Regel für Live-Daten ausführen

Wenn Sie eine Regel erstellen, wird zuerst nicht nach Erkennungen basierend auf Ereignissen gesucht, die in Ihrem Chronicle-Konto in Echtzeit empfangen wurden. Wenn Sie die Regel jedoch so einstellen, dass in Echtzeit nach erkannten Erkennungen gesucht wird, aktivieren Sie die Ein-/Aus-Schaltfläche Live-Regel.

Führen Sie die folgenden Schritte aus, um eine Regel auf „Live“ festzulegen:

  1. Rufen Sie das Regel-Dashboard auf.

  2. Klicken Sie auf das Optionssymbol der Regeln für eine Regel und aktivieren Sie die Live-Regel.

    Live-Regel

    Live-Regel

  3. Sie können sich die durch eine Liveregel generierten Erkennungen ansehen, indem Sie Regelerkennungen ansehen auswählen.

Regelkontingent

Klicken Sie auf die Schaltfläche „Kapazität“, um die Limits für die Anzahl der Regeln aufzurufen, die als aktiv aktiviert werden können. Sie befindet sich oben rechts im Regel-Dashboard.

Für Chronicle gelten die folgenden Regellimits:

  • Kontingent für Regeln für mehrere Ereignisse: Zeigt die aktuelle Anzahl der Regeln für mehrere Ereignisse an, die als live aktiviert sind, sowie die maximale Anzahl von Regeln, die als live aktiviert werden können. Weitere Informationen zum Unterschied zwischen Regeln für einzelne Ereignisse und Regeln für mehrere Ereignisse finden Sie hier.
  • Gesamtkontingent für Regeln: Zeigt die aktuelle Gesamtzahl der Regeln an, die für alle Regeltypen als live aktiviert sind, sowie die maximale Anzahl von Regeln, die als live aktiviert werden können.

Weitere Informationen zu den verschiedenen Regeltypen

Regelausführungen

Ausführungen von Liveregeln für einen bestimmten Ereigniszeit-Bucket werden mit abnehmender Häufigkeit ausgelöst. Es wird ein letzter Bereinigungslauf durchgeführt, danach wird keine weitere Ausführung gestartet.

Bei jeder Ausführung werden die neuesten Versionen der Referenzlisten verwendet, die in den Regeln verwendet werden, sowie die letzte Anreicherung von Ereignis- und Entitätsdaten.

Das bedeutet, dass einige Erkennungen nachträglich generiert werden können, wenn sie nur von späteren Ausführungen erkannt werden. Bei der letzten Ausführung wird beispielsweise die neueste Version der Referenzliste verwendet, die jetzt mehr Ereignisse erkennt. Ereignisse und Entitätsdaten können aufgrund neuer Anreicherungen noch einmal verarbeitet werden.

Erkennungslatenzen

Wie lange es dauert, bis eine Erkennung anhand einer Live-Regel generiert wird, hängt von verschiedenen Faktoren ab. Beispiel:

  • Die Aufnahmezeit der ursprünglichen Logdaten.
  • Gibt an, ob in der Regel mit Kontext angereicherte Daten verwendet werden. Aufgrund von Anreicherungen kann es zu Verzögerungen kommen.
  • Gibt an, ob die Regel nicht vorhanden ist. Bei Nichtvorhandenseinsregeln (Regeln, die !$e oder #e = 0 im Bedingungsabschnitt enthalten) fügt die Erkennungs-Engine eine Verzögerung von mindestens einer Stunde zur erwarteten Latenz (basierend auf der Ausführungshäufigkeit der Regel) hinzu, um spät ankommende Daten zu ermöglichen.

Um niedrigere Erkennungslatenzen zu erreichen, empfehlen wir Folgendes:

  • Protokolldaten an Chronicle senden, sobald das Ereignis eintritt.
  • Prüfen Sie die Regeln, um festzustellen, ob nicht vorhandene oder mit Kontext angereicherte Daten verwendet werden müssen.
  • Konfigurieren Sie eine kleinere Ausführungshäufigkeit.

Regelstatus

Live-Regeln können einen der folgenden Status haben:

  • Aktiviert:Die Regel ist aktiv und funktioniert wie gewohnt als aktive Regel.

  • Deaktiviert: Die Regel ist deaktiviert.

  • Eingeschränkt: Live-Regeln können diesen Status erhalten, wenn sie eine ungewöhnlich hohe Ressourcennutzung aufweisen. Eingeschränkte Regeln werden von den anderen aktiven Regeln im System isoliert, um die Stabilität von Chronicle aufrechtzuerhalten.

    Bei eingeschränkten Live-Regeln ist eine erfolgreiche Ausführung der Regel nicht garantiert. Wenn die Regelausführung jedoch erfolgreich ist, werden die Erkennungen beibehalten und stehen Ihnen zur Überprüfung zur Verfügung. Eingeschränkte Live-Regeln generieren immer eine Fehlermeldung, die Informationen zur Verbesserung der Leistung der Regel enthält.

    Wenn sich die Leistung einer eingeschränkten Regel innerhalb von drei Tagen nicht verbessert, wird ihr Status in Pausiert geändert.

  • Pausiert:Dieser Status wird bei Live-Regeln angewendet, wenn sie 3 Tage lang den Status Eingeschränkt hatten und keine Leistungsverbesserung festgestellt wurde. Die Ausführungen dieser Regel wurden pausiert. Es werden Fehlermeldungen mit Informationen zur Verbesserung der Leistung der Regel zurückgegeben.

Folgen Sie den YARA-L Best Practices, um eine aktive Regel auf den Status Aktiviert zurückzusetzen, um die Leistung der Regel zu verbessern und zu speichern. Nachdem die Regel gespeichert wurde, wird sie auf den Status Aktiviert zurückgesetzt. Es dauert dann mindestens eine Stunde, bis die Regel wieder den Status Eingeschränkt erreicht.

Sie können die Leistungsprobleme einer Regel möglicherweise beheben, indem Sie sie so konfigurieren, dass sie seltener ausgeführt wird. Sie können beispielsweise eine Regel so neu konfigurieren, dass sie einmal pro Stunde oder einmal alle 24 Stunden ausgeführt wird. Wenn Sie jedoch die Ausführungshäufigkeit einer Regel ändern, wird ihr Status nicht wieder in Aktiviert geändert. Wenn Sie eine kleine Änderung an der Regel vornehmen und sie speichern, können Sie ihren Status automatisch auf Aktiviert zurücksetzen.

Regelstatus werden im Regel-Dashboard angezeigt und sind auch über die Detection Engine API zugänglich. Fehler, die von Regeln mit dem Status Eingeschränkt oder Pausiert generiert werden, sind mit der ListErrors API-Methode verfügbar. Der Fehler gibt an, dass die Regel den Status Eingeschränkt oder Pausiert hat, und leitet Sie zur Dokumentation zur Behebung des Problems weiter.