Esecuzione di una regola in base ai dati in tempo reale

Quando crei una regola, inizialmente non cerca i rilevamenti in base agli eventi ricevuti nel tuo account Chronicle in tempo reale. Tuttavia, puoi impostare la regola per cercare rilevamenti in tempo reale impostando l'opzione Regola attiva su abilitata.

Per attivare una regola, completa i seguenti passaggi:

  1. Vai alla dashboard delle regole.

  2. Fai clic sull'icona di opzione Regole per una regola e attiva la Regola attiva.

    Regola pubblicata

    Regola attiva

  3. Puoi visualizzare i rilevamenti generati da una regola attiva scegliendo Visualizza rilevamenti regole.

Quota delle regole

Fai clic sul pulsante Capacità per visualizzare i limiti del numero di regole che possono essere attivate come attive. Si trova nell'angolo in alto a destra della dashboard delle regole.

Chronicle impone i seguenti limiti alle regole:

  • Quota per più regole eventi: mostra il conteggio attuale delle regole per più eventi attivate come attive e il numero massimo di regole che possono essere attivate come attive. Ulteriori informazioni sulla differenza tra regole per evento singolo e regole per più eventi sono disponibili qui.
  • Quota totale regole: mostra il numero totale attuale di regole attivate come attive in tutti i tipi di regole e il numero massimo di regole che possono essere attivate come attive.

Per ulteriori informazioni sui diversi tipi di regole, consulta questa pagina.

Esecuzioni delle regole

Le esecuzioni delle regole in tempo reale per un determinato intervallo di tempo degli eventi verranno attivate con una frequenza decrescente. Verrà eseguita un'esecuzione di pulizia finale, dopo la quale non verrà più avviata l'esecuzione.

Ogni esecuzione viene eseguita sulle ultime versioni degli elenchi di riferimento utilizzati nelle regole e sulla versione più recente dell'arricchimento dei dati di eventi ed entità.

Ciò significa che alcuni rilevamenti possono essere generati in modo retroattivo se vengono rilevati solo dalle esecuzioni successive. Ad esempio, l'ultima esecuzione potrebbe utilizzare la versione più recente dell'elenco di riferimento, che ora rileva più eventi, e i dati di eventi ed entità possono essere rielaborati a causa dei nuovi arricchimenti.

Latenze di rilevamento

Il tempo necessario per generare un rilevamento da una regola attiva è determinato da vari fattori. Ad esempio:

  • La data e l'ora di importazione dei dati di log originali.
  • Se la regola utilizza dati arricchiti di contesto. I rilevamenti potrebbero essere ritardati a causa degli arricchimenti.
  • Indica se la regola è non esistente. Per le regole inesistenti (regole che contengono !$e o #e = 0 nella sezione della condizione), il motore di rilevamento aggiunge almeno un'ora di ritardo alla latenza prevista (in base alla frequenza di esecuzione della regola) per consentire l'arrivo in ritardo dei dati.

Per ottenere latenze di rilevamento inferiori, consigliamo di procedere come segue:

  • Invia i dati dei log a Chronicle non appena si verifica l'evento.
  • Controlla le regole per verificare se è necessario utilizzare dati non esistenti o arricchiti di contesto.
  • Configura una frequenza di esecuzione più bassa.

Stato della regola

Le regole attive possono avere uno dei seguenti stati:

  • Abilitata: la regola è attiva e funziona normalmente come regola attiva.

  • Disattivata: la regola è disabilitata.

  • Limitata: le regole attive possono essere inserite in questo stato quando registrano un utilizzo delle risorse insolitamente elevato. Le regole limitate sono isolate dalle altre regole attive nel sistema per mantenere la stabilità di Chronicle.

    Per le regole attive Con restrizioni, le esecuzioni riuscite non sono garantite. Tuttavia, se l'esecuzione della regola ha esito positivo, i rilevamenti vengono conservati e sono disponibili per la revisione. Le regole attive limitate generano sempre un messaggio di errore, che include informazioni su come migliorare le prestazioni della regola.

    Se le prestazioni di una regola Limitata non migliorano entro 3 giorni, il relativo stato viene modificato in In pausa.

  • In pausa: le regole attive inseriscono questo stato quando rimangono in stato Limitata per 3 giorni e non mostrano alcun miglioramento delle prestazioni. Le esecuzioni di questa regola sono state messe in pausa e vengono restituiti messaggi di errore contenenti informazioni su come migliorare le prestazioni della regola.

Per ripristinare lo stato Attivata di qualsiasi regola attiva, segui le best practice YARA-L per migliorare le prestazioni della regola e salvarla. Una volta salvata, la regola verrà reimpostata sullo stato Abilitata e sarà necessaria almeno un'ora prima che la regola raggiunga nuovamente lo stato Limitata.

Puoi potenzialmente risolvere i problemi di prestazioni con una regola configurandola in modo che venga eseguita con minore frequenza. Ad esempio, puoi riconfigurare una regola in modo che venga eseguita ogni 10 minuti e venga eseguita una volta all'ora o una volta ogni 24 ore. Tuttavia, la modifica della frequenza di esecuzione di una regola non ne reimposta lo stato su Abilitata. Se apporti una piccola modifica alla regola e la salvi, puoi reimpostare automaticamente il suo stato Attivata.

Gli stati delle regole vengono visualizzati nella dashboard delle regole e sono accessibili anche tramite l'API Detection Engine. Gli errori generati dalle regole in stato Limitato o In pausa sono disponibili utilizzando il metodo API ListErrors. L'errore indicherà che la regola è nello stato Limitata o In pausa e ti indirizzerà alla documentazione su come risolvere il problema.