Mengelola aturan menggunakan Editor Aturan

Didukung di:

Untuk menggunakan Editor Aturan guna membuat dan mengedit aturan, ikuti langkah-langkah berikut:

  1. Klik Deteksi > Aturan & Deteksi > tab Editor Aturan.

  2. Gunakan kolom Aturan penelusuran untuk menelusuri aturan yang ada. Anda juga dapat men-scroll aturan menggunakan scroll bar. Klik salah satu aturan di panel kiri untuk melihat aturan di panel tampilan aturan.

  3. Pilih aturan yang Anda inginkan dari Daftar Aturan. Aturan ditampilkan di jendela pengeditan aturan. Dengan memilih aturan, Anda membuka menu aturan dan dapat memilih dari opsi berikut:

    • Aturan Aktif—Aktifkan atau nonaktifkan aturan.
    • Duplikasikan Aturan—Buat salinan aturan; berguna jika Anda ingin membuat aturan yang serupa.
    • Lihat Deteksi Aturan—Buka jendela Deteksi Aturan untuk menampilkan deteksi yang diambil oleh aturan ini.

  4. Gunakan jendela Pengeditan Aturan untuk mengedit aturan yang ada dan membuat aturan baru. Jendela Pengeditan Aturan mencakup fitur penyelesaian otomatis untuk memungkinkan Anda melihat sintaks YARA-L yang benar yang tersedia untuk setiap bagian aturan. Setiap kali menyusun atau mengedit aturan, Google Security Operations merekomendasikan untuk menelusuri rekomendasi otomatis guna memastikan aturan yang telah selesai menggunakan sintaksis yang benar. Untuk memperbarui cakupan aturan, pilih cakupan dari menu Ikat ke cakupan. Untuk mengetahui informasi selengkapnya tentang cara mengaitkan cakupan dengan aturan, lihat dampak RBAC data pada Aturan. Untuk mengetahui informasi selengkapnya, lihat sintaksis bahasa YARA-L 2.0.

  5. Klik Baru di Editor Aturan untuk membuka Jendela Editor Aturan. Secara otomatis, template ini akan diisi dengan template aturan default. Google SecOps secara otomatis membuat nama unik untuk aturan tersebut. Buat aturan baru Anda di YARA-L. Untuk menambahkan cakupan ke aturan, pilih cakupan dari menu Ikat ke cakupan. Untuk mengetahui informasi selengkapnya tentang cara menambahkan cakupan ke aturan, lihat dampak RBAC data pada Aturan. Setelah selesai, klik SIMPAN ATURAN BARU. Google SecOps memeriksa sintaksis aturan Anda. Jika valid, aturan akan disimpan dan diaktifkan secara otomatis. Jika sintaksis tidak valid, error akan ditampilkan. Untuk menghapus aturan baru, klik HAPUS.

  6. Untuk melihat informasi tentang deteksi saat ini yang terkait dengan aturan, klik aturan dalam daftar aturan, lalu klik Lihat Deteksi Aturan untuk membuka tampilan Deteksi Aturan.

    Tampilan Deteksi Aturan menampilkan metadata yang dilampirkan ke aturan dan grafik yang menunjukkan jumlah deteksi yang ditemukan oleh aturan selama beberapa hari terakhir.

  7. Klik Edit Aturan untuk kembali ke Editor Aturan.

    Tampilan multi-kolom

    Tab Linimasa juga tersedia dan mencantumkan peristiwa yang terdeteksi oleh aturan. Seperti tab Linimasa di tampilan Google SecOps lainnya, Anda dapat memilih peristiwa dan membuka log mentah atau peristiwa UDM terkait.

    Anda juga dapat memanipulasi informasi yang ditampilkan di tab Linimasa dengan mengklik ikon Kolom untuk membuka opsi tampilan multi-kolom. Tampilan multikolom memungkinkan Anda memilih berbagai kategori informasi log untuk ditampilkan, termasuk jenis umum seperti nama host dan pengguna serta banyak kategori yang lebih spesifik yang disediakan oleh UDM.

  8. Klik JALANKAN UJI untuk menjalankan aturan yang ditampilkan di jendela pengeditan aturan. Google SecOps mulai mengumpulkan deteksi. Dengan begitu, Anda dapat dengan cepat memeriksa apakah aturan berfungsi seperti yang diharapkan. Informasi deteksi ditampilkan di jendela HASIL ATURAN PENGUJIAN. Kapan saja Anda dapat mengklik BATALKAN TES untuk menghentikan proses ini.

Untuk blog Komunitas tentang mengelola aturan, lihat:

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.