针对实时数据运行规则

创建规则时，它最初不会根据您的 Google Security Operations 帐号中收到的事件实时搜索检测。但是，通过将实时规则切换开关设置为启用，您可以将规则设置为实时搜索检测。

如需将规则设置为实时，请完成以下步骤：

1. 转到“规则信息中心”。

2. 点击规则的规则选项图标，然后将实时规则切换为启用。

   

   实时规则

3. 您可以选择查看规则检测，以查看实时规则生成的检测。

规则配额

点击容量按钮以显示可启用为实时的规则数量限制。它位于规则信息中心的右上角。

Google Security Operations 具有以下规则限制：

• 多个事件规则配额 - 显示启用的多个事件规则的当前计数以及可启用的规则数上限。如需详细了解单一事件和多个事件规则之间的区别，请点击此处。
• 总规则配额 - 显示所有规则类型中启用为实时规则的当前规则总数，以及可启用为实时规则的规则数上限。

如需详细了解不同类型的规则，请点击此处。

规则执行

对于给定事件时间段，实际规则执行将以频率降低的方式触发。将是最后一次清理运行，之后将不再开始执行。

每次执行都会针对规则中使用的参考列表的最新版本，以及最新的活动和实体数据扩充功能运行。

这意味着，如果某些检测仅在以后的执行中检测到，则可能会以追溯方式生成。例如，上次执行可能会使用最新版本的参考列表，它现在会检测更多事件，并且事件和实体数据可能会由于新的扩充项而重新处理。

检测延迟时间

从现行规则生成检测所需的时间取决于多种因素。例如：

• 原始日志数据的提取时间。
• 规则是否使用任何情境增强数据。由于数据增补的影响，检测可能会延迟。
• 规则是否不存在。对于不存在的规则（在条件部分包含 !$e 或 #e = 0 的规则），检测引擎会在预期延迟时间的基础上增加至少 1 小时的延迟时间（基于规则的运行频率），以便允许延迟数据。

为了缩短检测延迟时间，我们建议您执行以下操作：

• 在事件发生时立即将日志数据发送到 Google Security Operations。
• 审核规则，确定是否有必要使用不存在的数据或上下文丰富数据。
• 配置较低的运行频率。

规则状态

有效规则可能处于以下状态之一：

• 已启用：规则处于有效状态，并且作为有效规则正常运行。

• 已停用：规则已停用。

• 受限：当活跃规则的资源使用率异常高时，可以将其置于此状态。受限规则与系统中的其他活动规则隔离开来，以保持 Google Security Operations 的稳定性。

  对于受限有效规则，规则不一定能成功执行。不过，如果规则执行成功，则检测结果会保留下来，供您查看。受限有效规则始终会生成错误消息，其中包含有关如何提高规则性能的信息。

  如果受限规则的效果在 3 天内没有提高，则其状态会更改为已暂停。

• 已暂停：如果有效规则处于受限状态 3 天且没有显示任何性能提升，则进入此状态。此规则的执行已暂停，系统将返回错误消息，其中包含有关如何提高规则性能的信息。

如需将任何有效规则恢复到已启用状态，请遵循 YARA-L 最佳实践来提升规则的性能并保存。保存规则后，系统会将其重置为已启用状态，并且需要等待至少一个小时才能再次使规则变为受限状态。

您可以将规则配置为降低运行频率，从而解决性能问题。例如，您可以将规则重新配置为每 10 分钟运行一次，更改为每小时运行一次或每 24 小时运行一次。不过，更改规则的执行频率不会将其状态更改回已启用。如果您对规则稍作修改并保存，便可自动重置其状态 Enabled。

规则状态会显示在规则信息中心内，您也可以通过 Detection Engine API 来访问。处于受限或已暂停状态的规则产生的错误可使用 ListErrors API 方法获取。错误消息将说明该规则处于受限或已暂停状态，并引导您查看有关如何解决问题的文档。