Gérer les règles à l'aide de l'éditeur de règles

Compatible avec :

Google secops SIEM

L'éditeur de règles de Google Security Operations est l'interface principale permettant de créer, d'afficher, de tester et de gérer vos règles de détection YARA-L. Il fournit un environnement dédié aux ingénieurs en sécurité pour créer et affiner la logique de détection qui identifie les menaces et les activités suspectes dans les données de journaux ingérées.

Créer et modifier des règles

Pour ouvrir l'éditeur de règles, cliquez sur Détections > Règles & détections > onglet Éditeur de règles.

Créer une règle

Les règles utilisent le langage de requête YARA-L 2.0. Avant de créer une règle pour la première fois, consultez Premiers pas : YARA-L 2.0 dans SecOps.

Pour créer une règle, procédez comme suit :

Dans l'éditeur de règles, cliquez sur Nouveau pour ouvrir la fenêtre Éditeur de règles.

Le système remplit automatiquement le modèle de règle par défaut et génère un nom unique pour la règle. Créez votre règle en langage YARA-L.

Remarque : Si vous convertissez une requête de recherche en règle, incluez l'nocase option avec les filtres de la règle. L'interface Web de recherche définit l'option par défaut pour Respecter la casse sur Désactivé. L'ajout de l'option nocase garantit que votre règle a le même comportement. Pour obtenir un exemple de règle utilisant l'option nocase, consultez Expressions régulières dans une règle.
Dans le menu Lier à la portée, sélectionnez la portée à ajouter à la règle. Pour en savoir plus sur l'ajout d'une portée à une règle, consultez Impact du contrôle des accès basé sur les rôles (RBAC) des données sur les règles.
Cliquez sur Enregistrer la nouvelle règle.

Google SecOps vérifie la syntaxe de votre règle. Si la règle est valide, elle est enregistrée et activée automatiquement. Si la règle n'est pas valide, une erreur est renvoyée.

La fréquence d'exécution des règles multi-événements est automatiquement définie en fonction de la période de correspondance de la règle :
- Pour une taille de période de 1 à 48 heures, la fréquence d'exécution est définie sur 1 heure.
- Pour une taille de période supérieure à 48 heures, la fréquence d'exécution est définie sur 24 heures.
Pour en savoir plus, consultez Définir la fréquence d'exécution.
(Facultatif) Pour supprimer la nouvelle règle, cliquez sur Ignorer.

Remarque : Une fois que vous avez enregistré une règle, vous ne pouvez pas la supprimer à l'aide de l'éditeur de règles ni du tableau de bord Règles.

Modifier une règle

Pour modifier une règle existante, procédez comme suit :

Utilisez le champ Rechercher des règles pour trouver une règle existante ou faites défiler la liste des règles. Cliquez sur une règle dans le panneau latéral pour afficher les détails dans le panneau d'affichage des règles.
Sélectionnez la règle à modifier dans la liste des règles.

La règle s'affiche dans la fenêtre Modification de la règle. Le menu de la règle propose les options suivantes pour chaque règle :
- Règle en direct : activez ou désactivez la règle.
- Dupliquer la règle : créez une copie de la règle.
- Afficher les détections de la règle : ouvrez la fenêtre Détections de la règle pour afficher les détections capturées par cette règle.
Pour mettre à jour la portée de la règle, sélectionnez la portée dans le menu Lier à la portée. Pour en savoir plus sur l'ajout d'une portée à une règle, consultez Impact du contrôle des accès basé sur les rôles (RBAC) des données sur les règles.

Afficher les détections actuelles

Affichez les informations sur les détections actuelles associées à une règle de l'une des manières suivantes :

Cliquez sur la règle dans la liste des règles.

Cliquez sur Afficher les détections de la règle pour ouvrir la vue Détections de la règle. Cette vue affiche les métadonnées de la règle et un graphique indiquant le nombre de détections trouvées par la règle au cours des derniers jours.
Cliquez sur Modifier la règle pour ouvrir l'éditeur de règles.

L'onglet Chronologie liste les événements détectés par la règle. Sélectionnez un événement et ouvrez le journal brut ou l'événement UDM associé.

Pour modifier les informations affichées dans l'onglet Chronologie, cliquez sur view_column Colonnes pour ouvrir les options d'affichage multicolonnes. L'affichage multicolonnes vous permet de choisir parmi différentes catégories d'informations de journal, y compris des types courants tels que hostname et user, ainsi que des catégories plus spécifiques fournies par UDM.

Tester votre règle

Cliquez sur Lancer le test pour tester votre règle. Google SecOps exécute la règle sur les événements de la plage de dates spécifiée, génère des résultats et les affiche dans la fenêtre Résultats du test de la règle.

Cliquez sur Annuler le test à tout moment pour arrêter le processus.

Pour en savoir plus, consultez Afficher les erreurs de règle.

Pour consulter des blogs de la communauté sur la gestion des règles, consultez Navigation dans l'éditeur de règles.

Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels de Google SecOps.