Questa pagina è stata tradotta dall'API Cloud Translation.

Gestione delle regole mediante Rules Editor (Editor regole)

Supportato in:

Google secops SIEM

L'editor di regole in Google Security Operations è l'interfaccia principale per creare, visualizzare, testare e gestire le regole di rilevamento YARA-L. Fornisce un ambiente dedicato agli ingegneri della sicurezza per creare e perfezionare la logica di rilevamento che identifica le minacce e le attività sospette nei dati dei log inseriti.

Creare e modificare le regole

Per aprire l'editor delle regole, fai clic su Rilevamenti > Regole e rilevamenti > la scheda Editor delle regole.

Modificare una regola

Per modificare una regola esistente:

Utilizza il campo Cerca regole per trovare una regola esistente o scorri l'elenco delle regole. Fai clic su una regola nel riquadro laterale per visualizzarne i dettagli nel riquadro di visualizzazione delle regole.
Seleziona la regola da modificare dall'elenco delle regole.

La regola viene visualizzata nella finestra Modifica regola. Il menu delle regole offre le seguenti opzioni per ogni regola:
- Regola live: attiva o disattiva la regola.
- Duplica regola: crea una copia della regola.
- Visualizza rilevamenti delle regole: apri la finestra Rilevamenti delle regole per visualizzare i rilevamenti acquisiti da questa regola.
Per aggiornare l'ambito della regola, selezionalo dal menu Associa all'ambito. Per saperne di più sull'aggiunta di un ambito a una regola, vedi Impatto di RBAC basato sui dati sulle regole.

Per saperne di più, consulta Sintassi del linguaggio YARA-L 2.0.

Crea una nuova regola

Per creare una nuova regola:

Nell'editor delle regole, fai clic su Nuovo per aprire la finestra Editor delle regole.

Il sistema compila automaticamente il modello di regola predefinito e genera un nome univoco per la regola. Crea la nuova regola in YARA-L.
Nel menu Associa all'ambito, seleziona l'ambito da aggiungere alla regola. Per saperne di più sull'aggiunta di un ambito a una regola, vedi Impatto di RBAC basato sui dati sulle regole.
Fai clic su Salva nuova regola.

Google SecOps controlla la sintassi della regola. Se la regola è valida, viene salvata e attivata automaticamente. Se la regola non è valida, viene restituito un errore.

Per eliminare la nuova regola, fai clic su Elimina.

Nota :una volta salvata una regola, non puoi eliminarla utilizzando l'editor di regole o la dashboard Regole.

La frequenza di esecuzione delle regole multi-evento viene impostata automaticamente in base alla finestra di corrispondenza della regola:
- Per una dimensione finestra da 1 a 48 ore, la frequenza di esecuzione è impostata su 1 ora.
- Per una dimensione della finestra superiore a 48 ore, la frequenza di esecuzione è impostata su 24 ore.
Per saperne di più, vedi Impostare la frequenza di esecuzione.

Visualizzare i rilevamenti attuali

Visualizza le informazioni sui rilevamenti attuali associati a una regola in uno dei seguenti modi:

Fai clic sulla regola nell'elenco delle regole.

Fai clic su Visualizza rilevamenti regole per aprire la visualizzazione Rilevamenti regole. Questa visualizzazione mostra i metadati della regola e un grafico che mostra il numero di rilevamenti trovati dalla regola negli ultimi giorni.
Fai clic su Modifica regola per aprire l'editor delle regole.

La scheda Cronologia elenca gli eventi rilevati dalla regola. Seleziona un evento e apri il log non elaborato o l'evento UDM associato.

Per modificare le informazioni visualizzate nella scheda Cronologia, fai clic su view_column Colonne per aprire le opzioni di visualizzazione a più colonne. La visualizzazione a più colonne ti consente di scegliere tra varie categorie di informazioni sui log, inclusi tipi comuni, come hostname e user, e categorie più specifiche fornite da UDM.

Testare la regola

Fai clic su Esegui test per testare la regola. Google SecOps esegue la regola sugli eventi nell'intervallo di tempo specificato, genera i risultati e li visualizza nella finestra Risultati del test della regola.

Fai clic su Annulla test in qualsiasi momento per interrompere il processo.

Per saperne di più, consulta Visualizzare gli errori delle regole.

Per i blog della community sulla gestione delle regole, consulta: Navigazione dell'editor delle regole

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.