Aplicar uma regra aos dados em tempo real

Quando você cria uma regra, ela não pesquisa inicialmente detecções com base nos eventos recebidos na sua conta do Google Security Operations em tempo real. No entanto, você pode definir a regra para pesquisar detecções em tempo real ativando a opção Regra ativa.

Para ativar uma regra, siga estas etapas:

1. Clique em Detecção > Regras e detecções.

2. Clique na guia Painel de regras.

3. Clique no ícone de opções more_vert Regras de uma regra e ative a opção Regra ativa.

   

   Regra ao vivo

4. Selecione Conferir detecções de regras para conferir as detecções de uma regra ativa.

Cota de regras de exibição

No canto superior direito do painel "Regras", clique em Capacidade de regras para mostrar os limites do número de regras que podem ser ativadas como ativas.

As Operações de segurança do Google impõem os seguintes limites de regra:

• Cota de regras de vários eventos: mostra a contagem atual de regras de vários eventos ativadas e o máximo permitido. Saiba mais sobre a diferença entre as regras de evento único e vários eventos.
• Total de regras da cota: mostra a contagem total atual de regras ativadas como ativas em todos os tipos de regras e o número máximo de regras que podem ser ativadas como ativas.

Execuções de regras

As execuções de regras ao vivo para um determinado período de tempo de evento são acionadas com frequência decrescente. Uma execução de limpeza final ocorre, após a qual nenhuma outra execução é iniciada.

Cada execução é realizada nas versões mais recentes das listas de referência usadas nas regras e no enriquecimento de dados de eventos e entidades mais recente.

Algumas detecções podem ser geradas retrospectivamente se forem detectadas apenas pelas execuções posteriores. Por exemplo, a última execução pode usar a versão mais recente da lista de referência, que agora detecta mais eventos, e os dados de eventos e entidades podem ser reprocessados devido a novos enriquecimentos.

Eliminação de duplicação

O mecanismo de regras identifica e remove automaticamente detecções duplicadas das regras. Esse processo se aplica apenas a regras com variáveis de correspondência, já que elas dependem de janelas baseadas em tempo. As detecções com valores idênticos de variáveis de correspondência, em janelas de tempo sobrepostas, são suprimidas como duplicatas.

Latências de detecção

Vários fatores determinam quanto tempo leva para uma detecção ser gerada a partir de uma regra ativa. A lista a seguir inclui os diferentes fatores que contribuem para os atrasos na detecção:

• Tipos de regras
• Frequência de execução
• Atraso na ingestão
• Associações contextuais
• Dados enriquecidos do UDM
• Problemas de fuso horário
• Listas de referência

Tipos de regra

• As regras de evento único são executadas quase em tempo real de forma contínua. Use essas regras, quando possível, para minimizar a latência.
• As regras de vários eventos são executadas de forma programada, o que leva a uma latência maior devido ao tempo entre as execuções programadas.

Frequência de execução

Para conseguir detecções mais rápidas, use uma frequência de execução mais curta e uma janela de correspondência menor. Usar janelas de correspondência mais curtas (menos de uma hora) permite execuções mais frequentes.

Atraso na ingestão

Os dados precisam ser enviados ao Google Security Operations assim que o evento ocorrer. Ao analisar uma detecção, preste atenção aos carimbos de data/hora de ingestão e do evento da UDM.

Junções contextuais

As regras de vários eventos com dados contextuais, como UEBA ou Entity Graph, podem ter atrasos maiores. Os dados contextuais precisam ser gerados pelo Google SecOps.

Dados enriquecidos do UDM

O Google SecOps enriquece eventos com dados de outros eventos. Para identificar se uma regra está avaliando um campo enriquecido, consulte o Visualizador de eventos. Se a regra estiver avaliando um campo enriquecido, a detecção poderá ser atrasada.

Problemas de fuso horário

As regras são executadas com mais frequência para dados em tempo real. Os dados podem chegar em tempo real, mas o Google SecOps ainda pode tratá-los como dados atrasados se o horário do evento estiver incorreto devido a problemas de fuso horário. O fuso horário padrão do SIEM do Google SecOps é UTC. Se os dados originais tiverem um carimbo de data/hora de evento definido para outro fuso horário além do UTC, atualize o fuso horário dos dados. Se não for possível atualizar o fuso horário na origem do registro, entre em contato com o suporte para que o fuso horário possa ser substituído.

Regras de inexistência

As regras que verificam a não existência (por exemplo, regras que contêm !$e ou #e=0) são executadas com pelo menos uma hora de atraso para garantir que os dados tenham tempo para chegar.

Listas de referências

As execuções de regras sempre usam a versão mais atualizada de uma lista de referência. Se a lista de referência foi atualizada recentemente, uma nova detecção pode aparecer com atraso porque pode ser incluída com o novo conteúdo da lista atualizada durante as execuções posteriores da regra programada.

Para reduzir a latência de detecção, recomendamos o seguinte:

• Envie dados de registro ao Google Security Operations assim que o evento ocorrer.
• Auditoria de regras para saber se é necessário usar dados de inexistência ou enriquecidos com contexto.
• Configure uma frequência de execução menor.

Status da regra

As regras ativas podem ter um dos seguintes status:

• Ativada:a regra está ativa e funcionando normalmente como uma regra ativa.

• Desativada:a regra está desativada.

• Limitada:as regras ativas podem ser colocadas nesse status quando apresentam uso anormalmente alto de recursos. As regras limitadas são isoladas das outras regras ativas no sistema para manter a estabilidade das Operações de segurança do Google.

  Para regras limitadas, não há garantia de execução. No entanto, se a execução da regra for bem-sucedida, as detecções serão mantidas e estarão disponíveis para você analisar. As regras ativas limitadas sempre geram uma mensagem de erro, que inclui informações sobre como melhorar o desempenho da regra.

  Se a performance de uma regra Limitada não melhorar em três dias, o status dela será alterado para Pausada.

  Observação: se não houver mudanças recentes nessa regra, esses erros podem ser intermitentes e resolvidos automaticamente.

• Pausadas:as regras ativas entram nesse status quando estão no status Limitado há três dias e não mostram nenhuma melhoria no desempenho. As execuções dessa regra foram pausadas, e mensagens de erro com informações sobre como melhorar o desempenho da regra foram retornadas.

Para retornar qualquer regra ativa ao status Ativado, siga as práticas recomendadas do YARA-L para melhorar o desempenho da regra e salve. Depois que a regra for salva, ela será redefinida para o estado Ativado, e levará pelo menos uma hora para que a regra atinja o status Limitado novamente.

É possível resolver os problemas de performance com uma regra, configurando-a para ser executada com menos frequência. Por exemplo, é possível reconfigurar uma regra para ser executada a cada 10 minutos ou uma vez a cada 24 horas. No entanto, mudar a frequência de execução de uma regra não muda o status dela para Ativado. Se você fizer uma pequena modificação na regra e salvá-la, poderá redefinir automaticamente o status Ativado.

Os status das regras são exibidos no Painel de regras e também podem ser acessados pela API Detection Engine. Os erros gerados por regras no status Limitado ou Pausado estão disponíveis usando o método da API ListErrors. O erro vai indicar que a regra está no status Limitada ou Pausada e direcionar você para a documentação sobre como resolver o problema.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.