Gerenciar regras usando o editor

Compatível com:

Para usar o editor de regras e criar e editar regras, siga estas etapas:

  1. Clique em Detecções > Regras e detecções > a guia Editor de regras.

  2. Use o campo Regras de pesquisa para procurar uma regra existente. Você também pode rolar as regras usando a barra de rolagem. Clique em qualquer uma das regras no painel à esquerda para ver a regra no painel de exibição.

  3. Selecione a regra de seu interesse na lista de regras. A regra é mostrada na janela de edição. Ao selecionar uma regra, você abre o menu dela e pode escolher entre as seguintes opções:

    • Regra ativa: ative ou desative a regra.
    • Duplicar regra: faz uma cópia da regra, o que é útil se você quiser criar uma regra semelhante.
    • Ver detecções de regras: abra a janela "Detecções de regras" para mostrar as detecções capturadas por essa regra.

  4. Use a janela de edição de regras para editar as regras atuais e criar novas. A janela de edição de regras inclui um recurso de conclusão automática para que você veja a sintaxe YARA-L correta disponível para cada seção da regra. Ao criar ou editar uma regra, o Google Security Operations recomenda analisar as recomendações automáticas para garantir que a regra concluída use a sintaxe correta. Para atualizar o escopo da regra, selecione a opção no menu Vincular ao escopo. Para mais informações sobre como associar um escopo a uma regra, consulte Impacto do RBAC de dados nas regras. Para mais informações, consulte Sintaxe da linguagem YARA-L 2.0.

  5. Clique em Novo no editor de regras para abrir a janela do editor. Ele preenche automaticamente com o modelo de regra padrão. O Google SecOps gera automaticamente um nome exclusivo para a regra. Crie sua nova regra em YARA-L. Para adicionar um escopo à regra, selecione o escopo no menu Vincular ao escopo. Para mais informações sobre como adicionar um escopo às regras, consulte Impacto do RBAC de dados nas regras. Quando terminar, clique em SALVAR NOVA REGRA. O Google SecOps verifica a sintaxe da sua regra. Se a regra for válida, ela será salva e ativada automaticamente. Se a sintaxe for inválida, um erro será retornado. Para excluir a nova regra, clique em DESCARTAR.

  6. Para ver informações sobre as detecções atuais associadas a uma regra, clique nela na lista e em Ver detecções de regra para abrir a visualização "Detecções de regra".

    A visualização Detecções de regras mostra os metadados anexados à regra e um gráfico com o número de detecções encontradas pela regra nos últimos dias.

  7. Clique em Editar regra para voltar ao editor de regras.

    Visualização em várias colunas

    A guia "Linha do tempo" também está disponível e lista os eventos detectados pela regra. Assim como na guia "Linha do tempo" em outras visualizações do Google SecOps, você pode selecionar um evento e abrir o registro bruto ou o evento UDM associado.

    Você também pode manipular as informações mostradas na guia "Linha do tempo" clicando no ícone "Colunas" para abrir as opções de visualização em várias colunas. Com a visualização em várias colunas, é possível selecionar várias categorias de informações de registro para mostrar, incluindo tipos comuns, como nome do host e usuário, e muitas outras categorias específicas fornecidas pela UDM.

  8. Clique em EXECUTAR TESTE para executar a regra mostrada na janela de edição. O Google SecOps começa a coletar detecções. Isso oferece uma maneira rápida de verificar se a regra está funcionando conforme o esperado. As informações de detecção são exibidas na janela RESULTADOS DA REGRA DE TESTE. A qualquer momento, clique em CANCELAR TESTE para interromper esse processo.

Para blogs da comunidade sobre como gerenciar regras, consulte:

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.