ルールエディタを使用してルールを管理する

ルールエディタを使用すると、既存のルールを編集し、新規ルールを作成できます。

  1. [Search rules] フィールドを使用して、既存のルールを検索します。スクロールバーを使用してルールをスクロールすることもできます。 左パネルでいずれかのルールをクリックすると、ルール表示パネルにそのルールが表示されます。

  2. ルールリストから目的のルールを選択します。 ルールがルール編集ウィンドウに表示されます。 ルールを選択してルールメニューを開き、次のオプションを選択します。

    • Live Rule - ルールを有効または無効にします。
    • Duplicate Rule - ルールのコピーを作成します。類似のルールを作成する場合に役立ちます。
    • View Rule Detections - [Rule Detections] ウィンドウを開いて、このルールによってキャプチャされた検出を表示します。
  3. [Rule Editing] ウィンドウを使用して、既存のルールを編集し、新規ルールを作成します。 [ルール編集] ウィンドウには自動入力機能が備わっています。これを使用して、ルールの各セクションで使用可能な正しい YARA-L 構文を表示できます。Google Security Operations では、ルールを作成または編集する場合はいつでも、自動で提案される候補を一通り確認し、完成したルールで確実に正しい構文が使用されるようにすることをおすすめします。ルールのスコープを更新するには、[スコープにバインド] メニューからスコープを選択します。スコープとルールの関連付けの詳細については、データ RBAC がルールに与える影響をご覧ください。 YARA-L 構文とベスト プラクティスの詳細については、こちらをご覧ください。

  4. ルールエディタで [新規] をクリックして、ルールエディタ ウィンドウを開きます。デフォルトのルール テンプレートが自動的に入力されます。 Google Security Operations がルールの一意の名前を自動的に生成します。YARA-L で新しいルールを作成します。ルールにスコープを追加するには、[スコープにバインド] メニューからスコープを選択します。ルールにスコープを追加する方法については、データ RBAC がルールに与える影響をご覧ください。完了したら、[新しいルールを保存] をクリックします。Google Security Operations がルールの構文をチェックします。ルールが有効な場合は、保存され、自動的に有効になります。 構文が無効な場合は、エラーが返されます。 新しいルールを削除するには、[破棄] をクリックします。

  5. ルールに関連付けられた現在の検出に関する情報を表示するには、ルールリストでルールをクリックし、[View Rule Detections] をクリックして [Rule Detections] ビューを開きます。

    [Rule Detection] ビューには、ルールに添付されているメタデータと、最近のルール全体におけるルールの検出数を示すグラフが表示されます。

  6. [Edit Rule] をクリックして、ルールエディタに戻ります。

    複数列ビュー

    [Timeline] タブも使用可能で、検出されたイベントがルール別にリストされます。 他の Google Security Operations ビューの [タイムライン] タブと同様に、イベントを選択して関連する生のログや UDM イベントを開くことができます。

    [Columns] アイコンをクリックして複数列ビュー オプションを開き、[Timeline] タブにどの情報を表示するかを操作することもできます。 複数列ビューでは、ホスト名やユーザーなどの一般的なタイプや、UDM によって提供される多数の具体的なカテゴリを含む、さまざまなカテゴリのログ情報を選択して表示できます。

  7. [RUN TEST] をクリックして、ルール編集ウィンドウに表示されているルールを実行します。Google Security Operations が検出の収集を開始します。これにより、ルールが期待どおりに動作しているかを素早く確認できます。 検出情報は [TEST RULE RESULTS] ウィンドウに表示されます。いつでも [CANCEL TEST] をクリックしてこのプロセスを停止できます。