开始使用统一规则
支持的平台:
Google SecOps
SIEM
统一规则界面提供自定义规则和精选规则的部署和管理功能。本文档介绍了如何开始使用统一规则界面,以及访问该界面所需的权限。
该界面包含以下组件:
规则信息中心:集中式管理和监控控制台。它可实时监测所有环境中的规则状态、执行指标和部署历史记录。
规则编辑器:用于查看和编写规则的统一界面。
规则 API:用于对规则执行创建、读取、更新和删除 (CRUD) 操作的 API 端点。
所需权限
本部分列出了访问统一规则信息中心和编辑器所需的权限。
规则信息中心
| 权限 | 必需的 IAM 权限 |
|---|---|
View
|
|
Edit
|
|
规则编辑器
| 组件 | IAM 权限(如果您使用 IAM) | 分析师权限(如果您使用的是旧版 RBAC) |
|---|---|---|
| 规则编辑器页面 |
|
detectRulesView
|
| 相关参考列表部分 |
|
referenceListView
|
| “相关数据表”部分 |
|
不适用 |
| 创建新规则按钮 |
|
detectRulesCreate
|
| 测试规则按钮 | chronicle.legacies.legacyRunTestRule
|
detectRulesRun
|
| 规则范围菜单 | chronicle.rules.update
|
detectRulesEdit
|
| 保存规则按钮 | chronicle.rules.update
|
detectRulesEdit
|
| 另存为新规则按钮 | chronicle.rules.create
|
detectRulesCreate
|
| 规则 RetroHunt 按钮 | chronicle.retrohunts.create
|
detectRulesRun
|
| 规则实时切换开关 | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| 规则提醒切换开关 | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| 规则运行频率切换开关 | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| 规则归档和取消归档切换开关 | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| 在编辑器中查看精选规则 | chronicle.featuredContentRules.list
|
不适用 |
选择启用统一的“规则”信息中心
前往规则信息中心页面。
点击试用我们新的统一规则页面。
您的实例默认情况下始终加载统一的“规则”信息中心页面。
选择停用统一的“规则”信息中心
如需返回旧版“规则”信息中心,请执行以下操作:
前往规则信息中心页面。
点击返回旧版规则信息中心。
默认情况下,您的实例始终会加载旧版规则信息中心页面。
选择启用统一的规则编辑器
前往规则编辑器页面。
点击“新规则编辑器”页面。
您的实例默认加载统一的规则编辑器页面。
选择停用统一规则编辑器
如需返回到旧版规则编辑器页面,请执行以下操作:
前往规则编辑器页面。
点击旧版规则编辑器页面。
您的实例默认加载旧版规则编辑器页面。
后续步骤
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。