使用集合让一切井井有条
根据您的偏好保存内容并对其进行分类。
使用规则编辑器管理规则
支持以下语言:
<ph type="x-smartling-placeholder">
</ph>
Google SecOps
<ph type="x-smartling-placeholder">
</ph>
SIEM
使用规则编辑器,您可以修改现有规则和创建新规则。
使用搜索规则字段搜索现有规则。您还可以使用滚动条滚动浏览规则。点击左侧面板中的任意规则可在规则显示面板中查看规则。
从“规则列表”中选择您感兴趣的规则。规则会显示在规则修改窗口中。选择规则后,系统会打开规则菜单,并从以下选项中进行选择:
- 有效规则 - 启用或停用规则。
- 复制规则:复制规则;这对您来说
类似的规则
- 查看规则检测 - 打开“规则检测”窗口,以显示此规则捕获的检测结果。
使用“规则修改”窗口修改现有规则和创建新规则。
“规则修改”窗口包含自动完成功能
查看适用于规则各部分的正确 YARA-L 语法。
每次编写或修改规则时,Google Security Operations 都建议步行
自动采纳建议,以确保您已完成的规则使用
语法正确。要更新规则范围,请从
绑定到范围菜单。详细了解如何关联范围
请参阅数据 RBAC 对规则的影响。
如需详细了解 YARA-L 语法和最佳实践,请点击此处。
点击“规则编辑器”中的新建以打开“规则编辑器”窗口。它
并自动采用默认规则模板进行填充
Google Security Operations 会自动为
规则。在 YARA-L 中创建新规则。要为规则添加范围,请选择
范围(与范围绑定菜单)。详细了解如何添加范围
请参阅数据 RBAC 对规则的影响。
完成后,请点击保存新规则。Google Security Operations 会检查
语法规则。如果规则有效,系统会将其保存并自动启用。
如果语法无效,则会返回错误。要删除新规则,请点击舍弃。
如需查看与规则相关联的当前检测信息,请点击规则列表中的规则,然后点击查看规则检测以打开“规则检测”视图。
规则检测视图会显示附加到规则的元数据,以及一张图表,显示在最近几天发现的规则数量。
点击修改规则以返回“规则编辑器”。
多列视图
“时间轴”标签页也可供使用,其中会列出由规则检测到的事件。与其他 Google Security Operations 视图中的“Timeline”标签页一样,您可以选择事件并打开关联的原始日志或 UDM 事件。
您还可以通过点击“列”图标打开多列视图选项,以控制“时间轴”标签页上显示的信息。通过多列视图,您可以选择要显示的各类日志信息,包括主机名和用户等常见类型以及 UDM 提供的许多更具体的类别。
点击运行测试以运行规则修改窗口中显示的规则。Google Security Operations 开始收集检测结果。这样,您就可以快速查看规则是否按预期运行。检测信息会显示在测试规则结果窗口中。您可以随时点击“取消测试”来停止此过程。
如未另行说明,那么本页面中的内容已根据知识共享署名 4.0 许可获得了许可,并且代码示例已根据 Apache 2.0 许可获得了许可。有关详情,请参阅 Google 开发者网站政策。Java 是 Oracle 和/或其关联公司的注册商标。
最后更新时间 (UTC):2024-09-05。
[{
"type": "thumb-down",
"id": "hardToUnderstand",
"label":"Hard to understand"
},{
"type": "thumb-down",
"id": "incorrectInformationOrSampleCode",
"label":"Incorrect information or sample code"
},{
"type": "thumb-down",
"id": "missingTheInformationSamplesINeed",
"label":"Missing the information/samples I need"
},{
"type": "thumb-down",
"id": "translationIssue",
"label":"翻译问题"
},{
"type": "thumb-down",
"id": "otherDown",
"label":"其他"
}]
[{
"type": "thumb-up",
"id": "easyToUnderstand",
"label":"易于理解"
},{
"type": "thumb-up",
"id": "solvedMyProblem",
"label":"解决了我的问题"
},{
"type": "thumb-up",
"id": "otherUp",
"label":"其他"
}]
{"lastModified": "\u6700\u540e\u66f4\u65b0\u65f6\u95f4 (UTC)\uff1a2024-09-05\u3002"}