针对实时数据运行规则

支持的平台:

创建规则时,它最初不会根据 Google 安全运营账号中收到的事件实时搜索检测。但是,通过将实时规则切换开关设置为启用,您可以将规则设置为实时搜索检测。

如需将规则设置为实时,请完成以下步骤:

  1. 转到“规则信息中心”。

  2. 点击规则的规则选项图标,然后将实时规则切换为启用。

    实时规则

    实时规则

  3. 您可以选择查看规则检测,以查看实时规则生成的检测。

规则配额

点击容量按钮以显示可启用为实时的规则数量限制。它位于规则信息中心的右上角。

Google 安全运营团队实施以下规则限制:

  • 多个事件规则配额 - 显示启用的多个事件规则的当前计数以及可启用的规则数上限。如需详细了解单一事件和多个事件规则之间的区别,请点击此处
  • 总规则配额 - 显示所有规则类型中启用为实时规则的当前规则总数,以及可启用为实时规则的规则数上限。

如需详细了解不同类型的规则,请点击此处

规则执行

系统会以频率递减的方式触发给定事件时间分桶的实时规则执行。系统会运行最后一次清理作业,之后便不会再启动任何执行作业。

每次执行时,系统都会根据规则中使用的最新参考列表以及最新的事件和实体数据丰富功能运行。

这意味着,如果某些检测仅由后续执行检测到,则可以回溯生成这些检测。例如,上次执行作业可能使用的是最新版本的参考列表,该列表现在可以检测到更多事件,并且由于有新的丰富功能,系统可以重新处理事件和实体数据。

检测延迟时间

各种因素都会影响从实时规则生成检测所需的时间。以下列表包含导致检测延迟的不同因素:

  • 规则类型
  • 运行频率
  • 提取延迟
  • 情境联接
  • 经过丰富的 UDM 数据
  • 时区问题
  • 参考列表

规则类型

  • 单事件规则会以流式方式近乎实时执行。请尽可能遵循以下规则,以尽量缩短延迟时间。
  • 多事件规则会按计划执行,由于预定执行之间存在时间间隔,因此延迟时间会更长。

运行频率

如需实现更快的检测速度,请使用更短的运行频率和更小的匹配窗口。使用较短的匹配窗口(少于 1 小时)可提高运行频率。

提取延迟

确保在事件发生后立即将数据发送到 Google Security Operations。在查看检测结果时,请密切注意 UDM 事件和提取时间戳。

情境联接

包含情境数据(例如 UEBA 或实体图)的多事件规则的延迟时间可能会更长。情境数据必须先由 Google SecOps 生成。

经过丰富的 UDM 数据

Google SecOps 会使用其他事件中的数据来丰富事件。如需确定规则是否在评估经过丰富的字段,请查看事件查看器。如果规则正在评估经过丰富的字段,则检测可能会延迟。

时区问题

规则会更频繁地针对实时数据执行。数据可能会实时到达,但如果事件时间因时区问题而不正确,Google SecOps 可能仍会将其视为延迟到达的数据。Google SecOps SIEM 的默认时区为世界协调时间 (UTC)。如果原始数据的事件时间戳设置为 UTC 以外的时区,请更新数据时区。如果无法更新日志源中的时区,请与支持团队联系,以便替换时区。

不存在规则

用于检查不存在的规则(例如包含 !$e#e=0 的规则)的执行会至少延迟一小时,以确保数据有时间到达。

参考列表

规则执行始终使用最新版本的参考列表。如果参考列表最近更新过,新检测结果可能会延迟显示,因为在日后执行定期规则时,系统可能会将检测结果纳入更新后的列表中。

为了缩短检测延迟时间,我们建议您执行以下操作:

  • 在事件发生后立即将日志数据发送到 Google Security Operations。
  • 审核规则,以确定是否需要使用不存在的数据或经过情境丰富的数据。
  • 配置较低的运行频率

规则状态

直播规则可以处于以下状态之一:

  • 已启用:规则处于有效状态,并作为实时规则正常运行。

  • 已停用:规则已停用。

  • 受限:如果实时规则的资源使用量异常高,则可能会处于此状态。受限规则与系统中的其他有效规则隔离,以维护 Google Security Operations 的稳定性。

    对于受限实时规则,我们无法保证规则能成功执行。不过,如果规则执行成功,检测结果会保留,供您查看。受限实时规则始终会生成错误消息,其中包含有关如何提升规则效果的信息。

    如果受限规则的效果在 3 天内没有提升,其状态会更改为暂停

  • 暂停:如果实时规则处于受限状态 3 天,且未显示任何效果提升,则会进入此状态。此规则的执行已暂停,系统会返回包含有关如何提升规则性能的信息的错误消息。

如需将任何实时规则恢复为已启用状态,请遵循 YARA-L 最佳实践来提升规则的性能并保存该规则。保存规则后,该规则将重置为已启用状态,并且至少需要 1 小时才能再次达到受限状态。

您可以通过将规则配置为运行频率更低来解决性能问题。例如,您可以将规则从每 10 分钟运行一次重新配置为每小时运行一次或每 24 小时运行一次。不过,更改规则的执行频率不会将其状态更改回已启用。如果您对规则进行了细微修改并保存了该规则,则可以自动将其状态重置为已启用

规则状态会显示在规则信息中心中,您也可以通过检测引擎 API 访问这些状态。您可以使用 ListErrors API 方法查看处于受限暂停状态的规则生成的错误。错误消息会指明相应规则处于受限暂停状态,并会将您定向至有关如何解决此问题的文档。