Regel für Live-Daten ausführen

Wenn Sie eine Regel erstellen, sucht sie anfangs nicht anhand von Ereignissen in Ihrem Google Security Operations-Konto in Echtzeit nach Erkennungen. Sie können die Regel jedoch so festlegen, dass in Echtzeit nach Erkennungen gesucht wird. Dazu setzen Sie die Ein/Aus-Schaltfläche Live-Regel auf „Ein“.

Führen Sie die folgenden Schritte aus, um eine Regel zu aktivieren:

  1. Rufen Sie das Regeldashboard auf.

  2. Klicken Sie auf das Optionssymbol Regeln für eine Regel und aktivieren Sie die Live-Regel.

    Live-Regel

    Live-Regel

  3. Sie können sich die von einer Liveregel generierten Erkennungen ansehen, indem Sie Regelerkennungen ansehen auswählen.

Regelkontingent

Klicken Sie auf die Schaltfläche „Kapazität“, um die Limits für die Anzahl der Regeln anzuzeigen, die als Live aktiviert werden können. Sie befindet sich oben rechts im Regeldashboard.

Für Google Security Operations gelten die folgenden Regelbeschränkungen:

  • Kontingent für Regeln für mehrere Ereignisse: Hier wird die aktuelle Anzahl von Regeln für mehrere Ereignisse angezeigt, die als aktiv aktiviert sind, und die maximale Anzahl von Regeln, die als „Live“ aktiviert werden können. Weitere Informationen zum Unterschied zwischen Regeln für einzelne Ereignisse und mehrere Ereignisse
  • Gesamtregelkontingent: Zeigt die aktuelle Gesamtzahl der aktiven Regeln für alle Regeltypen sowie die maximale Anzahl der Regeln an, die als aktiv aktiviert werden können.

Weitere Informationen zu den verschiedenen Regeltypen

Regelausführungen

Die Ausführung von Live-Regeln für einen bestimmten Ereigniszeit-Bucket wird mit abnehmender Häufigkeit ausgelöst. Es findet eine letzte Bereinigungsausführung statt, nach der keine weitere Ausführung gestartet wird.

Bei jeder Ausführung werden die neuesten Versionen der in den Regeln verwendeten Referenzlisten und die letzte Anreicherung von Ereignis- und Entitätsdaten ausgeführt.

Dies bedeutet, dass einige Erkennungen nachträglich generiert werden können, wenn sie nur von den späteren Ausführungen erkannt werden. Bei der letzten Ausführung kann beispielsweise die neueste Version der Referenzliste verwendet werden, die jetzt mehr Ereignisse erkennt. Ereignisse und Entitätsdaten können aufgrund neuer Anreicherungen neu verarbeitet werden.

Erkennungslatenzen

Wie lange es dauert, bis eine Erkennung aus einer Live-Regel generiert wird, hängt von verschiedenen Faktoren ab. Beispiel:

  • Der Aufnahmezeitpunkt der ursprünglichen Logdaten.
  • Gibt an, ob die Regel mit Kontext angereicherte Daten verwendet. Aufgrund der Anreicherung kann es zu Verzögerungen bei der Erkennung kommen.
  • Gibt an, ob die Regel nicht vorhanden ist. Bei nicht vorhandenen Regeln (Regeln, die !$e oder #e = 0 im Bedingungsbereich enthalten) fügt das Erkennungsmodul eine Verzögerung von mindestens einer Stunde zur erwarteten Latenz hinzu (basierend auf der Ausführungshäufigkeit der Regel), um spät ankommende Daten zu berücksichtigen.

So verringern Sie die Erkennungslatenzen:

  • Protokolldaten an Google Security Operations senden, sobald das Ereignis auftritt.
  • Prüfen Sie Regeln, um festzustellen, ob nicht vorhandene oder kontextangereicherte Daten verwendet werden müssen.
  • Konfigurieren Sie eine kleinere Ausführungshäufigkeit.

Regelstatus

Live-Regeln können einen der folgenden Status haben:

  • Aktiviert:Die Regel ist aktiv und funktioniert wie gewohnt.

  • Deaktiviert: Die Regel ist deaktiviert.

  • Eingeschränkt:Live-Regeln können in diesen Status gesetzt werden, wenn sie eine ungewöhnlich hohe Ressourcennutzung aufweisen. Eingeschränkte Regeln werden von den anderen Live-Regeln im System isoliert, um die Stabilität von Google Security Operations aufrechtzuerhalten.

    Bei eingeschränkten Live-Regeln kann nicht garantiert werden, dass die Regeln erfolgreich ausgeführt werden. Wenn die Regel jedoch erfolgreich ausgeführt wird, bleiben die Erkennungen erhalten und können von Ihnen überprüft werden. Eingeschränkte Live-Regeln generieren immer eine Fehlermeldung, die Informationen dazu enthält, wie die Leistung der Regel verbessert werden kann.

    Wenn sich die Leistung einer eingeschränkten Regel innerhalb von drei Tagen nicht verbessert, ändert sich ihr Status in Pausiert.

  • Pausiert:Dieser Status wird für Live-Regeln festgelegt, wenn sie seit drei Tagen den Status Eingeschränkt haben und keine Leistungsverbesserung festgestellt wurde. Die Ausführung dieser Regel wurde pausiert und es werden Fehlermeldungen mit Informationen zur Verbesserung der Leistung der Regel zurückgegeben.

Wenn Sie eine Live-Regel auf den Status Aktiviert zurücksetzen möchten, folgen Sie den Best Practices für YARA-L, um die Leistung der Regel zu verbessern und zu speichern. Nachdem die Regel gespeichert wurde, wird sie auf den Status Aktiviert zurückgesetzt. Es dauert mindestens eine Stunde, bis die Regel wieder den Status Eingeschränkt erreicht.

Sie können Leistungsprobleme mit einer Regel beheben, indem Sie sie so konfigurieren, dass sie seltener ausgeführt wird. Beispielsweise können Sie eine Regel so konfigurieren, dass sie alle 10 Minuten zu einmal pro Stunde oder einmal alle 24 Stunden ausgeführt wird. Wenn Sie die Ausführungshäufigkeit einer Regel ändern, wird ihr Status jedoch nicht wieder auf Aktiviert zurückgesetzt. Wenn Sie eine kleine Änderung an der Regel vornehmen und diese speichern, können Sie ihren Status automatisch auf Aktiviert zurücksetzen.

Regelstatus werden im Regeldashboard angezeigt und sind auch über die Detection Engine API zugänglich. Fehler, die durch Regeln mit dem Status Eingeschränkt oder Pausiert generiert werden, sind über die API-Methode ListErrors verfügbar. Die Fehlermeldung gibt an, dass sich die Regel im Status Eingeschränkt oder Pausiert befindet, und Sie werden zur Dokumentation zur Behebung des Problems weitergeleitet.