使用規則編輯器管理規則

如要使用規則編輯器建立及編輯規則，請按照下列步驟操作：

1. 依序點選「偵測」>「規則與偵測項目」 >「規則編輯器」分頁標籤。

2. 使用「搜尋規則」欄位搜尋現有規則。您也可以使用捲軸瀏覽規則。按一下左側面板中的任一規則，即可在規則顯示面板中查看規則。

3. 從「規則清單」中選取您感興趣的規則。規則會顯示在規則編輯視窗中。選取規則後，系統會開啟規則選單，您可以選取下列任一選項：

   • 即時規則：啟用或停用規則。
   • 複製規則：複製規則，方便您建立類似的規則。
   • 查看規則偵測項目：開啟「規則偵測項目」視窗，顯示這項規則擷取的偵測項目。

4. 您可以在「規則編輯」視窗中編輯現有規則，以及建立新規則。 「規則編輯」視窗提供自動完成功能，方便您查看規則各節可用的正確 YARA-L 語法。撰寫或編輯規則時，Google Security Operations 建議您查看自動建議，確保完成的規則使用正確語法。如要更新規則範圍，請從「繫結至範圍」選單中選取範圍。如要進一步瞭解如何將範圍與規則建立關聯，請參閱「資料 RBAC 對規則的影響」。詳情請參閱「YARA-L 2.0 語言語法」。

5. 在規則編輯器中按一下「新增」，開啟規則編輯器視窗。系統會自動填入預設規則範本。Google SecOps 會自動為規則產生不重複的名稱。在 YARA-L 中建立新規則。如要為規則新增範圍，請從「繫結至範圍」選單中選取範圍。如要進一步瞭解如何將範圍新增至規則，請參閱「資料 RBAC 對規則的影響」。完成後，請按一下「儲存新規則」。Google SecOps 會檢查規則的語法。如果規則有效，系統會儲存並自動啟用。 如果語法無效，系統會傳回錯誤。如要刪除新規則，請按一下「捨棄」。

6. 如要查看與規則相關的目前偵測資訊，請在規則清單中按一下規則，然後按一下「查看規則偵測」，開啟「規則偵測」檢視畫面。

   「規則偵測」檢視畫面會顯示附加至規則的中繼資料，以及圖表，當中顯示規則在最近幾天內偵測到的次數。

7. 按一下「編輯規則」，返回規則編輯器。

   多欄檢視

   「時間軸」分頁也會列出規則偵測到的事件。與其他 Google SecOps 檢視畫面中的「時間軸」分頁一樣，您可以選取事件並開啟相關的原始記錄或 UDM 事件。

   您也可以點選「欄」圖示，開啟多欄檢視選項，調整「時間軸」分頁中顯示的資訊。您可以在多欄檢視畫面中選取要顯示的各種記錄資訊類別，包括主機名稱和使用者等常見類型，以及 UDM 提供的許多特定類別。

8. 按一下「執行測試」，即可執行規則編輯視窗中顯示的規則。Google SecOps 開始收集偵測結果。您可以藉此快速檢查規則是否正常運作。偵測資訊會顯示在「TEST RULE RESULTS」視窗中。你隨時可以點選「取消測試」來停止這項程序。

如需管理規則的社群網誌，請參閱：

• 規則編輯器導覽

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。