针对实时数据运行规则
创建规则后,它最初不会根据 Google Security Operations 账号收到的事件通知。但是,通过将实时规则切换开关设置为启用,您可以将规则设置为实时搜索检测。
如需将规则设置为实时,请完成以下步骤:
转到“规则信息中心”。
点击规则的规则选项图标,然后将实时规则切换为启用。
实时规则
您可以选择查看规则检测,以查看实时规则生成的检测。
规则配额
点击容量按钮以显示可启用为实时的规则数量限制。它位于规则信息中心的右上角。
Google Security Operations 具有以下规则限制:
- 多个事件规则配额 - 显示启用的多个事件规则的当前计数以及可启用的规则数上限。如需详细了解单一事件和多个事件规则之间的区别,请点击此处。
- 总规则配额 - 显示所有规则类型中启用为实时规则的当前规则总数,以及可启用为实时规则的规则数上限。
如需详细了解不同类型的规则,请点击此处。
规则执行
对于给定的事件时间段,实际规则执行将按频率降低触发。将是最后一次清理运行,之后将不再开始执行。
每次执行时,系统都会根据规则中使用的最新参考列表以及最新的事件和实体数据丰富功能运行。
这意味着,如果某些检测仅在以后的执行中检测到,则可能会以追溯方式生成。例如,上次执行作业可能使用的是最新版本的参考列表,该列表现在可检测到更多事件,并且由于有新的丰富功能,系统可以重新处理事件和实体数据。
检测延迟时间
根据实际规则生成检测所需的时间取决于多种因素。下面列出了造成检测延迟的不同因素:
- 规则类型
- 运行频率
- 提取延迟
- 情境联接
- 丰富 UDM 数据
- 时区问题
- 参考列表
规则类型
- 单个事件规则以近乎实时的方式执行。请尽可能使用这些规则来尽可能缩短延迟时间。
- 多事件规则按预定方式执行,由于预定的执行之间有时间,因此会导致较长的延迟时间。
运行频率
为了实现更快的检测,请使用较短的运行频率和较短的匹配期。使用较短的匹配窗口(不到 1 小时)可以提高运行频率。
提取延迟
确保在事件发生后立即将数据发送到 Google Security Operations。查看检测时,请密切关注 UDM 事件和提取时间戳。
上下文联接
包含情境数据(例如 UEBA 或实体图)的多事件规则的延迟时间可能会更长。情境数据必须先由 Google SecOps 生成。
经过丰富的 UDM 数据
Google SecOps 会使用来自其他事件的数据来丰富事件。如需确定规则是否评估的是丰富字段,请查看事件查看器。如果规则评估的是丰富字段,则检测可能会延迟。
时区问题
对于实时数据,规则的执行频率会更高。数据可能会实时到达,但如果因时区问题而导致事件时间不正确,Google SecOps 可能仍会将其视为延迟数据。Google SecOps SIEM 的默认时区为世界协调时间 (UTC)。如果原始数据的事件时间戳设置为 UTC 以外的其他时区,请更新数据时区。如果无法更新日志源中的时区,请与支持团队联系,以便替换时区。
不存在的规则
用于检查不存在的规则(例如,包含 !$e
或 #e=0
的规则)至少会延迟一小时执行,以确保数据有时间到达。
参考列表
规则执行始终使用最新版本的参考列表。如果参考列表最近更新过,则新的检测可能延迟显示,因为在稍后执行预定规则期间,检测可能包含更新列表的新内容。
为了缩短检测延迟时间,我们建议您执行以下操作:
- 在事件发生时立即将日志数据发送到 Google Security Operations。
- 审核规则,确定是否有必要使用不存在的数据或上下文丰富数据。
- 配置较低的运行频率。
规则状态
直播规则可以处于以下状态之一:
已启用:规则处于有效状态,并作为实时规则正常运行。
已停用:规则已停用。
受限:生效规则在生效时,可处于此状态。 资源使用量异常高受限规则与其他实时规则相互独立 规则,以保持 Google Security Operations 的稳定性。
对于受限有效规则,规则不一定能成功执行。 不过,如果规则执行成功,检测就会保留并可供使用 以供您审核。受限有效规则一律会生成错误消息, 其中包含有关如何改进规则效果的信息。
如果受限规则的效果在 3 天内没有提高,则 状态会更改为已暂停。
已暂停:如果有效规则处于受限状态,就会进入此状态 状态显示 3 天,并且效果没有任何提升。以下项目的执行: 此规则已暂停,并显示错误消息,其中包含有关如何 以提升规则效果。
要将任何已生效规则的状态恢复为已启用,请按照 YARA-L 最佳实践 并保存规则的效果保存规则后,该规则将重置为已启用状态,并且至少需要 1 小时才能再次达到受限状态。
您可以通过将规则配置为运行频率更低来解决性能问题。例如,您可以将规则从每 10 分钟运行一次重新配置为每小时运行一次或每 24 小时运行一次。不过, 更改规则的执行频率并不会使其状态变回 已启用。如果您对规则稍作修改并保存, 会自动将其状态重置为已启用。
规则状态会显示在规则信息中心中,您也可以通过检测引擎 API 访问这些状态。受限 或已暂停状态均可通过 ListErrors API 方法。 系统会显示错误消息,指出该规则处于受限或已暂停状态 并引导您查看有关如何解决问题的文档。