Regel für Live-Daten ausführen

Wenn Sie eine Regel erstellen, wird anfangs nicht basierend auf an Ihr Google Security Operations-Konto empfangene Ereignisse in Echtzeit. Sie legen jedoch die Regel, um in Echtzeit nach Erkennungen zu suchen, indem Sie die Ein/Aus-Schaltfläche Live-Regel festlegen aktiviert ist.

Führen Sie die folgenden Schritte aus, um eine Regel zu aktivieren:

  1. Rufen Sie das Regeldashboard auf.

  2. Klicken Sie auf das Optionssymbol Regeln für eine Regel und aktivieren Sie die Live-Regel.

    Live-Regel

    Live-Regel

  3. Sie können sich die von einer Liveregel generierten Erkennungen ansehen, indem Sie Regelerkennungen ansehen auswählen.

Regelkontingent

Klicken Sie auf die Schaltfläche „Kapazität“, um die Limits für die Anzahl der Regeln anzuzeigen, die als Live aktiviert werden können. Sie befindet sich oben rechts im Regeldashboard.

Für Google Security Operations gelten die folgenden Regelbeschränkungen:

  • Kontingent für Regeln für mehrere Ereignisse: Hier wird die aktuelle Anzahl von Regeln für mehrere Ereignisse angezeigt, die als aktiv aktiviert sind, und die maximale Anzahl von Regeln, die als „Live“ aktiviert werden können. Weitere Informationen zum Unterschied zwischen Regeln für einzelne Ereignisse und mehrere Ereignisse
  • Gesamtregelkontingent: Zeigt die aktuelle Gesamtzahl der aktiven Regeln für alle Regeltypen sowie die maximale Anzahl der Regeln an, die als aktiv aktiviert werden können.

Weitere Informationen zu den verschiedenen Regeltypen

Regelausführungen

Die Ausführung von Live-Regeln für einen bestimmten Ereigniszeit-Bucket wird mit abnehmender Häufigkeit ausgelöst. Es findet eine abschließende Bereinigungsausführung statt, nach der keine weitere Ausführung gestartet wird.

Bei jeder Ausführung werden die neuesten Versionen der in den Regeln verwendeten Referenzlisten und die letzte Anreicherung von Ereignis- und Entitätsdaten ausgeführt.

Dies bedeutet, dass einige Erkennungen nachträglich generiert werden können, wenn sie nur von den späteren Ausführungen erkannt werden. Bei der letzten Ausführung kann beispielsweise die neueste Version der Referenzliste verwendet werden, die jetzt mehr Ereignisse erkennt. Ereignisse und Entitätsdaten können aufgrund neuer Anreicherungen noch einmal verarbeitet werden.

Erkennungslatenzen

Wie lange es dauert, bis eine Erkennung aus einer Live-Regel generiert wird, hängt von verschiedenen Faktoren ab. Die folgende Liste enthält die verschiedenen Faktoren, die zu Verzögerungen bei der Erkennung beitragen:

  • Regeltypen
  • Ausführungshäufigkeit
  • Verzögerung bei der Aufnahme
  • Kontextbezogene Joins
  • Angereicherte UDM-Daten
  • Probleme mit der Zeitzone
  • Referenzlisten

Regeltypen

  • Regeln für einzelne Ereignisse werden nahezu in Echtzeit und Streaming ausgeführt. Verwenden Sie nach Möglichkeit diese Regeln, um die Latenz zu minimieren.
  • Regeln für mehrere Ereignisse werden nach einem Zeitplan ausgeführt, was aufgrund der Zeit zwischen geplanten Ausführungen zu einer höheren Latenz führt.

Ausführungshäufigkeit

Um eine schnellere Erkennung zu erreichen, sollten Sie eine kürzere Ausführungshäufigkeit und ein kleineres Abgleichfenster verwenden. Die Verwendung kürzerer Abgleichfenster (unter einer Stunde) ermöglicht häufigere Ausführungen.

Verzögerung bei der Aufnahme

Achten Sie darauf, dass die Daten sofort an Google Security Operations gesendet werden. Achten Sie bei der Prüfung einer Erkennung genau auf die Zeitstempel der UDM-Ereignisse und die Datenaufnahme.

Kontextbezogene Joins

Bei Multi-Event-Regeln mit Kontextdaten wie UEBA oder Entity Graph kann es zu längeren Verzögerungen kommen. Die Kontextdaten müssen zuerst von Google SecOps generiert werden.

Angereicherte UDM-Daten

In Google SecOps werden Ereignisse mit Daten aus anderen Ereignissen angereichert. In der Ereignisanzeige können Sie nachsehen, ob ein angereichertes Feld mit einer Regel ausgewertet wird. Wenn die Regel ein angereichertes Feld auswertet, kann sich die Erkennung verzögern.

Probleme mit der Zeitzone

Regeln werden für Echtzeitdaten häufiger ausgeführt. Daten können in Echtzeit eingehen, aber Google SecOps behandelt sie möglicherweise trotzdem als spät ankommende Daten, wenn die Ereigniszeit aufgrund von Zeitzonenproblemen nicht korrekt ist. Die Standardzeitzone von Google SecOps SIEM ist UTC. Wenn in den Originaldaten ein Ereigniszeitstempel auf eine andere Zeitzone als UTC festgelegt ist, aktualisieren Sie die Datenzeitzone. Wenn die Aktualisierung der Zeitzone an der Protokollquelle nicht möglich ist, wenden Sie sich an den Support, damit die Zeitzone überschrieben werden kann.

Nicht vorhandene Regeln

Regeln, die auf Nicht-Existenz geprüft werden, z. B. Regeln, die !$e oder #e=0 enthalten, werden mit einer Verzögerung von mindestens einer Stunde ausgeführt, damit die Daten ausreichend ankommen.

Referenzlisten

Regelausführungen verwenden immer die aktuelle Version einer Referenzliste. Wenn die Referenzliste kürzlich aktualisiert wurde, erscheint eine neue Erkennung möglicherweise zu spät, da die Erkennung bei späteren Ausführungen der geplanten Regel möglicherweise mit neuen Inhalten der aktualisierten Liste aufgenommen wird.

So verringern Sie die Erkennungslatenzen:

  • Protokolldaten an Google Security Operations senden, sobald das Ereignis auftritt.
  • Prüfen Sie Regeln, um festzustellen, ob nicht vorhandene oder kontextangereicherte Daten verwendet werden müssen.
  • Konfigurieren Sie eine kleinere Ausführungshäufigkeit.

Regelstatus

Live-Regeln können einen der folgenden Status haben:

  • Aktiviert:Die Regel ist aktiv und funktioniert wie gewohnt.

  • Deaktiviert: Die Regel ist deaktiviert.

  • Eingeschränkt:Live-Regeln können diesen Status erhalten, wenn sie eine ungewöhnlich hohe Ressourcennutzung. Eingeschränkte Regeln sind von den anderen aktiven Regeln isoliert. im System, um die Stabilität von Google Security Operations aufrechtzuerhalten.

    Bei eingeschränkten Live-Regeln kann nicht garantiert werden, dass die Regeln erfolgreich ausgeführt werden. Wenn die Regel jedoch erfolgreich ausgeführt wird, werden Erkennungen aufbewahrt und sind verfügbar noch einmal ansehen. Eingeschränkte Live-Regeln generieren immer eine Fehlermeldung. die Informationen zur Verbesserung der Leistung der Regel enthält.

    Wenn sich die Leistung einer eingeschränkten Regel innerhalb von drei Tagen nicht verbessert, wird der Status in Pausiert geändert.

  • Pausiert:Dieser Status wird für Live-Regeln angezeigt, wenn sie sich im Status Eingeschränkt befinden. 3 Tage lang angezeigt und keine Leistungsverbesserung erkennbar ist. Ausführungen für diese Regel pausiert wurden, und Fehlermeldungen, die Informationen dazu enthalten, wie Sie die Leistung der Regel verbessern.

So setzen Sie eine Live-Regel auf den Status Aktiviert zurück: Best Practices für YARA-L, um um die Leistung der Regel zu verbessern, und speichern Sie sie. Nach dem Speichern der Regel Es wird auf den Status Aktiviert zurückgesetzt und es dauert mindestens eine Stunde. bevor die Regel wieder den Status Eingeschränkt erhält.

Sie können Leistungsprobleme mit einer Regel beheben, indem Sie sie konfigurieren weniger häufig ausgeführt werden. Sie können z. B. die Ausführung einer Regel alle 10 Minuten auf einmal pro Stunde oder alle 24 Stunden. Sie können jedoch Wenn Sie die Ausführungshäufigkeit einer Regel ändern, ändert sich ihr Status nicht wieder zu Aktiviert: Wenn Sie eine kleine Änderung an der Regel vornehmen und diese speichern, können Sie der Status Enabled (Aktiviert) automatisch zurückgesetzt wird.

Regelstatus werden im Regeldashboard angezeigt und sind ebenfalls verfügbar über die Detection Engine API. Fehler aufgrund von Regeln in der Kategorie Eingeschränkt oder Pausiert sind über die API-Methode ListErrors. In der Fehlermeldung wird darauf hingewiesen, dass sich die Regel im Status Eingeschränkt oder Pausiert befindet. und leitet Sie zur Dokumentation zur Lösung des Problems weiter.