統合ルールのスタートガイド
統合ルール インターフェースには、カスタムルールとキュレートされたルールのデプロイと管理機能が用意されています。このドキュメントでは、統合ルール インターフェースの概要と、アクセスに必要な権限について説明します。
インターフェースは次のコンポーネントで構成されています。
ルール ダッシュボード: 一元管理とモニタリングのコンソール。すべての環境で、ルールのステータス、実行指標、デプロイ履歴をリアルタイムで可視化します。
ルールエディタ: ルールを表示および作成するための統合インターフェース。
ルール API: ルールに対する作成、読み取り、更新、削除(CRUD)オペレーションの API エンドポイント。
必要な権限
このセクションでは、統合ルール ダッシュボードとエディタにアクセスするために必要な権限について説明します。
ルール ダッシュボード
| 権限 | 必要な IAM 権限 |
|---|---|
View
|
|
Edit
|
|
ルールエディタ
| コンポーネント | IAM 権限(IAM を使用する場合) | アナリスト権限(以前の RBAC を使用している場合) |
|---|---|---|
| ルールエディタ ページ |
|
detectRulesView
|
| 関連資料リスト セクション |
|
referenceListView
|
| 関連するデータテーブル セクション |
|
N/A |
| [新しいルールを作成] ボタン |
|
detectRulesCreate
|
| [ルールをテスト] ボタン | chronicle.legacies.legacyRunTestRule
|
detectRulesRun
|
| ルールの適用範囲メニュー | chronicle.rules.update
|
detectRulesEdit
|
| [ルールを保存] ボタン | chronicle.rules.update
|
detectRulesEdit
|
| [Save as new rule](新しいルールとして保存)ボタン | chronicle.rules.create
|
detectRulesCreate
|
| [Rule retro hunt] ボタン | chronicle.retrohunts.create
|
detectRulesRun
|
| ライブルールの切り替え | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| ルール アラートの切り替え | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| ルールの実行頻度の切り替え | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| ルールのアーカイブとアーカイブ解除の切り替え | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| エディタでキュレートされたルールを表示する | chronicle.featuredContentRules.list
|
N/A |
統合ルール ダッシュボードを有効にする
[ルール ダッシュボード] ページに移動します。
[新しい統一ルールページをお試しください] をクリックします。
インスタンスでは、デフォルトで統合されたルール ダッシュボード ページが常に読み込まれます。
統合されたルール ダッシュボードをオプトアウトする
以前のルールのダッシュボードに戻るには、次の操作を行います。
[ルール ダッシュボード] ページに移動します。
[以前のルール ダッシュボードに戻る] をクリックします。
インスタンスでは、デフォルトで常に以前の [ルール ダッシュボード] ページが読み込まれます。
統合ルール エディタを有効にする
[ルール エディタ] ページに移動します。
[新しいルール エディタのページ] をクリックします。
インスタンスには、デフォルトで統合されたルール エディタ ページが読み込まれます。
統合ルール エディタをオプトアウトする
以前の [ルールエディタ] ページに戻るには、次の操作を行います。
[ルール エディタ] ページに移動します。
[以前のルールの編集ページ] をクリックします。
インスタンスには、デフォルトで以前のルール エディタ ページが読み込まれます。
次のステップ
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。