開始使用統整式規則
支援的國家/地區:
Google SecOps
SIEM
統一定價規則介面提供自訂和精選規則的部署與管理功能。本文提供統一規則介面的入門資訊,以及存取介面所需的權限。
介面包含下列元件:
規則資訊主頁:集中管理和監控控制台。可即時掌握所有環境的規則狀態、執行指標和部署記錄。
規則編輯器:可查看及編寫規則的統一介面。
規則 API:API 端點,用於對規則執行建立、讀取、更新和刪除 (CRUD) 作業。
所需權限
本節列出存取整合規則資訊主頁和編輯器所需的權限。
規則資訊主頁
| 權限 | 必要 IAM 權限 |
|---|---|
View
|
|
Edit
|
|
規則編輯器
| 元件 | IAM 權限 (如果您使用 IAM) | 分析師權限 (如果您使用舊版 RBAC) |
|---|---|---|
| 規則編輯器頁面 |
|
detectRulesView
|
| 相關參考資料清單部分 |
|
referenceListView
|
| 相關資料表部分 |
|
不適用 |
| 「建立新規則」按鈕 |
|
detectRulesCreate
|
| 「測試規則」按鈕 | chronicle.legacies.legacyRunTestRule
|
detectRulesRun
|
| 「規則範圍」選單 | chronicle.rules.update
|
detectRulesEdit
|
| 「儲存規則」按鈕 | chronicle.rules.update
|
detectRulesEdit
|
| 「另存為新規則」按鈕 | chronicle.rules.create
|
detectRulesCreate
|
| 「規則回溯搜尋」按鈕 | chronicle.retrohunts.create
|
detectRulesRun
|
| 「規則即時」切換鈕 | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| 規則快訊切換鈕 | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| 規則執行頻率切換鈕 | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| 規則封存和取消封存切換按鈕 | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| 在編輯器中查看精選規則 | chronicle.featuredContentRules.list
|
不適用 |
啟用整合式規則資訊主頁
前往「規則資訊主頁」頁面。
按一下「試用新的統一定價規則頁面」。
執行個體預設一律會載入整合式「規則」資訊主頁頁面。
停用整合式規則資訊主頁
如要返回舊版規則資訊主頁,請按照下列步驟操作:
前往「規則資訊主頁」頁面。
按一下「返回舊版規則資訊主頁」。
執行個體預設一律載入舊版「規則資訊主頁」頁面。
啟用統一規則編輯器
前往「規則編輯器」頁面。
按一下「新規則編輯器」頁面。
執行個體預設會載入整合式規則編輯器頁面。
選擇不使用統一規則編輯器
如要返回舊版「規則編輯器」頁面,請按照下列步驟操作:
前往「規則編輯器」頁面。
按一下「舊版規則編輯器」頁面。
根據預設,執行個體會載入舊版「規則編輯器」頁面。
後續步驟
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。