Como executar uma regra com base em dados em tempo real
Quando você cria uma regra, ela não pesquisa inicialmente detecções com base nos eventos recebidos na sua conta do Google Security Operations em tempo real. No entanto, você pode definir a regra para pesquisar detecções em tempo real ativando a opção Regra ativa.
Para ativar uma regra, siga estas etapas:
Acesse o Painel de regras.
Clique no ícone de opção Regras de uma regra e ative a opção Regra ativa.
Regra ao vivo
Para conferir as detecções geradas por uma regra ativa, escolha Conferir detecções de regras.
Cota de regras
Clique no botão de capacidade para mostrar os limites do número de regras que podem ser ativadas como ativas. Ele fica no canto superior direito do Painel de regras.
As Operações de segurança do Google impõem os seguintes limites de regra:
- Quota de regras de vários eventos: mostra a contagem atual de regras de vários eventos ativadas como ativas e o número máximo de regras que podem ser ativadas como ativas. Saiba mais sobre a diferença entre as regras de eventos únicos e de eventos múltiplos neste link.
- Quota total de regras: mostra a contagem total atual de regras ativadas como ativas em todos os tipos de regras e o número máximo de regras que podem ser ativadas como ativas.
Confira mais informações sobre os diferentes tipos de regras aqui.
Execuções de regras
As execuções de regras ao vivo para um determinado período de tempo de evento serão acionadas com frequência decrescente. Haverá uma execução de limpeza final, após a qual nenhuma outra execução será iniciada.
Cada execução é realizada nas versões mais recentes das listas de referência usadas nas regras, bem como no enriquecimento de dados de eventos e entidades mais recente.
Isso significa que algumas detecções podem ser geradas retrospectivamente se forem detectadas apenas pelas execuções posteriores. Por exemplo, a última execução pode usar a versão mais recente da lista de referência, que agora detecta mais eventos, e os dados de eventos e entidades podem ser reprocessados devido a novos enriquecimentos.
Latências de detecção
Vários fatores determinam quanto tempo leva para uma detecção ser gerada a partir de uma regra ativa. A lista a seguir inclui os diferentes fatores que contribuem para os atrasos na detecção:
- Tipos de regra
- Frequência de execução
- Atraso na transferência
- Junções contextuais
- Dados enriquecidos do UDM
- Problemas de fuso horário
- Listas de referências
Tipos de regra
- As regras de evento único são executadas quase em tempo real em streaming. Use essas regras, quando possível, para minimizar a latência.
- As regras de vários eventos são executadas de forma programada, o que leva a uma latência maior devido ao tempo entre as execuções programadas.
Frequência de execução
Para conseguir detecções mais rápidas, use uma frequência de execução mais curta e uma janela de correspondência menor. O uso de janelas de correspondência mais curtas (menos de uma hora) permite execuções mais frequentes.
Atraso na transferência
Os dados precisam ser enviados ao Google Security Operations assim que o evento ocorrer. Ao analisar uma detecção, preste atenção aos carimbos de data/hora de ingestão e do evento da UDM.
Junções contextuais
As regras de vários eventos com dados contextuais, como UEBA ou Entity Graph, podem ter atrasos maiores. Os dados contextuais precisam ser gerados pelo Google SecOps.
Dados enriquecidos do UDM
O Google SecOps enriquece eventos com dados de outros eventos. Para identificar se uma regra está avaliando um campo enriquecido, consulte o Visualizador de eventos. Se a regra estiver avaliando um campo enriquecido, a detecção poderá ser atrasada.
Problemas de fuso horário
As regras são executadas com mais frequência para dados em tempo real. Os dados podem chegar em tempo real, mas o Google SecOps ainda pode tratá-los como dados atrasados se o horário do evento estiver incorreto devido a problemas de fuso horário. O fuso horário padrão do SIEM do Google SecOps é UTC. Se os dados originais tiverem um carimbo de data/hora de evento definido para outro fuso horário além do UTC, atualize o fuso horário dos dados. Se não for possível atualizar o fuso horário na origem do registro, entre em contato com o suporte para que o fuso horário possa ser substituído.
Regras de inexistência
As regras que verificam a não existência (por exemplo, regras que contêm !$e
ou #e=0
) são executadas com pelo menos uma hora de atraso para garantir que os dados tenham tempo para chegar.
Listas de referências
As execuções de regras sempre usam a versão mais atualizada de uma lista de referência. Se a lista de referência foi atualizada recentemente, uma nova detecção pode aparecer com atraso porque pode ser incluída com novos conteúdos da lista atualizada durante execuções posteriores da regra programada.
Para reduzir a latência de detecção, recomendamos o seguinte:
- Envie dados de registro ao Google Security Operations assim que o evento ocorrer.
- Auditoria de regras para saber se é necessário usar dados de inexistência ou enriquecidos com contexto.
- Configure uma frequência de execução menor.
Status da regra
As regras ativas podem ter um dos seguintes status:
Ativada:a regra está ativa e funcionando normalmente como uma regra ativa.
Desativada:a regra está desativada.
Limitada:as regras ativas podem ser colocadas nesse status quando apresentam uso de recursos anormalmente alto. As regras limitadas são isoladas das outras regras ativas no sistema para manter a estabilidade das Operações de segurança do Google.
Para regras limitadas, não há garantia de execução. No entanto, se a execução da regra for bem-sucedida, as detecções serão mantidas e estarão disponíveis para você analisar. As regras ativas limitadas sempre geram uma mensagem de erro, que inclui informações sobre como melhorar o desempenho da regra.
Se a performance de uma regra Limitada não melhorar em três dias, o status dela será alterado para Pausada.
Pausadas:as regras ativas entram nesse status quando estão no status Limitado há três dias e não mostram nenhuma melhoria no desempenho. As execuções dessa regra foram pausadas, e mensagens de erro com informações sobre como melhorar o desempenho da regra foram retornadas.
Para retornar qualquer regra ativa ao status Ativado, siga as práticas recomendadas do YARA-L para melhorar o desempenho da regra e salve-a. Depois que a regra for salva, ela será redefinida para o estado Ativado e vai levar pelo menos uma hora para que a regra atinja o status Limitado novamente.
É possível resolver os problemas de performance com uma regra, configurando-a para ser executada com menos frequência. Por exemplo, é possível reconfigurar uma regra para ser executada a cada 10 minutos ou uma vez a cada 24 horas. No entanto, mudar a frequência de execução de uma regra não muda o status dela para Ativado. Se você fizer uma pequena modificação na regra e salvá-la, poderá redefinir automaticamente o status Ativado.
Os status das regras são exibidos no Painel de regras e também podem ser acessados pela API Detection Engine. Os erros gerados por regras no status Limitado ou Pausado estão disponíveis usando o método da API ListErrors. O erro vai indicar que a regra está no status Limitada ou Pausada e direcionar você para a documentação sobre como resolver o problema.