在规则信息中心内查看规则

支持的平台:

如需在 Google 安全运营中心中打开规则信息中心,请从菜单图标 中选择规则。规则信息中心会显示您在 Google 安全运营账号中存储的所有规则。在使用数据 RBAC 的系统中,您只能查看和管理绑定到您有权访问的数据范围的规则。

规则信息中心包含以下功能:

  • 趋势图会显示过去 3 周检测次数最多的规则。
  • 显示与规则相关联的活动的图表。将鼠标悬停在图表中的柱形上可查看检测的日期和数量。
  • 运行频率表示规则将执行的大概频率。
  • 实时状态(已启用或已停用)。
  • 与规则元数据一样的规则严重性。

如果将鼠标悬停在规则上,然后点击右侧的菜单图标,您可以打开规则设置菜单,并操作实时规则运行频率通知选项。

  • 实时规则会监控传入日志中的威胁,直至被删除或停用。
  • 提醒表示企业内流量的正常工作流存在异常情况。您应该调查提醒,因为可能违反了安全规定。
  • 运行频率表示规则将执行的大概频率,并会影响为每个规则发现检测的延迟。
  • 借助 YARA-L Retrohunt,您可以使用所选规则在 Google Security Operations 中的现有数据中搜索检测。
  • 借助修改规则,您可以修改现有规则并创建新规则。
  • 通过查看规则检测,您可以查看实时规则生成的检测。
  • 归档会隐藏规则及其相关的安全数据(以及其所有版本),而无需实际删除规则。

点击规则名称可打开“规则检测”视图。