在规则信息中心内查看规则
支持的平台:
Google SecOps
SIEM
如需在 Google Security Operations 中打开规则信息中心,请从以下位置选择规则: 菜单图标
。 规则信息中心会显示 存储在您的 Google Security Operations 账号中。对于使用 数据 RBAC,您可以仅查看和管理与数据绑定的规则 范围。规则信息中心包含以下功能:
- 趋势图会显示过去 3 周检测次数最多的规则。
- 显示与规则相关联的活动的图表。将鼠标悬停在图表中的柱形上可查看检测的日期和数量。
- 运行频率表示规则将执行的大概频率。
- 实时状态(已启用或已停用)。
- 与规则元数据一样的规则严重性。
如果将鼠标悬停在规则上,然后点击右侧的菜单图标,您可以打开规则设置菜单,并操作实时规则、运行频率和通知选项。
- 实时规则会监控传入日志中的威胁,直至被删除或停用。
- 提醒表明企业内的正常流量工作流出现异常情况。您应该 调查是否可能存在安全违规行为。
- 运行频率表示规则的大致执行频率,它会影响延迟时间 为每条规则发现哪些检测。
- 通过 YARA-L Retrohunt,您可以使用所选规则在现有的 Google Security Operations 中的数据。
- 借助修改规则,您可以修改现有规则并创建新规则。
- 查看规则检测结果:可让您查看由有效规则生成的检测结果。
- 选择归档可隐藏规则以及与此规则(及其所有版本)相关的安全数据, 实际删除规则
点击规则名称可打开规则检测视图。