Regeln im Regeldashboard ansehen

Unterstützt in:

Wenn Sie das Regeldashboard in Google Security Operations öffnen möchten, wählen Sie über das Dreistrich-Menü  die Option Regeln aus. Im Regeldashboard werden alle Regeln angezeigt, die in Ihrem Google Security Operations-Konto gespeichert sind. In Systemen mit datenbasierter RBAC können Sie nur die Regeln aufrufen und verwalten, die an einen Datenumfang gebunden sind, auf den Sie Zugriff haben.

Das Dashboard für Regeln enthält die folgenden Funktionen:

  • Im Trenddiagramm wird die Regel mit der größten Anzahl von Erkennungen in den letzten drei Wochen angezeigt.
  • Zeigt ein Diagramm der mit den Regeln verknüpften Aktivität an. Wenn Sie den Mauszeiger auf einen Balken im Diagramm bewegen, werden das Datum und die Anzahl der Erkennungen angezeigt.
  • Ausführungshäufigkeit gibt die ungefähre Ausführungshäufigkeit der Regel an.
  • Live-Status („Aktiviert“ oder „Deaktiviert“).
  • Schweregrad der Regel gemäß den Regelmetadaten.

Wenn Sie den Mauszeiger auf eine Regel bewegen und rechts auf das Menüsymbol klicken, können Sie die Regeleinstellungen und bearbeiten Sie die Optionen Live-Regel, Ausführungshäufigkeit und Benachrichtigungen.

  • Die Liveregel prüft Ihre eingehenden Protokolle auf Bedrohungen, bis sie gelöscht oder deaktiviert wird.
  • Eine Benachrichtigung weist auf eine Anomalie im normalen Traffic-Workflow innerhalb des Unternehmens hin. Sie sollten Benachrichtigungen als möglichen Sicherheitsverstoß untersuchen.
  • Die Ausführungshäufigkeit gibt an, wie oft die Regel ungefähr ausgeführt wird. Sie wirkt sich auf die Latenz aus, mit der Erkennungen für jede Regel erkannt werden.
  • Mit YARA-L Retrohunt können Sie mit der ausgewählten Regel in vorhandenen Daten in Google Security Operations nach Erkennungen suchen.
  • Mit Regel bearbeiten können Sie vorhandene Regeln bearbeiten und neue Regeln erstellen.
  • Mit Regelerkennungen ansehen können Sie sich Erkennungen ansehen, die durch eine Live-Regel generiert wurden.
  • Durch Archivieren werden die Regel und die zugehörigen Sicherheitsdaten (und alle zugehörigen Versionen) ausgeblendet, ohne die Regel löschen.

Wenn Sie auf den Namen einer Regel klicken, wird die Ansicht Regelerkennungen geöffnet.