ルール ダッシュボードでのルールの表示

以下でサポートされています。

Google Security Operations でルール ダッシュボードを開くには、メニュー アイコン から [ルール] を選択します。ルール ダッシュボードには、Google Security Operations アカウント内に保存されているすべてのルールが表示されます。データ RBAC を使用するシステムでは、アクセス可能なデータスコープにバインドされているルールのみを表示して管理できます。

ルール ボードには次の機能があります。

  • 傾向グラフには、過去 3 週間の検出数が最も多かったルールが表示されます。
  • ルールに関連付けられているアクティビティのグラフが表示されます。 グラフのバーにカーソルを合わせると、検出日と検出数が表示されます。
  • 実行頻度は、ルールが実行されるおおよその頻度を示します。
  • ライブ ステータス(有効または無効)
  • ルール メタデータで示されるルールの重要度。

ルールにカーソルを合わせ、右側のメニュー アイコンをクリックすると、[ルール設定] メニューを開き、[ライブ ルール] オプション、[実行頻度] オプション、[通知] オプションを操作できます。

  • [ライブルール] は、受信ログを監視し、脅威が削除されるか無効になるまで監視を続けます。
  • アラートは、企業内の通常のトラフィック ワークフローでの異常を示します。アラートはセキュリティ侵害の可能性があるとして調査する必要があります。
  • [実行頻度] はルールが実行されるおおよその頻度を示し、各ルールの検出が見つかったときのレイテンシに影響します。
  • YARA-L Retrohunt を使用すると、選択したルールを使用して、Google Security Operations の既存データ全体で検出結果を検索できます。
  • [ルールを編集] では、既存のルールを編集し、新規ルールを作成できます。
  • [View Rule Detections] では、ライブルールによって生成された検出を表示できます。
  • [アーカイブ] を使用すると、ルールとそのルールに関連するすべてのセキュリティ データが非表示になります。実際にはルールは削除されません。

ルール名をクリックすると、[Rule Detections] ビューが開きます。