使用规则编辑器管理规则

支持的平台:

借助“规则编辑器”,您可以修改现有规则并创建新规则。

  1. 使用搜索规则字段搜索现有规则。您还可以使用滚动条滚动浏览规则。点击左侧面板中的任意规则可在规则显示面板中查看规则。

  2. 从“规则列表”中选择您感兴趣的规则。规则会显示在规则修改窗口中。通过选择规则,您可以打开规则菜单,然后从以下选项中进行选择:

    • 有效规则 - 启用或停用规则。
    • 复制规则 - 复制规则,以便您创建类似的规则。
    • 查看规则检测 - 打开“规则检测”窗口,以显示此规则捕获的检测结果。

  3. 使用“规则修改”窗口修改现有规则并创建新规则。“规则修改”窗口包含自动补全功能,可让您查看每个规则部分可用的正确 YARA-L 语法。每次撰写或修改规则时,Google 安全运营团队都建议您逐步查看自动建议,从而确保您已完成的规则使用正确的语法。如需更新规则范围,请从 Bind to scope(绑定到范围)菜单中选择相应范围。如需详细了解如何将镜重与规则相关联,请参阅数据 RBAC 对规则的影响。如需详细了解 YARA-L 语法和最佳实践,请点击此处

  4. 点击“规则编辑器”中的新建以打开“规则编辑器”窗口。编辑器中会自动填充默认规则模板。Google 安全运营团队会自动为规则生成唯一的名称。在 YARA-L 中创建新规则。如需向规则添加作用域,请从绑定到作用域菜单中选择相应作用域。如需详细了解如何向规则添加范围,请参阅数据 RBAC 对规则的影响。完成后,点击保存新规则。Google Security Operations 会检查规则的语法。如果规则有效,则保存并自动启用。如果语法无效,则会返回错误。如需删除新规则,请点击舍弃

  5. 如需查看与规则相关联的当前检测信息,请点击规则列表中的规则,然后点击查看规则检测以打开“规则检测”视图。

    规则检测视图会显示附加到规则的元数据,以及一张图表,显示在最近几天发现的规则数量。

  6. 点击修改规则以返回“规则编辑器”。

    多列视图

    “时间轴”标签页也可供使用,其中会列出由规则检测到的事件。与其他 Google 安全运营视图中的“时间轴”标签页一样,您可以选择事件并打开关联的原始日志或 UDM 事件。

    您还可以通过点击“列”图标打开多列视图选项,以控制“时间轴”标签页上显示的信息。多列视图可让您选择显示各种类别日志信息,包括主机名和用户等常见类型以及 UDM 提供的许多更具体的类别。

  7. 点击运行测试以运行规则修改窗口中显示的规则。Google Security Operations 开始收集检测结果。这样,您就可以快速查看规则是否按预期运行。检测信息会显示在测试规则结果窗口中。您可以随时点击“取消测试”来停止此过程。

如需查看有关管理规则的社区博客,请参阅:

需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。