Menerapkan aturan ke data langsung

Saat Anda membuat aturan, aturan tersebut awalnya tidak akan menelusuri deteksi berdasarkan peristiwa yang diterima di akun Google Security Operations Anda secara real time. Namun, Anda menetapkan aturan untuk menelusuri deteksi secara real time dengan menyetel tombol Aturan Live ke aktif.

Untuk menetapkan aturan agar diterapkan, selesaikan langkah-langkah berikut:

1. Klik Detection > Rules & Detections.

2. Klik tab Dasbor Aturan.

3. Klik ikon opsi more_vert Rules untuk aturan, lalu alihkan Live Rule ke enabled.

   

   Aturan Live

4. Pilih Lihat Deteksi Aturan untuk melihat deteksi dari aturan yang sedang berjalan.

Kuota Aturan Tampilan

Di kanan atas dasbor Aturan, klik Kapasitas aturan untuk menampilkan batas jumlah aturan yang dapat diaktifkan sebagai aktif.

Google Security Operations menerapkan batas aturan berikut:

• Kuota Aturan Beberapa Peristiwa: Menampilkan jumlah saat ini dari aturan Beberapa Peristiwa yang diaktifkan secara live dan maksimum yang diizinkan. Pelajari lebih lanjut perbedaan antara aturan Peristiwa Tunggal dan Peristiwa Ganda.
• Total Kuota Aturan: Menampilkan jumlah total aturan saat ini yang diaktifkan sebagai aktif di semua jenis aturan dan jumlah maksimum aturan yang dapat diaktifkan sebagai aktif.

Eksekusi aturan

Eksekusi aturan live untuk bucket waktu peristiwa tertentu dipicu dengan frekuensi yang menurun. Pembersihan akhir akan dijalankan, setelah itu tidak ada eksekusi lebih lanjut yang dimulai.

Setiap eksekusi berjalan melalui versi terbaru daftar referensi yang digunakan dalam aturan, dan terhadap pengayaan data peristiwa dan entitas terbaru.

Beberapa deteksi dapat dibuat secara retrospektif jika hanya terdeteksi oleh eksekusi berikutnya. Misalnya, eksekusi terakhir mungkin menggunakan versi terbaru daftar referensi, yang kini mendeteksi lebih banyak peristiwa, dan data peristiwa dan entitas dapat diproses ulang karena pengayaan baru.

Penghapusan Duplikat

Mesin Aturan secara otomatis mengidentifikasi dan menghapus deteksi duplikat dari aturan. Proses ini hanya berlaku untuk aturan dengan variabel pencocokan, karena aturan tersebut bergantung pada periode waktu. Deteksi dengan nilai variabel pencocokan yang identik, dalam periode waktu yang tumpang-tindih, akan disembunyikan sebagai duplikat.

Latensi deteksi

Ada berbagai faktor yang menentukan waktu yang diperlukan untuk membuat deteksi dari aturan aktif. Daftar berikut menyertakan berbagai faktor yang berkontribusi pada penundaan deteksi:

• Jenis aturan
• Frekuensi berjalan
• Penundaan proses transfer
• Gabungan kontekstual
• Data UDM yang diperkaya
• Masalah zona waktu
• Daftar referensi

Jenis aturan

• Aturan peristiwa tunggal dijalankan hampir secara real time dalam bentuk streaming. Gunakan aturan ini, jika memungkinkan, untuk meminimalkan latensi.
• Aturan multi-peristiwa dijalankan secara terjadwal yang menyebabkan latensi lebih tinggi karena waktu antara eksekusi terjadwal.

Frekuensi berjalan

Untuk mendapatkan deteksi yang lebih cepat, gunakan frekuensi pengoperasian yang lebih singkat dan periode pencocokan yang lebih kecil. Menggunakan periode pencocokan yang lebih singkat (di bawah satu jam) memungkinkan pengoperasian yang lebih sering.

Penundaan penyerapan

Pastikan data dikirim ke Google Security Operations segera setelah peristiwa terjadi. Saat meninjau deteksi, perhatikan dengan cermat stempel waktu peristiwa dan penyerapan UDM.

Gabungan kontekstual

Aturan multi-peristiwa yang memiliki data kontekstual, seperti UEBA atau Entity Graph, mungkin memiliki penundaan yang lebih tinggi. Data kontekstual harus dibuat terlebih dahulu oleh Google SecOps.

Data UDM yang diperkaya

Google SecOps memperkaya peristiwa dengan data dari peristiwa lain. Untuk mengidentifikasi apakah aturan mengevaluasi kolom yang diperkaya, tinjau Pelihat Peristiwa. Jika aturan mengevaluasi kolom yang diperkaya, deteksi mungkin akan tertunda.

Masalah zona waktu

Aturan dieksekusi lebih sering untuk data real-time. Data mungkin tiba secara real-time, tetapi Google SecOps mungkin masih memperlakukannya sebagai data yang terlambat tiba jika waktu peristiwa salah karena masalah zona waktu. Zona waktu default SIEM Google SecOps adalah UTC. Jika data asli memiliki stempel waktu peristiwa yang ditetapkan ke zona waktu selain UTC, perbarui zona waktu data. Jika tidak dapat memperbarui zona waktu di sumber log, hubungi Dukungan agar zona waktu dapat diganti.

Aturan tidak ada

Aturan yang memeriksa tidak ada (misalnya, aturan yang berisi !$e atau #e=0) dijalankan dengan penundaan minimal satu jam untuk memastikan data memiliki waktu untuk tiba.

Daftar referensi

Eksekusi aturan selalu menggunakan versi daftar referensi terbaru. Jika daftar referensi baru-baru ini diperbarui, deteksi baru mungkin muncul terlambat karena deteksi mungkin disertakan dengan konten baru dari daftar yang diperbarui selama eksekusi aturan terjadwal berikutnya.

Untuk mencapai latensi deteksi yang lebih rendah, sebaiknya lakukan hal berikut:

• Kirim data log ke Google Security Operations segera setelah peristiwa terjadi.
• Audit aturan untuk melihat apakah perlu menggunakan data yang tidak ada atau data yang diperkaya konteks.
• Konfigurasikan frekuensi operasi yang lebih kecil.

Status aturan

Aturan aktif dapat memiliki salah satu status berikut:

• Diaktifkan: Aturan aktif dan berfungsi normal sebagai aturan aktif.

• Nonaktif: Aturan dinonaktifkan.

• Dibatasi: Aturan aktif dapat ditempatkan dalam status ini jika menunjukkan penggunaan resource yang sangat tinggi. Aturan Terbatas diisolasi dari aturan aktif lainnya dalam sistem untuk mempertahankan stabilitas Google Security Operations.

  Untuk aturan live Terbatas, keberhasilan eksekusi aturan tidak dijamin. Namun, jika eksekusi aturan berhasil, deteksi akan dipertahankan dan tersedia untuk Anda tinjau. Aturan aktif Terbatas selalu menghasilkan pesan error, yang menyertakan informasi tentang cara meningkatkan performa aturan.

  Jika performa aturan Dibatasi tidak meningkat dalam waktu 3 hari, statusnya akan diubah menjadi Dijeda.

  Catatan: Jika tidak ada perubahan terbaru pada aturan ini, error ini mungkin bersifat sementara dan mungkin diselesaikan secara otomatis.

• Dijeda: Aturan aktif memasuki status ini jika telah berada dalam status Terbatas selama 3 hari dan belum menunjukkan peningkatan performa. Eksekusi untuk aturan ini telah dijeda dan pesan error yang berisi informasi tentang cara meningkatkan performa aturan akan ditampilkan.

Untuk mengembalikan aturan aktif ke status Diaktifkan, ikuti praktik terbaik YARA-L untuk meningkatkan performa aturan dan menyimpannya. Setelah disimpan, aturan akan direset ke status Diaktifkan dan perlu waktu minimal satu jam sebelum aturan mencapai status Dibatasi lagi.

Anda berpotensi dapat menyelesaikan masalah performa dengan aturan dengan mengonfigurasinya agar lebih jarang dijalankan. Misalnya, Anda dapat mengonfigurasi ulang aturan dari berjalan setiap 10 menit menjadi berjalan sekali dalam satu jam atau sekali setiap 24 jam. Namun, mengubah frekuensi eksekusi aturan tidak akan mengubah statusnya kembali ke Diaktifkan. Jika Anda membuat sedikit perubahan pada aturan dan menyimpannya, Anda dapat otomatis mereset statusnya menjadi Diaktifkan.

Status aturan ditampilkan di Dasbor Aturan dan juga dapat diakses melalui Detection Engine API. Error yang dihasilkan oleh aturan dalam status Dibatasi atau Dijeda tersedia menggunakan metode ListErrors API. Error akan menyatakan bahwa aturan tersebut dalam status Dibatasi atau Dijeda dan mengarahkan Anda ke dokumentasi tentang cara menyelesaikan masalah tersebut.