Gestionar reglas con el editor de reglas

Para usar el editor de reglas y crear y editar reglas, sigue estos pasos:

1. Haz clic en Detecciones > Reglas y detecciones > la pestaña Editor de reglas.

2. Usa el campo Reglas de búsqueda para buscar una regla. También puedes desplazarte por las reglas con la barra de desplazamiento. Haga clic en cualquiera de las reglas del panel de la izquierda para verla en el panel de visualización de reglas.

3. Selecciona la regla que te interese en la lista de reglas. La regla se muestra en la ventana de edición de reglas. Si seleccionas una regla, se abrirá el menú de reglas y podrás elegir entre las siguientes opciones:

   • Regla activa: habilita o inhabilita la regla.
   • Duplicar regla: crea una copia de la regla. Esta opción es útil si quieres crear una regla similar.
   • Ver detecciones de reglas: abre la ventana Detecciones de reglas para mostrar las detecciones capturadas por esta regla.

4. Usa la ventana de edición de reglas para editar reglas y crear otras. La ventana de edición de reglas incluye una función de autocompletado para que puedas ver la sintaxis correcta de YARA-L disponible en cada sección de la regla. Cuando redactes o edites una regla, Google Security Operations te recomienda que consultes las sugerencias automáticas para asegurarte de que la regla completada usa la sintaxis correcta. Para actualizar el ámbito de la regla, selecciona el ámbito en el menú Asignar a ámbito. Para obtener más información sobre cómo asociar un ámbito a una regla, consulta el artículo Impacto del control de acceso basado en roles de datos en las reglas. Para obtener más información, consulta Sintaxis del lenguaje YARA-L 2.0.

5. En el editor de reglas, haz clic en Nuevo para abrir la ventana del editor de reglas. Se rellena automáticamente con la plantilla de regla predeterminada. Google SecOps genera automáticamente un nombre único para la regla. Crea la regla en YARA-L. Para añadir un ámbito a la regla, selecciona el ámbito en el menú Asignar a ámbito. Para obtener más información sobre cómo añadir un ámbito a las reglas, consulta el artículo sobre el impacto del control de acceso basado en roles de datos en las reglas. Cuando hayas terminado, haz clic en GUARDAR REGLA NUEVA. Google SecOps comprueba la sintaxis de tu regla. Si la regla es válida, se guarda y se habilita automáticamente. Si la sintaxis no es válida, devuelve un error. Para eliminar la nueva regla, haz clic en DESCARTAR.

6. Para ver información sobre las detecciones actuales asociadas a una regla, haz clic en la regla de la lista de reglas y, a continuación, en Ver detecciones de la regla para abrir la vista Detecciones de la regla.

   En la vista Detecciones de reglas se muestran los metadatos adjuntos a la regla y un gráfico con el número de detecciones que ha encontrado la regla en los últimos días.

7. Haz clic en Editar regla para volver al editor de reglas.

   Vista de varias columnas

   También está disponible la pestaña Cronología, que muestra los eventos detectados por la regla. Al igual que en la pestaña Cronología de otras vistas de Google SecOps, puede seleccionar un evento y abrir el registro sin procesar o el evento de UDM asociado.

Haga clic en view_column Columnas para abrir las opciones de vista de varias columnas y cambiar la información que se muestra en la pestaña Cronología. La vista de varias columnas te permite elegir entre varias categorías de información de registro, incluidos los tipos comunes, como hostname y user, y categorías más específicas proporcionadas por UDM.

1. Haz clic en EJECUTAR PRUEBA para probar la regla. Google SecOps ejecuta la regla en los eventos del intervalo de tiempo especificado, genera resultados y los muestra en la ventana RESULTADOS DE LA REGLA DE PRUEBA.
   Haz clic en CANCELAR PRUEBA en cualquier momento para detener el proceso.

Para ver blogs de la comunidad sobre cómo gestionar reglas, consulta los siguientes artículos:

• Navegación por el editor de reglas

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.