Administrar reglas con el editor de reglas

Compatible con:

Para usar el Editor de reglas para crear y editar reglas, sigue estos pasos:

  1. Haz clic en Detecciones > Reglas y detecciones > la pestaña Editor de reglas.

  2. Usa el campo Search rules para buscar una regla existente. También puedes desplazarte por las reglas con la barra de desplazamiento. Haz clic en cualquiera de las reglas del panel izquierdo para verla en el panel de visualización de reglas.

  3. Selecciona la regla que te interesa en la lista de reglas. La regla se muestra en la ventana de edición de reglas. Si seleccionas una regla, se abrirá el menú de reglas, en el que podrás elegir entre las siguientes opciones:

    • Regla activa: Habilita o inhabilita la regla.
    • Duplicar regla: Crea una copia de la regla, lo que resulta útil si quieres crear una regla similar.
    • Ver detecciones de reglas: Abre la ventana Detecciones de reglas para mostrar las detecciones capturadas por esta regla.

  4. Usa la ventana de edición de reglas para editar las reglas existentes y crear reglas nuevas. La ventana de edición de reglas incluye una función de autocompletado para que puedas ver la sintaxis correcta de YARA-L disponible para cada sección de la regla. Cada vez que redactes o edites una regla, Google Security Operations recomienda revisar las recomendaciones automáticas para asegurarte de que la regla completada use la sintaxis correcta. Para actualizar el alcance de la regla, selecciona el alcance en el menú Vincular al alcance. Para obtener más información sobre cómo asociar un alcance con una regla, consulta Impacto del RBAC de datos en las reglas. Para obtener más información, consulta Sintaxis del lenguaje YARA-L 2.0.

  5. Haz clic en Nuevo en el editor de reglas para abrir la ventana del editor de reglas. Se completará automáticamente con la plantilla de regla predeterminada. Google SecOps genera automáticamente un nombre único para la regla. Crea tu regla nueva en YARA-L. Para agregar un alcance a la regla, selecciona el alcance en el menú Vincular al alcance. Para obtener más información sobre cómo agregar un alcance a las reglas, consulta Impacto del RBAC de datos en las reglas. Cuando termines, haz clic en SAVE NEW RULE. Google SecOps verifica la sintaxis de tu regla. Si la regla es válida, se guardará y habilitará automáticamente. Si la sintaxis no es válida, se muestra un error. Para borrar la regla nueva, haz clic en DESCARTAR.

  6. Para ver información sobre las detecciones actuales asociadas a una regla, haz clic en la regla en la lista de reglas y, luego, en Ver detecciones de reglas para abrir la vista Detecciones de reglas.

    En la vista Detecciones de reglas, se muestran los metadatos adjuntos a la regla y un gráfico que indica la cantidad de detecciones que encontró la regla en los últimos días.

  7. Haz clic en Editar regla para volver al editor de reglas.

    Vista de varias columnas

    La pestaña Línea de tiempo también está disponible y muestra los eventos detectados por la regla. Al igual que con la pestaña Cronología en otras vistas de SecOps de Google, puedes seleccionar un evento y abrir el registro sin procesar o el evento del UDM asociado.

    También puedes manipular la información que se muestra en la pestaña Cronograma haciendo clic en el ícono de columnas para abrir las opciones de vista de varias columnas. La vista de varias columnas te permite seleccionar una variedad de categorías de información de registro para mostrar, incluidos tipos comunes, como el nombre de host y el usuario, y muchas más categorías específicas proporcionadas por el UDM.

  8. Haz clic en EJECUTAR PRUEBA para ejecutar la regla que se muestra en la ventana de edición de reglas. Google SecOps comienza a recopilar detecciones. Esto te permite verificar rápidamente si la regla funciona como se espera. La información de detección se muestra en la ventana TEST RULE RESULTS. En cualquier momento, puedes hacer clic en CANCELAR PRUEBA para detener este proceso.

Para ver blogs de la comunidad sobre la administración de reglas, consulta los siguientes recursos:

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.