Esecuzione di una regola sui dati in tempo reale

Quando crei una regola, inizialmente questa non ricerca rilevamenti in base a eventi ricevuti nel tuo account Google Security Operations in tempo reale. Tuttavia, devi impostare per cercare rilevamenti in tempo reale impostando l'opzione di attivazione/disattivazione Live Regola. da attivare.

Per attivare una regola:

  1. Vai alla Dashboard regole.

  2. Fai clic sull'icona di opzione Regole relativa a una regola e attiva l'opzione Regola di esecuzione.

    Regola attiva

    Regola in tempo reale

  3. Puoi visualizzare i rilevamenti generati da una regola attiva scegliendo Visualizza rilevamenti regole.

Quota di regole

Fai clic sul pulsante Capacità per visualizzare i limiti relativi al numero di regole che possono essere abilitate come attive. Si trova nell'angolo superiore destro del Dashboard regole.

Google Security Operations impone i seguenti limiti di regole:

  • Quota di regole per più eventi: mostra il numero attuale di regole per più eventi attivate come attive e il numero massimo di regole che possono essere attivate come attive. Ulteriori informazioni sulla differenza tra le regole per evento singolo e le regole Evento multiplo sono disponibili qui.
  • Quota totale regole: mostra il numero totale attuale di regole abilitate come attive in tutti i tipi di regole e il numero massimo di regole che possono essere attivate come attive.

Ulteriori informazioni sui diversi tipi di regole sono disponibili qui.

Esecuzioni delle regole

Le esecuzioni di regole in tempo reale per un determinato bucket temporale dell'evento verranno attivate con frequenza decrescente. Ci sarà un'ultima esecuzione di pulizia, dopodiché non verrà più avviata l'esecuzione.

Ogni esecuzione viene eseguita sulle ultime versioni degli elenchi di riferimento utilizzati nelle regole, oltre che sull'arricchimento dei dati su eventi ed entità più recente.

Ciò significa che alcuni rilevamenti possono essere generati retroattivamente se vengono rilevati solo dalle esecuzioni successive. Ad esempio, l'ultima esecuzione potrebbe utilizzare la versione più recente dell'elenco di riferimento, che ora rileva più eventi. Inoltre, gli eventi e i dati delle entità possono essere rielaborati grazie a nuovi arricchimenti.

Latenze di rilevamento

Il tempo necessario affinché un rilevamento venga generato da una regola attiva dipende da vari fattori. Ad esempio:

  • L'ora di importazione dei dati di log originali.
  • Indica se la regola utilizza dati arricchiti di contesto. I rilevamenti potrebbero subire ritardi a causa degli arricchimenti.
  • Indica se la regola è non-esistenza. Per le regole che non esistono (regole che contengono !$e o #e = 0 nella sezione delle condizioni), il motore di rilevamento aggiunge almeno un'ora di ritardo alla latenza prevista (in base alla frequenza di esecuzione della regola) per consentire l'arrivo in ritardo dei dati.

Per ridurre la latenza di rilevamento, ti consigliamo di procedere come segue:

  • Invia i dati del log a Google Security Operations non appena si verifica l'evento.
  • Controlla le regole per vedere se è necessario usare dati non esistenti o arricchiti di contesto.
  • Configura una frequenza di esecuzione inferiore.

Stato della regola

Le regole attive possono avere uno dei seguenti stati:

  • Attivata: la regola è attiva e funziona normalmente come regola attiva.

  • Disabilitata: la regola è disattivata.

  • Con restrizioni: le regole attive possono essere inserite in questo stato quando mostrano. utilizzo delle risorse insolitamente elevato. Le regole limitate vengono isolate dalle altre regole attive le regole del sistema per mantenere la stabilità di Google Security Operations.

    Per le regole attive limitate, l'esecuzione corretta delle regole non è garantita. Tuttavia, se l'esecuzione della regola ha esito positivo, i rilevamenti vengono conservati e disponibili da esaminare. Le regole attive limitate generano sempre un messaggio di errore. che includono informazioni su come migliorare le prestazioni della regola.

    Se il rendimento di una regola Limitata non migliora entro tre giorni, la sua diventa In pausa.

  • In pausa: le regole attive entrano in questo stato quando erano in stato Con restrizioni. per 3 giorni e non ha mostrato alcun miglioramento del rendimento. Esecuzioni per Questa regola è in pausa e sono stati inviati messaggi di errore contenenti informazioni su come migliorare le prestazioni della regola.

Per ripristinare lo stato Attivata di qualsiasi regola attiva, segui questi passaggi: best practice YARA-L per migliorare le prestazioni della regola e salvarlo. Dopo aver salvato la regola, verrà reimpostato sullo stato Attivato e l'operazione richiederà almeno un'ora , prima che la regola torni allo stato Con restrizioni.

Puoi potenzialmente risolvere i problemi di prestazioni di una regola configurandola a essere eseguite con meno frequenza. Ad esempio, puoi riconfigurare una regola affinché ogni 10 minuti o di corsa una volta all'ora o una volta ogni 24 ore. Tuttavia, se cambi la frequenza di esecuzione di una regola non tornerà allo stato Attivato. Se apporti una piccola modifica alla regola e la salvi, puoi: reimposta automaticamente lo stato Attivato.

Gli stati delle regole vengono visualizzati nella Dashboard delle regole e sono accessibili anche attraverso l'API Detection Engine. Errori generati dalle regole nella classe Con restrizioni o In pausa sono disponibili utilizzando Metodo API ListErrors. L'errore indicherà che lo stato della regola è Limitata o In pausa. e ti indirizza alla documentazione su come risolvere il problema.