Halaman ini diterjemahkan oleh Cloud Translation API.

Menerapkan aturan ke data langsung

Didukung di:

Google SecOps SIEM

Saat Anda membuat aturan, aturan tersebut awalnya tidak akan menelusuri deteksi berdasarkan peristiwa yang diterima di akun Google Security Operations Anda secara real time. Namun, Anda menetapkan aturan untuk menelusuri deteksi secara real time dengan menyetel tombol Aturan Live ke aktif.

Saat dikonfigurasi untuk menelusuri deteksi secara real time, aturan akan memprioritaskan data aktif untuk deteksi ancaman langsung.

Untuk menetapkan aturan agar diterapkan, selesaikan langkah-langkah berikut:

Klik Detection > Rules & Detections.
Klik tab Dasbor Aturan.
Klik ikon opsi more_vert Rules untuk aturan, lalu alihkan Live Rule ke enabled.

Aturan Live
Pilih Lihat Deteksi Aturan untuk melihat deteksi dari aturan yang aktif.

Kuota Aturan Tampilan

Di kanan atas dasbor Aturan, klik Kapasitas aturan untuk menampilkan batas jumlah aturan yang dapat diaktifkan sebagai aktif.

Google SecOps menerapkan batas aturan berikut:

Kuota Aturan Beberapa Peristiwa: Menampilkan jumlah saat ini dari aturan Beberapa Peristiwa yang diaktifkan secara live dan maksimum yang diizinkan. Pelajari lebih lanjut perbedaan antara aturan Peristiwa Tunggal dan Peristiwa Ganda.
Total Kuota Aturan: Menampilkan jumlah total aturan saat ini yang diaktifkan sebagai aktif di semua jenis aturan dan jumlah maksimum aturan yang dapat diaktifkan sebagai aktif.

Eksekusi aturan

Eksekusi aturan live untuk bucket waktu peristiwa tertentu dipicu dengan frekuensi yang menurun. Pembersihan akhir akan dijalankan, setelah itu tidak ada eksekusi lebih lanjut yang dimulai.

Setiap eksekusi berjalan melalui versi terbaru daftar referensi yang digunakan dalam aturan, dan terhadap pengayaan data peristiwa dan entitas terbaru.

Beberapa deteksi dapat dibuat secara retrospektif jika hanya terdeteksi oleh eksekusi di lain waktu. Misalnya, eksekusi terakhir mungkin menggunakan versi terbaru daftar referensi, yang kini mendeteksi lebih banyak peristiwa, dan data peristiwa dan entitas dapat diproses ulang karena pengayaan baru.

Penghapusan Duplikat

Mesin Aturan secara otomatis mengidentifikasi dan menghapus deteksi duplikat dari aturan. Proses ini hanya berlaku untuk aturan dengan variabel pencocokan, karena aturan tersebut bergantung pada periode waktu. Deteksi dengan nilai variabel pencocokan yang identik, dalam periode waktu yang tumpang-tindih, akan disembunyikan sebagai duplikat.

Latensi deteksi

Ada berbagai faktor yang menentukan waktu yang diperlukan untuk membuat deteksi dari aturan aktif. Daftar berikut menyertakan berbagai faktor yang berkontribusi pada penundaan deteksi:

Jenis aturan
Frekuensi berjalan
Penundaan proses transfer
Gabungan kontekstual
Data UDM yang diperkaya
Masalah zona waktu
Daftar referensi

Jenis aturan

Aturan peristiwa tunggal dijalankan hampir secara real-time dalam pendekatan streaming. Gunakan aturan ini, jika memungkinkan, untuk meminimalkan latensi.
Aturan multi-peristiwa dijalankan secara terjadwal, yang menghasilkan latensi yang lebih tinggi karena waktu antara operasi terjadwal.

Frekuensi berjalan

Untuk mendapatkan deteksi yang lebih cepat, gunakan frekuensi pengoperasian yang lebih singkat dan periode pencocokan yang lebih kecil. Menggunakan periode pencocokan yang lebih singkat (di bawah satu jam) memungkinkan pengoperasian yang lebih sering.

Penundaan penyerapan

Pastikan data dikirim ke Google Security Operations segera setelah peristiwa terjadi. Saat meninjau deteksi, periksa stempel waktu peristiwa dan penyerapan UDM dengan cermat.

Gabungan kontekstual

Aturan multi-peristiwa yang menggunakan data kontekstual, seperti UEBA atau Entity Graph, mungkin mengalami penundaan yang lebih tinggi. Data kontekstual harus dibuat terlebih dahulu oleh Google SecOps.

Data UDM yang diperkaya

Google SecOps memperkaya peristiwa dengan data dari peristiwa lain. Untuk mengidentifikasi apakah aturan mengevaluasi kolom yang diperkaya, tinjau Pelihat Peristiwa. Jika aturan mengevaluasi kolom yang diperkaya, deteksi mungkin akan tertunda.

Masalah zona waktu

Aturan dieksekusi lebih sering untuk data real-time. Data mungkin tiba secara real-time, tetapi Google SecOps mungkin masih memperlakukannya sebagai data yang terlambat tiba jika waktu peristiwa salah karena perbedaan zona waktu.

Zona waktu default SIEM Google SecOps adalah UTC. Jika data asli memiliki stempel waktu peristiwa yang ditetapkan ke zona waktu selain UTC, perbarui zona waktu data. Jika tidak dapat memperbarui zona waktu di sumber log, hubungi Dukungan untuk mengganti zona waktu.

Aturan tidak ada

Aturan yang memeriksa tidak ada (misalnya, aturan yang berisi !$e atau #e=0) dijalankan dengan penundaan minimum satu jam untuk memastikan data memiliki waktu untuk tiba.

Daftar referensi

Eksekusi aturan selalu menggunakan versi daftar referensi terbaru. Jika daftar referensi baru-baru ini diperbarui, deteksi baru mungkin muncul terlambat. Hal ini terjadi karena deteksi mungkin hanya disertakan dalam konten baru dari daftar yang diperbarui selama eksekusi aturan terjadwal berikutnya.

Untuk mencapai latensi deteksi yang lebih rendah, sebaiknya lakukan hal berikut:

Mengirim data log ke Google SecOps segera setelah peristiwa terjadi.
Tinjau aturan audit untuk menentukan apakah perlu menggunakan data yang tidak ada atau data yang diperkaya konteks.
Konfigurasikan frekuensi operasi yang lebih kecil.

Status aturan

Aturan aktif dapat memiliki salah satu status berikut:

Diaktifkan: Aturan aktif dan berfungsi normal sebagai aturan aktif.
Nonaktif: Aturan dinonaktifkan.
Dibatasi: Aturan aktif dapat ditetapkan ke status ini jika menunjukkan penggunaan resource yang sangat tinggi. Aturan Terbatas diisolasi dari aturan aktif lainnya dalam sistem untuk mempertahankan stabilitas Google SecOps.

Untuk aturan langsung Terbatas, keberhasilan eksekusi aturan tidak dapat dijamin. Namun, jika eksekusi aturan berhasil, deteksi akan dipertahankan dan tersedia untuk Anda tinjau. Aturan aktif Terbatas selalu menghasilkan pesan error, yang menyertakan rekomendasi tentang cara meningkatkan performa aturan.

Jika performa aturan Terbatas tidak meningkat dalam waktu 3 hari, statusnya akan diubah menjadi Dijeda.

Catatan: Jika tidak ada perubahan terbaru pada aturan ini, error mungkin bersifat sementara dan dapat di-resolve secara otomatis.
Dijeda: Aturan aktif memasuki status ini jika telah berada dalam status Terbatas selama 3 hari dan belum menunjukkan peningkatan performa. Eksekusi untuk aturan ini telah dijeda dan pesan error dengan saran tentang cara meningkatkan performa aturan akan ditampilkan.

Untuk mengembalikan aturan aktif ke status Diaktifkan, ikuti praktik terbaik YARA-L untuk mengoptimalkan performa aturan Anda dan menyimpan perubahan. Setelah aturan disimpan, aturan akan direset ke status Diaktifkan, dan perlu waktu minimal satu jam sebelum mencapai status Dibatasi lagi.

Anda berpotensi dapat menyelesaikan masalah performa dengan aturan dengan mengonfigurasinya agar berjalan lebih jarang. Misalnya, Anda dapat mengonfigurasi ulang aturan dari berjalan setiap 10 menit menjadi berjalan sekali dalam satu jam atau sekali setiap 24 jam. Namun, mengubah frekuensi eksekusi aturan tidak akan mengubah statusnya kembali ke Diaktifkan. Jika Anda membuat sedikit perubahan pada aturan dan menyimpannya, Anda dapat otomatis mereset statusnya ke Enabled.

Status aturan ditampilkan di Dasbor Aturan dan juga dapat diakses melalui Detection Engine API. Error yang dihasilkan oleh aturan dalam status Dibatasi atau Dijeda tersedia menggunakan metode API ListErrors. Error ini menunjukkan bahwa aturan tersebut berada dalam status Dibatasi atau Dijeda, dan memberikan link ke dokumentasi tentang cara menyelesaikan masalah tersebut.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.