在规则信息中心内查看规则
如需在 Google Security Operations 中打开规则信息中心,请从菜单图标 中选择 Rules。 规则信息中心会显示您在 Google Security Operations 帐号中存储的所有规则。在使用数据 RBAC 的系统上,您只能查看和管理绑定到您有权访问的数据范围的规则。
规则信息中心包含以下功能:
- 趋势图会显示过去 3 周检测次数最多的规则。
- 显示与规则相关联的活动的图表。将鼠标悬停在图表中的柱形上可查看检测的日期和数量。
- 运行频率表示规则将执行的大概频率。
- 实时状态(已启用或已停用)。
- 与规则元数据一样的规则严重性。
如果将鼠标悬停在规则上并点击右侧的菜单图标,您可以打开规则设置菜单,然后操作实时规则、执行频率和通知选项。
- 实时规则会监控传入的日志中是否存在威胁,直到该日志被删除或停用。
- 提醒表明企业内的正常流量工作流出现异常情况。您应将提醒作为可能违反安全指南的行为进行调查。
- 运行频率表示规则的大致执行频率,它会影响针对每条规则发现检测的延迟时间。
- YARA-L Retrohunt 使您能够使用所选规则在 Google Security Operations 中的现有数据中搜索检测。
- 修改规则可让您修改现有规则和创建新规则。
- 查看规则检测结果:可让您查看由有效规则生成的检测结果。
- 归档会隐藏规则以及与该规则(及其所有版本)相关的安全数据,而不会实际删除规则。
点击规则名称可打开规则检测视图。