Cette page a été traduite par l'API Cloud Translation.

Gérer les règles à l'aide de l'éditeur de règles

Compatible avec :

Google SecOps SIEM

L'éditeur de règles de Google Security Operations est l'interface principale permettant de créer, d'afficher, de tester et de gérer vos règles de détection YARA-L. Il fournit un environnement dédié aux ingénieurs en sécurité pour qu'ils puissent créer et affiner la logique de détection qui identifie les menaces et les activités suspectes dans les données de journaux ingérées.

Créer et modifier des règles

Pour ouvrir l'éditeur de règles, cliquez sur Détections > Règles et détections > l'onglet Éditeur de règles.

Modifier une règle

Pour modifier une règle existante, procédez comme suit :

Utilisez le champ Règles de recherche pour trouver une règle existante ou faites défiler la liste des règles. Cliquez sur une règle dans le panneau latéral pour afficher ses détails dans le panneau d'affichage des règles.
Sélectionnez la règle à modifier dans la liste des règles.

La règle s'affiche dans la fenêtre Modifier la règle. Le menu des règles propose les options suivantes pour chaque règle :
- Règle active : activez ou désactivez la règle.
- Dupliquer la règle : créez une copie de la règle.
- Afficher les détections de la règle : ouvrez la fenêtre Détections de la règle pour afficher les détections capturées par cette règle.
Pour modifier le champ d'application de la règle, sélectionnez-le dans le menu Associer au champ d'application. Pour en savoir plus sur l'ajout d'un champ d'application à une règle, consultez Impact du RBAC sur les règles.

Pour en savoir plus, consultez la syntaxe du langage YARA-L 2.0.

Créer une règle

Pour créer une règle :

Dans l'éditeur de règles, cliquez sur Nouveau pour ouvrir la fenêtre de l'éditeur de règles.

Le système remplit automatiquement le modèle de règle par défaut et génère un nom unique pour la règle. Créez votre règle dans YARA-L.
Dans le menu Associer à un champ d'application, sélectionnez le champ d'application à ajouter à la règle. Pour en savoir plus sur l'ajout d'un champ d'application à une règle, consultez Impact du RBAC sur les règles.
Cliquez sur Enregistrer la nouvelle règle.

Google SecOps vérifie la syntaxe de votre règle. Si la règle est valide, elle est enregistrée et activée automatiquement. Si la règle n'est pas valide, une erreur est renvoyée.

Pour supprimer la nouvelle règle, cliquez sur Supprimer.

Remarque : Une fois que vous avez enregistré une règle, vous ne pouvez plus la supprimer à l'aide de l'éditeur de règles ni du tableau de bord Règles.

La fréquence d'exécution des règles multi-événements est définie automatiquement en fonction de la période de correspondance de la règle :
- Pour une taille de période de 1 à 48 heures, la fréquence d'exécution est définie sur 1 heure.
- Pour une période supérieure à 48 heures, la fréquence d'exécution est définie sur 24 heures.
Pour en savoir plus, consultez Définir la fréquence d'exécution.

Afficher les détections actuelles

Pour afficher des informations sur les détections actuelles associées à une règle, procédez de l'une des manières suivantes :

Cliquez sur la règle dans la liste des règles.

Cliquez sur Afficher les détections de règles pour ouvrir la vue Détections de règles. Cette vue affiche les métadonnées de la règle et un graphique indiquant le nombre de détections trouvées par la règle au cours des derniers jours.
Cliquez sur Modifier la règle pour ouvrir l'éditeur de règles.

L'onglet Chronologie liste les événements détectés par la règle. Sélectionnez un événement et ouvrez le journal brut ou l'événement UDM associé.

Pour modifier les informations affichées dans l'onglet Chronologie, cliquez sur view_column Colonnes pour ouvrir les options d'affichage multicolonnes. La vue multicolonne vous permet de choisir parmi différentes catégories d'informations de journaux, y compris les types courants, tels que hostname et user, ainsi que des catégories plus spécifiques fournies par UDM.

Tester votre règle

Cliquez sur Lancer le test pour tester votre règle. Google SecOps exécute la règle sur les événements de la plage de temps spécifiée, génère des résultats et les affiche dans la fenêtre Résultats du test de la règle.

Cliquez sur Annuler le test à tout moment pour arrêter le processus.

Pour en savoir plus, consultez Afficher les erreurs de règles.

Pour consulter les blogs de la communauté sur la gestion des règles, consultez Navigation dans l'éditeur de règles.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.