Esta página foi traduzida pela API Cloud Translation.

Gerenciar regras usando o editor

Compatível com:

Google SecOps SIEM

O editor de regras no Google Security Operations é a principal interface para criar, visualizar, testar e gerenciar suas regras de detecção YARA-L. Ele oferece um ambiente dedicado para que os engenheiros de segurança criem e refinem a lógica de detecção que identifica ameaças e atividades suspeitas nos dados de registros ingeridos.

Criar e editar regras

Para abrir o Editor de regras, clique em Detecções > Regras e detecções > a guia Editor de regras.

Editar uma regra

Para editar uma regra, siga estas etapas:

Use o campo Pesquisar regras para encontrar uma regra ou role a lista. Clique em uma regra no painel lateral para conferir os detalhes no painel de exibição de regras.
Selecione a regra que você quer editar na Lista de regras.

A regra aparece na janela Edição de regras. O menu de regras oferece as seguintes opções para cada regra:
- Regra ativa: ative ou desative a regra.
- Duplicar regra: faça uma cópia da regra.
- Ver detecções de regras: abra a janela Detecções de regras para mostrar as detecções capturadas por essa regra.
Para atualizar o escopo da regra, selecione a opção no menu Vincular ao escopo. Para mais informações sobre como adicionar um escopo a uma regra, consulte Impacto do RBAC de dados nas regras.

Para mais informações, consulte Sintaxe da linguagem YARA-L 2.0.

Crie uma nova regra

Para criar uma regra, siga estas etapas:

No Editor de regras, clique em Novo para abrir a janela Editor de regras.

O sistema preenche automaticamente o modelo de regra padrão e gera um nome exclusivo para a regra. Crie sua nova regra em YARA-L.
No menu Vincular ao escopo, selecione o escopo para adicionar à regra. Para mais informações sobre como adicionar um escopo a uma regra, consulte Impacto do RBAC de dados nas regras.
Clique em Salvar nova regra.

O Google SecOps verifica a sintaxe da sua regra. Se a regra for válida, ela será salva e ativada automaticamente. Se a regra for inválida, um erro será retornado.

Para excluir a nova regra, clique em Descartar.

Observação: depois de salvar uma regra, não é possível excluí-la usando o editor de regras ou o painel Regras.

A frequência de execução das regras de vários eventos é definida automaticamente com base na janela de correspondência da regra:
- Para um tamanho de janela de 1 a 48 horas, a frequência de execução é definida como 1 hora.
- Para um tamanho de janela maior que 48 horas, a frequência de execução é definida como 24 horas.
Para mais informações, consulte Definir a frequência de execução.

Ver detecções atuais

Confira informações sobre as detecções atuais associadas a uma regra de uma destas maneiras:

Clique na regra na lista.

Clique em Ver detecções de regras para abrir a visualização Detecções de regras. Essa visualização mostra os metadados da regra e um gráfico com o número de detecções encontradas por ela nos últimos dias.
Clique em Editar regra para abrir o Editor de regras.

A guia Cronograma lista os eventos detectados pela regra. Selecione um evento e abra o registro bruto ou o evento UDM associado.

Para mudar as informações mostradas na guia Linha do tempo, clique em view_column Colunas para abrir as opções de visualização em várias colunas. A visualização em várias colunas permite escolher entre várias categorias de informações de registro, incluindo tipos comuns, como hostname e user, e categorias mais específicas fornecidas pela UDM.

Testar sua regra

Clique em Executar teste para testar sua regra. O Google SecOps executa a regra em eventos no período especificado, gera resultados e os mostra na janela Resultados do teste de regra.

Clique em Cancelar teste a qualquer momento para interromper o processo.

Para mais informações, consulte Ver erros de regra.

Para blogs da comunidade sobre como gerenciar regras, consulte: Navegação no editor de regras

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.