Gestione delle regole mediante Rules Editor (Editor regole)

Supportato in:

Google secops SIEM

L'editor delle regole in Google Security Operations è l'interfaccia principale per creare, visualizzare, testare e gestire le regole di rilevamento YARA-L. Fornisce un ambiente dedicato agli ingegneri della sicurezza per creare e perfezionare la logica di rilevamento che identifica minacce e attività sospette nei dati dei log importati.

Creare e modificare le regole

Per aprire l'editor delle regole, fai clic su Rilevamenti > Regole & rilevamenti > scheda Editor delle regole.

Crea una nuova regola

Le regole utilizzano il linguaggio di query YARA-L 2.0. Prima di creare una nuova regola per la prima volta, consulta la pagina Guida introduttiva: YARA-L 2.0 in SecOps.

Per creare una nuova regola:

Nell'editor delle regole, fai clic su Nuovo per aprire la finestra Editor delle regole.

Il sistema compila automaticamente il modello di regola predefinito e genera un nome univoco per la regola. Crea la nuova regola in YARA-L.

Nota: se stai convertendo una query di ricerca in una regola, includi l'nocase opzione con i filtri della regola. L'interfaccia web di Ricerca imposta l'opzione predefinita per Distinzione tra maiuscole e minuscole su Disattivata. L'aggiunta dell'opzione nocase garantisce che la regola abbia lo stesso comportamento. Per un esempio di regola che utilizza l'opzione nocase, consulta Espressioni regolari in una regola.
Nel menu Associa all'ambito, seleziona l'ambito da aggiungere alla regola. Per saperne di più sull'aggiunta di un ambito a una regola, consulta Impatto di RBAC sui dati sulle regole.
Fai clic su Salva nuova regola.

Google SecOps controlla la sintassi della regola. Se la regola è valida, la salva e la attiva automaticamente. Se la regola non è valida, restituisce un errore.

La frequenza di esecuzione delle regole multi-evento viene impostata automaticamente in base alla finestra di corrispondenza della regola:
- Per una dimensione della finestra da 1 a 48 ore, la frequenza di esecuzione è impostata su 1 ora.
- Per una dimensione della finestra superiore a 48 ore, la frequenza di esecuzione è impostata su 24 ore.
Per saperne di più, consulta Impostare la frequenza di esecuzione.
(Facoltativo) Per eliminare la nuova regola, fai clic su Ignora.

Nota: una volta salvata una regola, non puoi eliminarla utilizzando l'editor delle regole o la dashboard Regole.

Modificare una regola

Per modificare una regola esistente:

Utilizza il campo Cerca regole per trovare una regola esistente o scorri l'elenco delle regole. Fai clic su una regola nel riquadro laterale per visualizzarne i dettagli nel riquadro di visualizzazione delle regole.
Seleziona la regola da modificare dall'elenco delle regole.

La regola viene visualizzata nella finestra Modifica regola. Il menu delle regole offre le seguenti opzioni per ogni regola:
- Regola live: attiva o disattiva la regola.
- Duplica regola: crea una copia della regola.
- Visualizza rilevamenti delle regole: apre la finestra Rilevamenti delle regole per visualizzare i rilevamenti acquisiti da questa regola.
Per aggiornare l'ambito della regola, seleziona l'ambito dal menu Associa all'ambito. Per saperne di più sull'aggiunta di un ambito a una regola, consulta Impatto di RBAC sui dati sulle regole.

Visualizzare i rilevamenti attuali

Visualizza le informazioni sui rilevamenti attuali associati a una regola in uno dei seguenti modi:

Fai clic sulla regola nell'elenco delle regole.

Fai clic su Visualizza rilevamenti delle regole per aprire la visualizzazione Rilevamenti delle regole. Questa visualizzazione mostra i metadati della regola e un grafico che indica il numero di rilevamenti trovati dalla regola negli ultimi giorni.
Fai clic su Modifica regola per aprire l'editor delle regole.

La scheda Sequenza temporale elenca gli eventi rilevati dalla regola. Seleziona un evento e apri il log non elaborato o l'evento UDM associato.

Per modificare le informazioni mostrate nella scheda Sequenza temporale, fai clic su view_column Colonne per aprire le opzioni di visualizzazione multicolonna. La visualizzazione multicolonna ti consente di scegliere tra varie categorie di informazioni sui log, inclusi i tipi comuni, come hostname e user, e categorie più specifiche fornite da UDM.

Testare la regola

Fai clic su Esegui test per testare la regola. Google SecOps esegue la regola sugli eventi nell'intervallo di tempo specificato, genera i risultati e li visualizza nella finestra Risultati del test della regola.

Fai clic su Annulla test in qualsiasi momento per interrompere il processo.

Per saperne di più, consulta Visualizzare gli errori delle regole.

Per i blog della community sulla gestione delle regole, consulta: Navigazione nell'editor delle regole

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.