Execução de uma regra contra dados ativos

Compatível com:

Quando você cria uma regra, ela não procura inicialmente detecções com base nas eventos recebidos na sua conta de Operações de Segurança do Google em tempo real. No entanto, você pode definir a regra para pesquisar detecções em tempo real ativando a opção Regra ativa.

Para definir uma regra como ativa, conclua as seguintes etapas:

  1. Acesse o painel de regras.

  2. Clique no ícone de opção Regras de uma regra e ative a opção Regra ativa.

    Regra ativa

    Regra ao vivo

  3. Para conferir as detecções geradas por uma regra ativa, selecione Ver detecções de regras.

Cota de regras

Clique no botão "Capacidade" para mostrar os limites do número de regras que podem ser ativadas. Ele fica no canto superior direito do painel de regras.

As Operações de segurança do Google impõem os seguintes limites de regra:

  • Cota de regras de vários eventos: mostra a contagem atual de regras de vários eventos ativadas como ativas e o número máximo de regras que podem ser ativadas como ativas. Saiba mais sobre a diferença entre as regras de eventos únicos e de eventos múltiplos neste link.
  • Total de regras da cota: mostra a contagem total atual de regras ativadas como ativas em todos os tipos de regras e o número máximo de regras que podem ser ativadas como ativas.

Veja mais informações sobre os diferentes tipos de regra neste link.

Execuções de regras

As execuções de regras ao vivo para um determinado período de tempo de evento serão acionadas com frequência decrescente. Haverá uma execução de limpeza final, após a qual nenhuma outra execução será iniciada.

Cada execução é realizada nas versões mais recentes das listas de referência usadas nas regras, bem como no enriquecimento de dados de eventos e entidades mais recente.

Isso significa que algumas detecções podem ser geradas retrospectivamente se forem detectadas apenas pelas execuções posteriores. Por exemplo, a última execução pode usar a versão mais recente da lista de referências, que agora detecta mais eventos, e eventos e dados de entidade podem ser reprocessados devido a novas melhorias.

Latências de detecção

Vários fatores determinam quanto tempo leva para uma detecção ser gerada com base em uma regra ativa. A lista a seguir inclui os diferentes fatores que contribuem para atrasos na detecção:

  • Tipos de regra
  • Frequência de execução
  • Atraso na ingestão
  • Junções contextuais
  • Dados enriquecidos do UDM
  • Problemas de fuso horário
  • Listas de referências

Tipos de regra

  • As regras de evento único são executadas quase em tempo real em streaming. Use essas regras, quando possível, para minimizar a latência.
  • As regras de vários eventos são executadas de forma programada, o que leva a uma latência maior devido ao tempo entre as execuções programadas.

Frequência de execução

Para conseguir detecções mais rápidas, use uma frequência de execução mais curta e uma janela de correspondência menor. Usar janelas de correspondência menores (menos de uma hora) permite execuções mais frequentes.

Atraso na ingestão

Os dados precisam ser enviados ao Google Security Operations assim que o evento ocorrer. Ao analisar uma detecção, preste atenção aos carimbos de data/hora de ingestão e do evento do UDM.

Agrupamentos contextuais

Regras de vários eventos com dados contextuais, como UEBA ou gráfico de entidades, podem ter atrasos maiores. Os dados contextuais precisam ser gerados pelo Google SecOps.

Dados de UDM enriquecidos

O Google SecOps enriquece eventos com dados de outros eventos. Para identificar se uma regra está avaliando um campo enriquecido, consulte o Visualizador de eventos. Se a regra estiver avaliando um campo enriquecido, a detecção poderá atrasar.

Problemas de fuso horário

As regras são executadas com mais frequência para dados em tempo real. Os dados podem chegar em tempo real, mas o Google SecOps ainda pode tratá-los como dados de chegada tardia se o horário do evento estiver incorreto devido a problemas de fuso horário. O fuso horário padrão do SIEM do Google SecOps é UTC. Se os dados originais tiverem um carimbo de data/hora do evento definido como outro fuso horário diferente do UTC, atualize o fuso horário. Se não for possível atualizar o fuso horário na origem do registro, entre em contato com o suporte para que o fuso horário possa ser substituído.

Regras de não existência

As regras que verificam a não existência (por exemplo, regras que contêm !$e ou #e=0) são executadas com pelo menos uma hora de atraso para garantir que os dados tenham tempo para chegar.

Listas de referências

As execuções de regras sempre usam a versão mais atualizada de uma lista de referência. Se a lista de referência tiver sido atualizada recentemente, uma nova detecção poderá aparecer com atraso porque pode ser incluída com novos conteúdos da lista atualizada durante execuções posteriores da regra programada.

Para alcançar latências de detecção mais baixas, recomendamos que você faça o seguinte:

  • Envie dados de registro ao Google Security Operations assim que o evento ocorrer.
  • Auditoria de regras para saber se é necessário usar dados não existentes ou enriquecidos com contexto.
  • Configure uma frequência de execução menor.

Status da regra

As regras ativas podem ter um dos seguintes status:

  • Ativada:a regra está ativa e funcionando normalmente.

  • Desativada:a regra está desativada.

  • Limitada: as regras ativas podem ser colocadas nesse status quando apresentam um uso anormalmente alto de recursos. As regras limitadas são isoladas das outras regras ativas no sistema para manter a estabilidade das Operações de segurança do Google.

    Para regras limitadas, não há garantia de execução. No entanto, se a execução da regra for bem-sucedida, as detecções serão mantidas e estarão disponíveis para você analisar. As regras ativas limitadas sempre geram uma mensagem de erro, que inclui informações sobre como melhorar o desempenho da regra.

    Se a performance de uma regra Limitada não melhorar em três dias, o status dela será alterado para Pausada.

  • Pausadas: as regras ativas entram nesse status quando estão no status Limitado há três dias e não mostram nenhuma melhoria no desempenho. Execuções de essa regra estão pausadas e mensagens de erro contendo informações sobre como melhorar o desempenho da regra serão retornados.

Para retornar uma regra ativa para o status Ativada, siga Práticas recomendadas da YARA-L para melhorar o desempenho da regra e salvá-la. Depois que a regra for salva, ela será redefinida para o estado Ativado e vai levar pelo menos uma hora para que a regra atinja o status Limitado novamente.

É possível resolver os problemas de performance com uma regra, configurando-a para ser executada com menos frequência. Por exemplo, você pode reconfigurar uma regra a cada 10 minutos para correr uma vez por hora ou a cada 24 horas. No entanto, mudar a frequência de execução de uma regra não muda o status dela para Ativado. Se você fizer uma pequena modificação na regra e salvá-la, poderá redefinir automaticamente o status Ativado.

Os status das regras são exibidos no Painel de regras e também podem ser acessados usando a API Detection Engine. Os erros gerados por regras no status Limitado ou Pausado estão disponíveis usando o método da API ListErrors. O erro indica que a regra está no status Limitada ou Pausada e direciona você à documentação sobre como resolver o problema.