Exécuter une règle sur des données en temps réel

Lorsque vous créez une règle, elle ne recherche pas initialement les détections basées sur les événements reçus dans votre compte Chronicle en temps réel. Toutefois, vous définissez la règle pour qu'elle recherche des détections en temps réel en activant l'option Règle en direct.

Pour appliquer une règle, procédez comme suit:

  1. Accédez au tableau de bord des règles.

  2. Cliquez sur l'icône d'option Règles d'une règle et activez l'option Règle active.

    Règle active

    Règle active

  3. Vous pouvez afficher les détections générées par une règle active en sélectionnant Afficher les détections de règles.

Quota de règles

Cliquez sur le bouton "Capacité" pour afficher les limites du nombre de règles pouvant être activées. Il se trouve dans l'angle supérieur droit du tableau de bord des règles.

Les limites suivantes s'appliquent à Chronicle:

  • Quota de règles pour plusieurs événements : indique le nombre actuel de règles pour plusieurs événements activées et le nombre maximal de règles pouvant être activées en direct. Pour en savoir plus sur la différence entre les règles à événement unique et les règles relatives à plusieurs événements, consultez cette page.
  • Quota total de règles : affiche le nombre total actuel de règles actives pour tous les types de règles et le nombre maximal de règles pouvant être activées.

Pour en savoir plus sur les différents types de règles, consultez cette page.

Exécutions des règles

Les exécutions de règles actives pour un segment de date et d'heure d'événement donné sont déclenchées selon une fréquence décroissante. Il y aura une dernière exécution de nettoyage, après laquelle aucune autre exécution ne sera lancée.

Chaque exécution exécute les dernières versions des listes de référence utilisées dans les règles, ainsi que le dernier enrichissement des données d'événements et d'entités.

Cela signifie que certaines détections peuvent être générées rétrospectivement si elles ne sont détectées que par les exécutions ultérieures. Par exemple, la dernière exécution peut utiliser la dernière version de la liste de référence, qui détecte désormais davantage d'événements. Les données d'événements et d'entités peuvent être à nouveau traitées en raison de nouveaux enrichissements.

Latences de détection

Le délai nécessaire pour qu'une détection soit générée à partir d'une règle active dépend de plusieurs facteurs. Exemple :

  • Temps d'ingestion des données de journaux d'origine.
  • Indique si la règle utilise des données enrichies en contexte. Les détections peuvent être retardées en raison des enrichissements.
  • Indique si la règle est non-existence. Pour les règles inexistantes (règles contenant !$e ou #e = 0 dans la section des conditions), le moteur de détection ajoute au moins une heure de retard à la latence prévue (en fonction de la fréquence d'exécution de la règle) pour tenir compte des données en retard.

Pour réduire la latence de détection, nous vous recommandons de procéder comme suit:

  • Envoyez les données de journaux à Chronicle dès que l'événement se produit.
  • Auditez les règles pour vérifier si des données n'existent pas ou enrichies en fonction du contexte doivent être utilisées.
  • Configurez une fréquence d'exécution plus faible.

État de la règle

Les règles actives peuvent être associées à l'un des états suivants:

  • Activée:la règle est active et fonctionne normalement comme une règle active.

  • Désactivée:la règle est désactivée.

  • Limitée:les règles actives peuvent être placées dans cet état lorsqu'elles présentent une utilisation anormale des ressources. Les règles limitées sont isolées des autres règles actives du système afin de maintenir la stabilité de Chronicle.

    Pour les règles actives limitées, leur exécution n'est pas garantie. Toutefois, si l'exécution de la règle aboutit, les détections sont conservées et disponibles pour que vous puissiez les examiner. Les règles actives limitées génèrent toujours un message d'erreur qui inclut des informations sur la façon d'améliorer les performances de la règle.

    Si les performances d'une règle Limitée ne s'améliorent pas au bout de trois jours, son état passe à Mis en veille.

  • Mise en veille:les règles actives affichent cet état lorsqu'elles sont associées à l'état Limitée pendant trois jours et qu'elles n'ont constaté aucune amélioration des performances. Les exécutions de cette règle sont mises en veille et renvoient des messages d'erreur contenant des informations sur la façon d'améliorer les performances de la règle.

Pour rétablir l'état Activé d'une règle active, suivez les bonnes pratiques YARA-L pour améliorer les performances de votre règle, puis enregistrez-la. Une fois la règle enregistrée, elle est réinitialisée à l'état Activée et il faut au moins une heure avant qu'elle redevienne Limitée.

Vous pouvez résoudre les problèmes de performances liés à une règle en la configurant pour qu'elle s'exécute moins fréquemment. Par exemple, vous pouvez reconfigurer une règle d'exécution toutes les 10 minutes vers une exécution toutes les heures ou une fois toutes les 24 heures. Toutefois, si vous modifiez la fréquence d'exécution d'une règle, son état ne redevient pas Activé. Si vous apportez une légère modification à la règle et que vous l'enregistrez, vous pouvez réinitialiser automatiquement son état sur Enabled (Activé).

Les états des règles sont affichés dans le tableau de bord des règles et sont également accessibles via l'API Detection Engine. Les erreurs générées par des règles associées à l'état Limité ou Mis en veille sont disponibles à l'aide de la méthode API ListErrors. L'erreur indique que la règle est limitée ou mise en veille et vous redirige vers la documentation expliquant comment résoudre le problème.