Halaman ini diterjemahkan oleh Cloud Translation API.

Menjalankan aturan terhadap data aktif

Didukung di:

Google SecOps SIEM

Saat Anda membuat aturan, aturan tersebut awalnya tidak akan menelusuri deteksi berdasarkan peristiwa yang diterima di akun Google Security Operations Anda secara real time. Namun, Anda menetapkan aturan untuk menelusuri deteksi secara real time dengan menyetel tombol Aturan Live ke aktif.

Untuk menetapkan aturan agar diterapkan, selesaikan langkah-langkah berikut:

Buka Dasbor Aturan.
Klik ikon opsi Aturan untuk aturan, lalu alihkan Aturan Aktif ke aktif.

Aturan Live
Anda dapat melihat deteksi yang dihasilkan oleh aturan aktif dengan memilih Lihat Deteksi Aturan.

Kuota aturan

Klik tombol kapasitas untuk menampilkan batas jumlah aturan yang dapat diaktifkan secara live. Tombol ini terletak di sudut kanan atas Dasbor Aturan.

Google Security Operations menerapkan batas aturan berikut:

Kuota Aturan Peristiwa Ganda—Menampilkan jumlah aturan Peristiwa Ganda saat ini yang diaktifkan sebagai aktif dan jumlah maksimum aturan yang dapat diaktifkan sebagai aktif. Informasi selengkapnya tentang perbedaan antara Aturan Peristiwa Tunggal dan Aturan Multi-Peristiwa dapat ditemukan di sini.
Total Kuota Aturan—Menampilkan jumlah total aturan saat ini yang diaktifkan sebagai aktif di semua jenis aturan dan jumlah maksimum aturan yang dapat diaktifkan sebagai aktif.

Informasi selengkapnya tentang berbagai jenis aturan dapat ditemukan di sini.

Eksekusi aturan

Eksekusi aturan live untuk bucket waktu peristiwa tertentu akan dipicu dengan frekuensi yang menurun. Akan ada pembersihan akhir yang dijalankan, setelah itu tidak ada lagi eksekusi yang akan dimulai.

Setiap eksekusi berjalan melalui versi terbaru daftar referensi yang digunakan dalam aturan, serta terhadap pengayaan data peristiwa dan entitas terbaru.

Artinya, beberapa deteksi dapat dibuat secara retrospektif jika hanya terdeteksi oleh eksekusi berikutnya. Misalnya, eksekusi terakhir mungkin menggunakan versi terbaru daftar referensi, yang kini mendeteksi lebih banyak peristiwa, dan data peristiwa dan entitas dapat diproses ulang karena pengayaan baru.

Latensi deteksi

Ada berbagai faktor yang menentukan waktu yang diperlukan untuk membuat deteksi dari aturan aktif. Daftar berikut menyertakan berbagai faktor yang berkontribusi pada penundaan deteksi:

Jenis aturan
Frekuensi berjalan
Penundaan penyerapan
Join kontekstual
Data UDM yang diperkaya
Masalah zona waktu
Daftar referensi

Jenis aturan

Aturan peristiwa tunggal dijalankan hampir secara real time dengan cara streaming. Gunakan aturan ini, jika memungkinkan, untuk meminimalkan latensi.
Aturan multi-peristiwa dieksekusi secara terjadwal yang menyebabkan latensi lebih tinggi karena waktu antara eksekusi terjadwal.

Frekuensi berjalan

Untuk mencapai deteksi yang lebih cepat, gunakan frekuensi pengoperasian yang lebih singkat dan periode pencocokan yang lebih kecil. Menggunakan periode pencocokan yang lebih singkat (di bawah satu jam) memungkinkan pengoperasian yang lebih sering.

Penundaan penyerapan

Pastikan data dikirim ke Google Security Operations segera setelah peristiwa terjadi. Saat meninjau deteksi, perhatikan dengan cermat stempel waktu peristiwa dan penyerapan UDM.

Gabungan kontekstual

Aturan multi-peristiwa yang memiliki data kontekstual, seperti UEBA atau Entity Graph, mungkin memiliki penundaan yang lebih tinggi. Data kontekstual harus dibuat terlebih dahulu oleh Google SecOps.

Data UDM yang diperkaya

Google SecOps memperkaya peristiwa dengan data dari peristiwa lain. Untuk mengidentifikasi apakah aturan mengevaluasi kolom yang diperkaya, tinjau Pelihat Peristiwa. Jika aturan mengevaluasi kolom yang diperkaya, deteksi mungkin akan tertunda.

Masalah zona waktu

Aturan dijalankan lebih sering untuk data real-time. Data mungkin tiba secara real-time, tetapi Google SecOps mungkin masih memperlakukannya sebagai data yang terlambat tiba jika waktu peristiwa salah karena masalah zona waktu. Zona waktu default SIEM Google SecOps adalah UTC. Jika data asli memiliki stempel waktu peristiwa yang ditetapkan ke zona waktu selain UTC, perbarui zona waktu data. Jika tidak dapat memperbarui zona waktu di sumber log, hubungi Dukungan agar zona waktu dapat diganti.

Aturan tidak ada

Aturan yang memeriksa tidak ada (misalnya, aturan yang berisi !$e atau #e=0) dijalankan dengan penundaan minimal satu jam untuk memastikan data memiliki waktu untuk tiba.

Daftar referensi

Eksekusi aturan selalu menggunakan versi daftar referensi terbaru. Jika daftar referensi baru-baru ini diperbarui, deteksi baru mungkin muncul terlambat karena deteksi mungkin disertakan dengan konten baru dari daftar yang diperbarui selama eksekusi aturan terjadwal di lain waktu.

Untuk mencapai latensi deteksi yang lebih rendah, sebaiknya lakukan hal berikut:

Kirim data log ke Google Security Operations segera setelah peristiwa terjadi.
Audit aturan untuk melihat apakah perlu menggunakan data yang tidak ada atau data yang diperkaya konteks.
Konfigurasikan frekuensi operasi yang lebih kecil.

Status aturan

Aturan aktif dapat memiliki salah satu status berikut:

Diaktifkan: Aturan aktif dan berfungsi normal sebagai aturan aktif.
Nonaktif: Aturan dinonaktifkan.
Dibatasi: Aturan aktif dapat ditempatkan dalam status ini jika menunjukkan penggunaan resource yang sangat tinggi. Aturan Terbatas diisolasi dari aturan aktif lainnya dalam sistem untuk mempertahankan stabilitas Google Security Operations.

Untuk aturan live Terbatas, keberhasilan eksekusi aturan tidak dijamin. Namun, jika eksekusi aturan berhasil, deteksi akan dipertahankan dan tersedia untuk Anda tinjau. Aturan aktif Terbatas selalu menghasilkan pesan error, yang menyertakan informasi tentang cara meningkatkan performa aturan.

Jika performa aturan Terbatas tidak meningkat dalam waktu 3 hari, statusnya akan diubah menjadi Dijeda.
Dijeda: Aturan aktif memasuki status ini jika telah berada dalam status Terbatas selama 3 hari dan belum menunjukkan peningkatan performa. Eksekusi untuk aturan ini telah dijeda dan pesan error yang berisi informasi tentang cara meningkatkan performa aturan akan ditampilkan.

Untuk mengembalikan aturan aktif ke status Diaktifkan, ikuti praktik terbaik YARA-L untuk meningkatkan performa aturan dan menyimpannya. Setelah disimpan, aturan akan direset ke status Diaktifkan dan perlu waktu minimal satu jam sebelum aturan mencapai status Dibatasi lagi.

Anda berpotensi dapat menyelesaikan masalah performa dengan aturan dengan mengonfigurasinya agar lebih jarang dijalankan. Misalnya, Anda dapat mengonfigurasi ulang aturan dari berjalan setiap 10 menit menjadi berjalan sekali dalam satu jam atau sekali setiap 24 jam. Namun, mengubah frekuensi eksekusi aturan tidak akan mengubah statusnya kembali ke Diaktifkan. Jika Anda membuat sedikit perubahan pada aturan dan menyimpannya, Anda dapat otomatis mereset statusnya menjadi Diaktifkan.

Status aturan ditampilkan di Dasbor Aturan dan juga dapat diakses melalui Detection Engine API. Error yang dihasilkan oleh aturan dalam status Dibatasi atau Dijeda tersedia menggunakan metode ListErrors API. Error akan menyatakan bahwa aturan tersebut dalam status Dibatasi atau Dijeda dan mengarahkan Anda ke dokumentasi tentang cara menyelesaikan masalah tersebut.