使用规则编辑器管理规则

使用规则编辑器，您可以修改现有规则和创建新规则。

1. 使用搜索规则字段搜索现有规则。您还可以使用滚动条滚动浏览规则。点击左侧面板中的任意规则可在规则显示面板中查看规则。

2. 从“规则列表”中选择您感兴趣的规则。规则会显示在规则修改窗口中。选择规则后，系统会打开规则菜单，并从以下选项中进行选择：

   • 有效规则 - 启用或停用规则。
   • 复制规则：复制规则；这对您来说 类似的规则
   • 查看规则检测 - 打开“规则检测”窗口，以显示此规则捕获的检测结果。

3. 使用“规则修改”窗口修改现有规则和创建新规则。 “规则修改”窗口包含自动完成功能 查看适用于规则各部分的正确 YARA-L 语法。 每次编写或修改规则时，Google Security Operations 都建议步行 自动采纳建议，以确保您已完成的规则使用 语法正确。要更新规则范围，请从 绑定到范围菜单。详细了解如何关联范围 请参阅数据 RBAC 对规则的影响。 如需详细了解 YARA-L 语法和最佳实践，请点击此处。

4. 点击“规则编辑器”中的新建以打开“规则编辑器”窗口。它 并自动采用默认规则模板进行填充 Google Security Operations 会自动为 规则。在 YARA-L 中创建新规则。要为规则添加范围，请选择 范围（与范围绑定菜单）。详细了解如何添加范围 请参阅数据 RBAC 对规则的影响。 完成后，请点击保存新规则。Google Security Operations 会检查 语法规则。如果规则有效，系统会将其保存并自动启用。 如果语法无效，则会返回错误。要删除新规则，请点击舍弃。

5. 如需查看与规则相关联的当前检测信息，请点击规则列表中的规则，然后点击查看规则检测以打开“规则检测”视图。

   规则检测视图会显示附加到规则的元数据，以及一张图表，显示在最近几天发现的规则数量。

6. 点击修改规则以返回“规则编辑器”。

   多列视图

   “时间轴”标签页也可供使用，其中会列出由规则检测到的事件。与其他 Google Security Operations 视图中的“Timeline”标签页一样，您可以选择事件并打开关联的原始日志或 UDM 事件。

   您还可以通过点击“列”图标打开多列视图选项，以控制“时间轴”标签页上显示的信息。通过多列视图，您可以选择要显示的各类日志信息，包括主机名和用户等常见类型以及 UDM 提供的许多更具体的类别。

7. 点击运行测试以运行规则修改窗口中显示的规则。Google Security Operations 开始收集检测结果。这样，您就可以快速查看规则是否按预期运行。检测信息会显示在测试规则结果窗口中。您可以随时点击“取消测试”来停止此过程。