Gérer les règles à l'aide de l'éditeur de règles

Compatible avec:

L'Éditeur de règles vous permet de modifier les règles existantes et d'en créer.

  1. Utilisez le champ Search rules (Rechercher des règles) pour rechercher une règle existante. Vous pouvez également faire défiler les règles à l'aide de la barre de défilement. Cliquez sur l'une des règles du panneau de gauche pour l'afficher dans le panneau d'affichage des règles.

  2. Sélectionnez la règle qui vous intéresse dans la liste des règles. La règle s'affiche dans la fenêtre de modification des règles. Sélectionnez une règle pour ouvrir le menu des règles et choisir l'une des options suivantes:

    • Règle en direct : activez ou désactivez la règle.
    • Dupliquer la règle : créez une copie de la règle. Cette option est utile si vous souhaitez créer une règle similaire.
    • Afficher les détections de règles : ouvrez la fenêtre "Détections de règles" pour afficher les détections capturées par cette règle.

  3. Utilisez la fenêtre de modification des règles pour modifier les règles existantes et en créer. La fenêtre de modification des règles inclut une fonctionnalité de saisie semi-automatique qui vous permet d'afficher la syntaxe YARA-L appropriée pour chaque section de la règle. Chaque fois que vous rédigez ou modifiez une règle, Google Security Operations vous recommande de suivre les recommandations automatiques pour vous assurer que votre règle utilise la syntaxe appropriée. Pour mettre à jour la portée de la règle, sélectionnez-la dans le menu Lier à la portée. Pour en savoir plus sur l'association d'un champ d'application à une règle, consultez la section Impact du RBAC sur les règles de données. Pour en savoir plus sur la syntaxe et les bonnes pratiques YARA-L, cliquez ici.

  4. Cliquez sur Nouveau dans l'éditeur de règles pour ouvrir la fenêtre de l'éditeur de règles. Il le remplit automatiquement avec le modèle de règle par défaut. Google Security Operations génère automatiquement un nom unique pour la règle. Créez votre règle en YARA-L. Pour ajouter une portée à la règle, sélectionnez-la dans le menu Lier à la portée. Pour en savoir plus sur l'ajout d'un champ d'application aux règles, consultez la section Impact du RBAC sur les règles de données. Lorsque vous avez terminé, cliquez sur ENREGISTRER UNE NOUVELLE RÈGLE. Google Security Operations vérifie la syntaxe de votre règle. Si la règle est valide, elle est enregistrée et automatiquement activée. Si la syntaxe n'est pas valide, une erreur est renvoyée. Pour supprimer la nouvelle règle, cliquez sur SUPPRIMER.

  5. Pour afficher des informations sur les détections actuelles associées à une règle, cliquez sur la règle dans la liste, puis sur Afficher les détections de règles pour ouvrir la vue "Détections de règles".

    La vue Détections de règles affiche les métadonnées associées à la règle et un graphique indiquant le nombre de détections détectées par la règle au cours des derniers jours.

  6. Cliquez sur Modifier la règle pour revenir à l'éditeur de règles.

    Vue multicolonne

    L'onglet "Chronologie" est également disponible et liste les événements détectés par la règle. Comme pour l'onglet "Chronologie" dans d'autres vues Google Security Operations, vous pouvez sélectionner un événement et ouvrir le journal brut ou l'événement UDM associé.

    Vous pouvez également modifier les informations affichées dans l'onglet "Chronologie" en cliquant sur l'icône Colonnes pour ouvrir les options de vue multicolonne. La vue multicolonne vous permet de sélectionner différentes catégories d'informations de journal à afficher, y compris des types courants tels que l'hôte et l'utilisateur, ainsi que de nombreuses autres catégories spécifiques fournies par UDM.

  7. Cliquez sur EXÉCUTER LE TEST pour exécuter la règle affichée dans la fenêtre de modification des règles. Google Security Operations commence à collecter les détections. Vous pouvez ainsi vérifier rapidement si la règle fonctionne comme prévu. Les informations de détection s'affichent dans la fenêtre RÉSULTATS DU TEST DE LA RÈGLE. Vous pouvez à tout moment cliquer sur ANNULER LE TEST pour arrêter ce processus.

Pour en savoir plus sur la gestion des règles, consultez les articles suivants: