使用規則編輯器管理規則

支援的國家/地區:

如要使用規則編輯器建立及編輯規則,請按照下列步驟操作:

  1. 依序點選「偵測」「規則與偵測項目」「規則編輯器」分頁標籤。

  2. 使用「搜尋規則」欄位搜尋現有規則。您也可以使用捲軸瀏覽規則。按一下左側面板中的任一規則,即可在規則顯示面板中查看規則。

  3. 從「規則清單」中選取您感興趣的規則。規則會顯示在規則編輯視窗中。選取規則後,系統會開啟規則選單,您可以選取下列任一選項:

    • 即時規則:啟用或停用規則。
    • 複製規則:複製規則,方便您建立類似的規則。
    • 查看規則偵測項目:開啟「規則偵測項目」視窗,顯示這項規則擷取的偵測項目。

  4. 您可以在「規則編輯」視窗中編輯現有規則,以及建立新規則。 「規則編輯」視窗提供自動完成功能,方便您查看規則各節可用的正確 YARA-L 語法。撰寫或編輯規則時,Google Security Operations 建議您查看自動建議,確保完成的規則使用正確語法。如要更新規則範圍,請從「繫結至範圍」選單中選取範圍。如要進一步瞭解如何將範圍與規則建立關聯,請參閱「資料 RBAC 對規則的影響」。詳情請參閱「YARA-L 2.0 語言語法」。

  5. 在規則編輯器中按一下「新增」,開啟規則編輯器視窗。系統會自動填入預設規則範本。Google SecOps 會自動為規則產生不重複的名稱。在 YARA-L 中建立新規則。如要為規則新增範圍,請從「繫結至範圍」選單中選取範圍。如要進一步瞭解如何為規則新增範圍,請參閱「資料 RBAC 對規則的影響」。完成後,請按一下「儲存新規則」。Google SecOps 會檢查規則的語法。如果規則有效,系統會儲存並自動啟用。 如果語法無效,系統會傳回錯誤。如要刪除新規則,請按一下「捨棄」

系統會根據規則的相符時間範圍,自動設定多事件規則的執行頻率:

  • 如果回溯期為 1 到 48 小時,執行頻率為 1 小時。
  • 如果時間範圍超過 48 小時,執行頻率為 24 小時。

詳情請參閱「設定執行頻率」。

  1. 如要查看與規則相關的目前偵測資訊,請在規則清單中按一下規則,然後按一下「查看規則偵測」,開啟「規則偵測」檢視畫面。

    「規則偵測」檢視畫面會顯示附加至規則的中繼資料,以及圖表,當中顯示規則在最近幾天內偵測到的次數。

  2. 按一下「編輯規則」,返回規則編輯器。

    多欄檢視

    您也可以使用「時間軸」分頁,查看規則偵測到的事件。 與其他 Google SecOps 檢視畫面中的「時間軸」分頁一樣,您可以選取事件並開啟相關的原始記錄或 UDM 事件。

按一下「欄」 view_column 「view_column」圖示,開啟多欄檢視選項,然後變更「時間軸」分頁中顯示的資訊。在多欄檢視畫面中,您可以選擇各種記錄資訊類別,包括常見類型 (例如 hostnameuser),以及 UDM 提供的更具體類別。

  1. 按一下「執行測試」即可測試規則。Google SecOps 會對指定時間範圍內的事件執行規則、產生結果,並顯示在「TEST RULE RESULTS」(測試規則結果) 視窗中。
    如要停止測試,請隨時按一下「取消測試」

如需管理規則的社群網誌,請參閱:

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。