ルールエディタを使用してルールを管理する

以下でサポートされています。

ルール エディタを使用してルールを作成、編集する手順は次のとおりです。

  1. [検出>ルールと検出] > [ルール エディタ] タブをクリックします。

  2. [Search rules] フィールドを使用して、既存のルールを検索します。スクロールバーを使用してルールをスクロールすることもできます。 左パネルでいずれかのルールをクリックすると、ルール表示パネルにそのルールが表示されます。

  3. ルールリストから目的のルールを選択します。 ルールがルール編集ウィンドウに表示されます。 ルールを選択してルールメニューを開き、次のオプションを選択します。

    • Live Rule - ルールを有効または無効にします。
    • Duplicate Rule - ルールのコピーを作成します。類似のルールを作成する場合に役立ちます。
    • View Rule Detections - [Rule Detections] ウィンドウを開いて、このルールによってキャプチャされた検出を表示します。

  4. [Rule Editing] ウィンドウを使用して、既存のルールを編集し、新規ルールを作成します。 [ルール編集] ウィンドウには自動入力機能が備わっています。これを使用して、ルールの各セクションで使用可能な正しい YARA-L 構文を表示できます。Google Security Operations では、ルールを作成または編集する場合はいつでも、自動で提案される候補を一通り確認し、完成したルールで確実に正しい構文が使用されるようにすることをおすすめします。ルールのスコープを更新するには、[スコープにバインド] メニューからスコープを選択します。スコープとルールの関連付けの詳細については、データ RBAC がルールに与える影響をご覧ください。 詳細については、YARA-L 2.0 言語の構文をご覧ください。

  5. ルールエディタで [New] をクリックして、ルールエディタ ウィンドウを開きます。デフォルトのルール テンプレートが自動的に入力されます。 Google SecOps がルールの一意の名前を自動的に生成します。YARA-L で新しいルールを作成します。ルールにスコープを追加するには、[スコープにバインド] メニューからスコープを選択します。ルールにスコープを追加する方法については、データ RBAC がルールに与える影響をご覧ください。完了したら、[新しいルールを保存] をクリックします。Google SecOps がルールの構文をチェックします。ルールが有効な場合は、保存され、自動的に有効になります。 構文が無効な場合は、エラーが返されます。 新しいルールを削除するには、[破棄] をクリックします。

マルチイベント ルールの実行頻度は、ルールの照合ウィンドウに基づいて自動的に設定されます。

  • ウィンドウ サイズが 1 ~ 48 時間の場合、実行頻度は 1 時間です。
  • ウィンドウ サイズが 48 時間を超える場合、実行頻度は 24 時間です。

詳細については、実行頻度を設定するをご覧ください。

  1. ルールに関連付けられた現在の検出に関する情報を表示するには、ルールリストでルールをクリックし、[View Rule Detections] をクリックして [Rule Detections] ビューを開きます。

    [Rule Detection] ビューには、ルールに添付されているメタデータと、最近のルール全体におけるルールの検出数を示すグラフが表示されます。

  2. [Edit Rule] をクリックして、ルールエディタに戻ります。

    複数列ビュー

    [Timeline] タブも使用可能で、検出されたイベントがルール別にリストされます。他の Google SecOps ビューの [タイムライン] タブと同様に、イベントを選択して関連する生のログや UDM イベントを開くことができます。

view_column [Columns] をクリックして複数列ビュー オプションを開き、[Timeline] タブに表示される情報を変更します。複数列ビューでは、hostnameuser などの一般的なタイプや、UDM によって提供されるより具体的なカテゴリなど、さまざまなカテゴリのログ情報から選択できます。

  1. [RUN TEST] をクリックしてルールをテストします。Google SecOps は、指定された期間のイベントに対してルールを実行し、結果を生成して、[TEST RULE RESULTS] ウィンドウに表示します。
    いつでも [CANCEL TEST] をクリックしてプロセスを停止できます。

ルールの管理に関するコミュニティ ブログについては、以下をご覧ください。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。