Ejecuta una regla en los datos activos

Cuando creas una regla, inicialmente no busca detecciones basadas en eventos recibidos en tu cuenta de Chronicle en tiempo real. Sin embargo, si configuras la regla para buscar detecciones en tiempo real, debes habilitar el botón de activación Regla en tiempo real.

Para establecer que una regla esté activa, sigue estos pasos:

  1. Navega al panel de reglas.

  2. Haz clic en el ícono de opción Reglas para una regla y activa la opción Regla en vivo.

    Regla en vivo

    Regla en vivo

  3. Para ver las detecciones generadas por una regla activa, elige Ver detecciones de reglas.

Cuota de reglas

Haga clic en el botón de capacidad para mostrar los límites de la cantidad de reglas que se pueden habilitar como publicadas. Se encuentra en la esquina superior derecha del panel de reglas.

Chronicle impone los siguientes límites de reglas:

  • Cuota de reglas de varios eventos: muestra la cantidad actual de reglas de varios eventos habilitadas como en vivo y la cantidad máxima de reglas que pueden habilitarse como en vivo. Aquí encontrarás más información sobre la diferencia entre las reglas para un solo evento y las reglas para varios eventos.
  • Cuota total de reglas: Muestra la cantidad total actual de reglas habilitadas como publicadas en todos los tipos de reglas y la cantidad máxima de reglas que pueden habilitarse como publicadas.

Puedes encontrar más información sobre los diferentes tipos de reglas aquí.

Ejecuciones de reglas

Las ejecuciones de reglas en vivo para un bucket de tiempo de evento determinado se activarán con una frecuencia menor. Habrá una última ejecución de limpieza, después de la cual no se iniciarán más ejecuciones.

Cada ejecución se ejecuta en las versiones más recientes de las listas de referencia utilizadas en las reglas, así como en el enriquecimiento de datos de eventos y entidades más reciente.

Esto significa que algunas detecciones se pueden generar de forma retroactiva si solo las detectan las ejecuciones posteriores. Por ejemplo, la última ejecución podría usar la versión más reciente de la lista de referencia, que ahora detecta más eventos, y los datos de eventos y entidades se pueden volver a procesar debido a las nuevas mejoras.

Latencias de detección

Hay varios factores que determinan el tiempo que tarda en generarse una detección a partir de una regla activa. Por ejemplo:

  • El tiempo de transferencia de los datos de registro originales.
  • Indica si la regla usa datos enriquecidos en contexto. Es posible que las detecciones se retrasen debido a los enriquecimientos.
  • Si la regla es inexistencia. En el caso de las reglas de inexistencia (las que contienen !$e o #e = 0 en la sección de condición), el motor de detección agrega al menos 1 hora de retraso a la latencia esperada (según la frecuencia de ejecución de la regla) para permitir la llegada de datos tardíos.

Para lograr latencias de detección más bajas, recomendamos hacer lo siguiente:

  • Envía datos de registro a Chronicle apenas ocurra el evento.
  • Audita las reglas para ver si es necesario usar datos de inexistencia o enriquecidos en contexto.
  • Configura una frecuencia de ejecución más pequeña.

Estado de la regla

Las reglas publicadas pueden tener uno de los siguientes estados:

  • Habilitada: La regla está activa y funciona con normalidad como una regla activa.

  • Inhabilitada: La regla está inhabilitada.

  • Limitado: Las reglas publicadas se pueden colocar en este estado cuando muestran un uso de recursos anormalmente alto. Las reglas limitadas están aisladas de las demás reglas activas del sistema para mantener la estabilidad de Chronicle.

    En el caso de las reglas activas limitadas, no se garantiza que se ejecuten correctamente las reglas. Sin embargo, si la ejecución de la regla se ejecuta correctamente, las detecciones se conservarán y estarán disponibles para su revisión. Las reglas en vivo limitadas siempre generan un mensaje de error, que incluye información sobre cómo mejorar el rendimiento de la regla.

    Si el rendimiento de una regla Limitada no mejora en un plazo de 3 días, su estado se cambiará a Detenida.

  • Detenida: Las reglas en vivo ingresan este estado cuando han estado en estado Limitado por 3 días y no se mostró ninguna mejora en el rendimiento. Se detuvieron las ejecuciones de esta regla y se muestran mensajes de error que contienen información para mejorar el rendimiento de la regla.

Para que cualquier regla activa vuelva al estado Habilitada, sigue las prácticas recomendadas de YARA-L a fin de mejorar el rendimiento de la regla y guardarla. Después de guardar la regla, se restablecerá al estado Habilitada y tardará al menos una hora antes de que la regla vuelva a tener el estado Limitado.

Para resolver los problemas de rendimiento con una regla, puedes configurarla para que se ejecute con menos frecuencia. Por ejemplo, puedes volver a configurar una regla para que se ejecute cada 10 minutos y se ejecute una vez por hora o cada 24 horas. Sin embargo, cambiar la frecuencia de ejecución de una regla no cambiará su estado a Habilitada. Si realizas una pequeña modificación en la regla y la guardas, puedes restablecer automáticamente su estado Habilitado.

Los estados de las reglas se muestran en el Panel de reglas y también se puede acceder a ellos a través de la API de Detection Engine. Los errores generados por las reglas en el estado Limitado o Detenido están disponibles con el método de la API de ListErrors. El error indicará que la regla tiene el estado Limitado o Detenida y te dirigirá a la documentación sobre cómo resolver el problema.