Como gerenciar regras usando o Editor de regras

O Editor de regras permite editar as regras atuais e criar novas.

Editor de regras do Chronicle Editor de regras

  1. Use o campo Search rules para pesquisar uma regra existente. Também é possível rolar as regras usando a barra de rolagem. Clique em qualquer uma das regras no painel esquerdo para vê-la no painel de exibição de regras.

  2. Selecione uma opção na lista de regras. A regra é exibida na janela de edição de regras. Ao selecionar uma regra, o menu pop-up será aberto e selecionar as seguintes opções:

    • Regra ativa: ative ou desative a regra.
    • Duplicar regra: faça uma cópia da regra para ajudar se você quiser criar uma regra semelhante.
    • Visualizar detecções de regras: abra a janela "Detecção de regras" para exibir as detectações capturadas por essa regra.
  3. Use a janela Edição de regra para editar as regras existentes e criar novas regras. A janela de edição de regras inclui um recurso de preenchimento automático para você visualizar a sintaxe YARA-L correta disponível para cada seção da regra. Sempre que você escreve ou edita uma regra, o Chronicle recomenda seguir as recomendações automáticas para garantir que a regra concluída use a sintaxe correta. Veja mais detalhes sobre a sintaxe YARA-L e as práticas recomendadas neste link.

  4. Clique em Novo no Editor de regras para abrir a janela do Editor de regras. Ele a preenche automaticamente com o modelo de regra padrão, como mostrado na Figura a seguir. O Chronicle gera automaticamente um nome exclusivo para a regra. Crie sua nova regra em YARA-L. Quando terminar, clique em SALVAR NOVA REGRA. O Chronicle verifica a sintaxe da sua regra. Se a regra for válida, ela será salva e ativada automaticamente. Se a sintaxe for inválida, ela retornará um erro. Para excluir a nova regra, clique em DESCARTAR.

    Novo modelo de regra Novo modelo de regra

  5. Para ver informações sobre as detecções atuais associadas a uma regra, clique na regra na lista de regras e em Visualizar detecções de regras para abrir a visualização "Detecção de regras".

    A visualização Detectações de regras exibe os metadados anexados à regra e um gráfico que mostra o número de detecções encontradas pela regra em dias recentes.

  6. Clique em Editar regra para retornar ao editor de regras.

    Detecção de regras Detecção de regras

    Visualização em várias colunas

    A guia "Linha do tempo" também está disponível e lista os eventos detectados pela regra. Assim como na guia "Linha do tempo" em outras visualizações do Chronicle, você pode selecionar um evento e abrir o registro bruto ou de UDM associado a ele.

    Para gerenciar quais informações são exibidas na guia "Linha do tempo", clique no ícone "Colunas" para abrir as opções de visualização de várias colunas. A visualização multicoluna permite que você selecione uma variedade de categorias de informações de registro a serem exibidas, incluindo tipos comuns como nome do host e usuário e muitas outras categorias mais específicas fornecidas pelo UDM.

    visualização em várias colunas

    Visualização de várias colunas

  7. Clique em EXECUTAR TESTE para executar a regra exibida na janela de edição de regras. O Chronicle começa a coletar detecções. Essa é uma maneira rápida de verificar se a regra está funcionando como esperado. As informações de detecção são exibidas na janela RESULTADOS DE REGRAS DE TESTE. A qualquer momento, você pode clicar em CANCELAR TESTE para interromper esse processo.

    visualização em várias colunas Resultados da regra de teste