Gestire le regole con l'editor delle regole

L'editor delle regole consente di modificare le regole esistenti e di crearne di nuove.

Editor regole Chronicle Editor regole

  1. Utilizza il campo Regole di ricerca per cercare una regola esistente. Puoi anche scorrere le regole utilizzando la barra di scorrimento. Fai clic su una delle regole nel riquadro a sinistra per visualizzarla in questo riquadro.

  2. Seleziona la regola che ti interessa dall'elenco delle regole. La regola viene visualizzata nella finestra di modifica delle regole. Se selezioni una regola, apri il menu delle regole e puoi scegliere tra le seguenti opzioni:

    • Regola attiva: attiva o disattiva la regola.
    • Duplica regola: crea una copia della regola. Questa opzione è utile se vuoi creare una regola simile.
    • Visualizza rilevamenti regole: apri la finestra Rilevamenti regole per visualizzare i rilevamenti acquisiti da questa regola.

  3. Utilizza la finestra Modifica regole per modificare le regole esistenti e crearne di nuove. La finestra Modifica regola include una funzionalità di completamento automatico che consente di visualizzare la sintassi YARA-L corretta disponibile per ogni sezione della regola. Ogni volta che scrivi o modifichi una regola, Chronicle consiglia di seguire i consigli automatici per garantire che la regola completata utilizzi la sintassi corretta. Puoi trovare ulteriori dettagli sulla sintassi e sulle best practice YARA-L qui.

  4. Fai clic su Nuova nell'editor delle regole per aprire la relativa finestra. Lo completa automaticamente con il modello di regola predefinito, come mostrato nella figura seguente. Chronicle genera automaticamente un nome univoco per la regola. Crea la nuova regola in YARA-L. Al termine, fai clic su SALVA NUOVA REGOLA. Chronicle controlla la sintassi della regola. Se la regola è valida, viene salvata e attivata automaticamente. Se la sintassi non è valida, restituisce un errore. Per eliminare la nuova regola, fai clic su ELIMINA.

    Nuovo modello di regola Nuovo modello di regola

  5. Per visualizzare le informazioni sui rilevamenti attuali associati a una regola, fai clic sulla regola nell'elenco delle regole e poi su Visualizza rilevamenti delle regole per aprire la vista Rilevamenti delle regole.

    La vista Rilevamenti regole mostra i metadati allegati alla regola e un grafico che mostra il numero di rilevamenti rilevati dalla regola negli ultimi giorni.

  6. Fai clic su Modifica regola per tornare all'editor delle regole.

    Rilevamenti delle regole Rilevamenti di regole

    Visualizzazione a più colonne

    È disponibile anche la scheda Cronologia, in cui sono elencati gli eventi rilevati dalla regola. Come per la scheda Timeline in altre visualizzazioni di Chronicle, puoi selezionare un evento e aprire il log non elaborato o l'evento UDM associato.

    Puoi anche modificare le informazioni visualizzate nella scheda Timeline facendo clic sull'icona Colonne per aprire le opzioni della visualizzazione a più colonne. La visualizzazione a più colonne ti consente di selezionare una varietà di categorie di informazioni di log da visualizzare, inclusi tipi comuni come nome host e utente e molte categorie più specifiche fornite da UDM.

    visualizzazione-multicolonna

    Visualizzazione a più colonne

  7. Fai clic su ESEGUI TEST per eseguire la regola visualizzata nella finestra di modifica delle regole. Chronicle inizia a raccogliere i rilevamenti. In questo modo è possibile verificare rapidamente se la regola funziona come previsto. Le informazioni sul rilevamento vengono visualizzate nella finestra RISULTATI DELLA REGOLA DI TEST. Puoi fare clic in qualsiasi momento su ANNULLA TEST per interrompere la procedura.

    visualizzazione-multicolonna Risultati delle regole di test