Para usar el Editor de reglas para crear y editar reglas, sigue estos pasos:
Haz clic en Detecciones > Reglas y detecciones> la pestaña Editor de reglas.
Usa el campo Search rules para buscar una regla existente. También puedes desplazarte por las reglas con la barra de desplazamiento. Haz clic en cualquiera de las reglas del panel izquierdo para verla en el panel de visualización de reglas.
Selecciona la regla que te interesa en la lista de reglas. La regla se muestra en la ventana de edición de reglas. Si seleccionas una regla, se abrirá el menú de reglas, en el que podrás elegir entre las siguientes opciones:
Regla activa: Habilita o inhabilita la regla.
Duplicar regla: Crea una copia de la regla, lo que resulta útil si quieres crear una regla similar.
Ver detecciones de reglas: Abre la ventana Detecciones de reglas para mostrar las detecciones capturadas por esta regla.
Usa la ventana de edición de reglas para editar las reglas existentes y crear reglas nuevas.
La ventana de edición de reglas incluye una función de autocompletado para que puedas ver la sintaxis correcta de YARA-L disponible para cada sección de la regla.
Cuando redactes o edites una regla, Google Security Operations recomienda revisar las recomendaciones automáticas para asegurarte de que la regla completada use la sintaxis correcta. Para actualizar el alcance de la regla, selecciona el alcance en el menú Vincular al alcance. Para obtener más información sobre cómo asociar un alcance con una regla, consulta Impacto del RBAC de datos en las reglas.
Para obtener más información, consulta Sintaxis del lenguaje YARA-L 2.0.
Haz clic en Nuevo en el editor de reglas para abrir la ventana del editor de reglas. Se completará automáticamente con la plantilla de regla predeterminada.
Google SecOps genera automáticamente un nombre único para la regla. Crea tu regla nueva en YARA-L. Para agregar un alcance a la regla, selecciona el alcance en el menú Vincular al alcance. Para obtener más información sobre cómo agregar un alcance a las reglas, consulta Impacto del RBAC de datos en las reglas.
Cuando termines, haz clic en SAVE NEW RULE. Google SecOps verifica la sintaxis de tu regla. Si la regla es válida, se guarda y se habilita automáticamente.
Si la sintaxis no es válida, se muestra un error. Para borrar la regla nueva, haz clic en DESCARTAR.
La frecuencia de ejecución de las reglas de varios eventos se establece automáticamente según el período de coincidencia de la regla:
Para un tamaño de ventana de 1 a 48 horas, la frecuencia de ejecución es de 1 hora.
Para un tamaño de ventana superior a 48 horas, la frecuencia de ejecución es de 24 horas.
Para ver información sobre las detecciones actuales asociadas a una regla, haz clic en la regla en la lista de reglas y, luego, en Ver detecciones de reglas para abrir la vista Detecciones de reglas.
En la vista Detecciones de reglas, se muestran los metadatos adjuntos a la regla y un gráfico que indica la cantidad de detecciones que encontró la regla en los últimos días.
Haz clic en Editar regla para volver al editor de reglas.
Vista de varias columnas
También está disponible la pestaña Cronología, en la que se enumeran los eventos detectados por la regla.
Al igual que con la pestaña Cronología en otras vistas de Google SecOps, puedes seleccionar un evento y abrir el registro sin procesar o el evento del UDM asociado.
Haz clic en view_column Columnas para abrir las opciones de vista de varias columnas y cambiar la información que se muestra en la pestaña Cronograma. La vista de varias columnas te permite elegir entre varias categorías de información de registro, incluidos los tipos comunes, como hostname y user, y categorías más específicas proporcionadas por UDM.
Haz clic en EJECUTAR PRUEBA para probar tu regla. Google SecOps ejecuta la regla en los eventos del período especificado, genera resultados y los muestra en la ventana TEST RULE RESULTS.
Haz clic en CANCELAR PRUEBA en cualquier momento para detener el proceso.
Para ver blogs de la comunidad sobre la administración de reglas, consulta los siguientes recursos:
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-04 (UTC)"],[[["\u003cp\u003eThe Rules Editor allows users to manage both existing and new rules within Google SecOps.\u003c/p\u003e\n"],["\u003cp\u003eUsers can search for rules, view rule details, enable/disable rules, duplicate rules, and view rule detections within the Rules Editor.\u003c/p\u003e\n"],["\u003cp\u003eThe Rule Editing window offers an automatic completion feature, guiding users through the correct YARA-L syntax and allows for the association of rules with specific scopes via the "Bind to scope" menu.\u003c/p\u003e\n"],["\u003cp\u003eNew rules can be created using a default template, and the system automatically generates a unique rule name, performing syntax checks upon saving, with valid rules being automatically enabled.\u003c/p\u003e\n"],["\u003cp\u003eUsers can run tests on rules to check if they are working as expected, with results displayed in a dedicated window, though these test results are not saved.\u003c/p\u003e\n"]]],[],null,["# Manage rules using the Rules Editor\n===================================\n\nSupported in: \nGoogle secops [SIEM](/chronicle/docs/secops/google-secops-siem-toc)\n\nTo use the Rules Editor to create and edit rules, follow these steps:\n\n1. Click **Detections \\\u003e Rules \\& Detections** \\\u003e the **Rules Editor** tab.\n\n2. Use the **Search rules** field to search for an existing rule. You can also scroll through the rules using the scroll bar. Click any of the rules in the left panel to view the rule in the rule display panel.\n\n3. Select the rule you are interested in from the Rules List. The rule is displayed in the rule editing window. By selecting a rule, you open the rule menu and can select from the following options:\n\n - **Live Rule**---Enable or disable the rule.\n - **Duplicate Rule**---Make a copy of the rule; helpful if you want to make a similar rule.\n - **View Rule Detections**---Open the Rule Detections window to display the detections captured by this rule.\n4. Use the Rule Editing window to edit existing rules and to create new rules.\n The Rule Editing window includes an automatic completion feature to enable you\n to view the correct YARA-L syntax available for each section of the rule.\n Whenever composing or editing a rule, Google Security Operations recommends walking\n through the automatic recommendations to ensure your completed rule uses the\n correct syntax. To update the rule scope, select the scope from the\n **Bind to scope** menu. For more information about associating a scope\n with a rule, see [data RBAC impact on Rules](/chronicle/docs/administration/datarbac-impact#rules).\n For more information, see [YARA-L 2.0 language syntax](/chronicle/docs/detection/yara-l-2-0-syntax).\n\n5. Click **New** in the Rules Editor to open the Rules Editor Window. It\n automatically populates it with the default rule template.\n Google SecOps automatically generates a unique name for\n the rule. Create your new rule in YARA-L. To add a scope to the rule, select the\n scope from the **Bind to scope** menu. For more information about adding a scope\n to rules, see [data RBAC impact on Rules](/chronicle/docs/administration/datarbac-impact#rules).\n When you have finished, click **SAVE NEW RULE** . Google SecOps checks the\n syntax of your rule. If the rule is valid, it is saved and automatically enabled.\n If the syntax is invalid, it returns an error. To delete the new rule, click **DISCARD**.\n\n | **Note:** After you have saved a rule, you cannot delete it from the Rules Editor or the Rules Dashboard.\n | **Note:** For Multi-event rules correlating more than one event with a match section size of over one hour, the rule's run frequency (when executing as a Live Rule) is automatically set to 1 hour.\n6. To view information on the current detections associated with a rule, click\n the rule in the rules list and click **View Rule Detections** to open Rule\n Detections view.\n\n The **Rule Detections** view displays the metadata attached to the rule and\n a graph showing the number of detections found by the rule over recent days.\n7. Click **Edit Rule** to return to the Rules Editor.\n\n #### Multicolumn view\n\n The **Timeline** tab is also available and lists the events detected by the rule.\n As with the **Timeline** tab in other Google SecOps views, you can\n select an event and open the associated raw log or UDM event.\n\nClick view_column **Columns**\nto open the multicolumn view options and\nchange the information shown on the **Timeline** tab. The multicolumn view lets\nyou choose from various categories of log information, including common types,\nsuch as `hostname` and `user` and more specific categories provided by UDM.\n\n1. Click **RUN TEST** to test your rule. Google SecOps runs the rule on events in the specified time range, generates results, and displays them in the **TEST RULE RESULTS** window. \n Click **CANCEL TEST** at any time to stop the process.\n\n| **Note:** Successive executions of the same test rule may generate different test detections and is expected behavior. Google SecOps runs a test rule in multiple parallel processes and detections are streamed to the dashboard as each process finishes. Minor timing differences can affect which duplicate detections are removed. By extension, results may not match those of live rules or retrohunts.\n| **Note:** Test rule detections aren't persisted and don't generate alerts. This behavior allows rule authors to iterate without affecting production. Test rule detections may differ from retrohunt or live rule detections because the evaluation windows may be aligned differently.\n| **Note:** These test results are not saved and won't be viewable in the Rules Dashboard.\n\nFor Community blogs on managing rules, see:\n\n- [Rules Editor Navigation](https://www.googlecloudcommunity.com/gc/Google-Security-Operations-Best/Getting-to-Know-Google-SecOps-SIEM-Rules-Editor-Navigation/ta-p/659309)\n\n**Need more help?** [Get answers from Community members and Google SecOps professionals.](https://security.googlecloudcommunity.com/google-security-operations-2)"]]