Mengelola aturan menggunakan Editor Aturan
Editor Aturan memungkinkan Anda mengedit aturan yang ada dan membuat aturan baru.
Gunakan kolom Telusuri aturan untuk menelusuri aturan yang ada. Anda juga dapat men-scroll aturan menggunakan scroll bar. Klik salah satu aturan di panel kiri untuk melihat aturan tersebut di panel tampilan aturan.
Pilih aturan yang Anda inginkan dari Daftar Aturan. Aturan ditampilkan di jendela pengeditan aturan. Dengan memilih aturan, Anda membuka menu aturan dan dapat memilih dari opsi berikut:
- Aturan Live—Aktifkan atau nonaktifkan aturan.
- Aturan Duplikat—Buat salinan aturan; berguna jika Anda ingin membuat aturan yang serupa.
- View Rule Detections—Buka jendela Rule Detections untuk menampilkan deteksi yang diambil oleh aturan ini.
Gunakan jendela Pengeditan Aturan untuk mengedit aturan yang ada dan membuat aturan baru. Jendela Pengeditan Aturan menyertakan fitur penyelesaian otomatis agar Anda dapat melihat sintaksis YARA-L yang benar yang tersedia untuk setiap bagian aturan. Setiap kali menulis atau mengedit aturan, Chronicle merekomendasikan agar Anda mengikuti rekomendasi otomatis untuk memastikan aturan yang sudah selesai menggunakan sintaksis yang benar. Detail selengkapnya tentang sintaksis dan praktik terbaik YARA-L dapat ditemukan di sini.
Klik New di Rules Editor untuk membuka Jendela Rules Editor. Template ini otomatis mengisinya dengan template aturan default. Chronicle akan otomatis membuat nama unik untuk aturan tersebut. Buat aturan baru di YARA-L. Setelah selesai, klik SIMPAN ATURAN BARU. Chronicle memeriksa sintaksis aturan Anda. Jika valid, aturan akan disimpan dan diaktifkan secara otomatis. Jika sintaksis tidak valid, error akan ditampilkan. Untuk menghapus aturan baru, klik HAPUS.
Untuk melihat informasi tentang deteksi saat ini yang terkait dengan suatu aturan, klik aturan dalam daftar aturan, lalu klik Lihat Deteksi Aturan untuk membuka tampilan Deteksi Aturan.
Tampilan Deteksi Aturan menampilkan metadata yang dilampirkan pada aturan dan grafik yang menunjukkan jumlah deteksi yang ditemukan oleh aturan selama beberapa hari terakhir.
Klik Edit Rule untuk kembali ke Editor Aturan.
Tampilan multi-kolom
Tab Linimasa juga tersedia dan mencantumkan peristiwa yang terdeteksi oleh aturan. Seperti tab Linimasa di tampilan Chronicle lainnya, Anda dapat memilih peristiwa dan membuka log mentah atau peristiwa UDM terkait.
Anda juga dapat memanipulasi informasi yang ditampilkan di tab Linimasa dengan mengklik ikon Kolom untuk membuka opsi tampilan multikolom. Tampilan multikolom memungkinkan Anda memilih berbagai kategori informasi log untuk ditampilkan, termasuk jenis umum seperti nama host dan pengguna serta banyak kategori spesifik lainnya yang disediakan oleh UDM.
Klik JALANKAN PENGUJIAN untuk menjalankan aturan yang ditampilkan di jendela pengeditan aturan. Chronicle mulai mengumpulkan deteksi. Hal ini memberi Anda cara cepat untuk memeriksa apakah aturan tersebut berfungsi seperti yang diharapkan. Informasi deteksi ditampilkan di jendela TEST RULE RESULTS. Anda dapat mengklik CANCEL PENGUJIAN kapan saja untuk menghentikan proses ini.