瞭解如何將規則套用至即時資料

建立規則時，系統不會根據 Google Security Operations 帳戶中即時收到的事件，搜尋偵測結果。不過，只要將「即時規則」切換鈕設為啟用，即可設定規則，即時搜尋偵測結果。

如果規則設定為即時搜尋偵測結果，系統會優先處理即時資料，以便立即偵測威脅。

如要將規則設為有效，請完成下列步驟：

1. 依序點選「偵測」>「規則與偵測項目」。

2. 按一下「規則資訊主頁」分頁標籤。

3. 按一下規則的「更多」 more_vert 「規則」選項圖示，然後將「有效規則」切換為啟用。

   

   即時規則

4. 選取「查看規則偵測項目」，即可查看即時規則的偵測結果。

顯示規則配額

在規則資訊主頁的右上角，按一下「規則容量」，即可查看可啟用為即時規則的規則數量上限。

Google SecOps 的規則限制如下：

• 多重事件規則配額：顯示目前已啟用多重事件規則的數量，以及允許的最大數量。進一步瞭解單一事件和多重事件規則的差異。
• 規則總配額：顯示所有規則類型目前啟用的規則總數，以及可啟用的規則數量上限。

規則執行

系統會以遞減的頻率，觸發特定事件時間值區的即時規則執行作業。最後一次清除作業完成後，系統就不會再執行任何作業。

每次執行作業時，都會使用規則中最新版本的參照清單，並根據最新的事件和實體資料擴充功能執行作業。

如果系統只在後續執行時偵測到某些偵測結果，可能會回溯產生這些結果。舉例來說，最後一次執行作業可能使用最新版本的參照清單，因此現在偵測到更多事件，且事件和實體資料可能會因新擴充功能而重新處理。

刪除重複資料

Google SecOps 會自動識別並移除規則中的重複偵測結果。這項程序僅適用於含有相符變數的規則，因為這類規則會依據時間範圍運作。如果偵測到的項目在重疊的時間範圍內，且比對變數值完全相同，系統就會將其視為重複項目並加以抑制。

Google SecOps 會將每個規則版本視為不同的新邏輯。因此，更新規則時，系統可能會根據過去的事件重複觸發偵測。即使偵測結果看似重複，也不會遭到移除。

偵測延遲

從即時規則產生偵測結果所需的時間，取決於多項因素。以下列出造成偵測延遲的不同因素：

• 規則類型
• 執行頻率
• 內容擷取延遲
• 情境式聯結
• 增補過的 UDM 資料
• 時區問題
• 參考清單

規則類型

• 單一事件規則會以串流方式近乎即時地執行。請盡可能使用這些規則，縮短延遲時間。
• 多事件規則會依排程執行，因此排程執行間隔時間會導致延遲時間較長。

執行頻率

如要加快偵測速度，請縮短執行頻率並縮小比對時間範圍。使用較短的比對時間範圍 (不到一小時) 可更頻繁地執行比對。

擷取延遲

確認資料會在事件發生後立即傳送至 Google Security Operations。查看偵測結果時，請仔細檢查 UDM 事件和擷取時間戳記。

內容比對彙整

使用 UEBA 或實體圖表等脈絡資料的多事件規則，延遲時間可能會較長。情境資料必須先由 Google SecOps 生成。

充實的 UDM 資料

Google SecOps 會使用其他事件的資料來充實事件內容。如要判斷規則是否正在評估經過擴充的欄位，請查看事件檢視器。如果規則評估的是經過擴充的欄位，偵測作業可能會延遲。

時區問題

系統會更頻繁地執行即時資料規則。資料可能會即時送達，但如果時區不一致導致事件時間有誤，Google SecOps 仍可能會將其視為延遲送達。

Google SecOps SIEM 預設時區為世界標準時間。如果原始資料的事件時間戳記設為世界標準時間以外的時區，請更新資料時區。如果無法更新記錄來源的時區，請與支援團隊聯絡，以覆寫時區。

不存在規則

檢查不存在的規則 (例如包含 !$e 或 #e=0 的規則) 執行時，至少會延遲一小時，確保資料有時間送達。

參照清單

規則執行時一律會使用參照清單的最新版本。如果參考清單最近更新，系統可能稍晚才會偵測到新追蹤器。這是因為在稍後執行排定規則時，更新清單的新內容可能只包含偵測結果。

如要縮短偵測延遲時間，建議採取下列做法：

• 事件發生後，請立即將記錄資料傳送至 Google SecOps。
• 請檢查稽核規則，判斷是否需要使用不存在或情境豐富的資料。
• 設定較小的執行頻率。

規則狀態

即時規則可能處於下列其中一種狀態：

• 已啟用：規則處於啟用狀態，且運作正常，與即時規則相同。

• 已停用：規則已停用。

• 受限：如果即時規則的資源用量異常偏高，系統可能會將規則設為這個狀態。有限規則會與系統中的其他即時規則隔離，以維持 Google SecOps 的穩定性。

  對於有限的即時規則，不一定能成功執行規則。 不過，如果規則執行成功，系統會保留偵測結果，供您查看。受限的即時規則一律會產生錯誤訊息， 其中包含改善規則成效的建議。

  如果「受限」規則的成效在 3 天內沒有改善，狀態就會變更為「已暫停」。

  注意：如果這項規則最近沒有變更，錯誤可能只是暫時性，或許會自動解決。

• 已暫停：如果有效規則處於「受限」狀態達 3 天，且成效未有任何改善，就會進入這個狀態。這項規則的執行作業已暫停，系統會傳回錯誤訊息，並提供改善規則成效的建議。

如要將任何有效規則恢復為「已啟用」狀態，請按照 YARA-L 最佳做法操作，提升規則效能並儲存變更。儲存規則後，規則會重設為「已啟用」狀態，至少要過一小時才會再次達到「受限」狀態。

您可以設定規則的執行頻率，減少效能問題。舉例來說，您可以將規則的執行頻率從每 10 分鐘一次，重新設定為每小時一次或每 24 小時一次。不過，變更規則的執行頻率不會將規則狀態改回「已啟用」。如果對規則進行小幅修改並儲存，系統會自動將規則狀態重設為「已啟用」。

規則狀態會顯示在規則資訊主頁中，也可以透過 Detection Engine API 存取。如要查看「受限」或「已暫停」狀態的規則所產生的錯誤，請使用 ListErrors API 方法。這項錯誤表示規則處於「受限」或「已暫停」狀態，並提供說明文件連結，協助您解決問題。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。