규칙 편집기를 사용하여 규칙 관리
규칙 편집기를 사용하면 기존 규칙을 수정하고 새 규칙을 만들 수 있습니다.
규칙 검색 필드를 사용하여 기존 규칙을 검색합니다. 스크롤바를 사용하여 규칙을 스크롤할 수도 있습니다. 왼쪽 패널에서 규칙을 클릭하여 규칙 표시 패널에서 규칙을 확인합니다.
규칙 목록에서 원하는 규칙을 선택합니다. 규칙이 규칙 수정 창에 표시됩니다. 규칙을 선택하여 규칙 메뉴를 열고 다음 옵션 중에서 선택할 수 있습니다.
- 실시간 규칙 - 규칙을 사용 설정하거나 중지합니다.
- 중복 규칙 - 규칙의 사본을 만들며 비슷한 규칙을 만들려는 경우에 유용합니다.
- 규칙 감지 보기 - 규칙 감지 창을 열어 이 규칙에서 캡처한 감지를 표시합니다.
규칙 수정 창에서 기존 규칙을 수정하고 새 규칙을 만듭니다. 규칙 수정 창에는 규칙의 각 섹션에 사용할 수 있는 올바른 YARA-L 구문을 볼 수 있는 자동 완성 기능이 포함되어 있습니다. 규칙을 작성하거나 수정할 때마다 Chronicle에서는 완성된 규칙에서 올바른 구문을 사용하도록 자동 추천을 안내합니다. YARA-L 구문 및 권장사항에 대한 자세한 내용은 여기를 참조하세요.
규칙 편집기에서 새로 만들기를 클릭하여 규칙 편집기 창을 엽니다. 기본 규칙 템플릿으로 자동으로 채워집니다. Chronicle은 규칙의 고유한 이름을 자동으로 생성합니다. YARA-L에서 새 규칙을 만듭니다. 완료되면 새 규칙 저장을 클릭합니다. Chronicle은 규칙의 구문을 확인합니다. 규칙이 유효한 경우 저장되고 자동으로 사용 설정됩니다. 구문이 잘못된 경우 오류를 반환합니다. 새 규칙을 삭제하려면 삭제를 클릭합니다.
규칙과 관련된 현재 감지에 대한 정보를 확인하려면 규칙 목록에서 규칙을 클릭하고 규칙 감지 보기를 클릭하여 규칙 감지 뷰를 엽니다.
규칙 감지 뷰에는 규칙에 연결된 메타데이터와 최근 며칠 동안 규칙에 의해 발견된 감지 횟수를 보여주는 그래프가 표시됩니다.
규칙 수정을 클릭하여 규칙 편집기로 돌아갑니다.
여러 열 보기
타임라인 탭도 사용할 수 있으며 규칙에서 감지한 이벤트가 나열됩니다. 다른 Chronicle 뷰의 타임라인 탭과 마찬가지로 이벤트를 선택하고 연결된 원시 로그 또는 UDM 이벤트를 열 수 있습니다.
또한 열 아이콘을 클릭하여 여러 열 보기 옵션을 열어 타임라인 탭에 표시되는 정보를 조작할 수도 있습니다. 멀티 열 보기를 사용하면 호스트 이름 및 사용자와 같은 일반적인 유형과 UDM에서 제공하는 보다 구체적인 여러 카테고리 등 표시할 로그 정보의 다양한 카테고리를 선택할 수 있습니다.
테스트 실행을 클릭하여 규칙 수정 창에 표시된 규칙을 실행합니다. Chronicle에서 감지 수집을 시작합니다. 이렇게 하면 규칙이 예상대로 작동하는지 빠르게 확인할 수 있습니다. 감지 정보가 규칙 결과 테스트 창에 표시됩니다. 언제든지 테스트 취소를 클릭하여 이 프로세스를 중지할 수 있습니다.