將規則套用至即時資料

建立規則時，系統不會立即根據 Google Security Operations 帳戶收到的事件，搜尋偵測項目。不過，您可以將「即時規則」切換鈕設為啟用，讓系統即時搜尋偵測結果。

當規則設為即時搜尋偵測結果時，系統會優先使用即時資料來偵測威脅。

如要將規則設為生效，請完成下列步驟：

1. 依序按一下「偵測」>「規則與偵測項目」。

2. 按一下「規則資訊主頁」分頁標籤。

3. 按一下規則的 more_vert 「規則」選項圖示，然後將「即時規則」切換為啟用狀態。

   

   即時規則

4. 選取「查看規則偵測項目」，即可查看即時規則的偵測項目。

顯示規則配額

按一下規則資訊主頁右上方的「規則容量」，即可查看可啟用為直播的規則數量限制。

Google SecOps 會強制執行下列規則限制：

• 多重事件規則配額：顯示目前啟用直播的多重事件規則數量，以及允許的最大數量。進一步瞭解單一事件和多重事件規則的差異。
• 總規則配額：顯示目前在所有規則類型中啟用為即時規則的總數，以及可啟用為即時規則的最大規則數量。

規則執行作業

針對特定事件時間值區，直播規則執行作業的觸發頻率會逐漸降低。系統會執行最後的清理作業，之後就不會再執行。

每次執行作業都會針對規則中使用的最新版參照清單，以及最新的事件和實體資料豐富化執行。

如果某些偵測作業只有在執行後才偵測到，系統可以事後產生這些偵測作業。舉例來說，上次執行作業可能會使用最新版本的參照清單，這個清單現在可偵測更多事件，且事件和實體資料可因新的豐富資料而重新處理。

刪除重複資料

Google SecOps 會自動識別並移除規則中的重複偵測項目。這項程序僅適用於含有比對變數的規則，因為這些規則會依據時間範圍。如果在重疊的時間範圍內，有相同的配對變數值，系統就會將這些偵測結果視為重複內容而略過。

偵測延遲時間

實際規則產生偵測結果的時間長短取決於多項因素。以下列出導致偵測延遲的不同因素：

• 規則類型
• 執行頻率
• 內容擷取延遲
• 內容彙整
• 增強型 UDM 資料
• 時區問題
• 參照清單

規則類型

• 單一事件規則會以串流方式近乎即時執行。盡可能使用這些規則，盡量縮短延遲時間。
• 多事件規則會依排程執行，因此會因為排程執行間隔而導致延遲時間變長。

執行頻率

如要加快偵測速度，請使用較短的執行頻率和較小的比對時間範圍。使用較短的比對時間範圍 (小於一小時) 可提高執行頻率。

擷取延遲

請務必在事件發生後立即將資料傳送至 Google Security Operations。查看偵測結果時，請仔細檢查 UDM 事件和擷取時間戳記。

內容比對彙整

使用 UEBA 或實體圖等背景資料的多事件規則，可能會出現較長的延遲時間。您必須先讓 Google SecOps 產生關聯資料。

充實的 UDM 資料

Google SecOps 會使用其他事件的資料來充實事件。如要確認規則是否評估經過強化的欄位，請查看事件檢視器。如果規則評估的是經過強化的欄位，偵測時間可能會延遲。

時區問題

即時資料的規則執行頻率會更高。資料可能會即時傳送，但如果事件時間因時區差異而有誤差，Google SecOps 仍可能將其視為延遲傳送。

Google SecOps SIEM 的預設時區為世界標準時間。如果原始資料的事件時間戳記設為世界標準時間以外的其他時區，請更新資料時區。如果無法在記錄來源更新時區，請與支援團隊聯絡，以便覆寫時區。

不存在的規則

檢查不存在的規則 (例如包含 !$e 或 #e=0 的規則) 會在延遲一小時後執行，以確保資料有足夠的時間到達。

參照清單

規則執行作業一律會使用參照清單的最新版本。如果參考清單最近已更新，新偵測項目可能會延後顯示。這是因為在日後執行排定規則時，偵測結果可能只會納入更新清單的新內容。

如要縮短偵測延遲時間，建議您採取以下做法：

• 事件發生後立即將記錄資料傳送至 Google SecOps。
• 查看稽核規則，判斷是否需要使用不存在或經過強化情境的資料。
• 設定較低的執行頻率。

規則狀態

即時規則可能顯示下列其中一種狀態：

• 已啟用：規則已啟用，並正常運作為即時規則。

• 已停用：規則已停用。

• 受限：如果即時規則顯示資源使用率異常偏高，可以將其設為此狀態。限制規則會與系統中的其他即時規則隔離，以維持 Google SecOps 的穩定性。

  對於限制即時規則，規則執行不一定能成功。不過，如果規則執行成功，系統會保留偵測結果，供您查看。限制即時規則一律會產生錯誤訊息，其中包含改善規則成效的最佳化建議。

  如果受限規則的成效在 3 天內未改善，系統會將其狀態變更為暫停。

  注意：如果這項規則最近沒有變更，錯誤可能會間歇性發生，並且可能會自動解決。

• 已暫停：如果即時規則處於「受限」狀態 3 天，且未顯示任何成效改善，就會進入這個狀態。系統已暫停執行這個規則，並傳回錯誤訊息，提供改善規則成效的建議。

如要將任何即時規則還原為「已啟用」狀態，請按照 YARA-L 最佳做法最佳化規則效能，然後儲存變更。儲存規則後，系統會將規則重設為「已啟用」狀態，且至少需要一小時才能再次達到「受限」狀態。

您可以將規則的執行頻率設為較低，藉此解決效能問題。舉例來說，您可以將規則從每 10 分鐘執行一次，重新設定為每小時執行一次或每 24 小時執行一次。不過，變更規則的執行頻率不會將狀態改回「已啟用」。如果您對規則進行小幅修改並儲存，可以自動將其狀態重設為「已啟用」。

規則狀態會顯示在規則資訊主頁中，也可以透過 Detection Engine API 存取。您可以使用 ListErrors API 方法，查看規則在「Limited」或「Paused」狀態下產生的錯誤。這項錯誤表示規則處於「受限」或「已暫停」狀態，並提供說明文件連結，說明如何解決問題。

還有其他問題嗎？向社群成員和 Google SecOps 專家尋求解答。