Gérer les règles à l'aide de l'éditeur de règles

L'éditeur de règles vous permet de modifier des règles existantes et d'en créer d'autres.

  1. Recherchez une règle existante à l'aide du champ Rechercher dans les règles. Vous pouvez également faire défiler les règles à l'aide de la barre de défilement. Cliquez sur l'une des règles dans le panneau de gauche pour l'afficher dans le panneau d'affichage des règles.

  2. Sélectionnez la règle qui vous intéresse dans la liste des règles. La règle s'affiche dans la fenêtre de modification des règles. En sélectionnant une règle, vous ouvrez le menu des règles et pouvez choisir parmi les options suivantes:

    • Règle active : activez ou désactivez la règle.
    • Dupliquer la règle : créez une copie de la règle, ce qui est utile si vous souhaitez créer une règle similaire.
    • Afficher les détections de règles : ouvrez la fenêtre "Détections de règles" pour afficher les détections capturées par cette règle.

  3. La fenêtre "Modification des règles" vous permet de modifier des règles existantes et d'en créer d'autres. La fenêtre de modification des règles inclut une fonctionnalité de saisie semi-automatique qui vous permet d'afficher la syntaxe YARA-L correcte disponible pour chaque section de la règle. Lors de la rédaction ou de la modification d'une règle, Google Security Operations recommande de suivre les recommandations automatiques pour vous assurer que votre règle terminée utilise la syntaxe correcte. Pour mettre à jour le champ d'application de la règle, sélectionnez-le dans le menu Lier au champ d'application. Pour en savoir plus sur l'association d'un champ d'application à une règle, consultez la section Impact du RBAC lié aux données sur les règles. Pour en savoir plus sur la syntaxe YARA-L et sur les bonnes pratiques, cliquez ici.

  4. Cliquez sur Nouveau dans l'éditeur de règles pour ouvrir la fenêtre correspondante. Il le remplit automatiquement avec le modèle de règle par défaut. Google Security Operations génère automatiquement un nom unique pour la règle. Créez votre règle dans YARA-L. Pour ajouter un champ d'application à la règle, sélectionnez-le dans le menu Lier au champ d'application. Pour en savoir plus sur l'ajout d'un champ d'application aux règles, consultez la section Impact du RBAC lié aux données sur les règles. Lorsque vous avez terminé, cliquez sur ENREGISTRER LA NOUVELLE RÈGLE. Google Security Operations vérifie la syntaxe de votre règle. Si la règle est valide, elle est enregistrée et activée automatiquement. Si la syntaxe n'est pas valide, une erreur est renvoyée. Pour supprimer la nouvelle règle, cliquez sur SUPPRIMER.

  5. Pour afficher des informations sur les détections actuelles associées à une règle, cliquez sur celle-ci dans la liste des règles, puis sur Afficher les détections de règles pour ouvrir la vue des détections de règles.

    La vue Rule Detections (Détections de règles) affiche les métadonnées associées à la règle, ainsi qu'un graphique indiquant le nombre de détections trouvées par la règle au cours des derniers jours.

  6. Cliquez sur Modifier la règle pour revenir à l'éditeur de règles.

    Vue multicolonne

    L'onglet "Chronologie" est également disponible et répertorie les événements détectés par la règle. Comme pour l'onglet "Chronologie" dans d'autres vues Google Security Operations, vous pouvez sélectionner un événement et ouvrir le journal brut ou l'événement UDM associé.

    Vous pouvez également contrôler les informations affichées dans l'onglet Chronologie en cliquant sur l'icône Colonnes pour ouvrir les options d'affichage à plusieurs colonnes. La vue multicolonne vous permet de sélectionner différentes catégories d'informations de journal à afficher, y compris des types courants tels que le nom d'hôte et l'utilisateur, ainsi que de nombreuses catégories plus spécifiques fournies par UDM.

  7. Cliquez sur EXÉCUTER LE TEST pour exécuter la règle affichée dans la fenêtre de modification des règles. Google Security Operations commence à collecter les détections. Cela vous permet de vérifier rapidement si la règle fonctionne comme prévu. Les informations de détection s'affichent dans la fenêtre TEST RULE RESULTS (RÉSULTATS DE LA RÈGLE DE TEST). Vous pouvez cliquer à tout moment sur ANNULER LE TEST pour arrêter ce processus.