Pour créer et modifier des règles à l'aide de l'éditeur de règles, procédez comme suit :
Cliquez sur Détections> Règles et détections> l'onglet Éditeur de règles.
Utilisez le champ Règles de recherche pour rechercher une règle existante. Vous pouvez également faire défiler les règles à l'aide de la barre de défilement. Cliquez sur l'une des règles dans le panneau de gauche pour l'afficher dans le panneau d'affichage des règles.
Sélectionnez la règle qui vous intéresse dans la liste des règles. La règle s'affiche dans la fenêtre d'édition des règles. En sélectionnant une règle, vous ouvrez le menu correspondant et pouvez choisir parmi les options suivantes :
Règle en direct : activez ou désactivez la règle.
Dupliquer la règle : créez une copie de la règle. Cette option est utile si vous souhaitez créer une règle similaire.
Afficher les détections de la règle : ouvrez la fenêtre "Détections de la règle" pour afficher les détections capturées par cette règle.
Utilisez la fenêtre "Modifier la règle" pour modifier les règles existantes et en créer d'autres.
La fenêtre "Modifier la règle" inclut une fonctionnalité de saisie semi-automatique qui vous permet d'afficher la syntaxe YARA-L correcte disponible pour chaque section de la règle.
Lorsque vous rédigez ou modifiez une règle, Google Security Operations vous recommande de parcourir les recommandations automatiques pour vous assurer que la règle finale utilise la syntaxe appropriée. Pour mettre à jour le champ d'application de la règle, sélectionnez-le dans le menu Associer au champ d'application. Pour en savoir plus sur l'association d'un champ d'application à une règle, consultez Impact du RBAC sur les règles.
Pour en savoir plus, consultez la syntaxe du langage YARA-L 2.0.
Cliquez sur Nouveau dans l'éditeur de règles pour ouvrir la fenêtre de l'éditeur de règles. Il le remplit automatiquement avec le modèle de règle par défaut.
Google SecOps génère automatiquement un nom unique pour la règle. Créez votre règle dans YARA-L. Pour ajouter un champ d'application à la règle, sélectionnez-le dans le menu Associer au champ d'application. Pour en savoir plus sur l'ajout d'un champ d'application aux règles, consultez Impact du RBAC sur les données sur les règles.
Lorsque vous avez terminé, cliquez sur ENREGISTRER LA NOUVELLE RÈGLE. Google SecOps vérifie la syntaxe de votre règle. Si la règle est valide, elle est enregistrée et automatiquement activée.
Si la syntaxe n'est pas valide, une erreur est renvoyée. Pour supprimer la nouvelle règle, cliquez sur SUPPRIMER.
La fréquence d'exécution des règles multi-événements est définie automatiquement en fonction de la période de correspondance de la règle :
Pour une taille de période de 1 à 48 heures, la fréquence d'exécution est d'une heure.
Pour une durée supérieure à 48 heures, la fréquence d'exécution est de 24 heures.
Pour afficher des informations sur les détections actuelles associées à une règle, cliquez sur la règle dans la liste des règles, puis sur Afficher les détections de règles pour ouvrir la vue "Détections de règles".
La vue Détections de règles affiche les métadonnées associées à la règle et un graphique indiquant le nombre de détections trouvées par la règle au cours des derniers jours.
Cliquez sur Modifier la règle pour revenir à l'éditeur de règles.
Vue multicolonne
L'onglet Chronologie est également disponible et liste les événements détectés par la règle.
Comme pour l'onglet Chronologie dans les autres vues Google SecOps, vous pouvez sélectionner un événement et ouvrir le journal brut ou l'événement UDM associé.
Cliquez sur view_column Colonnes pour ouvrir les options d'affichage multicolonnes et modifier les informations affichées dans l'onglet Chronologie. La vue multicolonne vous permet de choisir parmi différentes catégories d'informations de journaux, y compris les types courants, tels que hostname et user, ainsi que des catégories plus spécifiques fournies par UDM.
Cliquez sur TESTER LA RÈGLE pour tester votre règle. Google SecOps exécute la règle sur les événements de la plage de temps spécifiée, génère des résultats et les affiche dans la fenêtre RÉSULTATS DU TEST DE LA RÈGLE.
Cliquez sur ANNULER LE TEST à tout moment pour arrêter le processus.
Pour consulter les blogs de la communauté sur la gestion des règles, consultez les pages suivantes :
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/09/10 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/09/10 (UTC)."],[[["\u003cp\u003eThe Rules Editor allows users to manage both existing and new rules within Google SecOps.\u003c/p\u003e\n"],["\u003cp\u003eUsers can search for rules, view rule details, enable/disable rules, duplicate rules, and view rule detections within the Rules Editor.\u003c/p\u003e\n"],["\u003cp\u003eThe Rule Editing window offers an automatic completion feature, guiding users through the correct YARA-L syntax and allows for the association of rules with specific scopes via the "Bind to scope" menu.\u003c/p\u003e\n"],["\u003cp\u003eNew rules can be created using a default template, and the system automatically generates a unique rule name, performing syntax checks upon saving, with valid rules being automatically enabled.\u003c/p\u003e\n"],["\u003cp\u003eUsers can run tests on rules to check if they are working as expected, with results displayed in a dedicated window, though these test results are not saved.\u003c/p\u003e\n"]]],[],null,["# Manage rules using the Rules Editor\n===================================\n\nSupported in: \nGoogle secops [SIEM](/chronicle/docs/secops/google-secops-siem-toc)\n\nTo use the Rules Editor to create and edit rules, follow these steps:\n\n1. Click **Detections \\\u003e Rules \\& Detections** \\\u003e the **Rules Editor** tab.\n\n2. Use the **Search rules** field to search for an existing rule. You can also scroll through the rules using the scroll bar. Click any of the rules in the left panel to view the rule in the rule display panel.\n\n3. Select the rule you are interested in from the Rules List. The rule is displayed in the rule editing window. By selecting a rule, you open the rule menu and can select from the following options:\n\n - **Live Rule**---Enable or disable the rule.\n - **Duplicate Rule**---Make a copy of the rule; helpful if you want to make a similar rule.\n - **View Rule Detections**---Open the Rule Detections window to display the detections captured by this rule.\n4. Use the Rule Editing window to edit existing rules and to create new rules.\n The Rule Editing window includes an automatic completion feature to enable you\n to view the correct YARA-L syntax available for each section of the rule.\n Whenever composing or editing a rule, Google Security Operations recommends walking\n through the automatic recommendations to ensure your completed rule uses the\n correct syntax. To update the rule scope, select the scope from the\n **Bind to scope** menu. For more information about associating a scope\n with a rule, see [data RBAC impact on Rules](/chronicle/docs/administration/datarbac-impact#rules).\n For more information, see [YARA-L 2.0 language syntax](/chronicle/docs/detection/yara-l-2-0-syntax).\n\n5. Click **New** in the Rules Editor to open the Rules Editor Window. It\n automatically populates it with the default rule template.\n Google SecOps automatically generates a unique name for\n the rule. Create your new rule in YARA-L. To add a scope to the rule, select the\n scope from the **Bind to scope** menu. For more information about adding a scope\n to rules, see [data RBAC impact on Rules](/chronicle/docs/administration/datarbac-impact#rules).\n When you have finished, click **SAVE NEW RULE** . Google SecOps checks the\n syntax of your rule. If the rule is valid, it is saved and automatically enabled.\n If the syntax is invalid, it returns an error. To delete the new rule, click **DISCARD**.\n\n | **Note:** After you have saved a rule, you cannot delete it from the Rules Editor or the Rules Dashboard.\n | **Note:** For Multi-event rules correlating more than one event with a match section size of over one hour, the rule's run frequency (when executing as a Live Rule) is automatically set to 1 hour.\n6. To view information on the current detections associated with a rule, click\n the rule in the rules list and click **View Rule Detections** to open Rule\n Detections view.\n\n The **Rule Detections** view displays the metadata attached to the rule and\n a graph showing the number of detections found by the rule over recent days.\n7. Click **Edit Rule** to return to the Rules Editor.\n\n #### Multicolumn view\n\n The **Timeline** tab is also available and lists the events detected by the rule.\n As with the **Timeline** tab in other Google SecOps views, you can\n select an event and open the associated raw log or UDM event.\n\nClick view_column **Columns**\nto open the multicolumn view options and\nchange the information shown on the **Timeline** tab. The multicolumn view lets\nyou choose from various categories of log information, including common types,\nsuch as `hostname` and `user` and more specific categories provided by UDM.\n\n1. Click **RUN TEST** to test your rule. Google SecOps runs the rule on events in the specified time range, generates results, and displays them in the **TEST RULE RESULTS** window. \n Click **CANCEL TEST** at any time to stop the process.\n\n| **Note:** Successive executions of the same test rule may generate different test detections and is expected behavior. Google SecOps runs a test rule in multiple parallel processes and detections are streamed to the dashboard as each process finishes. Minor timing differences can affect which duplicate detections are removed. By extension, results may not match those of live rules or retrohunts.\n| **Note:** Test rule detections aren't persisted and don't generate alerts. This behavior allows rule authors to iterate without affecting production. Test rule detections may differ from retrohunt or live rule detections because the evaluation windows may be aligned differently.\n| **Note:** These test results are not saved and won't be viewable in the Rules Dashboard.\n\nFor Community blogs on managing rules, see:\n\n- [Rules Editor Navigation](https://www.googlecloudcommunity.com/gc/Google-Security-Operations-Best/Getting-to-Know-Google-SecOps-SIEM-Rules-Editor-Navigation/ta-p/659309)\n\n**Need more help?** [Get answers from Community members and Google SecOps professionals.](https://security.googlecloudcommunity.com/google-security-operations-2)"]]
