了解如何将规则应用于实时数据

创建规则时，它最初不会根据 Google Security Operations 账号中收到的事件实时搜索检测。但是，通过将实时规则切换开关设置为启用，您可以将规则设置为实时搜索检测。

如果规则配置为实时搜索检测，则会优先处理实时数据，以便立即检测威胁。

如需将规则设置为实时，请完成以下步骤：

1. 依次点击检测 > 规则和检测。

2. 点击规则信息中心标签页。

3. 点击规则的 more_vert 规则选项图标，然后将实时规则切换为启用。

   

   实时规则

4. 选择查看规则检测，以查看实时规则的检测结果。

显示规则配额

在“规则”信息中心右上角，点击规则容量以显示可启用为实时的规则数量限制。

Google SecOps 实施以下规则限制：

• 多个事件规则配额：显示已启用为实时规则的多个事件规则的当前数量以及允许的最大数量。详细了解单一事件规则和多个事件规则之间的区别。
• 总规则配额：显示所有规则类型中启用为实时规则的当前规则总数，以及可启用为实时规则的规则数上限。

规则执行

针对给定事件时间段的实时规则执行会以递减的频率触发。系统会运行一次最终清理，之后不会再开始执行。

每次执行都会针对规则中使用的最新版本的参考列表以及最新的事件和实体数据扩充运行。

如果某些检测仅在后续执行中检测到，则可以追溯生成这些检测。例如，上次执行可能使用了最新版本的参考列表，该列表现在可以检测到更多事件，并且由于新的丰富功能，事件和实体数据可以重新处理。

去重功能

Google SecOps 会自动识别并移除规则中的重复检测结果。此流程仅适用于具有匹配变量的规则，因为这些规则依赖于基于时间的窗口。如果检测的匹配变量值相同，且时间窗口重叠，则会被视为重复检测并遭到抑制。

Google SecOps 会将每个规则版本视为不同的新逻辑。因此，当规则更新时，可能会根据过去的事件触发重复检测。即使这些检测结果看起来是重复的，也不会被移除。

检测延迟时间

多种因素会影响从实时规则生成检测结果所需的时间。以下列表列出了导致检测延迟的不同因素：

• 规则类型
• 运行频率
• 提取延迟
• 上下文联接
• 经过丰富处理的 UDM 数据
• 时区问题
• 参考列表

规则类型

• 单事件规则以流式处理方式近乎实时地执行。请尽可能使用这些规则，以最大限度地缩短延迟时间。
• 多事件规则按预定时间表执行，因此由于预定运行之间的时间间隔，延迟时间会更长。

运行频率

如需更快地检测到匹配项，请使用较短的运行频率和较小的匹配窗口。使用较短的匹配时间范围（不到 1 小时）可实现更频繁的运行。

提取延迟

验证数据是否在事件发生后立即发送到 Google Security Operations。查看检测结果时，请仔细检查 UDM 事件和提取时间戳。

关联联接

使用情境数据（例如 UEBA 或实体图）的多事件规则可能会出现更长的延迟时间。情境数据必须先由 Google SecOps 生成。

经过丰富处理的 UDM 数据

Google SecOps 会使用其他事件的数据来丰富事件。如需确定规则是否在评估富化字段，请查看事件查看器。如果规则正在评估富化字段，检测可能会延迟。

时区问题

对于实时数据，规则的执行频率更高。数据可能会实时到达，但如果因时区差异导致事件时间不正确，Google SecOps 仍可能会将其视为迟到数据。

Google SecOps SIEM 的默认时区为世界协调时间 (UTC)。如果原始数据中的事件时间戳设置为 UTC 以外的其他时区，请更新数据时区。如果无法在日志源处更新时区，请与支持团队联系以覆盖时区。

不存在规则

检查不存在情况的规则（例如包含 !$e 或 #e=0 的规则）会以至少一小时的延迟执行，以确保数据有时间到达。

参考列表

规则执行始终使用参考列表的最新版本。如果参考列表最近更新过，则新检测结果可能会延迟显示。这是因为，在稍后执行已安排的规则时，检测可能只会包含在更新后的列表的新内容中。

为了实现更低的检测延迟时间，我们建议您执行以下操作：

• 在事件发生后立即将日志数据发送到 Google SecOps。
• 查看审核规则，确定是否需要使用不存在的数据或情境丰富的数据。
• 配置较低的运行频率。

规则状态

实时规则可以处于以下状态之一：

• 已启用：规则处于有效状态，可作为实时规则正常运行。

• 已停用：规则已停用。

• 受限：如果实时规则显示资源使用量异常高，则可以将其设置为此状态。受限规则与其他有效规则隔离，以维持 Google SecOps 的稳定性。

  对于有限实时规则，不一定能成功执行规则。 不过，如果规则执行成功，系统会保留检测结果，供您查看。受限的实时规则始终会生成一条错误消息，其中包含有关如何提升规则效果的建议。

  如果受限规则的效果在 3 天内没有改善，其状态会更改为已暂停。

  注意：如果此规则最近未发生任何变化，则错误可能是间歇性的，并且可能会自动解决。

• 已暂停：如果实时规则处于受限状态的时间达到 3 天，但效果没有任何改善，则会进入此状态。相应规则的执行已暂停，系统会返回错误消息，其中包含有关如何提高规则效果的建议。

如需将任何实时规则恢复为已启用状态，请遵循 YARA-L 最佳实践来优化规则的性能，然后保存更改。保存规则后，该规则会重置为已启用状态，并且至少需要一个小时才能再次达到受限状态。

您可以通过配置规则以降低其运行频率，从而潜在地解决性能问题。例如，您可以将规则重新配置为每小时运行一次或每 24 小时运行一次，而不是每 10 分钟运行一次。不过，更改规则的执行频率不会将其状态改回已启用。如果您对规则进行小幅修改并保存，系统会自动将其状态重置为已启用。

规则状态会显示在规则信息中心内，也可通过检测引擎 API 进行访问。使用 ListErrors API 方法可获取处于受限或已暂停状态的规则生成的错误。 此错误表示规则处于受限或已暂停状态，并提供指向相关文档的链接，以便您了解如何解决此问题。

需要更多帮助？从社区成员和 Google SecOps 专业人士那里获得解答。