Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Regeln mit dem Regeleditor verwalten

Unterstützt in:

Google SecOps SIEM

Der Regeleditor in Google Security Operations ist die primäre Benutzeroberfläche zum Erstellen, Ansehen, Testen und Verwalten Ihrer YARA-L-Erkennungsregeln. Er bietet eine spezielle Umgebung für Sicherheitsexperten, in der sie Erkennungslogik erstellen und verfeinern können, um Bedrohungen und verdächtige Aktivitäten in aufgenommenen Logdaten zu identifizieren.

Regeln erstellen und bearbeiten

Klicken Sie zum Öffnen des Regeleditors auf Erkennungen > Regeln & Erkennungen > Tab Regeleditor.

Neue Regel erstellen

Regeln verwenden die YARA-L 2.0-Abfragesprache. Bevor Sie zum ersten Mal eine neue Regel erstellen, lesen Sie den Artikel Erste Schritte: YARA-L 2.0 in SecOps.

So erstellen Sie eine neue Regel:

Klicken Sie im Regeleditor auf Neu, um das Fenster Regeleditor zu öffnen.

Das System füllt automatisch die Standardregelvorlage aus und generiert einen eindeutigen Namen für die Regel. Erstellen Sie Ihre neue Regel in YARA-L.

Hinweis: Wenn Sie eine Suchanfrage in eine Regel umwandeln, fügen Sie die nocase Option zu den Regelfiltern hinzu. In der Websuchoberfläche ist die Standardoption für Groß-/Kleinschreibung beachten auf Aus festgelegt. Wenn Sie die Option nocase hinzufügen, wird sichergestellt, dass sich Ihre Regel genauso verhält. Ein Beispiel für eine Regel mit der nocase Option finden Sie unter Reguläre Ausdrücke in einer Regel.
Wählen Sie im Menü An Geltungsbereich binden den Geltungsbereich aus, um ihn der Regel hinzuzufügen. Weitere Informationen zum Hinzufügen eines Geltungsbereichs zu einer Regel finden Sie unter Auswirkungen der datenbasierten RBAC auf Regeln.
Klicken Sie auf Neue Regel speichern.

Google SecOps prüft die Syntax Ihrer Regel. Wenn die Regel gültig ist, wird sie automatisch gespeichert und aktiviert. Wenn die Regel ungültig ist, wird ein Fehler zurückgegeben.

Die Ausführungshäufigkeit für Regeln mit mehreren Ereignissen wird automatisch basierend auf dem Zeitfenster für den Abgleich der Regel festgelegt:
- Bei einer Fenstergröße von 1 bis 48 Stunden wird die Ausführungshäufigkeit auf 1 Stunde festgelegt.
- Bei einer Fenstergröße von mehr als 48 Stunden wird die Ausführungshäufigkeit auf 24 Stunden festgelegt.
Weitere Informationen finden Sie unter Ausführungshäufigkeit festlegen.
Optional: Wenn Sie die neue Regel löschen möchten, klicken Sie auf Verwerfen.

Hinweis: Nachdem Sie eine Regel gespeichert haben, können Sie sie nicht mehr über den Regeleditor oder das Dashboard Regeln löschen.

Regel bearbeiten

So bearbeiten Sie eine vorhandene Regel:

Verwenden Sie das Feld Regeln suchen , um eine vorhandene Regel zu finden, oder scrollen Sie durch die Liste der Regeln. Klicken Sie in der Seitenleiste auf eine Regel, um die Details im Bereich „Regelanzeige“ aufzurufen.
Wählen Sie die zu bearbeitende Regel in der Regelliste aus.

Die Regel wird im Fenster Regel bearbeiten angezeigt. Das Regelmenü bietet für jede Regel die folgenden Optionen:
- Live-Regel: Aktivieren oder deaktivieren Sie die Regel.
- Regel duplizieren: Erstellen Sie eine Kopie der Regel.
- Regelerkennungen ansehen: Öffnen Sie das Fenster Regelerkennungen , um die von dieser Regel erfassten Erkennungen anzuzeigen.
Wenn Sie den Geltungsbereich der Regel aktualisieren möchten, wählen Sie den Geltungsbereich im Menü An Geltungsbereich binden aus. Weitere Informationen zum Hinzufügen eines Geltungsbereichs zu einer Regel finden Sie unter Auswirkungen der datenbasierten RBAC auf Regeln.

Aktuelle Erkennungen ansehen

Sie haben folgende Möglichkeiten, Informationen zu aktuellen Erkennungen aufzurufen, die mit einer Regel verknüpft sind:

Klicken Sie in der Regelliste auf die Regel.

Klicken Sie auf Regelerkennungen ansehen , um die Ansicht Regelerkennungen zu öffnen. In dieser Ansicht werden die Metadaten der Regel und ein Diagramm mit der Anzahl der Erkennungen angezeigt, die von der Regel in den letzten Tagen gefunden wurden.
Klicken Sie auf Regel bearbeiten , um den Regeleditor zu öffnen.

Auf dem Tab Zeitachse werden die von der Regel erkannten Ereignisse aufgeführt. Wählen Sie ein Ereignis aus und öffnen Sie das zugehörige Rohlog oder UDM-Ereignis.

Wenn Sie die auf dem Tab Zeitachse angezeigten Informationen ändern möchten, klicken Sie auf view_column Spalten , um die Optionen für die mehrspaltige Ansicht zu öffnen. In der mehrspaltigen Ansicht können Sie aus verschiedenen Kategorien von Loginformationen auswählen, darunter gängige Typen wie hostname und user sowie spezifischere Kategorien, die von UDM bereitgestellt werden.

Regel testen

Klicken Sie auf Test ausführen , um Ihre benutzerdefinierten Regeln zu testen. Google SecOps führt die Regel für Ereignisse im angegebenen Zeitraum aus, generiert Ergebnisse und zeigt sie im Fenster Testergebnisse der Regel an.

Sie können den Vorgang jederzeit mit einem Klick auf Test abbrechen beenden.

Weitere Informationen finden Sie unter Regelfehler ansehen.

Sie können die Tests auch ausführen, um Ihre kuratierten Regeln zu validieren.

Community-Blogs zum Verwalten von Regeln finden Sie unter Navigation im Regeleditor.

Benötigen Sie weitere Hilfe? Erhalten Sie Antworten von Community-Mitgliedern und Google SecOps-Experten.