ルールエディタを使用したルールの管理

ルールエディタを使用すると、既存のルールを編集し、新規ルールを作成できます。

Chronicle ルールエディタ ルールエディタ

  1. [Search rules] フィールドを使用して、既存のルールを検索します。スクロールバーを使用してルールをスクロールすることもできます。 左パネルでいずれかのルールをクリックすると、ルール表示パネルにそのルールが表示されます。

  2. ルールリストから目的のルールを選択します。 ルールがルール編集ウィンドウに表示されます。 ルールを選択してルール ポップアップ メニューを開き、以下のオプションを選択します。

    • Live Rule - ルールを有効または無効にします。
    • Duplicate Rule - ルールのコピーを作成します。類似のルールを作成する場合に役立ちます。
    • View Rule Detections - [Rule Detections] ウィンドウを開いて、このルールによってキャプチャされた検出を表示します。
  3. [Rule Editing] ウィンドウを使用して、既存のルールを編集し、新規ルールを作成します。 [Rule Editing] ウィンドウには自動入力機能が備わっています。これを使用して、ルールの各セクションで使用可能な正しい YARA-L 構文を表示できます。 Chronicle では、ルールを作成または編集する場合はいつでも、自動で提案される候補を一通り確認し、完成したルールで確実に正しい構文が使用されるようにすることをおすすめします。 YARA-L の構文とベスト プラクティスの詳細については、こちらをご覧ください。

  4. ルールエディタで [新規] をクリックして、[ルールエディタ] ウィンドウを開きます。次の図に示すように、デフォルトのルール テンプレートが自動的に取り込まれます。Chronicle により、ルールの一意の名前が自動的に生成されます。YARA-L で新しいルールを作成します。完了したら、[SAVE NEW RULE] をクリックします。Chronicle によってルールの構文がチェックされます。 ルールが有効な場合は、保存され、自動的に有効になります。構文が無効な場合は、エラーが返されます。新しいルールを削除するには、[DISCARD] をクリックします。

    新規ルール テンプレート 新規ルール テンプレート

  5. ルールに関連付けられた現在の検出に関する情報を表示するには、ルールリストでルールをクリックし、[View Rule Detections] をクリックして [Rule Detections] ビューを開きます。

    [Rule Detection] ビューには、ルールに添付されているメタデータと、最近のルール全体におけるルールの検出数を示すグラフが表示されます。

  6. [Edit Rule] をクリックして、ルールエディタに戻ります。

    Rule Detections Rule Detections

    複数列ビュー

    [Timeline] タブも使用可能で、検出されたイベントがルール別にリストされます。 他の Chronicle ビューの [Timeline] タブと同様に、イベントを選択して関連する生のログや統合データモデル(UDM)イベントを開くことができます。

    [Columns] アイコンをクリックして複数列ビュー オプションを開き、[Timeline] タブにどの情報を表示するかを操作することもできます。 複数列ビューでは、ホスト名やユーザーなどの一般的なタイプや、UDM によって提供される多数の具体的なカテゴリを含む、さまざまなカテゴリのログ情報を選択して表示できます。

    multicolumn-view

    複数列ビュー

  7. [RUN TEST] をクリックして、ルール編集ウィンドウに表示されているルールを実行します。Chronicle によって検出の収集が開始されます。 これにより、ルールが期待どおりに動作しているかを素早く確認できます。 検出情報は [TEST RULE RESULTS] ウィンドウに表示されます。いつでも [CANCEL TEST] をクリックしてこのプロセスを停止できます。

    multicolumn-view Test Rule Results