Applicare una regola ai dati in tempo reale

Supportato in:

Quando crei una regola, inizialmente non vengono cercati rilevamenti in base agli eventi ricevuti nel tuo account Google Security Operations in tempo reale. Tuttavia, puoi impostare la regola per cercare i rilevamenti in tempo reale attivando l'opzione di attivazione/disattivazione Regola in tempo reale.

Per impostare una regola come attiva, completa i seguenti passaggi:

  1. Fai clic su Rilevamento > Regole e rilevamenti.

  2. Fai clic sulla scheda Dashboard delle regole.

  3. Fai clic sull'icona dell'opzione Regole more_vert per una regola e imposta l'opzione Regola attiva su Attivata.

    Regola in tempo reale

    Regola dal vivo

  4. Seleziona Visualizza rilevamenti regola per visualizzare i rilevamenti di una regola attiva.

Quota delle regole di visualizzazione

In alto a destra nella dashboard Regole, fai clic su Capacità regole per visualizzare i limiti al numero di regole che possono essere attivate come attive.

Google Security Operations impone i seguenti limiti per le regole:

  • Quota regole per più eventi: mostra il conteggio corrente delle regole per più eventi attivate e il numero massimo consentito. Scopri di più sulla differenza tra le regole Singolo evento e Più eventi.
  • Quota regole totale: mostra il conteggio totale corrente delle regole attivate come attive in tutti i tipi di regole e il numero massimo di regole che possono essere attivate come attive.

Esecuzioni delle regole

Le esecuzioni delle regole in tempo reale per un determinato bucket di ora dell'evento vengono attivate con una frequenza decrescente. Viene eseguita un'ultima esecuzione di pulizia, dopodiché non vengono avviate ulteriori esecuzioni.

Ogni esecuzione viene eseguita sulle versioni più recenti degli elenchi di riferimento utilizzati nelle regole e in base all'arricchimento dei dati di eventi ed entità più recente.

Alcuni rilevamenti possono essere generati in modo retrospettivo se vengono rilevati solo dalle esecuzioni successive. Ad esempio, l'ultima esecuzione potrebbe utilizzare la versione più recente dell'elenco di riferimento, che ora rileva più eventi, e i dati di eventi ed entità possono essere sottoposti a nuovo trattamento a causa di nuovi arricchimenti.

Deduplicazione

Il motore delle regole identifica e rimuove automaticamente i rilevamenti duplicati dalle regole. Questa procedura si applica solo alle regole con variabili di corrispondenza, in quanto si basano su finestre basate sul tempo. I rilevamenti con valori della variabile di corrispondenza identici, all'interno di finestre temporali sovrapposte, vengono eliminati come duplicati.

Latenze di rilevamento

Vari fattori determinano il tempo necessario per generare un rilevamento da una regola attiva. Il seguente elenco include i diversi fattori che contribuiscono ai ritardi di rilevamento:

Tipi di regole

  • Le regole relative a un singolo evento vengono eseguite in tempo quasi reale in streaming. Se possibile, utilizza queste regole per ridurre al minimo la latenza.
  • Le regole con più eventi vengono eseguite in modo pianificato, il che comporta una latenza più elevata a causa del tempo che intercorre tra le esecuzioni pianificate.

Frequenza di esecuzione

Per rilevamenti più rapidi, utilizza una frequenza di esecuzione più breve e una finestra di corrispondenza più piccola. L'utilizzo di finestre di corrispondenza più brevi (meno di un'ora) consente esecuzioni più frequenti.

Ritardo di importazione

Assicurati che i dati vengano inviati a Google Security Operations non appena si verifica l'evento. Quando esamini un rilevamento, presta particolare attenzione ai timestamp dell'evento UDM e dell'importazione.

Join contestuali

Le regole con più eventi che utilizzano dati contestuali, come UEBA o Entity Graph, potrebbero avere ritardi più elevati. I dati contestuali devono prima essere generati da Google SecOps.

Dati UDM arricchiti

Google SecOps arricchisce gli eventi con i dati di altri eventi. Per identificare se una regola valuta un campo arricchito, esamina lo strumento di visualizzazione eventi. Se la regola valuta un campo arricchito, il rilevamento potrebbe essere ritardato.

Problemi relativi al fuso orario

Le regole vengono eseguite più di frequente per i dati in tempo reale. I dati potrebbero arrivare in tempo reale, ma Google SecOps potrebbe comunque trattarli come dati in ritardo se l'ora dell'evento non è corretta a causa di problemi con il fuso orario. Il fuso orario predefinito di Google SecOps SIEM è UTC. Se i dati originali hanno un timestamp dell'evento impostato su un altro fuso orario diverso da UTC, aggiorna il fuso orario dei dati. Se non è possibile aggiornare il fuso orario nell'origine del log, contatta l'assistenza per richiedere l'override del fuso orario.

Regole di non esistenza

Le regole che verificano la non esistenza (ad esempio quelle che contengono !$e o #e=0) vengono eseguite con un ritardo di almeno un'ora per garantire che i dati abbiano il tempo di arrivare.

Elenchi di riferimento

Le esecuzioni delle regole utilizzano sempre la versione più aggiornata di un elenco di riferimento. Se l'elenco di riferimento è stato aggiornato di recente, un nuovo rilevamento potrebbe essere visualizzato in ritardo perché potrebbe essere incluso nei nuovi contenuti dell'elenco aggiornato durante le esecuzioni successive della regola pianificata.

Per ottenere latenze di rilevamento inferiori, ti consigliamo di procedere nel seguente modo:

  • Invia i dati dei log a Google Security Operations non appena si verifica l'evento.
  • Controlla le regole per verificare se è necessario utilizzare dati non esistenti o arricchiti con il contesto.
  • Configura una frequenza di esecuzione inferiore.

Stato della regola

Le regole dal vivo possono avere uno dei seguenti stati:

  • Attivata:la regola è attiva e funziona normalmente come regola attiva.

  • Disattivata:la regola è disattivata.

  • Con restrizioni:le regole attive possono essere impostate su questo stato quando presentano un utilizzo delle risorse anormalmente elevato. Le regole Con restrizioni sono isolate dalle altre regole attive nel sistema per mantenere la stabilità di Google Security Operations.

    Per le regole dal vivo Con restrizioni, l'esecuzione corretta delle regole non è garantita. Tuttavia, se l'esecuzione della regola va a buon fine, i rilevamenti vengono conservati e sono disponibili per la revisione. Le regole in tempo reale limitate generano sempre un messaggio di errore, che include informazioni su come migliorare il rendimento della regola.

    Se il rendimento di una regola Con restrizioni non migliora entro 3 giorni, il suo stato viene modificato in In pausa.

    Nota: se non sono state apportate modifiche recenti a questa regola, questi errori potrebbero essere intermittenti e potrebbero essere risolti automaticamente.

  • In pausa:le regole attive vengono impostate su questo stato se sono nello stato Con restrizioni per 3 giorni e non hanno mostrato alcun miglioramento del rendimento. Le esecuzioni di questa regola sono state messe in pausa e vengono restituiti messaggi di errore contenenti informazioni su come migliorare il rendimento della regola.

Per ripristinare lo stato Attivato di qualsiasi regola attiva, segui le best practice di YARA-L per migliorare il rendimento della regola e salvarla. Una volta salvata, la regola viene reimpostata sullo stato Attivata e occorrerà almeno un'ora prima che la regola raggiunga di nuovo lo stato Con restrizioni.

Puoi potenzialmente risolvere i problemi di prestazioni di una regola configurandola per l'esecuzione meno frequentemente. Ad esempio, puoi riconfigurare una regola in modo che venga eseguita ogni 10 minuti, una volta all'ora o una volta ogni 24 ore. Tuttavia, la modifica della frequenza di esecuzione di una regola non reimposta lo stato su Attiva. Se apporti una piccola modifica alla regola e la salvi, puoi reimpostare automaticamente il relativo stato su Attivata.

Gli stati delle regole vengono visualizzati nella dashboard delle regole e sono accessibili anche tramite l'API Detection Engine. Gli errori generati dalle regole nello stato Con restrizioni o In pausa sono disponibili utilizzando il metodo API ListErrors. L'errore indica che la regola è in stato Con restrizioni o In pausa e ti indirizza alla documentazione su come risolvere il problema.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.