Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Gerenciar regras usando o Editor de regras

O Editor de regras permite editar as regras existentes e criar novas.

Editor de regras do Chronicle Editor de regras

  1. Use o campo Search rules para pesquisar uma regra existente. Também é possível rolar pelas regras usando a barra de rolagem. Clique em qualquer uma das regras no painel esquerdo para vê-la no painel de exibição de regras.

  2. Selecione a regra na lista "Regras". A regra é exibida na janela de edição de regras. Ao selecionar uma regra, você abre o menu pop-up e define as seguintes opções:

    • Live Rule: ativa ou desativa a regra.
    • Duplicar regra: faça uma cópia da regra, útil se você quiser fazer uma regra semelhante.
    • Ver detecções de regras: abra a janela "Detecção de regras" para exibir as detectações capturadas por essa regra.

  3. Use a janela Edição de regras para editar as regras existentes e criar novas. A janela Edição de regras inclui um recurso de conclusão automática para que você veja a sintaxe YARA-L correta disponível para cada seção da regra. Sempre que o Chronicle compõe ou edita uma regra, recomendamos que você consulte as recomendações automáticas para garantir que sua regra concluída use a sintaxe correta. Veja mais detalhes sobre a sintaxe YARA-L e as práticas recomendadas aqui.

  4. Clique em Novo no Editor de regras para abrir a janela "Editor de regras". Ela o preenche automaticamente com o modelo de regra padrão, como mostrado na Figura a seguir. O Chronicle gera automaticamente um nome exclusivo para a regra. Crie sua nova regra em YARA-L. Quando terminar, clique em SALVAR NOVA REGRA. O Chronicle verifica a sintaxe da sua regra. Se a regra for válida, ela será salva e ativada automaticamente. Se a sintaxe for inválida, ela retornará um erro. Para excluir a nova regra, clique em DESCARTAR.

    Novo modelo de regra Novo modelo de regra

  5. Para ver informações sobre as detecções atuais associadas a uma regra, clique nela na lista de regras e em Visualizar detecções de regras para abrir a visualização "Detecção de regras".

    A visualização Detecção de regras exibe os metadados anexados à regra e um gráfico que mostra o número de detecções encontradas pela regra nos últimos dias.

  6. Clique em Editar regra para retornar ao editor de regras.

    Detecção de regras Detecção de regras

    Visualização em várias colunas

    A guia "Linha do tempo" também está disponível e lista os eventos detectados pela regra. Assim como acontece na guia "Linha do tempo" em outras visualizações do Chronicle, você pode selecionar um evento e abrir o registro bruto ou de UDM associado.

    Para gerenciar quais informações são exibidas na guia "Linha do tempo", clique no ícone "Colunas" para abrir as opções de visualização de várias colunas. A visualização de várias colunas permite que você selecione várias categorias de informações de registro a serem exibidas, incluindo tipos comuns como nome do host e usuário, além de muitas outras categorias mais específicas fornecidas pelo UDM.

    visualização em várias colunas

    Visualização com várias colunas

  7. Clique em EXECUTAR TESTE para executar a regra exibida na janela de edição de regras. O Chronicle começa a coletar detecções. Isso permite que você verifique se a regra está funcionando conforme o esperado. As informações de detecção são exibidas na janela RESULTADOS DE REGRA DE TESTE. A qualquer momento, você pode clicar em CANCELAR TESTE para interromper esse processo.

    visualização em várias colunas Resultados da regra de teste