf NEUE REGEL SPEICHERN. Google Security Operations prüft die Syntax Ihrer Regel. Wenn die Regel gültig ist, wird sie gespeichert und automatisch aktiviert. Ist die Syntax ungültig, wird ein Fehler zurückgegeben. Wenn Sie die neue Regel löschen möchten, klicken Sie auf VERWERFEN.

  5. Wenn Sie Informationen zu den aktuellen Erkennungen sehen möchten, die mit einer Regel verknüpft sind, klicken Sie in der Liste der Regeln auf die Regel und dann auf Regelnerkennungen ansehen, um die Ansicht „Regelnerkennungen“ zu öffnen.

    In der Ansicht Regelerkennungen werden die mit der Regel verknüpften Metadaten und ein Diagramm mit der Anzahl der Erkennungen angezeigt, die in den letzten Tagen mit der Regel gefunden wurden.

  6. Klicken Sie auf Regel bearbeiten, um zum Regeleditor zurückzukehren.

    Mehrspaltige Ansicht

    Der Tab „Zeitachse“ ist ebenfalls verfügbar. Dort werden die von der Regel erkannten Ereignisse aufgeführt. Wie auf dem Tab „Zeitachse“ in anderen Google Security Operations-Ansicht können Sie ein Ereignis auswählen und das zugehörige Rohprotokoll oder UDM-Ereignis öffnen.

    Sie können auch festlegen, welche Informationen auf dem Tab „Zeitachse“ angezeigt werden. Klicken Sie dazu auf das Spaltensymbol, um die Optionen für die Ansicht mit mehreren Spalten zu öffnen. In der Ansicht mit mehreren Spalten können Sie verschiedene Kategorien von Protokollinformationen auswählen, die angezeigt werden sollen. Dazu gehören gängige Typen wie Hostname und Nutzer sowie viele weitere spezifische Kategorien, die von UDM bereitgestellt werden.

  7. Klicken Sie auf TEST AUSFÜHREN, um die im Fenster zum Bearbeiten von Regeln angezeigte Regel auszuführen. Google Security Operations beginnt, Erkennungen zu erfassen. So können Sie schnell prüfen, ob die Regel wie erwartet funktioniert. Die Informationen zur Erkennung werden im Fenster TESTREGELERGEBNISSE angezeigt. Sie können diesen Vorgang jederzeit durch Klicken auf TEST ABBRECHEN beenden.

Communitybeiträge zum Verwalten von Regeln: