Diese Seite wurde von der Cloud Translation API übersetzt.

Regeln mit dem Regeleditor verwalten

Unterstützt in:

Google SecOps SIEM

Der Regeleditor in Google Security Operations ist die primäre Schnittstelle zum Erstellen, Ansehen, Testen und Verwalten Ihrer YARA-L-Erkennungsregeln. Sie bietet eine dedizierte Umgebung für Sicherheitsexperten, in der sie Erkennungslogik erstellen und optimieren können, um Bedrohungen und verdächtige Aktivitäten in aufgenommenen Logdaten zu erkennen.

Regeln erstellen und bearbeiten

Klicken Sie zum Öffnen des Regeleditors auf Erkennungen > Regeln und Erkennungen > den Tab Regeleditor.

Regel bearbeiten

So bearbeiten Sie eine vorhandene Regel:

Verwenden Sie das Feld Regeln durchsuchen, um eine vorhandene Regel zu finden, oder scrollen Sie durch die Liste der Regeln. Klicken Sie in der Seitenleiste auf eine Regel, um die Details im Regelanzeigebereich aufzurufen.
Wählen Sie die zu bearbeitende Regel aus der Regelliste aus.

Die Regel wird im Fenster Regel bearbeiten angezeigt. Das Regelmenü bietet für jede Regel die folgenden Optionen:
- Live-Regel: Aktivieren oder deaktivieren Sie die Regel.
- Regel duplizieren: Erstellen Sie eine Kopie der Regel.
- Regelerkennungen ansehen: Öffnen Sie das Fenster Regelerkennungen, um die von dieser Regel erfassten Erkennungen aufzurufen.
Wenn Sie den Geltungsbereich der Regel aktualisieren möchten, wählen Sie den Geltungsbereich im Menü An Geltungsbereich binden aus. Weitere Informationen zum Hinzufügen eines Bereichs zu einer Regel finden Sie unter Auswirkungen der rollenbasierten Zugriffssteuerung auf Regeln.

Weitere Informationen finden Sie unter YARA-L 2.0-Sprachsyntax.

Neue Regel erstellen

So erstellen Sie eine neue Regel:

Klicken Sie im Regeleditor auf Neu, um das Fenster Regeleditor zu öffnen.

Das System füllt die Standardregelvorlage automatisch aus und generiert einen eindeutigen Namen für die Regel. Erstellen Sie die neue Regel in YARA-L.
Wählen Sie im Menü An Geltungsbereich binden den Geltungsbereich aus, dem die Regel hinzugefügt werden soll. Weitere Informationen zum Hinzufügen eines Bereichs zu einer Regel finden Sie unter Auswirkungen der rollenbasierten Zugriffssteuerung auf Regeln.
Klicken Sie auf Neue Regel speichern.

Google SecOps prüft die Syntax Ihrer Regel. Wenn die Regel gültig ist, wird sie automatisch gespeichert und aktiviert. Wenn die Regel ungültig ist, wird ein Fehler zurückgegeben.

Wenn Sie die neue Regel löschen möchten, klicken Sie auf Verwerfen.

Hinweis :Nachdem Sie eine Regel gespeichert haben, können Sie sie nicht mehr über den Regel-Editor oder das Regel-Dashboard löschen.

Die Ausführungshäufigkeit für Regeln mit mehreren Ereignissen wird automatisch anhand des Abgleichszeitraums der Regel festgelegt:
- Bei einer Fenstergröße von 1 bis 48 Stunden wird die Ausführungshäufigkeit auf 1 Stunde festgelegt.
- Bei einer Fenstergröße von mehr als 48 Stunden wird die Ausführungshäufigkeit auf 24 Stunden festgelegt.
Weitere Informationen finden Sie unter Lauffrequenz festlegen.

Aktuelle Erkennungen ansehen

Sie haben folgende Möglichkeiten, Informationen zu aktuellen Erkennungen aufzurufen, die mit einer Regel verknüpft sind:

Klicken Sie in der Liste der Regeln auf die Regel.

Klicken Sie auf Regelerkennungen ansehen, um die Ansicht Regelerkennungen zu öffnen. In dieser Ansicht werden die Metadaten der Regel und ein Diagramm mit der Anzahl der von der Regel in den letzten Tagen gefundenen Erkennungen angezeigt.
Klicken Sie auf Regel bearbeiten, um den Regeleditor zu öffnen.

Auf dem Tab Zeitachse werden die von der Regel erkannten Ereignisse aufgeführt. Wählen Sie ein Ereignis aus und öffnen Sie das zugehörige Rohlog oder UDM-Ereignis.

Wenn Sie die Informationen ändern möchten, die auf dem Tab Zeitachse angezeigt werden, klicken Sie auf view_column Spalten, um die Optionen für die Mehrspaltenansicht zu öffnen. In der mehrspaltigen Ansicht können Sie aus verschiedenen Kategorien von Protokollinformationen auswählen, darunter gängige Typen wie hostname und user sowie spezifischere Kategorien, die von UDM bereitgestellt werden.

Regel testen

Klicken Sie auf Testen, um die Regel zu testen. Google SecOps führt die Regel für Ereignisse im angegebenen Zeitraum aus, generiert Ergebnisse und zeigt sie im Fenster Testergebnisse für Regel an.

Klicken Sie jederzeit auf Test abbrechen, um den Vorgang zu beenden.

Weitere Informationen finden Sie unter Regelfehler ansehen.

Community-Blogs zum Verwalten von Regeln: Navigation im Regeleditor

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten