Aplica una regla a los datos en vivo

Compatible con:

Cuando creas una regla, esta no busca detecciones en función de los eventos recibidos en tu cuenta de Operaciones de seguridad de Google en tiempo real. Sin embargo, debes configurar la regla para que busque detecciones en tiempo real. Para ello, habilita el botón de activación Live Rule.

Para publicar una regla, completa los siguientes pasos:

  1. Haz clic en Detección > Reglas y detecciones.

  2. Haz clic en la pestaña Panel de reglas.

  3. Haz clic en el ícono de opción more_vert Rules de una regla y activa la Rule Live.

    Regla en vivo

    Regla en vivo

  4. Selecciona Ver detecciones de reglas para ver las detecciones de una regla publicada.

Cuota de las reglas de visualización

En la esquina superior derecha del panel de reglas, haz clic en Capacidad de reglas para mostrar los límites de la cantidad de reglas que se pueden habilitar como activas.

Google Security Operations impone los siguientes límites de reglas:

  • Cuota de reglas de eventos múltiples: Muestra el recuento actual de reglas de eventos múltiples habilitadas para publicar y la cantidad máxima permitida. Obtén más información sobre la diferencia entre las reglas de evento único y de eventos múltiples.
  • Cuota total de reglas: Muestra el recuento total actual de reglas habilitadas como publicadas en todos los tipos de reglas y la cantidad máxima de reglas que se pueden habilitar como publicadas.

Ejecuciones de reglas

Las ejecuciones de reglas en vivo para un bucket de tiempo de evento determinado se activan con una frecuencia decreciente. Se produce una ejecución de limpieza final, después de la cual no se inician más ejecuciones.

Cada ejecución se ejecuta en las versiones más recientes de las listas de referencia que se usan en las reglas y en función del enriquecimiento de datos de eventos y entidades más reciente.

Algunas detecciones se pueden generar de forma retrospectiva si solo las detectan las ejecuciones posteriores. Por ejemplo, la última ejecución podría usar la versión más reciente de la lista de referencia, que ahora detecta más eventos, y los datos de eventos y entidades se pueden volver a procesar debido a nuevos enriquecimientos.

Anulación de duplicación

El motor de reglas identifica y quita automáticamente las detecciones duplicadas de las reglas. Este proceso solo se aplica a las reglas con variables de coincidencia, ya que dependen de ventanas basadas en el tiempo. Las detecciones con valores de variables de coincidencia idénticos, dentro de períodos superpuestos, se suprimen como duplicados.

Latencias de detección

Varios factores determinan cuánto tiempo tarda en generarse una detección a partir de una regla activa. En la siguiente lista, se incluyen los diferentes factores que contribuyen a los retrasos en la detección:

Tipos de reglas

  • Las reglas de un solo evento se ejecutan casi en tiempo real de forma continua. Usa estas reglas, siempre que sea posible, para minimizar la latencia.
  • Las reglas de varios eventos se ejecutan de forma programada, lo que genera una latencia más alta debido al tiempo entre las ejecuciones programadas.

Frecuencia de ejecución

Para lograr detecciones más rápidas, usa una frecuencia de ejecución más corta y una ventana de coincidencia más pequeña. El uso de ventanas de coincidencia más cortas (menos de una hora) permite ejecuciones más frecuentes.

Retraso de transferencia

Asegúrate de que los datos se envíen a Google Security Operations en cuanto ocurra el evento. Cuando revises una detección, presta especial atención al evento de la AUA y a las marcas de tiempo de transferencia.

Uniones contextuales

Las reglas de varios eventos que tienen datos contextuales, como UEBA o el gráfico de entidades, pueden tener demoras más altas. Google SecOps debe generar primero los datos contextuales.

Datos enriquecidos del UDM

Google SecOps enriquece los eventos con datos de otros eventos. Para identificar si una regla está evaluando un campo enriquecido, revisa el Visor de eventos. Si la regla evalúa un campo enriquecido, es posible que se retrase la detección.

Problemas con la zona horaria

Las reglas se ejecutan con mayor frecuencia para los datos en tiempo real. Es posible que los datos lleguen en tiempo real, pero Google SecOps podría considerarlos como datos tardíos si la hora del evento es incorrecta debido a problemas con la zona horaria. La zona horaria predeterminada del SIEM de Google SecOps es UTC. Si los datos originales tienen una marca de tiempo de evento establecida en otra zona horaria además de UTC, actualiza la zona horaria de los datos. Si no es posible actualizar la zona horaria en la fuente de registro, comunícate con el equipo de Asistencia para que se anule la zona horaria.

Reglas de no existencia

Las reglas que verifican la no existencia (por ejemplo, las reglas que contienen !$e o #e=0) se ejecutan con al menos una hora de retraso para garantizar que los datos tengan tiempo de llegar.

Listas de referencia

Las ejecuciones de reglas siempre usan la versión más actualizada de una lista de referencia. Si la lista de referencia se actualizó recientemente, es posible que una detección nueva aparezca tarde porque se puede incluir con el contenido nuevo de la lista actualizada durante ejecuciones posteriores de la regla programada.

Para lograr latencias de detección más bajas, te recomendamos que hagas lo siguiente:

  • Enviar los datos de registro a Google Security Operations en cuanto se produce el evento
  • Audita las reglas para ver si es necesario usar datos de no existencia o enriquecidos con contexto.
  • Configura una frecuencia de ejecución menor.

Estado de la regla

Las reglas activas pueden tener uno de los siguientes estados:

  • Habilitada: La regla está activa y funciona normalmente como una regla activa.

  • Disabled: La regla está inhabilitada.

  • Limitada: Las reglas activas pueden tener este estado cuando muestran un uso de recursos anormalmente alto. Las reglas limitadas están aisladas de las otras reglas activas del sistema para mantener la estabilidad de Google Security Operations.

    En el caso de las reglas en vivo limitadas, no se garantiza que se ejecuten correctamente. Sin embargo, si la ejecución de la regla se realiza correctamente, las detecciones se retienen y están disponibles para que las revises. Las reglas en vivo limitadas siempre generan un mensaje de error, que incluye información para mejorar el rendimiento de la regla.

    Si el rendimiento de una regla Limitada no mejora en un plazo de 3 días, su estado cambiará a Detenida.

    Nota: Si no se realizaron cambios recientes en esta regla, es posible que estos errores sean intermitentes y se resuelvan automáticamente.

  • Detenido: Las reglas activas ingresan a este estado cuando se encuentran en el estado Limitada durante 3 días y no muestran ninguna mejora en el rendimiento. Se detuvieron las ejecuciones de esta regla y se muestran mensajes de error que contienen información para mejorar el rendimiento de la regla.

Para devolver cualquier regla activa al estado Habilitada, sigue las prácticas recomendadas de YARA-L para mejorar el rendimiento de la regla y guardarla. Después de guardar la regla, se restablece al estado Habilitada y tardará al menos una hora en volver a alcanzar el estado Limitada.

Para resolver los problemas de rendimiento con una regla, configúrala para que se ejecute con menos frecuencia. Por ejemplo, puedes volver a configurar una regla para que se ejecute cada 10 minutos en lugar de una vez por hora o una vez cada 24 horas. Sin embargo, cambiar la frecuencia de ejecución de una regla no cambiará su estado a Habilitada. Si haces una pequeña modificación en la regla y la guardas, puedes restablecer automáticamente su estado Habilitada.

Los estados de las reglas se muestran en el panel de reglas y también se puede acceder a ellos a través de la API de Detection Engine. Los errores generados por reglas en el estado Limited o Paused están disponibles con el método de API de ListErrors. El error indicará que la regla está en el estado Limitada o Detenida y te dirigirá a la documentación para resolver el problema.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.