使用规则编辑器管理规则

支持:

Google Security Operations 中的规则编辑器是创建、查看、测试和管理 YARA-L 检测规则的主要界面。它为安全工程师提供了一个专用环境,用于编写和完善检测逻辑,以识别注入的日志数据中的威胁和可疑活动。

创建和修改规则

如需打开规则编辑器,请依次点击检测 > 规则和 检测 > 规则编辑器标签页。

新建规则

规则使用 YARA-L 2.0 查询语言。首次创建新规则之前,请参阅 SecOps 中的 YARA-L 2.0 入门

如需创建新规则,请按以下步骤操作:

  1. 规则编辑器中,点击新建以打开规则编辑器窗口。

    系统会自动填充默认规则模板,并为规则生成唯一的名称。在 YARA-L 中创建新规则。

  2. 绑定到范围 菜单中,选择要添加到规则的范围。如需详细了解如何向规则添加范围,请参阅 数据 RBAC 对规则的影响

  3. 点击保存新规则

    Google SecOps 会检查规则的语法。如果规则有效,系统会自动保存并启用该规则。如果规则无效,系统会返回错误。

    系统会根据规则的匹配窗口自动设置多事件规则的运行频率:

    • 对于 1 到 48 小时的窗口大小,运行频率设置为 1 小时。
    • 对于大于 48 小时的窗口大小,运行频率设置为 24 小时。

    如需了解详情,请参阅设置运行频率

  4. (可选)如需删除新规则,请点击舍弃

修改规则

如需修改现有规则,请按以下步骤操作:

  1. 使用搜索规则 字段查找现有规则,或滚动浏览规则列表。点击侧边栏中的规则,以在规则显示面板中查看详细信息。

  2. 规则列表 中选择要修改的规则。

    该规则会显示在规则修改 窗口中。规则菜单为每个规则提供以下选项:

    • 有效规则:启用或停用规则。
    • 复制规则:复制规则。
    • 查看规则检测:打开规则检测窗口,以显示此规则捕获的 检测结果。

  3. 如需更新规则的范围,请从绑定到范围 菜单中选择范围。如需详细了解如何向规则添加范围,请参阅 数据 RBAC 对规则的影响

查看当前检测结果

您可以通过以下任一方式查看与规则相关联的当前检测结果的相关信息:

  • 点击规则列表中的规则。

    点击查看规则检测 以打开规则检测 视图。此视图会显示规则的元数据,以及一张图表,显示在最近几天发现的规则数量。

  • 点击修改规则 以打开规则编辑器

    时间轴 标签页会列出规则检测到的事件。 选择事件并打开关联的原始日志或 UDM 事件。

    如需更改时间轴标签页上显示的信息,请点击 view_column 以打开 多列视图选项。借助多列视图,您可以选择各种类别的日志信息,包括 hostnameuser 等常见类型,以及 UDM 提供的更具体的类别。

测试规则

点击运行测试 以测试自定义规则。Google SecOps 会针对指定时间范围内的事件运行 规则,生成结果,并在 测试规则结果 窗口中显示这些结果。

您可以随时点击取消测试 以停止该过程。

如需了解详情,请参阅查看规则错误

您还可以执行测试来验证精选规则。

如需查看有关管理规则的社区博客,请参阅:规则编辑器导航

需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。