Regel auf Live-Daten anwenden

Unterstützt in:

Wenn Sie eine Regel erstellen, wird nicht sofort nach Erkennungen gesucht, die auf Ereignissen basieren, die in Ihrem Google Security Operations-Konto in Echtzeit empfangen wurden. Sie können die Regel jedoch so einrichten, dass in Echtzeit nach Erkennungen gesucht wird. Aktivieren Sie dazu die Option Live-Regel.

Wenn eine Regel so konfiguriert ist, dass in Echtzeit nach Erkennungen gesucht wird, werden Echtzeitdaten für die sofortige Bedrohungserkennung priorisiert.

So aktivieren Sie eine Regel:

  1. Klicken Sie auf Erkennung > Regeln und Erkennungen.

  2. Klicken Sie auf den Tab Dashboard für Regeln.

  3. Klicken Sie für eine Regel auf das Dreipunkt-Menü  more_vert Regeln und aktivieren Sie die Option Live-Regel.

    Live-Regel

    Live-Regel

  4. Wählen Sie Regelerkennungen ansehen aus, um Erkennungen aus einer Liveregel aufzurufen.

Kontingent für Displayregeln

Klicken Sie rechts oben im Dashboard „Regeln“ auf Kapazität der Regeln, um die Limits für die Anzahl der Regeln aufzurufen, die als „Live“ aktiviert werden können.

Google SecOps setzt die folgenden Regellimits fest:

  • Kontingent für Regeln für mehrere Ereignisse: Die aktuelle Anzahl der live aktivierten Regeln für mehrere Ereignisse und das zulässige Maximum. Weitere Informationen zum Unterschied zwischen Regeln für einzelne Ereignisse und mehrere Ereignisse
  • Kontingent für Regeln insgesamt: Die aktuelle Gesamtzahl der Regeln, die für alle Regeltypen als „Live“ aktiviert sind, und die maximale Anzahl der Regeln, die als „Live“ aktiviert werden können.

Regelausführungen

Die Ausführung von Live-Regeln für einen bestimmten Ereigniszeitblock wird mit abnehmender Häufigkeit ausgelöst. Es erfolgt ein abschließender Bereinigungslauf, nach dem keine weiteren Ausführungen gestartet werden.

Bei jeder Ausführung werden die neuesten Versionen der Referenzlisten verwendet, die in den Regeln verwendet werden, sowie die neuesten Ereignis- und Entitätsdaten angereichert.

Einige Erkennungen können rückwirkend generiert werden, wenn sie erst bei späteren Ausführungen erkannt werden. Bei der letzten Ausführung wurde beispielsweise die neueste Version der Referenzliste verwendet, mit der jetzt mehr Ereignisse erkannt werden. Außerdem können Ereignis- und Entitätsdaten aufgrund neuer Datenanreicherungen neu verarbeitet werden.

Entfernen von Duplikaten

Die Regel-Engine erkennt automatisch doppelte Erkennungen und entfernt sie aus den Regeln. Dieser Vorgang gilt nur für Regeln mit Abgleichsvariablen, da sie auf zeitbasierten Zeitfenstern basieren. Erkennungen mit identischen Werten der Abgleichsvariablen innerhalb sich überschneidender Zeitfenster werden als Duplikate unterdrückt.

Erkennungslatenzen

Wie lange es dauert, bis eine Erkennung anhand einer Live-Regel generiert wird, hängt von verschiedenen Faktoren ab. Die folgende Liste enthält die verschiedenen Faktoren, die zu Verzögerungen bei der Erkennung beitragen:

Regeltypen

  • Einzelereignisregeln werden bei einem Streaming-Ansatz nahezu in Echtzeit ausgeführt. Verwenden Sie nach Möglichkeit diese Regeln, um die Latenz zu minimieren.
  • Mehrerereignisregeln werden geplant ausgeführt. Aufgrund der Zeit zwischen den geplanten Ausführungen kommt es zu einer höheren Latenz.

Ausführungshäufigkeit

Verwenden Sie eine kürzere Ausführungshäufigkeit und ein kleineres Abgleichfenster, um schnellere Erkennungen zu erzielen. Mit kürzeren Abgleichszeitfenstern (unter einer Stunde) können Sie die Ausführung häufiger planen.

Verzögerung bei der Datenaufnahme

Sorgen Sie dafür, dass Daten sofort nach dem Ereignis an Google Security Operations gesendet werden. Prüfen Sie bei der Überprüfung einer Erkennung die UDM-Ereignis- und Datenaufnahmezeitstempel sorgfältig.

Kontextbezogene Joins

Bei Regeln mit mehreren Ereignissen, die Kontextdaten wie UEBA oder den Entitätsgraphen verwenden, kann es zu längeren Verzögerungen kommen. Die Kontextdaten müssen zuerst von Google SecOps generiert werden.

Angereicherte UDM-Daten

Google SecOps ergänzt Ereignisse mit Daten aus anderen Ereignissen. In der Ereignisanzeige sehen Sie, ob eine Regel ein angereichertes Feld auswertet. Wenn in der Regel ein angereichertes Feld ausgewertet wird, kann die Erkennung verzögert werden.

Probleme mit der Zeitzone

Bei Echtzeitdaten werden Regeln häufiger ausgeführt. Daten können zwar in Echtzeit eintreffen, aber von Google SecOps trotzdem als verspätet behandelt werden, wenn die Ereigniszeit aufgrund von Zeitzonenunterschieden falsch ist.

Die Standardzeitzone von Google SecOps SIEM ist UTC. Wenn der Zeitstempel eines Ereignisses in den ursprünglichen Daten auf eine andere Zeitzone als UTC festgelegt ist, aktualisieren Sie die Zeitzone der Daten. Wenn die Zeitzone in der Logquelle nicht aktualisiert werden kann, wenden Sie sich an den Support, um die Zeitzone zu überschreiben.

Regeln für Nichtvorhandensein

Regeln, die prüfen, ob ein bestimmter Wert nicht vorhanden ist (z. B. Regeln, die !$e oder #e=0 enthalten), werden mit einer Mindestverzögerung von einer Stunde ausgeführt, damit Daten rechtzeitig eintreffen können.

Referenzlisten

Bei Regelausführungen wird immer die aktuellste Version einer Referenzliste verwendet. Wenn die Referenzliste vor Kurzem aktualisiert wurde, wird eine neue Erkennung möglicherweise verzögert angezeigt. Das liegt daran, dass die Erkennung bei späteren Ausführungen der geplanten Regel möglicherweise nur in neuen Inhalten der aktualisierten Liste enthalten ist.

Um die Erkennungslatenz zu verkürzen, empfehlen wir Folgendes:

  • Protokolldaten werden sofort nach dem Ereignis an Google SecOps gesendet.
  • Prüfen Sie die Analyseregeln, um festzustellen, ob nicht vorhandene oder kontextbezogene Daten verwendet werden müssen.
  • Konfigurieren Sie eine geringere Ausführungshäufigkeit.

Regelstatus

Live-Regeln können einen der folgenden Status haben:

  • Aktiv:Die Regel ist aktiv und funktioniert normal als Liveregel.

  • Deaktiviert:Die Regel ist deaktiviert.

  • Eingeschränkt:Dieser Status kann für Live-Regeln festgelegt werden, wenn eine ungewöhnlich hohe Ressourcennutzung festgestellt wird. Eingeschränkte Regeln sind von den anderen Live-Regeln im System isoliert, um die Stabilität von Google SecOps aufrechtzuerhalten.

    Bei eingeschränkten Live-Regeln ist keine erfolgreiche Regelausführung garantiert. Wenn die Regelausführung jedoch erfolgreich ist, werden die erkannten Probleme beibehalten und können von Ihnen geprüft werden. Für eingeschränkte Live-Regeln wird immer eine Fehlermeldung ausgegeben, die Empfehlungen zur Leistungsverbesserung enthält.

    Wenn sich die Leistung einer Regel mit dem Status Eingeschränkt innerhalb von drei Tagen nicht verbessert, wird ihr Status in Pausiert geändert.

    Hinweis: Wenn an dieser Regel vor Kurzem keine Änderungen vorgenommen wurden, treten die Fehler möglicherweise nur gelegentlich auf und können sich automatisch beheben.

  • Pausiert:Live-Regeln erhalten diesen Status, wenn sie drei Tage lang den Status Eingeschränkt hatten und keine Leistungsverbesserung erzielt haben. Die Ausführung dieser Regel wurde pausiert und es werden Fehlermeldungen mit Vorschlägen zur Leistungsverbesserung zurückgegeben.

Wenn Sie eine aktive Regel wieder in den Status Aktiviert versetzen möchten, folgen Sie den Best Practices für YARA-L, um die Leistung der Regel zu optimieren, und speichern Sie die Änderungen. Nachdem die Regel gespeichert wurde, wird sie auf den Status Aktiviert zurückgesetzt. Es dauert mindestens eine Stunde, bis der Status wieder Eingeschränkt lautet.

Sie können Leistungsprobleme mit einer Regel möglicherweise beheben, indem Sie sie so konfigurieren, dass sie seltener ausgeführt wird. Sie können beispielsweise eine Regel so konfigurieren, dass sie nicht mehr alle 10 Minuten, sondern einmal pro Stunde oder einmal alle 24 Stunden ausgeführt wird. Wenn Sie die Ausführungshäufigkeit einer Regel ändern, wird ihr Status jedoch nicht wieder in Aktiviert geändert. Wenn Sie eine kleine Änderung an der Regel vornehmen und sie speichern, können Sie den Status automatisch auf Aktiviert zurücksetzen.

Regelstatus werden im Dashboard für Regeln angezeigt und sind auch über die Detection Engine API zugänglich. Fehler, die von Regeln mit dem Status Eingeschränkt oder Pausiert generiert wurden, sind über die API-Methode ListErrors verfügbar. Der Fehler gibt an, dass die Regel entweder den Status Eingeschränkt oder Pausiert hat. Außerdem ist ein Link zu einer Dokumentation zur Behebung des Problems verfügbar.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten