Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Gérer les règles à l'aide de l'éditeur de règles

L'éditeur de règles vous permet de modifier des règles existantes et d'en créer de nouvelles.

Éditeur de règles Chronicle Éditeur de règles

  1. Utilisez le champ Rechercher des règles pour rechercher une règle existante. Vous pouvez également faire défiler les règles à l'aide de la barre de défilement. Cliquez sur l'une des règles dans le panneau de gauche pour l'afficher dans le panneau d'affichage des règles.

  2. Sélectionnez la règle qui vous intéresse dans la liste des règles. La règle s'affiche dans la fenêtre de modification de la règle. En sélectionnant une règle, vous ouvrez le menu contextuel de la règle et sélectionnez les options suivantes:

    • Règle active : activez ou désactivez la règle.
    • Dupliquer la règle : créez une copie de la règle, ce qui peut être utile si vous souhaitez créer une règle similaire.
    • Afficher les détections des règles : ouvrez la fenêtre "Détection des règles" pour afficher les détections capturées par cette règle.

  3. Utilisez la fenêtre "Modification des règles" pour modifier des règles existantes et en créer d'autres. La fenêtre de modification des règles inclut une fonctionnalité de saisie automatique qui vous permet d'afficher la syntaxe YARA-L appropriée pour chaque section de la règle. Chaque fois que vous créez ou modifiez une règle, Chronicle vous recommande de consulter les recommandations automatiques pour vous assurer que la règle utilisée respecte la bonne syntaxe. Pour en savoir plus sur la syntaxe YARA-L et sur les bonnes pratiques à respecter, cliquez ici.

  4. Cliquez sur Nouveau dans l'éditeur de règles pour ouvrir la fenêtre correspondante. Il est renseigné automatiquement avec le modèle de règle par défaut, comme illustré dans la figure suivante. Chronicle génère automatiquement un nom unique pour la règle. Créez votre règle dans YARA-L. Lorsque vous avez terminé, cliquez sur ENREGISTRER LA NOUVELLE RÈGLE. Chronicle vérifie la syntaxe de votre règle. Si la règle est valide, elle est enregistrée et activée automatiquement. Si la syntaxe n'est pas valide, elle renvoie une erreur. Pour supprimer la nouvelle règle, cliquez sur SUPPRIMER.

    Nouveau modèle de règle Nouveau modèle de règle

  5. Pour afficher des informations sur les détections actuelles d'une règle, cliquez sur celle-ci dans la liste des règles, puis sur Afficher les détections des règles afin d'ouvrir la vue des détections des règles.

    La vue Détection des règles affiche les métadonnées associées à la règle et un graphique indiquant le nombre de détections détectées par la règle au cours des derniers jours.

  6. Cliquez sur Modifier la règle pour revenir à l'éditeur de règles.

    Détection de règles Détection des règles

    Vue multicolonne

    L'onglet Chronologie est également disponible et recense les événements détectés par la règle. Comme dans l'onglet "Vos trajets" des autres vues Chronicle, vous pouvez sélectionner un événement et ouvrir le journal brut ou l'événement UDM associé.

    Vous pouvez également modifier les informations affichées dans l'onglet "Chronologie" en cliquant sur l'icône Colonnes pour ouvrir les options d'affichage multicolonnes. La vue multicolonne vous permet de sélectionner diverses catégories d'informations de journal à afficher, y compris des types courants tels que le nom d'hôte et l'utilisateur, ainsi que de nombreuses catégories plus spécifiques fournies par UDM.

    vue multicolonne

    Vue multicolonne

  7. Cliquez sur EXÉCUTER LE TEST pour exécuter la règle affichée dans la fenêtre de modification de la règle. Chronicle commence à collecter les détections. Cela vous permet de vérifier rapidement si la règle fonctionne comme prévu. Les informations de détection s'affichent dans la fenêtre RÉSULTATS DE TEST. Vous pouvez à tout moment cliquer sur ANNULER LE TEST pour arrêter ce processus.

    vue multicolonne Résultats de la règle de test