Mengelola aturan menggunakan Editor Aturan

Didukung di:

Rules Editor memungkinkan Anda mengedit aturan yang ada dan membuat aturan baru.

  1. Gunakan kolom Search rules untuk menelusuri aturan yang ada. Anda juga dapat men-scroll aturan menggunakan scroll bar. Klik salah satu aturan di panel kiri untuk melihat aturan di panel tampilan aturan.

  2. Pilih aturan yang Anda minati dari Daftar Aturan. Aturan ditampilkan di jendela pengeditan aturan. Dengan memilih aturan, Anda akan membuka menu aturan dan dapat memilih dari opsi berikut:

    • Aturan Live—Aktifkan atau nonaktifkan aturan.
    • Duplikasi Aturan—Membuat salinan aturan; berguna jika Anda ingin membuat aturan yang serupa.
    • Lihat Deteksi Aturan—Buka jendela Deteksi Aturan untuk menampilkan deteksi yang diambil oleh aturan ini.

  3. Gunakan jendela Pengeditan Aturan untuk mengedit aturan yang ada dan membuat aturan baru. Jendela Pengeditan Aturan menyertakan fitur penyelesaian otomatis agar Anda dapat melihat sintaksis YARA-L yang benar yang tersedia untuk setiap bagian aturan. Setiap kali menulis atau mengedit aturan, Google Security Operations merekomendasikan untuk mengikuti rekomendasi otomatis guna memastikan aturan yang telah Anda selesaikan menggunakan sintaksis yang benar. Untuk memperbarui cakupan aturan, pilih cakupan dari menu Bind to scope. Untuk informasi selengkapnya tentang cara mengaitkan cakupan dengan aturan, lihat dampak RBAC data pada Aturan. Detail selengkapnya tentang sintaksis YARA-L dan praktik terbaik dapat ditemukan di sini.

  4. Klik Baru di Editor Aturan untuk membuka Jendela Editor Aturan. Template ini akan otomatis diisi dengan template aturan default. Operasi Keamanan Google akan otomatis membuat nama unik untuk aturan. Buat aturan baru di YARA-L. Untuk menambahkan cakupan ke aturan, pilih cakupan dari menu Bind to scope. Untuk informasi selengkapnya tentang cara menambahkan cakupan ke aturan, lihat dampak RBAC data pada Aturan. Setelah selesai, klik SIMPAN ATURAN BARU. Google Security Operations memeriksa sintaksis aturan Anda. Jika valid, aturan akan disimpan dan otomatis diaktifkan. Jika sintaksis tidak valid, sintaksis akan menampilkan error. Untuk menghapus aturan baru, klik HAPUS.

  5. Untuk melihat informasi tentang deteksi saat ini yang terkait dengan aturan, klik aturan dalam daftar aturan, lalu klik Lihat Deteksi Aturan untuk membuka tampilan Deteksi Aturan.

    Tampilan Deteksi Aturan menampilkan metadata yang dilampirkan ke aturan dan grafik yang menunjukkan jumlah deteksi yang ditemukan oleh aturan selama beberapa hari terakhir.

  6. Klik Edit Aturan untuk kembali ke Editor Aturan.

    Tampilan multi-kolom

    Tab Linimasa juga tersedia dan mencantumkan peristiwa yang terdeteksi oleh aturan. Seperti tab Linimasa di tampilan Google Security Operations lainnya, Anda dapat memilih peristiwa dan membuka log mentah atau peristiwa UDM terkait.

    Anda juga dapat mengubah informasi yang ditampilkan di tab Linimasa dengan mengklik ikon Kolom untuk membuka opsi tampilan multikolom. Tampilan multikolom memungkinkan Anda memilih berbagai kategori informasi log yang akan ditampilkan, termasuk jenis umum seperti nama host dan pengguna serta banyak kategori spesifik lainnya yang disediakan oleh UDM.

  7. Klik JALANKAN UJIAN untuk menjalankan aturan yang ditampilkan di jendela pengeditan aturan. Google Security Operations mulai mengumpulkan deteksi. Dengan demikian, Anda dapat memeriksa dengan cepat apakah aturan berfungsi seperti yang diharapkan. Informasi deteksi ditampilkan di jendela TEST RULE RESULTS. Anda dapat mengklik BATALKAN TES kapan saja untuk menghentikan proses ini.

Untuk blog Komunitas tentang cara mengelola aturan, lihat: