在规则信息中心内查看规则

如需在 Chronicle 中打开规则信息中心,请从菜单图标 中选择规则。规则信息中心显示您当前在 Chronicle 账号中存储的所有规则,并包括以下功能:

  • 趋势图会显示过去 3 周检测次数最多的规则。
  • 显示与规则相关联的活动的图表。将鼠标悬停在图表中的柱形上可查看检测的日期和数量。
  • 运行频率表示规则将执行的大概频率。
  • 实时状态(已启用或已停用)。
  • 与规则元数据一样的规则严重性。

如果将鼠标悬停在规则上,然后点击右侧的菜单图标,您可以打开规则设置菜单,并操作实时规则 (Live Rule)、运行频率通知选项。

  • 实时规则会监控传入的日志中是否存在威胁,直到该规则被删除或停用。
  • 收到提醒即表示企业内部流量的正常工作流存在异常。如果提醒可能存在安全威胁,您应该对相应提醒展开调查。
  • 运行频率指示规则将执行的大致频率,并影响为每条规则发现检测的延迟时间。
  • 借助 YARA-L RetroHunt,您可以使用所选规则在 Chronicle 中的现有数据中搜索检测结果。
  • 修改规则:用于修改现有规则和创建新规则。
  • 借助查看规则检测功能,您可以查看由实时规则生成的检测结果。
  • 如果选择归档,则系统会隐藏相应规则以及与该规则(及其所有版本)相关的安全性数据,而不会真正删除该规则。

点击规则名称可打开“规则检测”视图(如需了解详情,请参阅“查看规则检测”)。

Chronicle 规则信息中心 “规则”信息中心,用于查看规则的状态