ルールエディタを使用してルールを管理する

ルールエディタでは、既存のルールを編集し、新しいルールを作成できます。

Chronicle ルール編集者 ルール編集者

  1. [Search rules] フィールドを使用して、既存のルールを検索します。スクロールバーを使用してルールをスクロールすることもできます。左側のパネルのいずれかのルールをクリックして、ルール表示パネルでルールを表示します。

  2. ルールリストから、対象のルールを選択します。ルールの編集ウィンドウにルールが表示されます。ルールを選択すると、ルールのポップアップ メニューが開き、次のオプションが表示されます。

    • Live Rule - ルールを有効または無効にします。
    • Duplicate Rule: ルールのコピーを作成します。類似のルールを作成する場合に役立ちます。
    • View Rule Detections - [Rule Detections] ウィンドウを開いて、このルールによってキャプチャされた検出を表示します。
  3. [Rule Editing] ウィンドウを使用して、既存のルールを編集し、新しいルールを作成します。[Rule Editing] ウィンドウにはオートコンプリート機能が備わっているので、ルールの各セクションで使用できる正しい YARA-L 構文を確認できます。ルールを作成または編集するたびに、Chronicle は自動推奨事項について確認し、完成したルールが正しい構文を使用するようにすることをおすすめします。

  4. [Rules Editor] で [New] をクリックすると、[Rules Editor] ウィンドウが開き、次の図に示すように、デフォルトのルール テンプレートが自動的に入力されます。自動的にルールに一意の名前が生成されます。YARA-L で新しいルールを作成します。完了したら、[SAVE NEW RULE] をクリックします。Chronicle はルールの構文をチェックします。ルールが有効な場合は保存され、自動的に有効になります。構文が無効な場合は、エラーが返されます。新しいルールを削除するには、[DISCARD] をクリックします。

    新しいルール テンプレート 新しいルール テンプレート

  5. ルールに関連付けられた現在の検出に関する情報を表示するには、ルールリストでルールをクリックし、[View Rule Detections] をクリックして [Rule Detections] ビューを開きます。

    [Rule Detection] ビューには、ルールに添付されているメタデータと、最近のルール全体におけるルールの検出数を示すグラフが表示されます。

  6. [Edit Rule] をクリックして、ルールエディタに戻ります。

    ルールの検出 ルール検出

    複数列ビュー

    [Timeline] タブも使用でき、ルールで検出されたイベントが表示されます。他の Chronicle ビューの [Timeline] タブと同様に、イベントを選択して、関連する未加工のログまたは UDM イベントを開くことができます。

    また、列アイコンをクリックして複数列ビュー オプションを開き、[Timeline] タブに表示される情報を操作することもできます。複数列ビューでは、ホスト名やユーザーなどの一般的なタイプ、UDM によって提供されるより具体的なカテゴリなど、表示するさまざまなログ情報カテゴリを選択できます。

    multicolumn-view

    複数列ビュー

  7. [RUN TEST] をクリックして、ルール編集ウィンドウに表示されたルールを実行します。Chronicle で検出の収集が開始されます。これにより、ルールが意図したとおりに機能しているかどうかをすばやく確認できます。検出情報が [TEST RULE RESULTS] ウィンドウに表示されます。[CANCEL TEST] をクリックすると、いつでもこのプロセスを停止できます。

    multicolumn-view テストルールの結果