Premiers pas avec les règles unifiées

Compatible avec :

Google SecOps SIEM

L'interface unifiée des règles offre des fonctionnalités de déploiement et de gestion pour les règles personnalisées et sélectionnées. Ce document explique comment commencer à utiliser l'interface unifiée des règles et quelles autorisations sont requises pour y accéder.

L'interface se compose des éléments suivants :

Tableau de bord des règles : console de gestion et de surveillance centralisée. Il offre une visibilité en temps réel sur l'état des règles, les métriques d'exécution et l'historique des déploiements dans tous les environnements.
Éditeur de règles : interface unifiée permettant d'afficher et de créer des règles.
API Rules : points de terminaison d'API pour les opérations CRUD (création, lecture, mise à jour et suppression) sur les règles.

Autorisations requises

Cette section liste les autorisations dont vous avez besoin pour accéder au tableau de bord et à l'éditeur de règles unifiés.

Tableau de bord des règles

Autorisation	Autorisation IAM requise
`View`	`chronicle.rules.list` `chronicle.retrohunts.list` `chronicle.ruleDeployments.list` `chronicle.legacies.legacySearchCustomerStats` `chronicle.legacies.legacyGetRuleCounts` `chronicle.legacies.legacyGetRulesTrends` `chronicle.legacies.legacyGetCuratedRulesTrends`
`Edit`	`chronicle.retrohunts.create` `chronicle.ruleDeployments.update` `chronicle.ModifyRules`

Éditeur de règles

Composant	Autorisation IAM (si vous utilisez IAM)	Autorisation "Analyste" (si vous utilisez l'ancien RBAC)
Page Éditeur de règles	`chronicle.ruleDeployments.list` `chronicle.rules.list`	`detectRulesView`
Section "Liste des références associées"	`chronicle.referenceLists.get` `chronicle.referenceLists.list`	`referenceListView`
Section "Table de données associée"	`chronicle.dataTables.get` `chronicle.dataTables.list`	N/A
Bouton Créer une règle	`chronicle.rules.verifyRuleText` `chronicle.rules.create`	`detectRulesCreate`
Bouton Tester la règle	`chronicle.legacies.legacyRunTestRule`	`detectRulesRun`
Menu Champ d'application de la règle	`chronicle.rules.update`	`detectRulesEdit`
Bouton Enregistrer la règle	`chronicle.rules.update`	`detectRulesEdit`
Bouton Enregistrer en tant que nouvelle règle	`chronicle.rules.create`	`detectRulesCreate`
Bouton Recherche RetroHunt par règle	`chronicle.retrohunts.create`	`detectRulesRun`
Bouton d'activation/de désactivation Rule live	`chronicle.ruleDeployments.update`	`detectRulesEdit`
Bouton d'activation/de désactivation des alertes de règles	`chronicle.ruleDeployments.update`	`detectRulesEdit`
Bouton bascule Fréquence d'exécution de la règle	`chronicle.ruleDeployments.update`	`detectRulesEdit`
Bouton Archiver et désarchiver les règles	`chronicle.ruleDeployments.update`	`detectRulesEdit`
Afficher une règle sélectionnée dans l'éditeur	`chronicle.featuredContentRules.list`	N/A

Activer le tableau de bord des règles unifié

Accédez à la page Tableau de bord des règles.
Cliquez sur Découvrez notre nouvelle page des règles unifiées.

Votre instance charge toujours la page unifiée Tableau de bord des règles par défaut.

Désactiver le tableau de bord unifié des règles

Pour revenir à l'ancien tableau de bord des règles, procédez comme suit :

Accédez à la page Tableau de bord des règles.
Cliquez sur Revenir à l'ancien tableau de bord des règles.

Votre instance charge toujours l'ancienne page Tableau de bord des règles par défaut.

Activer l'éditeur de règles unifié

Accédez à la page Éditeur de règles.
Cliquez sur la page Éditeur de règles.

Votre instance charge la page unifiée de l'éditeur de règles par défaut.

Désactiver l'éditeur de règles unifié

Pour revenir à l'ancienne page de l'éditeur de règles :

Accédez à la page Éditeur de règles.
Cliquez sur la page Ancien éditeur de règles.

Votre instance charge par défaut l'ancienne page de l'éditeur de règles.

Étapes suivantes

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.