Gestire le regole utilizzando Rules Editor (Editor regole)
L'editor delle regole ti consente di modificare le regole esistenti e crearne di nuove.
Utilizza il campo Regole di ricerca per cercare una regola esistente. Puoi anche scorrere le regole utilizzando la barra di scorrimento. Fai clic su una delle regole nel riquadro a sinistra per visualizzarla nel riquadro di visualizzazione delle regole.
Seleziona la regola che ti interessa dall'elenco Regole. La regola viene visualizzata nella finestra di modifica delle regole. Se selezioni una regola, si apre il relativo menu e puoi scegliere tra le seguenti opzioni:
- Regola dal vivo: attiva o disattiva la regola.
- Duplica regola: crea una copia della regola. È utile se vuoi creare una regola simile.
- Visualizza rilevamenti regola: apri la finestra Rilevamento regole per visualizzare i rilevamenti acquisiti da questa regola.
Utilizza la finestra di modifica delle regole per modificare le regole esistenti e crearne di nuove. La finestra di modifica della regola include una funzionalità di completamento automatico che ti consente di visualizzare la sintassi YARA-L corretta disponibile per ogni sezione della regola. Ogni volta che compili o modifichi una regola, Google Security Operations consiglia di esaminare i consigli automatici per assicurarti che la regola completata utilizzi la sintassi corretta. Per aggiornare l'ambito della regola, selezionalo dal menu Collega all'ambito. Per ulteriori informazioni sull'associazione di un ambito a una regola, consulta Impatto del RBAC dei dati sulle regole. Ulteriori dettagli sulla sintassi e sulle best practice di YARA-L sono disponibili qui.
Fai clic su Nuova nell'editor delle regole per aprire la finestra dell'editor delle regole. Lo compila automaticamente con il modello di regola predefinito. Google Security Operations genera automaticamente un nome univoco per la regola. Crea la nuova regola in YARA-L. Per aggiungere un ambito alla regola, selezionalo dal menu Collega all'ambito. Per ulteriori informazioni sull'aggiunta di un ambito alle regole, consulta Impatto del RBAC dei dati sulle regole. Al termine, fai clic su SALVA NUOVA REGOLA. Google Security Operations controlla la sintassi della regola. Se la regola è valida, viene salvata e attivata automaticamente. Se la sintassi non è valida, viene restituito un errore. Per eliminare la nuova regola, fai clic su ELIMINA.
Per visualizzare le informazioni sui rilevamenti correnti associati a una regola, fai clic sulla regola nell'elenco delle regole e poi su Visualizza rilevamenti regola per aprire la visualizzazione Rilevamenti regola.
La vista Rilevamento regole mostra i metadati associati alla regola e un grafico che indica il numero di rilevamenti trovati dalla regola negli ultimi giorni.
Fai clic su Modifica regola per tornare all'editor delle regole.
Visualizzazione con più colonne
È disponibile anche la scheda Spostamenti, che elenca gli eventi rilevati dalla regola. Come per la scheda Timeline in altre visualizzazioni di Google Security Operations, puoi selezionare un evento e aprire il log non elaborato o l'evento UDM associato.
Puoi anche modificare le informazioni visualizzate nella scheda Timeline facendo clic sull'icona Colonne per aprire le opzioni di visualizzazione con più colonne. La visualizzazione a più colonne ti consente di selezionare una serie di categorie di informazioni dei log da visualizzare, inclusi tipi comuni come nome host e utente e molte altre categorie specifiche fornite da UDM.
Fai clic su ESEGUI TEST per eseguire la regola visualizzata nella finestra di modifica della regola. Google Security Operations inizia a raccogliere i rilevamenti. In questo modo puoi verificare rapidamente se la regola funziona come previsto. Le informazioni sul rilevamento vengono visualizzate nella finestra TEST RULE RESULTS (RISULTATI DEL TEST DELLE REGOLE). Puoi fare clic su ANNULLA TEST in qualsiasi momento per interrompere questa procedura.
Per i blog della scheda Community sulla gestione delle regole, consulta: