Gerenciar regras usando o editor de regras

No editor de regras, você pode editar as regras existentes e criar novas.

1. Use o campo Regras de pesquisa para procurar uma regra. Também é possível navegar pelas regras usando a barra de rolagem. Clique em qualquer uma das regras no painel esquerdo para visualizá-la no painel de exibição.

2. Selecione a regra do seu interesse na lista de regras. A regra é exibida na janela de edição de regras. Ao selecionar uma regra, você abre o menu de regras e pode selecionar uma das seguintes opções:

   • Regra ativa: ative ou desative a regra.
   • Duplicar regra: faça uma cópia da regra. Útil se você quiser criar uma regra semelhante.
   • Visualizar detecções de regras: abra a janela "Detecção de regras" para exibir as detecções capturadas por essa regra.

3. Use a janela "Edição de regras" para editar as regras existentes e criar novas. A janela "Edição de regras" inclui um recurso de preenchimento automático que permite visualizar a sintaxe YARA-L correta disponível para cada seção da regra. Sempre que você criar ou editar uma regra, o Chronicle recomenda conferir as recomendações automáticas para garantir que a regra concluída use a sintaxe correta. Confira mais detalhes sobre a sintaxe do YARA-L e as práticas recomendadas aqui.

4. Clique em Novo no Editor de regras para abrir a janela "Editor de regras". Ela a preenche automaticamente com o modelo de regra padrão. O Chronicle gera automaticamente um nome exclusivo para a regra. Crie sua nova regra em YARA-L. Quando terminar, clique em SALVAR NOVA REGRA. O Chronicle verifica a sintaxe da regra. Se a regra for válida, ela será salva e ativada automaticamente. Se a sintaxe for inválida, ela retornará um erro. Para excluir a nova regra, clique em DESCARTAR.

5. Para visualizar informações sobre as detecções atuais associadas a uma regra, clique na regra na lista de regras e em Ver detecções de regras para abrir a visualização "Detecção de regras".

   A visualização Detecções de regras exibe os metadados anexados à regra e um gráfico mostrando o número de detecções encontradas pela regra nos últimos dias.

6. Clique em Editar regra para voltar ao editor de regras.

   Visualização de várias colunas

   A guia "Cronograma" também está disponível e lista os eventos detectados pela regra. Assim como na guia "Cronograma" de outras visualizações do Chronicle, você pode selecionar um evento e abrir o registro bruto ou o evento de UDM associado.

   Você também pode manipular as informações exibidas na guia Linha do tempo clicando no ícone "Colunas" para abrir as opções de visualização de várias colunas. A visualização de várias colunas permite selecionar várias categorias de informações de registro para exibir, incluindo tipos comuns, como nome do host e usuário, e outras categorias específicas fornecidas pelo UDM.

7. Clique em EXECUTAR TESTE para executar a regra exibida na janela de edição de regras. O Chronicle começa a coletar detecções. Isso permite verificar rapidamente se a regra está funcionando conforme o esperado. As informações de detecção são exibidas na janela RESULTADOS DA REGRA DE TESTE. A qualquer momento, você pode clicar em CANCELAR TESTE para interromper esse processo.