Se usó la API de Cloud Translation para traducir esta página.

Administrar reglas con el editor de reglas

Se admite en los siguientes sistemas operativos:

Google SecOps SIEM

El editor de reglas de Google Security Operations es la interfaz principal para crear, ver, probar y administrar tus reglas de detección de YARA-L. Proporciona un entorno exclusivo para que los ingenieros de seguridad creen y perfeccionen la lógica de detección que identifica amenazas y actividad sospechosa en los datos de registro ingeridos.

Cómo crear y editar reglas

Para abrir el Editor de reglas, haz clic en Detecciones > Reglas y detecciones > la pestaña Editor de reglas.

Cómo editar una regla

Para editar una regla existente, sigue estos pasos:

Usa el campo Buscar reglas para encontrar una regla existente o desplázate por la lista de reglas. Haz clic en una regla del panel lateral para ver los detalles en el panel de visualización de reglas.
Selecciona la regla que deseas editar en la lista de reglas.

La regla se muestra en la ventana Edición de reglas. El menú de reglas ofrece las siguientes opciones para cada regla:
- Regla activa: Habilita o inhabilita la regla.
- Duplicar regla: Crea una copia de la regla.
- Ver detecciones de reglas: Abre la ventana Detecciones de reglas para mostrar las detecciones capturadas por esta regla.
Para actualizar el alcance de la regla, selecciona el alcance en el menú Vincular al alcance. Para obtener más información sobre cómo agregar un alcance a una regla, consulta Impacto del RBAC de datos en las reglas.

Para obtener más información, consulta Sintaxis del lenguaje YARA-L 2.0.

Crear una norma nueva

Para crear una regla nueva, sigue estos pasos:

En el editor de reglas, haz clic en Nuevo para abrir la ventana del editor de reglas.

El sistema completa automáticamente la plantilla de regla predeterminada y genera un nombre único para la regla. Crea tu regla nueva en YARA-L.
En el menú Vincular al alcance, selecciona el alcance para agregarlo a la regla. Para obtener más información sobre cómo agregar un alcance a una regla, consulta Impacto del RBAC de datos en las reglas.
Haz clic en Guardar regla nueva.

Google SecOps verifica la sintaxis de tu regla. Si la regla es válida, se guarda y se habilita automáticamente. Si la regla no es válida, se muestra un error.

Para borrar la regla nueva, haz clic en Descartar.

Nota: Una vez que guardes una regla, no podrás borrarla con el editor de reglas ni el panel de reglas.

La frecuencia de ejecución de las reglas de varios eventos se establece automáticamente según el período de coincidencia de la regla:
- Para un tamaño de ventana de 1 a 48 horas, la frecuencia de ejecución se establece en 1 hora.
- Para un tamaño de ventana superior a 48 horas, la frecuencia de ejecución se establece en 24 horas.
Para obtener más información, consulta Cómo establecer la frecuencia de ejecución.

Cómo ver las detecciones actuales

Para ver información sobre las detecciones actuales asociadas a una regla, usa uno de los siguientes métodos:

Haz clic en la regla en la lista de reglas.

Haz clic en Ver detecciones de reglas para abrir la vista Detecciones de reglas. En esta vista, se muestran los metadatos de la regla y un gráfico que indica la cantidad de detecciones que encontró la regla en los últimos días.
Haz clic en Editar regla para abrir el Editor de reglas.

En la pestaña Cronograma, se enumeran los eventos detectados por la regla. Selecciona un evento y abre el registro sin procesar o el evento del UDM asociado.

Para cambiar la información que se muestra en la pestaña Cronograma, haz clic en view_column Columnas para abrir las opciones de vista de varias columnas. La vista de varias columnas te permite elegir entre varias categorías de información de registro, incluidos los tipos comunes, como hostname y user, y categorías más específicas proporcionadas por UDM.

Prueba tu regla

Haz clic en Ejecutar prueba para probar tu regla. Google SecOps ejecuta la regla en los eventos del período especificado, genera resultados y los muestra en la ventana Resultados de la regla de prueba.

Haz clic en Cancelar prueba en cualquier momento para detener el proceso.

Para obtener más información, consulta Cómo ver errores de reglas.

Para ver blogs de la comunidad sobre la administración de reglas, consulta Navegación por el editor de reglas.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.