使用规则编辑器管理规则

支持的语言:

如需使用规则编辑器创建和修改规则,请按以下步骤操作:

  1. 依次点击检测 > 规则和检测 > 规则编辑器标签页。

  2. 使用搜索规则字段搜索现有规则。您还可以使用滚动条滚动浏览规则。点击左侧面板中的任意规则可在规则显示面板中查看规则。

  3. 从“规则列表”中选择您感兴趣的规则。规则会显示在规则修改窗口中。选择规则后,您会打开规则菜单,并可从以下选项中进行选择:

    • 有效规则 - 启用或停用规则。
    • 复制规则 - 复制规则,以便您创建类似的规则。
    • 查看规则检测 - 打开“规则检测”窗口,以显示此规则捕获的检测结果。

  4. 使用“规则修改”窗口修改现有规则并创建新规则。 “规则修改”窗口包含自动补全功能,可让您查看每个规则部分可用的正确 YARA-L 语法。 每次撰写或修改规则时,Google Security Operations 都建议您逐步查看自动建议,从而确保您已完成的规则使用正确的语法。如需更新规则范围,请从绑定到范围菜单中选择相应范围。如需详细了解如何将范围与规则相关联,请参阅数据 RBAC 对规则的影响。 如需了解详情,请参阅 YARA-L 2.0 语言语法

  5. 点击“规则编辑器”中的新建以打开“规则编辑器”窗口。编辑器中会自动填充默认规则模板。Google SecOps 会自动为规则生成唯一的名称。在 YARA-L 中创建新规则。如需向规则添加范围,请从绑定到范围菜单中选择范围。如需详细了解如何向规则添加范围,请参阅数据 RBAC 对规则的影响。完成后,点击保存新规则。Google SecOps 可以检查规则的语法。如果规则有效,则保存并自动启用。 如果语法无效,则会返回错误。如需删除新规则,请点击舍弃

  6. 如需查看与规则相关联的当前检测信息,请点击规则列表中的规则,然后点击查看规则检测以打开“规则检测”视图。

    规则检测视图会显示附加到规则的元数据,以及一张图表,显示在最近几天发现的规则数量。

  7. 点击修改规则以返回“规则编辑器”。

    多列视图

    “时间轴”标签页也可供使用,其中会列出由规则检测到的事件。与其他 Google SecOps 视图中的“时间轴”标签页一样,您可以选择事件并打开关联的原始日志或 UDM 事件。

    您还可以通过点击“列”图标打开多列视图选项,以控制“时间轴”标签页上显示的信息。多列视图可让您选择显示各种类别日志信息,包括主机名和用户等常见类型以及 UDM 提供的许多更具体的类别。

  8. 点击运行测试以运行规则修改窗口中显示的规则。Google SecOps 开始收集检测结果。这样,您就可以快速查看规则是否按预期运行。检测信息会显示在测试规则结果窗口中。您可以随时点击“取消测试”来停止此过程。

如需查看有关管理规则的社区博客,请参阅:

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。