使用规则编辑器管理规则

如需使用规则编辑器创建和修改规则，请按以下步骤操作：

1. 依次点击检测 > 规则和检测 > 规则编辑器标签页。

2. 使用搜索规则字段搜索现有规则。您还可以使用滚动条滚动浏览规则。点击左侧面板中的任意规则可在规则显示面板中查看规则。

3. 从“规则列表”中选择您感兴趣的规则。规则会显示在规则修改窗口中。选择规则后，您可以打开规则菜单，并从以下选项中进行选择：

   • 有效规则 - 启用或停用规则。
   • 复制规则 - 复制规则，以便您创建类似的规则。
   • 查看规则检测 - 打开“规则检测”窗口，以显示此规则捕获的检测结果。

4. 使用“规则修改”窗口修改现有规则并创建新规则。 “规则修改”窗口包含自动补全功能，可让您查看每个规则部分可用的正确 YARA-L 语法。 每次撰写或修改规则时，Google Security Operations 都建议您逐步查看自动建议，从而确保您已完成的规则使用正确的语法。如需更新规则范围，请从绑定到范围菜单中选择相应范围。如需详细了解如何将范围与规则相关联，请参阅数据 RBAC 对规则的影响。 如需了解详情，请参阅 YARA-L 2.0 语言语法。

5. 点击“规则编辑器”中的新建以打开“规则编辑器”窗口。编辑器中会自动填充默认规则模板。Google SecOps 会自动为规则生成唯一的名称。在 YARA-L 中创建新规则。如需向规则添加范围，请从绑定到范围菜单中选择范围。如需详细了解如何向规则添加范围，请参阅数据 RBAC 对规则的影响。完成后，点击保存新规则。Google SecOps 可以检查规则的语法。如果规则有效，则保存并自动启用。 如果语法无效，则会返回错误。如需删除新规则，请点击舍弃。

6. 如需查看与规则相关联的当前检测信息，请点击规则列表中的规则，然后点击查看规则检测以打开“规则检测”视图。

   规则检测视图会显示附加到规则的元数据，以及一张图表，显示在最近几天发现的规则数量。

7. 点击修改规则以返回“规则编辑器”。

   多列视图

   您还可以使用时间轴标签页，其中会列出由规则检测到的事件。与其他 Google SecOps 视图中的时间轴标签页一样，您可以选择事件并打开关联的原始日志或 UDM 事件。

点击 view_column 列，打开多列视图选项，然后更改时间轴标签页上显示的信息。在多列视图中，您可以选择各种类别的日志信息，包括常见类型（例如 hostname 和 user）以及 UDM 提供的更具体的类别。

1. 点击运行测试以测试您的规则。Google SecOps 会针对指定时间范围内的事件运行规则，生成结果，并在测试规则结果窗口中显示这些结果。
   您可以随时点击取消测试来停止此过程。

如需查看有关管理规则的社区博客，请参阅：

• 规则编辑器导航

需要更多帮助？从社区成员和 Google SecOps 专业人士那里获得解答。