Regeln mit dem Regeleditor verwalten

Mit dem Regeleditor können Sie vorhandene Regeln bearbeiten und neue Regeln erstellen.

  1. Im Feld Regeln suchen können Sie nach einer vorhandenen Regel suchen. Sie können auch mithilfe der Bildlaufleiste durch die Regeln scrollen. Klicken Sie im linken Steuerfeld auf eine der Regeln, um sie in der entsprechenden Anzeige aufzurufen.

  2. Wählen Sie aus der Liste der Regeln die gewünschte Regel aus. Die Regel wird im Bearbeitungsfenster für Regeln angezeigt. Wenn Sie eine Regel auswählen, wird das Regelmenü geöffnet. Folgende Optionen stehen zur Auswahl:

    • Live-Regel: Aktivieren oder deaktivieren Sie die Regel.
    • Regel duplizieren: Erstellen Sie eine Kopie der Regel. Das ist hilfreich, wenn Sie eine ähnliche Regel erstellen möchten.
    • Regelerkennungen ansehen: Öffnen Sie das Fenster „Regelerkennungen“, um die von dieser Regel erfassten Erkennungen anzuzeigen.

  3. Im Fenster zum Bearbeiten von Regeln können Sie vorhandene Regeln bearbeiten und neue Regeln erstellen. Das Fenster zur Regelbearbeitung enthält eine Funktion zur automatischen Vervollständigung, mit der Sie die korrekte YARA-L-Syntax anzeigen können, die für jeden Abschnitt der Regel verfügbar ist. Beim Erstellen oder Bearbeiten einer Regel empfiehlt Google Security Operations, die automatischen Empfehlungen durchzugehen, um sicherzustellen, dass die abgeschlossene Regel die richtige Syntax verwendet. Wählen Sie den Bereich aus dem Menü An Bereich binden aus, um den Regelbereich zu aktualisieren. Weitere Informationen zum Verknüpfen eines Bereichs mit einer Regel finden Sie unter Auswirkungen der RBAC für Daten auf Regeln. Weitere Informationen zur YARA-L-Syntax und Best Practices finden Sie hier.

  4. Klicken Sie im Regeleditor auf Neu, um den Regeleditor zu öffnen. Die Standardregelvorlage wird automatisch mit Daten gefüllt. Google Security Operations generiert automatisch einen eindeutigen Namen für die Regel. Erstellen Sie die neue Regel in YARA-L. Wählen Sie den Bereich im Menü An Bereich binden aus, um der Regel einen Bereich hinzuzufügen. Weitere Informationen zum Hinzufügen eines Bereichs zu Regeln finden Sie unter Auswirkungen von Daten-RBAC auf Regeln. Klicken Sie abschließend auf NEUE REGEL SPEICHERN. Google Security Operations prüft die Syntax Ihrer Regel. Wenn die Regel gültig ist, wird sie gespeichert und automatisch aktiviert. Wenn die Syntax ungültig ist, wird ein Fehler zurückgegeben. Klicken Sie auf VERWERFEN, um die neue Regel zu löschen.

  5. Wenn Sie Informationen zu den aktuellen Erkennungen einer Regel ansehen möchten, klicken Sie in der Regelliste auf die Regel und dann auf Regelerkennungen ansehen, um die Ansicht „Regelerkennungen“ zu öffnen.

    In der Ansicht Regelerkennungen werden die an die Regel angehängten Metadaten sowie ein Diagramm mit der Anzahl der Erkennungen angezeigt, die von der Regel in den letzten Tagen gefunden wurden.

  6. Klicken Sie auf Regel bearbeiten, um zum Regeleditor zurückzukehren.

    Ansicht mit mehreren Spalten

    Der Tab „Zeitachse“ ist ebenfalls verfügbar. Dort werden die von der Regel erkannten Ereignisse aufgeführt. Wie auf dem Tab „Zeitachse“ in anderen Google Security Operations-Ansichten können Sie ein Ereignis auswählen und das zugehörige Rohprotokoll oder UDM-Ereignis öffnen.

    Sie können auch beeinflussen, welche Informationen auf dem Tab „Zeitachse“ angezeigt werden, indem Sie auf das Spaltensymbol klicken, um die Optionen für die mehrspaltige Ansicht zu öffnen. In der mehrspaltigen Ansicht können Sie eine Vielzahl von Kategorien von Loginformationen auswählen, die angezeigt werden sollen, einschließlich gängiger Typen wie Hostname und Nutzer und viele spezifischere Kategorien, die von UDM bereitgestellt werden.

  7. Klicken Sie auf TEST AUSFÜHREN, um die Regel auszuführen, die im Bearbeitungsfenster für Regeln angezeigt wird. Google Security Operations beginnt mit der Erfassung von Erkennungsmechanismen. So können Sie schnell prüfen, ob die Regel wie erwartet funktioniert. Die Erkennungsinformationen werden im Fenster TEST REGEL ERGEBNISSE angezeigt. Du kannst diesen Vorgang jederzeit beenden, indem du auf TEST ABBRECHEN klickst.