Gérer les règles à l'aide de l'éditeur de règles

Compatible avec:

L'Éditeur de règles vous permet de modifier et de créer des règles.

  1. Recherchez une règle existante à l'aide du champ Rechercher des règles. Vous pouvez également faire défiler les règles à l'aide de la barre de défilement. Cliquez sur l'une des règles du panneau de gauche pour l'afficher dans le panneau d'affichage des règles.

  2. Sélectionnez la règle qui vous intéresse dans la liste des règles. La règle s'affiche dans la fenêtre de modification des règles. En sélectionnant une règle, vous ouvrez le menu des règles et pouvez choisir parmi les options suivantes:

    • Règle active : activez ou désactivez la règle.
    • Dupliquer la règle : faites une copie de la règle. utile si vous voulez faire une règle similaire.
    • Afficher les détections de règles : ouvrez la fenêtre "Détections de règles" pour afficher les détections capturées par cette règle.

  3. Utilisez la fenêtre de modification des règles pour modifier les règles existantes et en créer. La fenêtre de modification des règles inclut une fonctionnalité de saisie semi-automatique qui vous permet d'afficher la syntaxe YARA-L appropriée pour chaque section de la règle. Chaque fois que vous rédigez ou modifiez une règle, Google Security Operations vous recommande de suivre les recommandations automatiques pour vous assurer que votre règle utilise la syntaxe appropriée. Pour mettre à jour la portée de la règle, sélectionnez la portée dans le menu Lier à la portée. Pour en savoir plus sur l'association d'un champ d'application avec une règle, consultez la section Impact du RBAC pour les données sur les règles. Pour en savoir plus sur la syntaxe YARA-L et sur les bonnes pratiques, cliquez ici.

  4. Cliquez sur Nouveau dans l'éditeur de règles pour ouvrir la fenêtre correspondante. Il le remplit automatiquement avec le modèle de règle par défaut. Google Security Operations génère automatiquement un nom unique pour la règle. Créez votre règle dans YARA-L. Pour ajouter une portée à la règle, sélectionnez-la dans le menu Lier à la portée. Pour en savoir plus sur l'ajout d'un champ d'application aux règles, consultez la section Impact du RBAC sur les règles de données. Lorsque vous avez terminé, cliquez sur ENREGISTRER UNE NOUVELLE RÈGLE. Google Security Operations vérifie la syntaxe de votre règle. Si la règle est valide, elle est enregistrée et activée automatiquement. Si la syntaxe n'est pas valide, une erreur est renvoyée. Pour supprimer la nouvelle règle, cliquez sur SUPPRIMER.

  5. Pour afficher des informations sur les détections actuelles associées à une règle, cliquez sur la règle dans la liste, puis sur Afficher les détections de règles pour ouvrir la vue "Détections de règles".

    La vue Rule Detections (Détections de règles) affiche les métadonnées associées à la règle. un graphique indiquant le nombre de détections trouvées par la règle au cours des derniers jours.

  6. Cliquez sur Modifier la règle pour revenir à l'éditeur de règles.

    Vue multicolonne

    L'onglet "Chronologie" est également disponible et liste les événements détectés par la règle. Comme pour l'onglet "Chronologie" dans d'autres vues Google Security Operations, vous pouvez sélectionner un événement et ouvrir le journal brut ou l'événement UDM associé.

    Vous pouvez également contrôler les informations affichées dans l'onglet Chronologie en cliquant sur l'icône Colonnes pour ouvrir les options d'affichage à plusieurs colonnes. La vue multicolonne vous permet de sélectionner différentes catégories d'informations de journal à afficher, y compris des types courants tels que le nom d'hôte et l'utilisateur, ainsi que de nombreuses catégories plus spécifiques fournies par UDM.

  7. Cliquez sur EXÉCUTER LE TEST pour exécuter la règle affichée dans la fenêtre de modification des règles. Google Security Operations commence à collecter les détections. Cela vous permet de vérifier rapidement si la règle fonctionne comme prévu. Les informations de détection s'affichent dans la fenêtre RÉSULTATS DE LA RÈGLE DE TEST. Vous pouvez cliquer à tout moment sur ANNULER LE TEST pour arrêter ce processus.

Pour accéder aux blogs de la communauté sur la gestion des règles, consultez les articles suivants: