Execução de uma regra contra dados ativos

Quando você cria uma regra, ela não procura inicialmente detecções com base nos eventos recebidos na sua conta do Google Security Operations em tempo real. No entanto, você define a regra para pesquisar detecções em tempo real definindo o botão Live Rule como ativado.

Para definir uma regra como ativa, conclua as seguintes etapas:

  1. Acesse o painel de regras.

  2. Clique no ícone de opção Regras de uma regra e ative a opção Regra ativa.

    Regra ativa

    Regra ativa

  3. Para conferir as detecções geradas por uma regra ativa, selecione Ver detecções de regras.

Cota de regras

Clique no botão "Capacidade" para mostrar os limites do número de regras que podem ser ativadas. Ele fica no canto superior direito do painel de regras.

As Operações de segurança do Google impõem os seguintes limites de regras:

  • Cota de regras de vários eventos: mostra a contagem atual de regras de vários eventos ativadas como ativas e o número máximo de regras que podem ser ativadas como ativas. Veja mais informações sobre a diferença entre regras de evento único e de vários eventos aqui.
  • Cota total de regras: mostra a contagem total atual de regras ativadas como ativas em todos os tipos de regras e o número máximo de regras que podem ser ativadas como ativas.

Veja mais informações sobre os diferentes tipos de regra neste link.

Execuções de regras

As execuções de regras ativas para um determinado intervalo de tempo de evento serão acionadas com frequência decrescente. Haverá uma execução de limpeza final. Depois disso, nenhuma outra execução será iniciada.

Cada execução é realizada nas versões mais recentes das listas de referência usadas nas regras, bem como no enriquecimento de dados de eventos e entidades mais recente.

Isso significa que algumas detecções podem ser geradas retrospectivamente se só forem detectadas pelas execuções posteriores. Por exemplo, a última execução pode usar a versão mais recente da lista de referências, que agora detecta mais eventos, e eventos e dados de entidade podem ser reprocessados devido a novas melhorias.

Latências de detecção

O tempo necessário para que uma detecção seja gerada com base em uma regra ativa é determinado por vários fatores. Exemplo:

  • O horário de ingestão dos dados de registro originais.
  • Indica se a regra usa dados aprimorados pelo contexto. As detecções podem atrasar devido às melhorias.
  • Se a regra é não existência. Para regras que não existem (regras que contêm !$e ou #e = 0 na seção de condição), o mecanismo de detecção adiciona um atraso de pelo menos uma hora à latência esperada (com base na frequência de execução da regra) para permitir a chegada tardia de dados.

Para alcançar latências de detecção mais baixas, recomendamos que você faça o seguinte:

  • Envie dados de registro para as Operações de segurança do Google assim que o evento ocorrer.
  • Regras de auditoria para verificar se é necessário usar dados não existentes ou enriquecidos com contexto.
  • Configure uma frequência de execução menor.

Status da regra

As regras ativas podem ter um dos seguintes status:

  • Ativada:a regra está ativa e funcionando normalmente.

  • Desativada:a regra está desativada.

  • Limitado:as regras ativas podem ser colocadas nesse status quando exibirem um uso de recursos excepcionalmente alto. As regras Limitadas são isoladas das outras regras ativas no sistema para manter a estabilidade das operações de segurança do Google.

    Para regras ativas limitadas, não há garantia de execuções de regras bem-sucedidas. No entanto, se a execução da regra for bem-sucedida, as detecções serão retidas e ficarão disponíveis para você analisar. Regras ativas limitadas sempre geram uma mensagem de erro, que inclui informações sobre como melhorar o desempenho da regra.

    Se o desempenho de uma regra Limitada não melhorar em até três dias, o status dela será alterado para Pausada.

  • Pausada:as regras ativas entram nesse status quando estão com status Limitado por três dias e não mostram nenhuma melhoria de desempenho. As execuções foram pausadas, e as mensagens de erro contendo informações sobre como melhorar o desempenho da regra são retornadas.

Para retornar qualquer regra ativa ao status Ativada, siga as práticas recomendadas da YARA-L para melhorar o desempenho da regra e salvá-la. Depois que a regra for salva, ela será redefinida para o estado Ativada e levará pelo menos uma hora para que ela atinja o status Limitada novamente.

É possível resolver os problemas de desempenho com uma regra configurando-a para ser executada com menos frequência. Por exemplo, é possível reconfigurar uma regra, que antes era executada a cada 10 minutos e fosse executada uma vez por hora ou a cada 24 horas. No entanto, alterar a frequência de execução de uma regra não altera o status de volta para Ativado. Se você fizer uma pequena modificação na regra e salvá-la, poderá redefinir automaticamente o status Ativado.

Os status das regras são exibidos no painel de regras e também podem ser acessados por meio da API Detection Engine. Os erros gerados por regras com status Limitado ou Pausado estão disponíveis usando o método da API ListErrors. O erro indica que a regra está no status Limitada ou Pausada e direciona você à documentação sobre como resolver o problema.