Gérer les règles à l'aide de l'éditeur de règles

Compatible avec :

Pour créer et modifier des règles à l'aide de l'éditeur de règles, procédez comme suit :

  1. Cliquez sur Détections> Règles et détections > l'onglet Éditeur de règles.

  2. Utilisez le champ Règles de recherche pour rechercher une règle existante. Vous pouvez également faire défiler les règles à l'aide de la barre de défilement. Cliquez sur l'une des règles dans le panneau de gauche pour l'afficher dans le panneau d'affichage des règles.

  3. Sélectionnez la règle qui vous intéresse dans la liste des règles. La règle s'affiche dans la fenêtre d'édition des règles. En sélectionnant une règle, vous ouvrez le menu correspondant et pouvez choisir parmi les options suivantes :

    • Règle en direct : activez ou désactivez la règle.
    • Dupliquer la règle : créez une copie de la règle. Cette option est utile si vous souhaitez créer une règle similaire.
    • Afficher les détections de la règle : ouvrez la fenêtre "Détections de la règle" pour afficher les détections capturées par cette règle.

  4. Utilisez la fenêtre "Modifier la règle" pour modifier les règles existantes et en créer d'autres. La fenêtre "Modifier la règle" inclut une fonctionnalité de saisie semi-automatique qui vous permet d'afficher la syntaxe YARA-L correcte disponible pour chaque section de la règle. Lorsque vous rédigez ou modifiez une règle, Google Security Operations vous recommande de parcourir les recommandations automatiques pour vous assurer que la règle terminée utilise la syntaxe appropriée. Pour modifier le champ d'application de la règle, sélectionnez-le dans le menu Associer au champ d'application. Pour en savoir plus sur l'association d'un champ d'application à une règle, consultez Impact du RBAC sur les règles. Pour en savoir plus, consultez la syntaxe du langage YARA-L 2.0.

  5. Cliquez sur Nouveau dans l'éditeur de règles pour ouvrir la fenêtre de l'éditeur de règles. Il le remplit automatiquement avec le modèle de règle par défaut. Google SecOps génère automatiquement un nom unique pour la règle. Créez votre règle dans YARA-L. Pour ajouter un champ d'application à la règle, sélectionnez-le dans le menu Associer au champ d'application. Pour en savoir plus sur l'ajout d'un champ d'application aux règles, consultez Impact du RBAC sur les données sur les règles. Lorsque vous avez terminé, cliquez sur ENREGISTRER LA NOUVELLE RÈGLE. Google SecOps vérifie la syntaxe de votre règle. Si la règle est valide, elle est enregistrée et automatiquement activée. Si la syntaxe n'est pas valide, une erreur est renvoyée. Pour supprimer la nouvelle règle, cliquez sur SUPPRIMER.

  6. Pour afficher des informations sur les détections actuelles associées à une règle, cliquez sur la règle dans la liste des règles, puis sur Afficher les détections de règles pour ouvrir la vue "Détections de règles".

    La vue Détections de règles affiche les métadonnées associées à la règle et un graphique indiquant le nombre de détections trouvées par la règle au cours des derniers jours.

  7. Cliquez sur Modifier la règle pour revenir à l'éditeur de règles.

    Vue multicolonne

    L'onglet "Chronologie" est également disponible et liste les événements détectés par la règle. Comme pour l'onglet "Chronologie" dans les autres vues Google SecOps, vous pouvez sélectionner un événement et ouvrir le journal brut ou l'événement UDM associé.

    Vous pouvez également manipuler les informations affichées dans l'onglet "Chronologie" en cliquant sur l'icône Colonnes pour ouvrir les options d'affichage multicolonnes. La vue multicolonne vous permet de sélectionner différentes catégories d'informations de journaux à afficher, y compris des types courants tels que le nom d'hôte et l'utilisateur, ainsi que de nombreuses catégories plus spécifiques fournies par UDM.

  8. Cliquez sur EXÉCUTER LE TEST pour exécuter la règle affichée dans la fenêtre d'édition des règles. Google SecOps commence à collecter les détections. Cela vous permet de vérifier rapidement si la règle fonctionne comme prévu. Les informations de détection s'affichent dans la fenêtre RÉSULTATS DU TEST DE LA RÈGLE. Vous pouvez cliquer sur ANNULER LE TEST à tout moment pour arrêter ce processus.

Pour consulter les blogs de la communauté sur la gestion des règles, consultez les pages suivantes :

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.