ルールエディタを使用してルールを管理する
Google Security Operations のルール エディタは、YARA-L 検出ルールの作成、表示、テスト、管理を行うための主要なインターフェースです。セキュリティ エンジニアが取り込まれたログデータ内の脅威と不審なアクティビティを特定する検出ロジックを作成して調整するための専用環境が提供されます。
ルールを作成、編集する
ルールエディタを開くには、[検出] > [ルールと検出] > [ルールエディタ] タブをクリックします。
ルールを編集する
既存のルールを編集する手順は次のとおりです。
[Search rules] フィールドを使用して既存のルールを検索するか、ルールのリストをスクロールします。サイドパネルでいずれかのルールをクリックすると、ルール表示パネルにそのルールの詳細が表示されます。
[ルールリスト] から編集するルールを選択します。
ルールが [ルールの編集] ウィンドウに表示されます。ルールメニューには、各ルールに対して次のオプションがあります。
- Live rule: ルールを有効または無効にします。
- ルールの複製: ルールのコピーを作成します。
- View Rule Detections: [Rule Detections] ウィンドウを開いて、このルールによってキャプチャされた検出を表示します。
ルールのスコープを更新するには、[スコープにバインド] メニューからスコープを選択します。ルールにスコープを追加する方法については、データ RBAC がルールに与える影響をご覧ください。
詳細については、YARA-L 2.0 言語の構文をご覧ください。
新しいルールを作成
新しいルールを作成する手順は次のとおりです。
[ルールエディタ] で [新規] をクリックして、[ルールエディタ] ウィンドウを開きます。
デフォルトのルール テンプレートが自動的に入力され、ルールの一意の名前が生成されます。YARA-L で新しいルールを作成します。
[スコープにバインド] メニューで、ルールに追加するスコープを選択します。ルールにスコープを追加する方法については、データ RBAC がルールに与える影響をご覧ください。
[新しいルールを保存] をクリックします。
Google SecOps がルールの構文をチェックします。ルールが有効な場合は、ルールが保存され、自動的に有効になります。ルールが無効な場合は、エラーが返されます。
新しいルールを削除するには、[破棄] をクリックします。
マルチイベント ルールの実行頻度は、ルールの照合ウィンドウに基づいて自動的に設定されます。
- ウィンドウ サイズが 1 ~ 48 時間の場合、実行頻度は 1 時間に設定されます。
- ウィンドウ サイズが 48 時間を超える場合、実行頻度は 24 時間に設定されます。
詳細については、実行頻度を設定するをご覧ください。
現在の検出内容を表示する
ルールに関連付けられた現在の検出に関する情報を表示するには、次のいずれかの方法を使用します。
ルールのリストでルールをクリックします。
[View rule detections] をクリックして、[Rule detections] ビューを開きます。このビューには、ルールのメタデータと、最近のルール全体におけるルールの検出数を示すグラフが表示されます。
[ルールを編集] をクリックして、ルールエディタを開きます。
[Timeline] タブには、ルールによって検出されたイベントが一覧表示されます。イベントを選択して、関連する生のログまたは UDM イベントを開きます。
[Timeline] タブに表示する情報を変更するには、 view_column [Columns] をクリックして複数列ビュー オプションを開きます。複数列ビューでは、
hostnameやuserなどの一般的なタイプや、UDM によって提供されるより具体的なカテゴリなど、さまざまなカテゴリのログ情報から選択できます。
ルールをテストする
[テストを実行] をクリックしてルールをテストします。Google SecOps は、指定された期間のイベントに対してルールを実行し、結果を生成して、[Test rule results] ウィンドウに表示します。
いつでも [テストをキャンセル] をクリックしてプロセスを停止できます。
詳細については、ルールのエラーを表示するをご覧ください。
ルールの管理に関するコミュニティ ブログについては、ルールエディタのナビゲーションをご覧ください。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。