Gerenciar regras usando o editor

Compatível com:

Para usar o editor de regras e criar e editar regras, siga estas etapas:

  1. Clique em Detecções > Regras e detecções > a guia Editor de regras.

  2. Use o campo Regras de pesquisa para procurar uma regra existente. Você também pode rolar as regras usando a barra de rolagem. Clique em qualquer uma das regras no painel à esquerda para ver a regra no painel de exibição.

  3. Selecione a regra de seu interesse na lista de regras. A regra é mostrada na janela de edição. Ao selecionar uma regra, você abre o menu dela e pode escolher entre as seguintes opções:

    • Regra ativa: ative ou desative a regra.
    • Duplicar regra: faz uma cópia da regra, o que é útil se você quiser criar uma regra semelhante.
    • Ver detecções de regras: abra a janela "Detecções de regras" para mostrar as detecções capturadas por essa regra.

  4. Use a janela de edição de regras para editar as regras atuais e criar novas. A janela de edição de regras inclui um recurso de conclusão automática para que você veja a sintaxe YARA-L correta disponível para cada seção da regra. Ao criar ou editar uma regra, o Google Security Operations recomenda analisar as recomendações automáticas para garantir que a regra concluída use a sintaxe correta. Para atualizar o escopo da regra, selecione a opção no menu Vincular ao escopo. Para mais informações sobre como associar um escopo a uma regra, consulte Impacto do RBAC de dados nas regras. Para mais informações, consulte Sintaxe da linguagem YARA-L 2.0.

  5. Clique em Novo no editor de regras para abrir a janela do editor. Ele preenche automaticamente com o modelo de regra padrão. O Google SecOps gera automaticamente um nome exclusivo para a regra. Crie sua nova regra em YARA-L. Para adicionar um escopo à regra, selecione o escopo no menu Vincular ao escopo. Para mais informações sobre como adicionar um escopo às regras, consulte Impacto do RBAC de dados nas regras. Quando terminar, clique em SALVAR NOVA REGRA. O Google SecOps verifica a sintaxe da sua regra. Se a regra for válida, ela será salva e ativada automaticamente. Se a sintaxe for inválida, um erro será retornado. Para excluir a nova regra, clique em DESCARTAR.

A frequência de execução das regras de vários eventos é definida automaticamente com base na janela de correspondência da regra:

  • Para um tamanho de janela de 1 a 48 horas, a frequência de execução é de 1 hora.
  • Para um tamanho de janela maior que 48 horas, a frequência de execução é de 24 horas.

Para mais informações, consulte Definir a frequência de execução.

  1. Para ver informações sobre as detecções atuais associadas a uma regra, clique nela na lista e em Ver detecções de regra para abrir a visualização "Detecções de regra".

    A visualização Detecções de regras mostra os metadados anexados à regra e um gráfico com o número de detecções encontradas pela regra nos últimos dias.

  2. Clique em Editar regra para voltar ao editor de regras.

    Visualização em várias colunas

    A guia Linha do tempo também está disponível e lista os eventos detectados pela regra. Assim como na guia Linha do tempo em outras visualizações do Google SecOps, você pode selecionar um evento e abrir o registro bruto ou o evento UDM associado.

Clique em view_column Colunas para abrir as opções de visualização em várias colunas e mudar as informações mostradas na guia Linha do tempo. A visualização em várias colunas permite escolher entre várias categorias de informações de registro, incluindo tipos comuns, como hostname e user, e categorias mais específicas fornecidas pela UDM.

  1. Clique em EXECUTAR TESTE para testar sua regra. O Google SecOps executa a regra em eventos no período especificado, gera resultados e os mostra na janela RESULTADOS DO TESTE DE REGRA.
    Clique em CANCELAR TESTE a qualquer momento para interromper o processo.

Para blogs da comunidade sobre como gerenciar regras, consulte:

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.