So erstellen und bearbeiten Sie Regeln mit dem Regeleditor:
Klicken Sie auf Erkennungen > „Regeln und Erkennungen“> den Tab Regeleditor.
Verwenden Sie das Feld Suchregeln, um nach einer vorhandenen Regel zu suchen. Sie können auch mit der Scrollleiste durch die Regeln scrollen. Klicken Sie im linken Bereich auf eine der Regeln, um sie im Bereich für die Regeldarstellung aufzurufen.
Wählen Sie die gewünschte Regel aus der Liste „Regeln“ aus. Die Regel wird im Fenster zur Bearbeitung von Regeln angezeigt. Wenn Sie eine Regel auswählen, wird das Regelmenü geöffnet. Dort haben Sie folgende Möglichkeiten:
Live-Regel: Aktivieren oder deaktivieren Sie die Regel.
Regel duplizieren: Erstellt eine Kopie der Regel. Das ist hilfreich, wenn Sie eine ähnliche Regel erstellen möchten.
Regelerkennungen ansehen: Öffnet das Fenster „Regelerkennungen“, in dem die von dieser Regel erfassten Erkennungen angezeigt werden.
Im Fenster „Regel bearbeiten“ können Sie vorhandene Regeln bearbeiten und neue Regeln erstellen.
Das Fenster „Regel bearbeiten“ enthält eine Funktion zur automatischen Vervollständigung, mit der Sie die richtige YARA-L-Syntax für jeden Abschnitt der Regel aufrufen können.
Wenn Sie eine Regel erstellen oder bearbeiten, empfiehlt Google Security Operations, die automatischen Empfehlungen durchzugehen, um sicherzustellen, dass die fertige Regel die richtige Syntax verwendet. Wenn Sie den Bereich der Regel aktualisieren möchten, wählen Sie den Bereich im Menü An Bereich binden aus. Weitere Informationen zum Zuordnen eines Bereichs zu einer Regel finden Sie unter Auswirkungen von RBAC auf Regeln.
Weitere Informationen finden Sie unter YARA-L 2.0-Sprachsyntax.
Klicken Sie im Regeleditor auf Neu, um das Regeleditorfenster zu öffnen. Sie wird automatisch mit der Standardregelvorlage gefüllt.
Google SecOps generiert automatisch einen eindeutigen Namen für die Regel. Erstellen Sie die neue Regel in YARA-L. Wenn Sie der Regel einen Bereich hinzufügen möchten, wählen Sie ihn im Menü An Bereich binden aus. Weitere Informationen zum Hinzufügen eines Bereichs zu Regeln finden Sie unter Auswirkungen der rollenbasierten Zugriffssteuerung auf Regeln.
Klicken Sie abschließend auf NEUE REGEL SPEICHERN. Google SecOps prüft die Syntax Ihrer Regel. Wenn die Regel gültig ist, wird sie gespeichert und automatisch aktiviert.
Wenn die Syntax ungültig ist, wird ein Fehler zurückgegeben. Wenn Sie die neue Regel löschen möchten, klicken Sie auf VERWERFEN.
Wenn Sie Informationen zu den aktuellen Erkennungen aufrufen möchten, die mit einer Regel verknüpft sind, klicken Sie in der Liste der Regeln auf die Regel und dann auf Regelerkennungen ansehen, um die Ansicht „Regelerkennungen“ zu öffnen.
In der Ansicht Regelerkennungen werden die Metadaten angezeigt, die an die Regel angehängt sind, sowie ein Diagramm mit der Anzahl der Erkennungen, die in den letzten Tagen von der Regel gefunden wurden.
Klicken Sie auf Regel bearbeiten, um zum Regeleditor zurückzukehren.
Mehrspaltige Ansicht
Der Tab Zeitachse ist ebenfalls verfügbar und enthält eine Liste der von der Regel erkannten Ereignisse.
Wie beim Tab Zeitachse in anderen Google SecOps-Ansichten können Sie ein Ereignis auswählen und das zugehörige Rohlog oder UDM-Ereignis öffnen.
Klicken Sie auf view_column Spalten, um die Optionen für die mehrspaltige Ansicht zu öffnen und die Informationen zu ändern, die auf dem Tab Zeitachse angezeigt werden. In der mehrspaltigen Ansicht können Sie aus verschiedenen Kategorien von Protokollinformationen auswählen, darunter gängige Typen wie hostname und user sowie spezifischere Kategorien, die von UDM bereitgestellt werden.
Klicken Sie auf TEST AUSFÜHREN, um die Regel zu testen. Google SecOps führt die Regel für Ereignisse im angegebenen Zeitraum aus, generiert Ergebnisse und zeigt sie im Fenster TEST RULE RESULTS (Testergebnisse für Regel) an.
Klicken Sie jederzeit auf TEST ABBRECHEN, um den Vorgang zu beenden.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-09-02 (UTC)."],[[["\u003cp\u003eThe Rules Editor allows users to manage both existing and new rules within Google SecOps.\u003c/p\u003e\n"],["\u003cp\u003eUsers can search for rules, view rule details, enable/disable rules, duplicate rules, and view rule detections within the Rules Editor.\u003c/p\u003e\n"],["\u003cp\u003eThe Rule Editing window offers an automatic completion feature, guiding users through the correct YARA-L syntax and allows for the association of rules with specific scopes via the "Bind to scope" menu.\u003c/p\u003e\n"],["\u003cp\u003eNew rules can be created using a default template, and the system automatically generates a unique rule name, performing syntax checks upon saving, with valid rules being automatically enabled.\u003c/p\u003e\n"],["\u003cp\u003eUsers can run tests on rules to check if they are working as expected, with results displayed in a dedicated window, though these test results are not saved.\u003c/p\u003e\n"]]],[],null,["# Manage rules using the Rules Editor\n===================================\n\nSupported in: \nGoogle secops [SIEM](/chronicle/docs/secops/google-secops-siem-toc)\n\nTo use the Rules Editor to create and edit rules, follow these steps:\n\n1. Click **Detections \\\u003e Rules \\& Detections** \\\u003e the **Rules Editor** tab.\n\n2. Use the **Search rules** field to search for an existing rule. You can also scroll through the rules using the scroll bar. Click any of the rules in the left panel to view the rule in the rule display panel.\n\n3. Select the rule you are interested in from the Rules List. The rule is displayed in the rule editing window. By selecting a rule, you open the rule menu and can select from the following options:\n\n - **Live Rule**---Enable or disable the rule.\n - **Duplicate Rule**---Make a copy of the rule; helpful if you want to make a similar rule.\n - **View Rule Detections**---Open the Rule Detections window to display the detections captured by this rule.\n4. Use the Rule Editing window to edit existing rules and to create new rules.\n The Rule Editing window includes an automatic completion feature to enable you\n to view the correct YARA-L syntax available for each section of the rule.\n Whenever composing or editing a rule, Google Security Operations recommends walking\n through the automatic recommendations to ensure your completed rule uses the\n correct syntax. To update the rule scope, select the scope from the\n **Bind to scope** menu. For more information about associating a scope\n with a rule, see [data RBAC impact on Rules](/chronicle/docs/administration/datarbac-impact#rules).\n For more information, see [YARA-L 2.0 language syntax](/chronicle/docs/detection/yara-l-2-0-syntax).\n\n5. Click **New** in the Rules Editor to open the Rules Editor Window. It\n automatically populates it with the default rule template.\n Google SecOps automatically generates a unique name for\n the rule. Create your new rule in YARA-L. To add a scope to the rule, select the\n scope from the **Bind to scope** menu. For more information about adding a scope\n to rules, see [data RBAC impact on Rules](/chronicle/docs/administration/datarbac-impact#rules).\n When you have finished, click **SAVE NEW RULE** . Google SecOps checks the\n syntax of your rule. If the rule is valid, it is saved and automatically enabled.\n If the syntax is invalid, it returns an error. To delete the new rule, click **DISCARD**.\n\n | **Note:** After you have saved a rule, you cannot delete it from the Rules Editor or the Rules Dashboard.\n | **Note:** For Multi-event rules correlating more than one event with a match section size of over one hour, the rule's run frequency (when executing as a Live Rule) is automatically set to 1 hour.\n6. To view information on the current detections associated with a rule, click\n the rule in the rules list and click **View Rule Detections** to open Rule\n Detections view.\n\n The **Rule Detections** view displays the metadata attached to the rule and\n a graph showing the number of detections found by the rule over recent days.\n7. Click **Edit Rule** to return to the Rules Editor.\n\n #### Multicolumn view\n\n The **Timeline** tab is also available and lists the events detected by the rule.\n As with the **Timeline** tab in other Google SecOps views, you can\n select an event and open the associated raw log or UDM event.\n\nClick view_column **Columns**\nto open the multicolumn view options and\nchange the information shown on the **Timeline** tab. The multicolumn view lets\nyou choose from various categories of log information, including common types,\nsuch as `hostname` and `user` and more specific categories provided by UDM.\n\n1. Click **RUN TEST** to test your rule. Google SecOps runs the rule on events in the specified time range, generates results, and displays them in the **TEST RULE RESULTS** window. \n Click **CANCEL TEST** at any time to stop the process.\n\n| **Note:** Successive executions of the same test rule may generate different test detections and is expected behavior. Google SecOps runs a test rule in multiple parallel processes and detections are streamed to the dashboard as each process finishes. Minor timing differences can affect which duplicate detections are removed. By extension, results may not match those of live rules or retrohunts.\n| **Note:** Test rule detections aren't persisted and don't generate alerts. This behavior allows rule authors to iterate without affecting production. Test rule detections may differ from retrohunt or live rule detections because the evaluation windows may be aligned differently.\n| **Note:** These test results are not saved and won't be viewable in the Rules Dashboard.\n\nFor Community blogs on managing rules, see:\n\n- [Rules Editor Navigation](https://www.googlecloudcommunity.com/gc/Google-Security-Operations-Best/Getting-to-Know-Google-SecOps-SIEM-Rules-Editor-Navigation/ta-p/659309)\n\n**Need more help?** [Get answers from Community members and Google SecOps professionals.](https://security.googlecloudcommunity.com/google-security-operations-2)"]]
