Como gerenciar regras usando o Editor de regras
O Editor de regras permite editar as regras atuais e criar novas.
Editor de regras
Use o campo Search rules para pesquisar uma regra existente. Também é possível rolar as regras usando a barra de rolagem. Clique em qualquer uma das regras no painel esquerdo para vê-la no painel de exibição de regras.
Selecione uma opção na lista de regras. A regra é exibida na janela de edição de regras. Ao selecionar uma regra, o menu pop-up será aberto e selecionar as seguintes opções:
- Regra ativa: ative ou desative a regra.
- Duplicar regra: faça uma cópia da regra para ajudar se você quiser criar uma regra semelhante.
- Visualizar detecções de regras: abra a janela "Detecção de regras" para exibir as detectações capturadas por essa regra.
Use a janela Edição de regra para editar as regras existentes e criar novas regras. A janela de edição de regras inclui um recurso de preenchimento automático para você visualizar a sintaxe YARA-L correta disponível para cada seção da regra. Sempre que você escreve ou edita uma regra, o Chronicle recomenda seguir as recomendações automáticas para garantir que a regra concluída use a sintaxe correta. Veja mais detalhes sobre a sintaxe YARA-L e as práticas recomendadas neste link.
Clique em Novo no Editor de regras para abrir a janela do Editor de regras. Ele a preenche automaticamente com o modelo de regra padrão, como mostrado na Figura a seguir. O Chronicle gera automaticamente um nome exclusivo para a regra. Crie sua nova regra em YARA-L. Quando terminar, clique em SALVAR NOVA REGRA. O Chronicle verifica a sintaxe da sua regra. Se a regra for válida, ela será salva e ativada automaticamente. Se a sintaxe for inválida, ela retornará um erro. Para excluir a nova regra, clique em DESCARTAR.
Novo modelo de regra
Para ver informações sobre as detecções atuais associadas a uma regra, clique na regra na lista de regras e em Visualizar detecções de regras para abrir a visualização "Detecção de regras".
A visualização Detectações de regras exibe os metadados anexados à regra e um gráfico que mostra o número de detecções encontradas pela regra em dias recentes.
Clique em Editar regra para retornar ao editor de regras.
Detecção de regras
Visualização em várias colunas
A guia "Linha do tempo" também está disponível e lista os eventos detectados pela regra. Assim como na guia "Linha do tempo" em outras visualizações do Chronicle, você pode selecionar um evento e abrir o registro bruto ou de UDM associado a ele.
Para gerenciar quais informações são exibidas na guia "Linha do tempo", clique no ícone "Colunas" para abrir as opções de visualização de várias colunas. A visualização multicoluna permite que você selecione uma variedade de categorias de informações de registro a serem exibidas, incluindo tipos comuns como nome do host e usuário e muitas outras categorias mais específicas fornecidas pelo UDM.
Visualização de várias colunas
Clique em EXECUTAR TESTE para executar a regra exibida na janela de edição de regras. O Chronicle começa a coletar detecções. Essa é uma maneira rápida de verificar se a regra está funcionando como esperado. As informações de detecção são exibidas na janela RESULTADOS DE REGRAS DE TESTE. A qualquer momento, você pode clicar em CANCELAR TESTE para interromper esse processo.
Resultados da regra de teste