Faça a gestão de regras através do editor de regras
O editor de regras nas Operações de segurança da Google é a interface principal para criar, ver, testar e gerir as suas regras de deteção YARA-L. Oferece um ambiente dedicado para os engenheiros de segurança criarem e refinarem a lógica de deteção que identifica ameaças e atividade suspeita nos dados de registo carregados.
Crie e edite regras
Para abrir o Editor de regras, clique em Deteções > Regras e deteções > o separador Editor de regras.
Edite uma regra
Para editar uma regra existente, siga estes passos:
Use o campo Regras de pesquisa para encontrar uma regra existente ou percorra a lista de regras. Clique numa regra no painel lateral para ver os detalhes no painel de apresentação de regras.
Selecione a regra a editar na lista de regras.
A regra é apresentada na janela Edição de regras. O menu de regras oferece as seguintes opções para cada regra:
- Regra ativa: ative ou desative a regra.
- Duplicar regra: faça uma cópia da regra.
- Ver deteções de regras: abra a janela Deteções de regras para apresentar deteções capturadas por esta regra.
Para atualizar o âmbito da regra, selecione o âmbito no menu Associar ao âmbito. Para mais informações sobre como adicionar um âmbito a uma regra, consulte o artigo Impacto do RBAC de dados nas regras.
Para mais informações, consulte o artigo Sintaxe da linguagem YARA-L 2.0.
Criar uma nova regra
Para criar uma nova regra, siga estes passos:
No editor de regras, clique em Novo para abrir a janela do editor de regras.
O sistema preenche automaticamente o modelo de regra predefinido e gera um nome exclusivo para a regra. Crie a sua nova regra em YARA-L.
No menu Associar ao âmbito, selecione o âmbito para o adicionar à regra. Para mais informações sobre como adicionar um âmbito a uma regra, consulte o artigo Impacto do RBAC de dados nas regras.
Clique em Guardar nova regra.
A Google SecOps verifica a sintaxe da sua regra. Se a regra for válida, esta é guardada e ativada automaticamente. Se a regra for inválida, devolve um erro.
Para eliminar a nova regra, clique em Rejeitar.
A frequência de execução das regras com vários eventos é definida automaticamente com base na janela de correspondência da regra:
- Para um tamanho do período de 1 a 48 horas, a frequência de execução está definida como 1 hora.
- Para um período superior a 48 horas, a frequência de execução é definida como 24 horas.
Para mais informações, consulte o artigo Defina a frequência de execução.
Veja as deteções atuais
Veja informações sobre as deteções atuais associadas a uma regra de uma das seguintes formas:
Clique na regra na lista de regras.
Clique em Ver deteções de regras para abrir a vista Deteções de regras. Esta vista apresenta os metadados da regra e um gráfico que mostra o número de deteções encontradas pela regra nos últimos dias.
Clique em Editar regra para abrir o editor de regras.
O separador Cronologia apresenta os eventos detetados pela regra. Selecione um evento e abra o registo não processado ou o evento UDM associado.
Para alterar as informações apresentadas no separador Linha cronológica, clique em view_column Colunas para abrir as opções de visualização de várias colunas. A vista de várias colunas permite-lhe escolher entre várias categorias de informações de registo, incluindo tipos comuns, como
hostnameeuser, e categorias mais específicas fornecidas pelo UDM.
Teste a sua regra
Clique em Executar teste para testar a regra. O Google SecOps executa a regra em eventos no intervalo de tempo especificado, gera resultados e apresenta-os na janela Resultados do teste de regras.
Clique em Cancelar teste em qualquer altura para parar o processo.
Para mais informações, consulte o artigo Veja os erros das regras.
Para ver blogs da comunidade sobre a gestão de regras, consulte: Navegação no editor de regras
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.