Gestione delle regole mediante Rules Editor (Editor regole)

Supportato in:

Per utilizzare l'editor di regole per creare e modificare le regole:

  1. Fai clic su Rilevamenti > Regole e rilevamenti > la scheda Editor di regole.

  2. Utilizza il campo Regole di ricerca per cercare una regola esistente. Puoi anche scorrere le regole utilizzando la barra di scorrimento. Fai clic su una delle regole nel riquadro a sinistra per visualizzarla nel riquadro di visualizzazione delle regole.

  3. Seleziona la regola che ti interessa dall'elenco delle regole. La regola viene visualizzata nella finestra di modifica. Selezionando una regola, si apre il menu della regola e puoi scegliere tra le seguenti opzioni:

    • Regola live: attiva o disattiva la regola.
    • Duplica regola: crea una copia della regola, utile se vuoi creare una regola simile.
    • Visualizza rilevamenti delle regole: apri la finestra Rilevamenti delle regole per visualizzare i rilevamenti acquisiti da questa regola.
  4. Utilizza la finestra Modifica regola per modificare le regole esistenti e crearne di nuove. La finestra di modifica delle regole include una funzionalità di completamento automatico che ti consente di visualizzare la sintassi YARA-L corretta disponibile per ogni sezione della regola. Quando componi o modifichi una regola, Google Security Operations consiglia di esaminare i suggerimenti automatici per assicurarti che la regola completata utilizzi la sintassi corretta. Per aggiornare l'ambito della regola, selezionalo dal menu Associa all'ambito. Per ulteriori informazioni sull'associazione di un ambito a una regola, vedi Impatto di RBAC sui dati sulle regole. Per saperne di più, consulta la sezione Sintassi del linguaggio YARA-L 2.0.

  5. Fai clic su Nuovo nell'editor delle regole per aprire la finestra dell'editor delle regole. Viene compilato automaticamente con il modello di regola predefinito. Google SecOps genera automaticamente un nome univoco per la regola. Crea la nuova regola in YARA-L. Per aggiungere un ambito alla regola, seleziona l'ambito dal menu Associa all'ambito. Per saperne di più sull'aggiunta di un ambito alle regole, vedi Impatto di RBAC sui dati sulle regole. Al termine, fai clic su SALVA NUOVA REGOLA. Google SecOps controlla la sintassi della regola. Se la regola è valida, viene salvata e attivata automaticamente. Se la sintassi non è valida, viene restituito un errore. Per eliminare la nuova regola, fai clic su ELIMINA.

La frequenza di esecuzione delle regole multi-evento viene impostata automaticamente in base alla finestra di corrispondenza della regola:

  • Per una dimensione finestra da 1 a 48 ore, la frequenza di esecuzione è 1 ora.
  • Per una dimensione della finestra superiore a 48 ore, la frequenza di esecuzione è di 24 ore.

Per saperne di più, vedi Impostare la frequenza di esecuzione.

  1. Per visualizzare le informazioni sui rilevamenti correnti associati a una regola, fai clic sulla regola nell'elenco delle regole e poi su Visualizza rilevamenti regola per aprire la visualizzazione Rilevamenti regola.

    La visualizzazione Rilevamenti delle regole mostra i metadati allegati alla regola e un grafico che indica il numero di rilevamenti trovati dalla regola negli ultimi giorni.

  2. Fai clic su Modifica regola per tornare all'editor delle regole.

    Visualizzazione a più colonne

    È disponibile anche la scheda Sequenza temporale, che elenca gli eventi rilevati dalla regola. Come nella scheda Cronologia delle altre visualizzazioni di Google SecOps, puoi selezionare un evento e aprire il log non elaborato o l'evento UDM associato.

Fai clic su view_column Colonne per aprire le opzioni di visualizzazione a più colonne e modificare le informazioni mostrate nella scheda Cronologia. La visualizzazione a più colonne ti consente di scegliere tra varie categorie di informazioni sui log, inclusi i tipi comuni, come hostname e user, e categorie più specifiche fornite da UDM.

  1. Fai clic su ESEGUI TEST per testare la regola. Google SecOps esegue la regola sugli eventi nell'intervallo di tempo specificato, genera i risultati e li visualizza nella finestra RISULTATI TEST REGOLA.
    Fai clic su ANNULLA TEST in qualsiasi momento per interrompere la procedura.

Per i blog della community sulla gestione delle regole, consulta:

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.