Ejecuta una regla en relación con datos en vivo

Cuando creas una regla, al principio no busca detecciones en función de los eventos recibidos en tu cuenta de Google Security Operations en tiempo real. Sin embargo, debes configurar la regla para que busque detecciones en tiempo real. Para ello, debes habilitar el botón de activación Live Rule.

Para establecer una regla como activa, sigue estos pasos:

  1. Navega al panel de reglas.

  2. Haz clic en el ícono de opción Reglas para una regla y activa la Regla activa (Live Rule).

    Regla activa

    Reglas vigentes

  3. Para ver las detecciones que generó una regla activa, elige Ver detecciones de reglas.

Cuota de reglas

Haz clic en el botón de capacidad para mostrar los límites de la cantidad de reglas que se pueden habilitar como activas. Se encuentra en la esquina superior derecha del panel de reglas.

Google Security Operations impone los siguientes límites de reglas:

  • Cuota de reglas de varios eventos: Muestra el recuento actual de reglas de varios eventos habilitadas como publicadas y la cantidad máxima de reglas que se pueden habilitar como publicadas. Obtén más información sobre la diferencia entre las reglas de un evento y las reglas de varios eventos aquí.
  • Cuota total de reglas: Muestra el recuento total actual de reglas habilitadas como activas en todos los tipos de reglas, así como la cantidad máxima de reglas que se pueden habilitar como activas.

Aquí encontrarás más información sobre los diferentes tipos de reglas.

Ejecuciones de reglas

Las ejecuciones de reglas en vivo para un bucket de tiempo del evento determinado se activarán con una frecuencia decreciente. Habrá una ejecución de limpieza final, después de la cual no se iniciará más ejecución.

Cada ejecución se ejecuta en las versiones más recientes de las listas de referencia que se usan en las reglas, así como en el enriquecimiento de datos de entidades y eventos más reciente.

Esto significa que algunas detecciones se pueden generar de forma retrospectiva si solo se detectan en ejecuciones posteriores. Por ejemplo, la última ejecución podría usar la versión más reciente de la lista de referencia, que ahora detecta más eventos, y los eventos y los datos de la entidad se pueden volver a procesar debido a los nuevos enriquecimientos.

Latencias de detección

Varios factores determinan el tiempo que tarda en generarse una detección a partir de una regla activa. Por ejemplo:

  • La hora de transferencia de los datos de registro originales.
  • Indica si la regla usa algún datos enriquecidos en contexto. Es posible que las detecciones se retrasen debido a los enriquecimientos.
  • Si la regla es inexistencia Para las reglas de inexistencia (las que contienen !$e o #e = 0 en la sección de condición), el motor de detección agrega al menos 1 hora de retraso a la latencia esperada (según la frecuencia de ejecución de la regla) para permitir los datos tardíos.

Para lograr latencias de detección más bajas, recomendamos hacer lo siguiente:

  • Envía datos de registro a Google Security Operations en cuanto ocurra el evento.
  • Audita las reglas para ver si es necesario usar datos inexistentes o enriquecidos.
  • Configura una frecuencia de ejecución menor.

Estado de la regla

Las reglas activas pueden tener uno de los siguientes estados:

  • Habilitada: la regla está activa y funciona con normalidad como una regla activa.

  • Inhabilitada: La regla está inhabilitada.

  • Limitado: Las reglas activas se pueden colocar en este estado cuando exhiben un uso de recursos anormalmente alto. Las reglas limitadas están aisladas de las demás reglas activas del sistema para mantener la estabilidad de las operaciones de seguridad de Google.

    En el caso de las reglas activas limitadas, no se garantiza que estas se ejecuten correctamente. Sin embargo, si la ejecución de la regla se ejecuta correctamente, las detecciones se conservan y están disponibles para que las revises. Las reglas activas limitadas siempre generan un mensaje de error, que incluye información sobre cómo mejorar el rendimiento de la regla.

    Si el rendimiento de una regla Limitada no mejora en un plazo de 3 días, su estado cambia a Detenida.

  • Detenida: Las reglas activas ingresan a este estado cuando llevan 3 días en el estado Limitado y no muestran ninguna mejora en el rendimiento. Se detuvieron las ejecuciones de esta regla y se muestran mensajes de error que contienen información para mejorar el rendimiento de la regla.

Para que cualquier regla activa vuelva al estado Habilitada, sigue las prácticas recomendadas de YARA-L para mejorar el rendimiento de la regla y guardarla. Después de que se haya guardado la regla, se restablecerá al estado Habilitada, y tardará al menos una hora antes de que la regla vuelva al estado Limitada.

Es posible resolver los problemas de rendimiento con una regla si la configuras para que se ejecute con menos frecuencia. Por ejemplo, puedes volver a configurar una regla para que se ejecute cada 10 minutos y se ejecute una vez por hora o cada 24 horas. Sin embargo, cambiar la frecuencia de ejecución de una regla no cambiará su estado a Habilitada. Si realizas una pequeña modificación en la regla y la guardas, puedes restablecer automáticamente su estado como Habilitada.

Los estados de las reglas se muestran en el Panel de reglas y también se puede acceder a ellos a través de la API de Detection Engine. Los errores generados por reglas con el estado Limitado o Pausado están disponibles mediante el método de la API de ListErrors. El error indicará que la regla está en el estado Limitada o Detenida y te dirigirá a documentación sobre cómo resolver el problema.