Gestire le regole con l'editor delle regole

L'editor delle regole consente di modificare le regole esistenti e crearne di nuove.

1. Utilizza il campo Regole di ricerca per cercare una regola esistente. Puoi anche scorrere le regole utilizzando la barra di scorrimento. Fai clic su una delle regole nel riquadro a sinistra per visualizzarla nel riquadro di visualizzazione delle regole.

2. Selezionare la regola che ti interessa dall'Elenco regole. La regola viene visualizzata nella finestra di modifica della regola. Selezionando una regola, apri il relativo menu e puoi scegliere tra le seguenti opzioni:

   • Live Regola: attiva o disattiva la regola.
   • Duplica regola: crea una copia della regola. utile se vuoi rendere una regola simile.
   • Visualizza rilevamenti regole: apri la finestra Rilevamenti regole per visualizzare rilevati da questa regola.

3. Utilizza la finestra di modifica delle regole per modificare le regole esistenti e crearne di nuove. La finestra di modifica delle regole include una funzione di completamento automatico che consente di per visualizzare la sintassi YARA-L corretta disponibile per ogni sezione della regola. Ogni volta che scrivi o modifichi una regola, Google Security Operations consiglia di camminare tramite i consigli automatici per assicurarti che la regola completata utilizzi la sintassi corretta. Per aggiornare l'ambito della regola, seleziona l'ambito dal Menu Associa all'ambito. Per saperne di più sull'associazione di un ambito a una regola, consulta l'articolo sull'impatto dei dati RBAC sulle regole. Maggiori dettagli sulla sintassi YARA-L e le best practice sono disponibili qui.

4. Fai clic su Nuovo nell'Editor regole per aprire la finestra dell'Editor regole. it lo compila automaticamente con il modello di regola predefinito. Google Security Operations genera automaticamente un nome univoco per la regola. Crea la nuova regola in YARA-L. Per aggiungere un ambito alla regola, seleziona il dall'ambito del menu Associa all'ambito. Per saperne di più sull'aggiunta di un ambito alle regole, consulta l'articolo sull'impatto dei dati RBAC sulle regole. Al termine, fai clic su SALVA NUOVA REGOLA. Google Security Operations controlla la sintassi della regola. Se la regola è valida, viene salvata e attivata automaticamente. Se la sintassi non è valida, viene restituito un errore. Per eliminare la nuova regola, fai clic su ANNULLA.

5. Per visualizzare le informazioni sui rilevamenti correnti associati a una regola, fai clic su la regola nell'elenco delle regole e fai clic su Visualizza rilevamenti regole per aprire la regola. Visualizzazione Rilevamenti.

   La visualizzazione Rilevamenti delle regole mostra i metadati associati alla regola. un grafico che mostra il numero di rilevamenti rilevati dalla regola negli ultimi giorni.

6. Fai clic su Modifica regola per tornare all'Editor regole.

   Visualizzazione a più colonne

   È disponibile anche la scheda Cronologia che elenca gli eventi rilevati dalla regola. Come per la scheda Timeline in altre visualizzazioni di Google Security Operations, puoi selezionare un evento e aprire il log non elaborato o l'evento UDM associato.

   Puoi anche modificare le informazioni visualizzate nella scheda Timeline facendo clic sull'icona Colonne per aprire le opzioni di visualizzazione a più colonne. La visualizzazione a più colonne ti consente di selezionare una varietà di categorie di informazioni di log da visualizzare, inclusi tipi comuni come nome host e utente e molte categorie più specifiche fornite da UDM.

7. Fai clic su ESEGUI TEST per eseguire la regola visualizzata nella finestra di modifica delle regole. Google Security Operations inizia a raccogliere i rilevamenti. In questo modo puoi verificare rapidamente se la regola funziona come previsto. Le informazioni sul rilevamento vengono visualizzate nella finestra RISULTATI REGOLA TEST. Puoi fare clic in qualsiasi momento su ANNULLA TEST per interrompere la procedura.