Menjalankan aturan terhadap data langsung

Saat Anda membuat aturan, pada awalnya aturan tersebut tidak menelusuri deteksi berdasarkan peristiwa yang diterima di akun Chronicle Anda secara real time. Namun, Anda menetapkan aturan untuk menelusuri deteksi secara real time dengan menyetel tombol Aturan Live ke aktif.

Untuk menetapkan aturan agar aktif, selesaikan langkah-langkah berikut:

  1. Buka Dasbor Aturan.

  2. Klik ikon opsi Aturan untuk aturan dan alihkan Aturan Live ke aktif.

    Aturan live

    Aturan Live

  3. Anda dapat melihat deteksi yang dibuat oleh aturan aktif dengan memilih Lihat Deteksi Aturan.

Kuota aturan

Klik tombol kapasitas untuk menampilkan batas jumlah aturan yang dapat diaktifkan sebagai aktif. Tombol ini terletak di sudut kanan atas Dasbor Aturan.

Chronicle menerapkan batas aturan berikut:

  • Kuota Aturan Beberapa Peristiwa—Menampilkan jumlah aturan Beberapa Peristiwa saat ini yang diaktifkan sebagai aktif dan jumlah aturan maksimum yang dapat diaktifkan sebagai aktif. Informasi selengkapnya tentang perbedaan antara Aturan Satu Peristiwa dan Beberapa Peristiwa dapat ditemukan di sini.
  • Total Kuota Aturan—Menampilkan jumlah total aturan saat ini yang diaktifkan sebagai aktif di semua jenis aturan dan jumlah maksimum aturan yang dapat diaktifkan sebagai aktif.

Informasi selengkapnya tentang berbagai jenis aturan dapat ditemukan di sini.

Eksekusi aturan

Eksekusi aturan live untuk bucket waktu peristiwa tertentu akan dipicu dengan penurunan frekuensi. Akan ada pembersihan akhir yang dijalankan, setelah itu tidak ada lagi eksekusi yang akan dimulai.

Setiap eksekusi menjalankan daftar referensi versi terbaru yang digunakan dalam aturan, serta pada pengayaan data entitas dan peristiwa terbaru.

Ini berarti bahwa beberapa deteksi dapat dibuat secara retrospektif jika hanya terdeteksi oleh eksekusi selanjutnya. Misalnya, eksekusi terakhir mungkin menggunakan daftar referensi versi terbaru, yang kini mendeteksi lebih banyak peristiwa, serta data peristiwa dan entitas dapat diproses ulang karena adanya pengayaan baru.

Latensi deteksi

Waktu yang diperlukan agar deteksi dihasilkan dari aturan aktif ditentukan oleh berbagai faktor. Contoh:

  • Waktu penyerapan data log asli.
  • Apakah aturan menggunakan data yang diperkaya konteks. Deteksi mungkin tertunda karena pengayaan.
  • Apakah aturan tersebut tidak ada. Untuk aturan yang tidak ada (aturan yang berisi !$e atau #e = 0 di bagian kondisi), mesin deteksi menambahkan penundaan minimal 1 jam ke latensi yang diharapkan (berdasarkan frekuensi berjalan aturan) untuk memungkinkan data yang terlambat tiba.

Untuk mencapai latensi deteksi yang lebih rendah, sebaiknya lakukan hal berikut:

  • Kirim data log ke Chronicle segera setelah peristiwa terjadi.
  • Lakukan audit pada aturan untuk melihat apakah perlu menggunakan data yang tidak ada atau yang diperkaya konteks.
  • Konfigurasikan frekuensi berjalan yang lebih kecil.

Status aturan

Aturan aktif dapat memiliki salah satu status berikut:

  • Enabled: Aturan aktif dan berfungsi secara normal sebagai aturan aktif.

  • Disabled: Aturan dinonaktifkan.

  • Terbatas: Aturan aktif dapat ditempatkan dalam status ini jika menunjukkan penggunaan resource yang tinggi dan tidak normal. Aturan Terbatas diisolasi dari aturan aktif lainnya dalam sistem untuk menjaga stabilitas Chronicle.

    Untuk aturan aktif Terbatas, keberhasilan eksekusi aturan tidak dijamin. Namun, jika eksekusi aturan berhasil, deteksi akan dipertahankan dan tersedia untuk Anda tinjau. Aturan aktif Terbatas selalu menghasilkan pesan error, yang mencakup informasi tentang cara meningkatkan performa aturan.

    Jika performa aturan Terbatas tidak meningkat dalam waktu 3 hari, statusnya akan diubah menjadi Dijeda.

  • Dijeda: Aturan langsung memasuki status ini jika berstatus Terbatas selama 3 hari dan belum menunjukkan peningkatan performa apa pun. Eksekusi untuk aturan ini telah dijeda dan pesan error yang berisi informasi tentang cara meningkatkan performa aturan akan ditampilkan.

Untuk mengembalikan aturan aktif ke status Enabled, ikuti praktik terbaik YARA-L untuk meningkatkan performa aturan Anda dan menyimpannya. Setelah disimpan, aturan akan direset ke status Diaktifkan, dan akan diperlukan waktu minimal satu jam sebelum aturan kembali mencapai status Limited.

Anda berpotensi menyelesaikan masalah performa terkait aturan dengan mengonfigurasinya agar lebih jarang dijalankan. Misalnya, Anda dapat mengonfigurasi ulang aturan dari berjalan setiap 10 menit menjadi berjalan sekali satu jam atau sekali setiap 24 jam. Namun, mengubah frekuensi eksekusi aturan tidak akan mengubah statusnya kembali menjadi Enabled. Jika membuat perubahan kecil pada aturan dan menyimpannya, Anda dapat mereset statusnya Enabled secara otomatis.

Status aturan ditampilkan di Dasbor Aturan dan juga dapat diakses melalui Detection Engine API. Error yang dihasilkan oleh aturan dalam status Terbatas atau Dijeda tersedia menggunakan metode API ListErrors. Error ini akan menyatakan bahwa aturan berada dalam status Terbatas atau Dijeda dan mengarahkan Anda ke dokumentasi tentang cara menyelesaikan masalah.