Administra reglas con el editor de reglas

Se admite en los siguientes países:

El Editor de reglas te permite editar reglas existentes y crear nuevas.

  1. Usa el campo Reglas de búsqueda para buscar una regla existente. También puedes desplazarte por las reglas con la barra de desplazamiento. Haz clic en cualquiera de las reglas del panel izquierdo para verlas en el panel de visualización de reglas.

  2. Selecciona la regla que te interesa en la lista de reglas. La regla se mostrará en la ventana de edición de reglas. Cuando seleccionas una regla, se abre el menú de reglas y puedes elegir entre las siguientes opciones:

    • Regla en vivo: Habilita o inhabilita la regla.
    • Duplicate Rule: Crea una copia de la regla. Es útil si quieres crear una regla similar.
    • Ver detecciones de reglas: Abre la ventana Detecciones de reglas para mostrar las detecciones capturadas por esta regla.

  3. Usa la ventana de edición de reglas para editar reglas existentes y crear nuevas. La ventana Rule Editing incluye una función de finalización automática para que puedas ver la sintaxis YARA-L correcta disponible para cada sección de la regla. Cada vez que redactes o edites una regla, Google Security Operations recomienda revisar las recomendaciones automáticas para asegurarte de que la regla completa use la sintaxis correcta. Para actualizar el alcance de la regla, selecciónalo en el menú Vincular al alcance. Para obtener más información sobre cómo asociar un permiso con una regla, consulta Impacto de la RBAC de datos en las reglas. Puedes encontrar más detalles sobre la sintaxis y las prácticas recomendadas de YARA-L aquí.

  4. Haz clic en Nueva en el editor de reglas para abrir la ventana del editor de reglas. Se completa automáticamente con la plantilla de reglas predeterminada. Google Security Operations genera automáticamente un nombre único para la regla. Crea tu regla nueva en YARA-L. Para agregar un alcance a la regla, selecciónalo en el menú Vincular a alcance. Para obtener más información sobre cómo agregar un permiso a las reglas, consulta Impacto del RBAC de datos en las reglas. Cuando termines, haz clic en GUARDAR NUEVA REGLA. Google Security Operations verifica la sintaxis de tu regla. Si la regla es válida, se guarda y se habilita automáticamente. Si la sintaxis no es válida, se muestra un error. Para borrar la regla nueva, haz clic en DESACTIVAR.

  5. Para ver información sobre las detecciones actuales asociadas con una regla, haz clic en la regla en la lista de reglas y, luego, en Ver detecciones de reglas para abrir la vista Detecciones de reglas.

    En la vista Detección de reglas, se muestran los metadatos adjuntos a la regla y un gráfico que muestra la cantidad de detecciones que encontró la regla en los días recientes.

  6. Haz clic en Editar regla para volver al editor de reglas.

    Vista de varias columnas

    La pestaña Línea de tiempo también está disponible y muestra los eventos que detectó la regla. Al igual que con la pestaña Cronograma en otras vistas de Operaciones de seguridad de Google, puedes seleccionar un evento y abrir el registro sin procesar o el evento de la AUA asociado.

    También puedes manipular la información que se muestra en la pestaña Ruta de interacciones. Para ello, haz clic en el ícono Columnas para abrir las opciones de vista de varias columnas. La vista de varias columnas te permite seleccionar una variedad de categorías de información de registro para mostrar, incluidos tipos comunes, como el nombre de host y el usuario, y muchas categorías más específicas que proporciona la AUA.

  7. Haz clic en RUN TEST para ejecutar la regla que se muestra en la ventana de edición de reglas. Google Security Operations comienza a recopilar detecciones. Esto te brinda una forma rápida de verificar si la regla funciona como se espera. La información de detección se muestra en la ventana TEST RULE RESULTS. Puedes hacer clic en CANCELAR PRUEBA en cualquier momento para detener este proceso.

Para ver blogs de la Comunidad sobre la administración de reglas, consulta los siguientes artículos: