Esta página se ha traducido con Cloud Translation API.

Gestionar reglas con el editor de reglas

Disponible en:

SecOps de Google SIEM

El editor de reglas de Google Security Operations es la interfaz principal para crear, ver, probar y gestionar tus reglas de detección de YARA-L. Proporciona un entorno específico para que los ingenieros de seguridad creen y perfeccionen la lógica de detección que identifica amenazas y actividades sospechosas en los datos de registro ingeridos.

Crear y editar reglas

Para abrir el editor de reglas, haz clic en Detecciones > Reglas y detecciones > la pestaña Editor de reglas.

Editar una regla

Para editar una regla, siga estos pasos:

Usa el campo Buscar reglas para encontrar una regla o desplázate por la lista de reglas. Haz clic en una regla del panel lateral para ver los detalles en el panel de visualización de reglas.
Selecciona la regla que quieras editar en la lista de reglas.

La regla se muestra en la ventana Edición de reglas. El menú de reglas ofrece las siguientes opciones para cada regla:
- Regla activa: habilita o inhabilita la regla.
- Duplicar regla: crea una copia de la regla.
- Ver detecciones de reglas: abre la ventana Detecciones de reglas para mostrar las detecciones capturadas por esta regla.
Para actualizar el ámbito de la regla, selecciona el ámbito en el menú Asignar a ámbito. Para obtener más información sobre cómo añadir un ámbito a una regla, consulta el artículo Impacto del control de acceso basado en roles de datos en las reglas.

Para obtener más información, consulta Sintaxis del lenguaje YARA-L 2.0.

Crear una regla

Para crear una regla, sigue estos pasos:

En el editor de reglas, haz clic en Nuevo para abrir la ventana Editor de reglas.

El sistema rellena automáticamente la plantilla de regla predeterminada y genera un nombre único para la regla. Crea tu nueva regla en YARA-L.
En el menú Asignar a ámbito, selecciona el ámbito que quieras añadir a la regla. Para obtener más información sobre cómo añadir un ámbito a una regla, consulta el artículo Impacto del control de acceso basado en roles de datos en las reglas.
Haga clic en Guardar nueva regla.

Google SecOps comprueba la sintaxis de tu regla. Si la regla es válida, se guarda y se habilita automáticamente. Si la regla no es válida, devuelve un error.

Para eliminar la nueva regla, haz clic en Descartar.

Nota: Una vez que guardes una regla, no podrás eliminarla con el editor de reglas ni con el panel de control Reglas.

La frecuencia de ejecución de las reglas de varios eventos se define automáticamente en función del periodo de coincidencia de la regla:
- Si el tamaño de la ventana es de 1 a 48 horas, la frecuencia de ejecución es de 1 hora.
- Si el tamaño de la ventana es superior a 48 horas, la frecuencia de ejecución se establece en 24 horas.
Para obtener más información, consulta Definir la frecuencia de ejecución.

Ver las detecciones actuales

Para ver información sobre las detecciones actuales asociadas a una regla, puedes hacer lo siguiente:

Haz clic en la regla de la lista de reglas.

Haz clic en Ver detecciones de la regla para abrir la vista Detecciones de la regla. En esta vista se muestran los metadatos de la regla y un gráfico con el número de detecciones que ha encontrado la regla en los últimos días.
Haz clic en Editar regla para abrir el editor de reglas.

En la pestaña Cronología se muestran los eventos detectados por la regla. Selecciona un evento y abre el registro sin procesar o el evento de UDM asociado.

Para cambiar la información que se muestra en la pestaña Cronología, haz clic en view_column Columnas para abrir las opciones de vista de varias columnas. La vista de varias columnas te permite elegir entre varias categorías de información de registro, incluidos los tipos comunes, como hostname y user, y categorías más específicas proporcionadas por UDM.

Probar la regla

Haz clic en Ejecutar prueba para probar la regla. Google SecOps ejecuta la regla en los eventos del intervalo de tiempo especificado, genera resultados y los muestra en la ventana Resultados de la prueba de la regla.

Haga clic en Cancelar prueba en cualquier momento para detener el proceso.

Para obtener más información, consulta Ver errores de reglas.

Para leer blogs de la comunidad sobre la gestión de reglas, consulta Navegación por el editor de reglas.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.