Applicare una regola ai dati in tempo reale

Supportato in:

Quando crei una regola, inizialmente non vengono cercati rilevamenti in base agli eventi ricevuti nel tuo account Google Security Operations in tempo reale. Tuttavia, puoi impostare la regola per cercare i rilevamenti in tempo reale attivando l'opzione di attivazione/disattivazione Regola in tempo reale.

Quando una regola è configurata per cercare i rilevamenti in tempo reale, dà la priorità ai dati in tempo reale per il rilevamento immediato delle minacce.

Per attivare una regola, completa i seguenti passaggi:

  1. Fai clic su Rilevamento > Regole e rilevamenti.

  2. Fai clic sulla scheda Dashboard delle regole.

  3. Fai clic sull'icona dell'opzione Regole more_vert per una regola e imposta l'opzione Regola attiva su Attivata.

    Regola in tempo reale

    Regola dal vivo

  4. Seleziona Visualizza rilevamenti delle regole per visualizzare i rilevamenti di una regola attiva.

Quota delle regole di visualizzazione

In alto a destra nella dashboard Regole, fai clic su Capacità regole per visualizzare i limiti al numero di regole che possono essere attivate come attive.

Google SecOps impone i seguenti limiti per le regole:

  • Quota regole per più eventi: mostra il conteggio corrente delle regole per più eventi attivate e il numero massimo consentito. Scopri di più sulla differenza tra le regole Singolo evento e Più eventi.
  • Quota regole totale: mostra il conteggio totale corrente delle regole attivate come attive in tutti i tipi di regole e il numero massimo di regole che possono essere attivate come attive.

Esecuzioni delle regole

Le esecuzioni delle regole in tempo reale per un determinato bucket di ora dell'evento vengono attivate con una frequenza decrescente. Viene eseguita un'ultima esecuzione di pulizia, dopodiché non vengono avviate ulteriori esecuzioni.

Ogni esecuzione viene eseguita sulle versioni più recenti degli elenchi di riferimento utilizzati nelle regole e in base all'arricchimento dei dati di entità ed eventi più recente.

Alcuni rilevamenti possono essere generati in modo retrospettivo se vengono rilevati solo da esecuzioni successive. Ad esempio, l'ultima esecuzione potrebbe utilizzare la versione più recente dell'elenco di riferimento, che ora rileva più eventi, e i dati di eventi ed entità possono essere sottoposti a nuovo trattamento a causa di nuovi arricchimenti.

Deduplicazione

Il motore delle regole identifica e rimuove automaticamente i rilevamenti duplicati dalle regole. Questa procedura si applica solo alle regole con variabili di corrispondenza, in quanto si basano su finestre basate sul tempo. I rilevamenti con valori della variabile di corrispondenza identici, all'interno di finestre temporali sovrapposte, vengono eliminati come duplicati.

Latenze di rilevamento

Vari fattori determinano il tempo necessario per generare un rilevamento da una regola attiva. Il seguente elenco include i diversi fattori che contribuiscono ai ritardi di rilevamento:

Tipi di regole

  • Le regole relative a un singolo evento vengono eseguite quasi in tempo reale con un approccio in streaming. Se possibile, utilizza queste regole per ridurre al minimo la latenza.
  • Le regole con più eventi vengono eseguite in base a una pianificazione, il che comporta una maggiore latenza a causa del tempo che intercorre tra le esecuzioni pianificate.

Frequenza di esecuzione

Per rilevamenti più rapidi, utilizza una frequenza di esecuzione più breve e una finestra di corrispondenza più piccola. L'utilizzo di finestre di corrispondenza più brevi (meno di un'ora) consente esecuzioni più frequenti.

Ritardo di importazione

Assicurati che i dati vengano inviati a Google Security Operations non appena si verifica l'evento. Quando esamini un rilevamento, controlla attentamente i timestamp di importazione e dell'evento UDM.

Join contestuali

Le regole con più eventi che utilizzano dati contestuali, come UEBA o Entity Graph, potrebbero presentare ritardi più elevati. I dati contestuali devono prima essere generati da Google SecOps.

Dati UDM arricchiti

Google SecOps arricchisce gli eventi con i dati di altri eventi. Per identificare se una regola valuta un campo arricchito, esamina lo strumento di visualizzazione eventi. Se la regola valuta un campo arricchito, il rilevamento potrebbe essere ritardato.

Problemi relativi al fuso orario

Le regole vengono eseguite più di frequente per i dati in tempo reale. I dati potrebbero arrivare in tempo reale, ma Google SecOps potrebbe comunque trattarli come in ritardo se l'ora dell'evento non è corretta a causa di discrepanze nel fuso orario.

Il fuso orario predefinito di Google SecOps SIEM è UTC. Se i dati originali hanno un timestamp dell'evento impostato su un altro fuso orario diverso da UTC, aggiorna il fuso orario dei dati. Se non è possibile aggiornare il fuso orario nell'origine log, contatta l'assistenza per sostituirlo.

Regole di non esistenza

Le regole che verificano la non esistenza (ad esempio quelle che contengono !$e o #e=0) vengono eseguite con un ritardo minimo di un'ora per garantire che i dati abbiano il tempo di arrivare.

Elenchi di riferimento

Le esecuzioni delle regole utilizzano sempre la versione più aggiornata di un elenco di riferimento. Se l'elenco di riferimento è stato aggiornato di recente, un nuovo rilevamento potrebbe essere visualizzato in ritardo. Questo accade perché il rilevamento potrebbe essere incluso nei nuovi contenuti dell'elenco aggiornato solo durante le esecuzioni successive della regola pianificata.

Per ottenere latenze di rilevamento inferiori, ti consigliamo di procedere come segue:

  • Invia i dati del log a Google SecOps non appena si verifica l'evento.
  • Esamina le regole di controllo per determinare se è necessario utilizzare dati non esistenti o arricchiti con il contesto.
  • Configura una frequenza di esecuzione inferiore.

Stato della regola

Le regole dal vivo possono avere uno dei seguenti stati:

  • Attivata:la regola è attiva e funziona normalmente come regola attiva.

  • Disattivata:la regola è disattivata.

  • Con restrizioni:le regole in tempo reale possono essere impostate su questo stato quando mostrano un utilizzo delle risorse insolitamente elevato. Le regole Con restrizioni sono isolate dalle altre regole attive nel sistema per mantenere la stabilità di Google SecOps.

    Per le regole dal vivo Con restrizioni, non è garantito il buon esito dell'esecuzione delle regole. Tuttavia, se l'esecuzione della regola va a buon fine, i rilevamenti vengono conservati e sono disponibili per la revisione. Le regole attive con limitazioni generano sempre un messaggio di errore, che include consigli su come migliorare il rendimento della regola.

    Se il rendimento di una regola Con restrizioni non migliora entro 3 giorni, il suo stato viene modificato in In pausa.

    Nota: se non sono state apportate modifiche recenti a questa regola, gli errori potrebbero essere intermittenti e potrebbero risolversi automaticamente.

  • In pausa:le regole attive vengono impostate su questo stato se sono nello stato Con restrizioni per 3 giorni e non hanno mostrato alcun miglioramento del rendimento. Le esecuzioni di questa regola sono state messe in pausa e vengono restituiti messaggi di errore con suggerimenti su come migliorare il rendimento della regola.

Per ripristinare lo stato Attivato di qualsiasi regola attiva, segui le best practice di YARA-L per ottimizzare il rendimento della regola e salvare le modifiche. Dopo aver salvato la regola, viene reimpostato lo stato Attivata e occorrerà almeno un'ora prima che raggiunga di nuovo lo stato Con restrizioni.

Puoi potenzialmente risolvere i problemi di rendimento di una regola configurandola per l'esecuzione meno frequentemente. Ad esempio, puoi riconfigurare una regola in modo che venga eseguita ogni 10 minuti, una volta all'ora o una volta ogni 24 ore. Tuttavia, la modifica della frequenza di esecuzione di una regola non ripristina lo stato Attivato. Se apporti una piccola modifica alla regola e la salvi, puoi reimpostare automaticamente il relativo stato su Attivata.

Gli stati delle regole vengono visualizzati nella dashboard delle regole e sono accessibili anche tramite l'API Detection Engine. Gli errori generati dalle regole nello stato Limitato o In pausa sono disponibili utilizzando il metodo API ListErrors. L'errore indica che la regola è in stato Con restrizioni o In pausa e fornisce un link alla documentazione su come risolvere il problema.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.