Erste Schritte mit einheitlichen Regeln

Unterstützt in:

Die einheitliche Benutzeroberfläche für Regeln bietet Bereitstellungs- und Verwaltungsfunktionen für benutzerdefinierte und kuratierte Regeln. In diesem Dokument finden Sie Informationen zu den ersten Schritten mit der einheitlichen Benutzeroberfläche für Regeln und zu den erforderlichen Berechtigungen für den Zugriff.

Die Benutzeroberfläche besteht aus den folgenden Komponenten:

  • Regel-Dashboard:Eine zentrale Verwaltungs- und Monitoring-Konsole. Sie erhalten in Echtzeit Einblick in den Regelstatus, die Ausführungsstatistiken und den Bereitstellungsverlauf in allen Umgebungen.

  • Regeleditor:Eine einheitliche Oberfläche zum Aufrufen und Erstellen von Regeln.

  • Rules API:API-Endpunkte für CRUD-Vorgänge (Create, Read, Update, Delete) für Regeln.

Erforderliche Berechtigungen

In diesem Abschnitt sind die Berechtigungen aufgeführt, die Sie für den Zugriff auf das Dashboard und den Editor für einheitliche Regeln benötigen.

Regeldashboard

Berechtigung Erforderliche IAM-Berechtigung
View
  • chronicle.rules.list
  • chronicle.retrohunts.list
  • chronicle.ruleDeployments.list
  • chronicle.legacies.legacySearchCustomerStats
  • chronicle.legacies.legacyGetRuleCounts
  • chronicle.legacies.legacyGetRulesTrends
  • chronicle.legacies.legacyGetCuratedRulesTrends
Edit
  • chronicle.retrohunts.create
  • chronicle.ruleDeployments.update
  • chronicle.ModifyRules

Regeleditor

Komponente IAM-Berechtigung (wenn Sie IAM verwenden) Analystenberechtigung (bei Verwendung des alten RBAC)
Seite Regeleditor

chronicle.ruleDeployments.list

chronicle.rules.list

 detectRulesView
Zugehöriger Abschnitt in der Referenzliste

chronicle.referenceLists.get

chronicle.referenceLists.list

 referenceListView
Zugehöriger Abschnitt der Datentabelle

chronicle.dataTables.get

chronicle.dataTables.list
Schaltfläche Neue Regel erstellen

chronicle.rules.verifyRuleText

chronicle.rules.create

 detectRulesCreate
Schaltfläche Regel testen chronicle.legacies.legacyRunTestRule detectRulesRun
Menü Regelbereich chronicle.rules.update detectRulesEdit
Schaltfläche Regel speichern chronicle.rules.update detectRulesEdit
Schaltfläche Als neue Regel speichern chronicle.rules.create detectRulesCreate
Schaltfläche Regel-RetroHunt chronicle.retrohunts.create detectRulesRun
Schaltfläche Regel aktivieren chronicle.ruleDeployments.update detectRulesEdit
Ein/Aus-Schaltfläche für Regelbenachrichtigung chronicle.ruleDeployments.update detectRulesEdit
Ein/Aus-Schaltfläche Häufigkeit der Regelausführung chronicle.ruleDeployments.update detectRulesEdit
Schaltfläche Regel archivieren und wiederherstellen chronicle.ruleDeployments.update detectRulesEdit
Kuratierten Regel im Editor ansehen chronicle.featuredContentRules.list

Dashboard für Regeln aktivieren

  1. Rufen Sie die Seite Regel-Dashboard auf.

  2. Klicken Sie auf Neue Seite mit einheitlichen Regeln ausprobieren.

In Ihrer Instanz wird standardmäßig immer die Seite Regel-Dashboard geladen.

Einheitliches Regeldashboard deaktivieren

So rufen Sie das alte Dashboard „Regeln“ wieder auf:

  1. Rufen Sie die Seite Regel-Dashboard auf.

  2. Klicken Sie auf Zurück zum alten Dashboard für Regeln.

In Ihrer Instanz wird standardmäßig immer die alte Seite Regel-Dashboard geladen.

Einheitlichen Regeleditor aktivieren

  1. Rufen Sie die Seite Regeleditor auf.

  2. Klicken Sie auf Seite „Neuer Regeleditor“.

In Ihrer Instanz wird standardmäßig die Seite Regel-Editor geladen.

Einheitlichen Regeleditor deaktivieren

So kehren Sie zur alten Seite Regel-Editor zurück:

  1. Rufen Sie die Seite Regeleditor auf.

  2. Klicken Sie auf die Seite Legacy Rules Editor (Legacy-Regel-Editor).

In Ihrer Instanz wird standardmäßig die alte Seite Regelbearbeitung geladen.

Nächste Schritte

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten