Mengelola aturan menggunakan Editor Aturan
Editor Aturan di Google Security Operations adalah antarmuka utama untuk membuat, melihat, menguji, dan mengelola aturan deteksi YARA-L Anda. Layanan ini menyediakan lingkungan khusus bagi engineer keamanan untuk membuat dan menyempurnakan logika deteksi yang mengidentifikasi ancaman dan aktivitas mencurigakan dalam data log yang di-ingest.
Membuat dan mengedit aturan
Untuk membuka Editor aturan, klik Deteksi > Aturan & deteksi > tab Editor aturan.
Mengedit aturan
Untuk mengedit aturan yang ada, ikuti langkah-langkah berikut:
Gunakan kolom Cari aturan untuk menemukan aturan yang ada, atau scroll daftar aturan. Klik aturan di panel samping untuk melihat detail di panel tampilan aturan.
Pilih aturan yang akan diedit dari Daftar aturan.
Aturan akan ditampilkan di jendela Pengeditan aturan. Menu aturan menawarkan opsi berikut untuk setiap aturan:
- Aturan aktif: Aktifkan atau nonaktifkan aturan.
- Duplikasikan aturan: Buat salinan aturan.
- Lihat deteksi aturan: Buka jendela Deteksi Aturan untuk menampilkan deteksi yang diambil oleh aturan ini.
Untuk memperbarui cakupan aturan, pilih cakupan dari menu Ikat ke cakupan. Untuk mengetahui informasi selengkapnya tentang menambahkan cakupan ke aturan, lihat dampak RBAC data pada Aturan.
Untuk mengetahui informasi selengkapnya, lihat Sintaksis bahasa YARA-L 2.0.
Buat aturan baru
Untuk membuat aturan baru, ikuti langkah-langkah berikut:
Di Editor aturan, klik Baru untuk membuka jendela Editor aturan.
Sistem akan otomatis mengisi template aturan default dan membuat nama unik untuk aturan tersebut. Buat aturan baru Anda di YARA-L.
Di menu Ikat ke cakupan, pilih cakupan untuk menambahkannya ke aturan. Untuk mengetahui informasi selengkapnya tentang menambahkan cakupan ke aturan, lihat dampak RBAC data pada Aturan.
Klik Simpan aturan baru.
Google SecOps memeriksa sintaksis aturan Anda. Jika valid, aturan akan disimpan dan diaktifkan secara otomatis. Jika aturan tidak valid, error akan ditampilkan.
Untuk menghapus aturan baru, klik Hapus.
Frekuensi eksekusi untuk aturan multi-peristiwa ditetapkan secara otomatis berdasarkan periode pencocokan aturan:
- Untuk ukuran periode 1 hingga 48 jam, frekuensi eksekusi ditetapkan ke 1 jam.
- Untuk ukuran periode yang lebih dari 48 jam, frekuensi eksekusi ditetapkan ke 24 jam.
Untuk mengetahui informasi selengkapnya, lihat Menetapkan frekuensi eksekusi.
Melihat deteksi saat ini
Lihat informasi tentang deteksi saat ini yang terkait dengan aturan dengan salah satu cara berikut:
Klik aturan dalam daftar aturan.
Klik Lihat deteksi aturan untuk membuka tampilan Deteksi aturan. Tampilan ini menampilkan metadata aturan dan grafik yang menunjukkan jumlah deteksi yang ditemukan oleh aturan selama beberapa hari terakhir.
Klik Edit aturan untuk membuka Editor aturan.
Tab Linimasa mencantumkan peristiwa yang terdeteksi oleh aturan. Pilih peristiwa dan buka log mentah atau peristiwa UDM terkait.
Untuk mengubah informasi yang ditampilkan di tab Linimasa, klik view_column Kolom untuk membuka opsi tampilan multikolom. Tampilan multi-kolom memungkinkan Anda memilih dari berbagai kategori informasi log, termasuk jenis umum, seperti
hostnamedanuser, serta kategori yang lebih spesifik yang disediakan oleh UDM.
Menguji aturan Anda
Klik Run test untuk menguji aturan Anda. Google SecOps menjalankan aturan pada peristiwa dalam rentang waktu yang ditentukan, membuat hasil, dan menampilkannya di jendela Hasil aturan pengujian.
Klik Batalkan pengujian kapan saja untuk menghentikan proses.
Untuk mengetahui informasi selengkapnya, lihat Melihat error aturan.
Untuk melihat blog komunitas tentang cara mengelola aturan, lihat: Navigasi editor aturan
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.