使用規則編輯器管理規則

支援的國家/地區:

Google Security Operations 的規則編輯器是主要介面,可用於建立、查看、測試及管理 YARA-L 偵測規則。安全工程師可透過這個專屬環境,編寫及修正偵測邏輯,找出擷取的記錄資料中的威脅和可疑活動。

建立及編輯規則

如要開啟規則編輯器,請依序點選「偵測項目」>「規則與偵測項目」 >「規則編輯器」分頁標籤。

編輯規則

如要編輯現有規則,請按照下列步驟操作:

  1. 使用「搜尋規則」欄位尋找現有規則,或捲動瀏覽規則清單。點選側邊面板中的規則,即可在規則顯示面板中查看詳細資料。

  2. 從「規則清單」中選取要編輯的規則。

    規則會顯示在「規則編輯」視窗中。規則選單提供下列選項:

    • 有效規則:啟用或停用規則。
    • 複製規則:複製規則。
    • 查看規則偵測項目:開啟「規則偵測項目」視窗,顯示這項規則擷取的偵測項目。

  3. 如要更新規則的範圍,請從「繫結至範圍」選單中選取範圍。如要進一步瞭解如何為規則新增範圍,請參閱「資料 RBAC 對規則的影響」。

    詳情請參閱 YARA-L 2.0 語言語法

建立新規則

如要建立新規則,請按照下列步驟操作:

  1. 規則編輯器中,按一下「新增」,開啟規則編輯器視窗。

    系統會自動填入預設規則範本,並為規則產生專屬名稱。在 YARA-L 中建立新規則。

  2. 在「繫結至範圍」選單中,選取要新增至規則的範圍。如要進一步瞭解如何為規則新增範圍,請參閱「資料 RBAC 對規則的影響」。

  3. 按一下「儲存新規則」

    Google SecOps 會檢查規則的語法。如果規則有效,系統會自動儲存並啟用規則。如果規則無效,系統會傳回錯誤。

    如要刪除新規則,請按一下「捨棄」

    系統會根據規則的相符時間範圍,自動設定多事件規則的執行頻率:

    • 如果回溯期為 1 到 48 小時,執行頻率會設為 1 小時。
    • 如果時間範圍超過 48 小時,執行頻率會設為 24 小時。

    詳情請參閱「設定執行頻率」。

查看目前的偵測結果

如要查看與規則相關的目前偵測資訊,請採取下列任一做法:

  • 在規則清單中按一下規則,

    按一下「查看規則偵測項目」,開啟「規則偵測項目」檢視畫面。這個檢視畫面會顯示規則的中繼資料,以及圖表,當中會顯示規則在最近幾天內發現的偵測項目數量。

  • 按一下「編輯規則」開啟「規則編輯器」

    「時間軸」分頁會列出規則偵測到的事件。選取事件,然後開啟相關的原始記錄或 UDM 事件。

    如要變更「時間軸」分頁中顯示的資訊,請按一下「Columns」(欄) view_column 開啟多欄檢視選項。在多欄檢視畫面中,您可以選擇各種記錄資訊類別,包括常見類型 (例如 hostnameuser),以及 UDM 提供的更具體類別。

測試規則

按一下「執行測試」即可測試規則。Google SecOps 會對指定時間範圍內的事件執行規則、產生結果,並顯示在「Test rule results」(測試規則結果) 視窗中。

如要停止測試,請隨時按一下「取消測試」

詳情請參閱「查看規則錯誤」。

如需管理規則的社群部落格文章,請參閱:規則編輯器導覽

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。