使用规则编辑器管理规则

支持的平台:

Google Security Operations 中的规则编辑器是创建、查看、测试和管理 YARA-L 检测规则的主要界面。它为安全工程师提供了一个专用环境,用于编写和优化检测逻辑,以识别提取的日志数据中的威胁和可疑活动。

创建和修改规则

如需打开规则编辑器,请依次点击检测> 规则和检测 > 规则编辑器标签页。

修改规则

如需修改现有规则,请按以下步骤操作:

  1. 使用搜索规则字段查找现有规则,或滚动浏览规则列表。点击侧边栏中的规则,即可在规则显示面板中查看详细信息。

  2. 规则列表中选择要修改的规则。

    规则会显示在规则修改窗口中。规则菜单为每条规则提供以下选项:

    • 有效规则:启用或停用规则。
    • 复制规则:复制规则。
    • 查看规则检测:打开规则检测窗口,以显示此规则捕获的检测结果。

  3. 如需更新规则的范围,请从绑定到范围菜单中选择相应范围。如需详细了解如何向规则添加范围,请参阅数据 RBAC 对规则的影响

    如需了解详情,请参阅 YARA-L 2.0 语言语法

新建规则

如需创建新规则,请按以下步骤操作:

  1. 规则编辑器中,点击新建以打开规则编辑器窗口。

    系统会自动填充默认规则模板,并为规则生成唯一的名称。在 YARA-L 中创建新规则。

  2. 绑定到范围菜单中,选择要添加到规则中的范围。如需详细了解如何向规则添加范围,请参阅数据 RBAC 对规则的影响

  3. 点击保存新规则

    Google SecOps 可以检查规则的语法。如果规则有效,系统会自动保存并启用该规则。如果规则无效,则会返回错误。

    如需删除新规则,请点击舍弃

    系统会根据多事件规则的匹配时间窗口自动设置运行频率:

    • 对于 1 小时到 48 小时的回溯期,运行频率设置为 1 小时。
    • 如果时间范围超过 48 小时,运行频率将设置为 24 小时。

    如需了解详情,请参阅设置运行频率

查看当前检测结果

您可以通过以下任一方式查看与规则相关联的当前检测信息:

  • 在规则列表中,点击相应规则。

    点击查看规则检测以打开规则检测视图。此视图会显示规则的元数据,以及一张图表,显示规则在最近几天检测到的数量。

  • 点击修改规则以打开规则编辑器

    时间轴标签页会列出由规则检测到的事件。选择事件并打开关联的原始日志或 UDM 事件。

    如需更改时间轴标签页上显示的信息,请依次点击 view_column ,以打开多列视图选项。在多列视图中,您可以选择各种类别的日志信息,包括 hostnameuser 等常见类型,以及 UDM 提供的更具体的类别。

测试规则

点击运行测试以测试规则。Google SecOps 会针对指定时间范围内的事件运行规则,生成结果,并在测试规则结果窗口中显示这些结果。

您可以随时点击取消测试来停止此过程。

如需了解详情,请参阅查看规则错误

如需查看有关管理规则的社区博客,请参阅:规则编辑器导航

需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。