Regeln mit dem Regeleditor verwalten

Unterstützt in:

So erstellen und bearbeiten Sie Regeln mit dem Regeleditor:

  1. Klicken Sie auf Erkennungen > Regeln und Erkennungen > den Tab Regeleditor.

  2. Verwenden Sie das Feld Suchregeln, um nach einer vorhandenen Regel zu suchen. Sie können auch die Scrollleiste verwenden, um durch die Regeln zu scrollen. Klicken Sie im linken Bereich auf eine der Regeln, um sie im Bereich für die Regeldarstellung aufzurufen.

  3. Wählen Sie die gewünschte Regel aus der Liste „Regeln“ aus. Die Regel wird im Fenster für die Bearbeitung von Regeln angezeigt. Wenn Sie eine Regel auswählen, wird das Regelmenü geöffnet. Dort haben Sie folgende Möglichkeiten:

    • Live-Regel: Aktivieren oder deaktivieren Sie die Regel.
    • Regel duplizieren: Erstellt eine Kopie der Regel. Das ist hilfreich, wenn Sie eine ähnliche Regel erstellen möchten.
    • Regelerkennungen ansehen: Öffnet das Fenster „Regelerkennungen“, in dem die von dieser Regel erfassten Erkennungen angezeigt werden.

  4. Im Fenster „Regel bearbeiten“ können Sie vorhandene Regeln bearbeiten und neue Regeln erstellen. Das Fenster „Regel bearbeiten“ enthält eine Funktion zur automatischen Vervollständigung, mit der Sie die richtige YARA-L-Syntax für jeden Abschnitt der Regel aufrufen können. Wenn Sie eine Regel erstellen oder bearbeiten, empfiehlt Google Security Operations, die automatischen Empfehlungen durchzugehen, um sicherzustellen, dass die fertige Regel die richtige Syntax verwendet. Wenn Sie den Bereich der Regel aktualisieren möchten, wählen Sie den Bereich im Menü An Bereich binden aus. Weitere Informationen zum Zuordnen eines Bereichs zu einer Regel finden Sie unter Auswirkungen von RBAC auf Regeln. Weitere Informationen finden Sie unter YARA-L 2.0-Sprachsyntax.

  5. Klicken Sie im Regeleditor auf Neu, um das Regeleditorfenster zu öffnen. Sie wird automatisch mit der Standardregelvorlage gefüllt. Google SecOps generiert automatisch einen eindeutigen Namen für die Regel. Erstellen Sie die neue Regel in YARA-L. Wenn Sie der Regel einen Bereich hinzufügen möchten, wählen Sie ihn im Menü An Bereich binden aus. Weitere Informationen zum Hinzufügen eines Bereichs zu Regeln finden Sie unter Auswirkungen der rollenbasierten Zugriffssteuerung auf Regeln. Klicken Sie abschließend auf NEUE REGEL SPEICHERN. Google SecOps prüft die Syntax Ihrer Regel. Wenn die Regel gültig ist, wird sie gespeichert und automatisch aktiviert. Wenn die Syntax ungültig ist, wird ein Fehler zurückgegeben. Wenn Sie die neue Regel löschen möchten, klicken Sie auf VERWERFEN.

  6. Wenn Sie Informationen zu den aktuellen Erkennungen aufrufen möchten, die mit einer Regel verknüpft sind, klicken Sie in der Liste der Regeln auf die Regel und dann auf Regelerkennungen ansehen, um die Ansicht „Regelerkennungen“ zu öffnen.

    In der Ansicht Regelerkennungen werden die Metadaten angezeigt, die an die Regel angehängt sind, sowie ein Diagramm mit der Anzahl der Erkennungen, die in den letzten Tagen von der Regel gefunden wurden.

  7. Klicken Sie auf Regel bearbeiten, um zum Regeleditor zurückzukehren.

    Mehrspaltige Ansicht

    Der Tab „Zeitachse“ ist ebenfalls verfügbar und enthält die von der Regel erkannten Ereignisse. Wie beim Tab „Zeitachse“ in anderen Google SecOps-Ansichten können Sie ein Ereignis auswählen und das zugehörige Rohlog oder UDM-Ereignis öffnen.

    Sie können auch festlegen, welche Informationen auf dem Tab „Zeitachse“ angezeigt werden. Klicken Sie dazu auf das Spaltensymbol, um die Optionen für die mehrspaltige Ansicht zu öffnen. In der mehrspaltigen Ansicht können Sie verschiedene Kategorien von Protokollinformationen auswählen, die angezeigt werden sollen, darunter gängige Typen wie Hostname und Nutzer sowie viele weitere spezifische Kategorien, die von UDM bereitgestellt werden.

  8. Klicken Sie auf TEST AUSFÜHREN, um die im Fenster für die Regelbearbeitung angezeigte Regel auszuführen. Google SecOps beginnt mit dem Erfassen von erkannten Sicherheitsrisiken. So können Sie schnell prüfen, ob die Regel wie erwartet funktioniert. Die Erkennungsinformationen werden im Fenster TEST RULE RESULTS (TESTREGEL-ERGEBNISSE) angezeigt. Sie können jederzeit auf TEST ABBRECHEN klicken, um diesen Vorgang zu beenden.

Community-Blogs zum Verwalten von Regeln:

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten