ルールエディタを使用してルールを管理する

以下でサポートされています。

Google SecOps SIEM

Google Security Operations のルールエディタは、YARA-L 検出ルールを作成、表示、テスト、管理するための主要なインターフェースです。セキュリティエンジニアは、専用の環境で、取り込まれたログデータ内の脅威と不審なアクティビティを特定する検出ロジックを作成して改良できます。

ルールを作成、編集する

[ルールエディタ]を開くには、[検出]>[ルールと検出]>[ルールエディタ]タブをクリックします。

新しいルールを作成

ルールでは YARA-L 2.0 クエリ言語を使用します。初めて新しいルールを作成する前に、SecOps での YARA-L 2.0 のスタートガイドをご覧ください。

新しいルールを作成する手順は次のとおりです。

[ルールエディタ] で [新規] をクリックして、[ルールエディタ] ウィンドウを開きます。

デフォルトのルールテンプレートが自動的に入力され、ルールの一意の名前が生成されます。YARA-L で新しいルールを作成します。

注: 検索クエリをルールに変換する場合は、ルールフィルタに nocase オプションを含めます。検索ウェブインターフェースでは、デフォルト [大文字 / 小文字の区別] のオプションが [オフ] に設定されます。nocase オプションを追加すると、ルールが同じ動作になります。 nocase オプションを使用するルールの例については、ルール内の正規表現をご覧ください。
[スコープにバインド] メニューでスコープを選択して、ルールに追加します。ルールにスコープを追加する方法について詳しくは、データ RBAC がルールに与える影響をご覧ください。
[**新しいルールを保存**] をクリックします。

Google SecOps はルールの構文をチェックします。ルールが有効な場合は、ルールが保存され、自動的に有効になります。ルールが無効な場合は、エラーが返されます。

マルチイベントルールの実行頻度は、ルールのマッチウィンドウに基づいて自動的に設定されます。
- ウィンドウサイズが 1 ～ 48 時間の場合、実行頻度は 1 時間に設定されます。
- ウィンドウサイズが 48 時間を超える場合、実行頻度は 24 時間に設定されます。
詳細については、実行頻度を設定するをご覧ください。
（省略可）新しいルールを削除するには、[破棄] をクリックします。

注: ルールを保存すると、ルールエディタ または [ルール] ダッシュボードを使用して削除することはできません。

ルールを編集する

既存のルールを編集する手順は次のとおりです。

[Search rules] フィールドを使用して既存のルールを検索するか、ルールリストをスクロールします。サイドパネルでルールをクリックすると、ルール表示パネルに詳細が表示されます。
[**ルールリスト**] から編集するルールを選択します。

ルールが [Rule editing] ウィンドウに表示されます。ルールメニューには、各ルールに対して次のオプションがあります。
- Live Rule: ルールを有効または無効にします。
- Duplicate Rule: ルールのコピーを作成します。
- [View Rule Detections]: [Rule Detections] ウィンドウを開いて、このルールによってキャプチャされた検出を表示します。
ルールのスコープを更新するには、 [スコープにバインド] メニューからスコープを選択します。ルールにスコープを追加する方法について詳しくは、データ RBAC がルールに与える影響をご覧ください。

現在の検出を表示する

ルールに関連付けられた現在の検出に関する情報を表示するには、次のいずれかの方法を使用します。

ルールリストでルールをクリックします。

[View Rule Detections] をクリックして [Rule Detections] ビューを開きます。このビューには、ルールのメタデータと最近のルール全体におけるルールの検出数を示すグラフが表示されます。
[Edit rule] をクリックして、[Rules editor] を開きます。

[Timeline] タブには、ルールによって検出されたイベントが一覧表示されます。イベントを選択して、関連する生のログまたは UDM イベントを開きます。

[Timeline] タブに表示される情報を変更するには、 view_column [Columns] をクリックして、複数列ビューオプションを開きます。複数列ビューでは、さまざまなカテゴリのログ情報を選択できます。これには、hostname や user などの一般的なタイプや、UDM によって提供される具体的なカテゴリが含まれます。

ルールをテストする

[Run test] をクリックしてルールをテストします。Google SecOps は、指定された期間のイベントに対してルールを実行し、結果を生成して [Test rule results] ウィンドウに表示します。

いつでも [Cancel test] をクリックしてプロセスを停止できます。

詳細については、ルールエラーを表示するをご覧ください。

ルールの管理に関するコミュニティブログについては、ルールエディタの操作をご覧ください。

さらにサポートが必要な場合コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。