Esecuzione di una regola sui dati in tempo reale

Quando crei una regola, questa inizialmente non cerca i rilevamenti in base agli eventi ricevuti nel tuo account Google Security Operations in tempo reale. Tuttavia, puoi impostare la regola per cercare i rilevamenti in tempo reale attivando l'opzione di attivazione/disattivazione Regola dal vivo.

Per attivare una regola:

  1. Vai alla Dashboard regole.

  2. Fai clic sull'icona di opzione Regole relativa a una regola e attiva l'opzione Regola di esecuzione.

    Regola attiva

    Regola in tempo reale

  3. Puoi visualizzare i rilevamenti generati da una regola attiva scegliendo Visualizza rilevamenti regole.

Quota di regole

Fai clic sul pulsante Capacità per visualizzare i limiti relativi al numero di regole che possono essere abilitate come attive. Si trova nell'angolo superiore destro del Dashboard regole.

Google Security Operations impone i seguenti limiti di regole:

  • Quota di regole per più eventi: mostra il numero attuale di regole per più eventi attivate come attive e il numero massimo di regole che possono essere attivate come attive. Ulteriori informazioni sulla differenza tra le regole per evento singolo e le regole Evento multiplo sono disponibili qui.
  • Quota totale regole: mostra il numero totale attuale di regole abilitate come attive in tutti i tipi di regole e il numero massimo di regole che possono essere attivate come attive.

Ulteriori informazioni sui diversi tipi di regole sono disponibili qui.

Esecuzioni delle regole

Le esecuzioni di regole in tempo reale per un determinato bucket temporale dell'evento verranno attivate con frequenza decrescente. Ci sarà un'ultima esecuzione di pulizia, dopodiché non verrà più avviata l'esecuzione.

Ogni esecuzione viene eseguita sulle ultime versioni degli elenchi di riferimento utilizzati nelle regole, oltre che sull'arricchimento dei dati su eventi ed entità più recente.

Ciò significa che alcuni rilevamenti possono essere generati retroattivamente se vengono rilevati solo dalle esecuzioni successive. Ad esempio, l'ultima esecuzione potrebbe utilizzare la versione più recente dell'elenco di riferimento, che ora rileva più eventi. Inoltre, gli eventi e i dati delle entità possono essere rielaborati grazie a nuovi arricchimenti.

Latenze di rilevamento

Il tempo necessario affinché un rilevamento venga generato da una regola attiva dipende da vari fattori. Ad esempio:

  • L'ora di importazione dei dati di log originali.
  • Indica se la regola utilizza dati arricchiti di contesto. I rilevamenti potrebbero subire ritardi a causa degli potenziamenti.
  • Indica se la regola è non-esistenza. Per le regole che non esistono (regole che contengono !$e o #e = 0 nella sezione delle condizioni), il motore di rilevamento aggiunge almeno un'ora di ritardo alla latenza prevista (in base alla frequenza di esecuzione della regola) per consentire l'arrivo in ritardo dei dati.

Per ridurre la latenza di rilevamento, ti consigliamo di procedere come segue:

  • Invia i dati del log a Google Security Operations non appena si verifica l'evento.
  • Controlla le regole per vedere se è necessario usare dati non esistenti o arricchiti di contesto.
  • Configura una frequenza di esecuzione inferiore.

Stato della regola

Le regole attive possono avere uno dei seguenti stati:

  • Attivata: la regola è attiva e funziona normalmente come regola attiva.

  • Disabilitata: la regola è disattivata.

  • Limitata: le regole in tempo reale possono essere inserite in questo stato quando presentano un utilizzo delle risorse insolitamente elevato. Le regole limitate sono isolate dalle altre regole attive nel sistema per mantenere la stabilità di Google Security Operations.

    Per le regole attive limitate, l'esecuzione corretta delle regole non è garantita. Tuttavia, se l'esecuzione della regola ha esito positivo, i rilevamenti vengono conservati e disponibili per la revisione. Le regole attive limitate generano sempre un messaggio di errore che include informazioni su come migliorare le prestazioni della regola.

    Se il rendimento di una regola Limitata non migliora entro tre giorni, il suo stato diventa In pausa.

  • In pausa: le regole attive entrano in questo stato se sono state nello stato Limitato per tre giorni e non hanno mostrato alcun miglioramento del rendimento. Le esecuzioni di questa regola sono state messe in pausa e vengono restituiti messaggi di errore contenenti informazioni su come migliorarne le prestazioni.

Per ripristinare lo stato Attivata di una regola attiva, segui le best practice YARA-L per migliorare il rendimento della regola e salvarla. Una volta salvata, la regola verrà reimpostato sullo stato Attivata e sarà necessaria almeno un'ora prima che lo stato venga nuovamente impostato su Limitata.

Puoi potenzialmente risolvere i problemi di prestazioni di una regola configurandola in modo che venga eseguita con minore frequenza. Ad esempio, puoi riconfigurare una regola affinché non venga eseguita ogni 10 minuti oppure venga eseguita una volta all'ora o una volta ogni 24 ore. Tuttavia, modificando la frequenza di esecuzione di una regola, il suo stato non tornerà a Abilitata. Se apporti una piccola modifica alla regola e la salvi, puoi reimpostarne automaticamente lo stato Attivata.

Gli stati delle regole vengono visualizzati nella dashboard delle regole e sono accessibili anche tramite l'API Detection Engine. Gli errori generati dalle regole nello stato Limitato o In pausa sono disponibili utilizzando il metodo API ListErrors. L'errore indicherà che la regola è nello stato Limitata o In pausa e ti reindirizzerà alla documentazione su come risolvere il problema.