Faça a gestão de regras através do editor de regras

Compatível com:

Para usar o editor de regras para criar e editar regras, siga estes passos:

  1. Clique em Deteções > Regras e deteções > o separador Editor de regras.

  2. Use o campo Regras de pesquisa para pesquisar uma regra existente. Também pode deslocar a página pelas regras através da barra de deslocamento. Clique em qualquer uma das regras no painel esquerdo para ver a regra no painel de apresentação de regras.

  3. Selecione a regra na qual tem interesse na lista de regras. A regra é apresentada na janela de edição de regras. Se selecionar uma regra, abre o menu de regras e pode escolher entre as seguintes opções:

    • Regra em direto: ative ou desative a regra.
    • Duplicar regra: cria uma cópia da regra. É útil se quiser criar uma regra semelhante.
    • Ver deteções de regras: abra a janela Deteções de regras para apresentar as deteções captadas por esta regra.

  4. Use a janela de edição de regras para editar regras existentes e criar novas regras. A janela de edição de regras inclui uma funcionalidade de preenchimento automático para lhe permitir ver a sintaxe YARA-L correta disponível para cada secção da regra. Sempre que compõe ou edita uma regra, o Google Security Operations recomenda que siga as recomendações automáticas para garantir que a regra concluída usa a sintaxe correta. Para atualizar o âmbito da regra, selecione o âmbito no menu Associar ao âmbito. Para mais informações sobre a associação de um âmbito a uma regra, consulte o artigo Impacto do RBAC de dados nas regras. Para mais informações, consulte o artigo Sintaxe da linguagem YARA-L 2.0.

  5. Clique em Novo no editor de regras para abrir a janela do editor de regras. Preenche-o automaticamente com o modelo de regra predefinido. O Google SecOps gera automaticamente um nome exclusivo para a regra. Crie a sua nova regra em YARA-L. Para adicionar um âmbito à regra, selecione o âmbito no menu Associar ao âmbito. Para mais informações sobre como adicionar um âmbito às regras, consulte o artigo Impacto do RBAC de dados nas regras. Quando terminar, clique em GUARDAR NOVA REGRA. O Google SecOps verifica a sintaxe da sua regra. Se a regra for válida, é guardada e ativada automaticamente. Se a sintaxe for inválida, devolve um erro. Para eliminar a nova regra, clique em REJEITAR.

  6. Para ver informações sobre as deteções atuais associadas a uma regra, clique na regra na lista de regras e clique em Ver deteções de regras para abrir a vista de deteções de regras.

    A vista Deteções de regras apresenta os metadados anexados à regra e um gráfico que mostra o número de deteções encontradas pela regra nos últimos dias.

  7. Clique em Editar regra para regressar ao editor de regras.

    Vista de várias colunas

    O separador Linha cronológica também está disponível e apresenta os eventos detetados pela regra. Tal como no separador Linha cronológica noutras vistas do Google SecOps, pode selecionar um evento e abrir o registo não processado ou o evento UDM associado.

Clique em view_column Colunas para abrir as opções de visualização de várias colunas e alterar as informações apresentadas no separador Linha cronológica. A vista de várias colunas permite-lhe escolher entre várias categorias de informações de registo, incluindo tipos comuns, como hostname e user, e categorias mais específicas fornecidas pelo UDM.

  1. Clique em EXECUTAR TESTE para testar a regra. O Google SecOps executa a regra em eventos no intervalo de tempo especificado, gera resultados e apresenta-os na janela RESULTADOS DA REGRA DE TESTE.
    Clique em CANCELAR TESTE em qualquer altura para parar o processo.

Para ver blogsues da comunidade sobre a gestão de regras, consulte:

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.