Otimizar a performance das regras
Este documento descreve como otimizar a performance de detecção e geração de relatórios.
Latência total de detecção
Para um centro de operações de segurança (SOC), o tempo médio total para detecção (MTTD, na sigla em inglês) é a soma dos atrasos no pipeline de segurança. Para medir e reduzir o MTTD com precisão, é necessário acompanhar três componentes principais:
- Latência de ingestão de registros (criação de registros para ingestão de dados)
- Latência de processamento de regras (ingestão de dados para criação de detecção)
- Latência de reconhecimento de casos (criação de detecção para atribuição de analista)
Latência de ingestão de registros (criação de registros para ingestão de dados)
A latência de ingestão de registros é o tempo decorrido entre a ocorrência do ocorrência de segurança no sistema de origem (metadata.event_timestamp) e a ingestão e análise do registro no Google Security Operations (metadata.ingested_time).
Fatores contribuintes:
- Problemas do coletor ou encaminhador (por exemplo, backlogs ou limitação de rede).
- Problemas de análise da origem do registro (por exemplo, atrasos na normalização da UDM).
Para reduzir a latência de ingestão de registros, faça o seguinte:
- Monitore a integridade da fonte de registro e otimize as configurações do coletor ou encaminhador.
- Para monitorar o delta, no YARA-L ou no Data Lake, compare os carimbos de data/hora da UDM:
metadata.ingested_timestampversusmetadata.event_timestamp.
Latência de processamento de regras (ingestão de dados para criação de detecção)
A latência de processamento de regras é o tempo decorrido entre a ingestão de dados e a criação de um alerta pelo mecanismo de detecção (detection.creation_time). Esse componente é muito afetado pela configuração da regra YARA-L.
Fatores contribuintes:
- Frequência de execução de regras:quase em tempo real (melhor), 10 minutos, 1 hora ou 24 horas. Quanto maior a frequência, maior a latência mínima de processamento. Para mais informações, consulte Definir a frequência de execução.
- Tipo e complexidade da regra:as regras de vários eventos exigem uma janela de correspondência para serem totalmente processadas, o que impõe uma latência inerente. As regras compostas que dependem de outras detecções não em tempo real também introduzem atrasos. Para mais informações, consulte Detecções compostas.
Para reduzir a latência de processamento de regras, faça o seguinte:
- Use regras de evento único executadas quase em tempo real, quando possível.
- Para regras de vários eventos, defina o menor tamanho de janela possível.
Para mais informações, consulte Consultas de amostra do YARA-L 2.0 para painéis.
Regra YARA-L para monitorar a latência de processamento de regras
A regra YARA-L a seguir identifica instâncias em que o delta entre o momento em que um registro foi ingerido e o momento em que a detecção foi criada excede um limite específico. Use a regra para identificar gargalos de performance no pipeline de detecção.
Implante essa regra no ambiente de teste para definir as fontes de registro.
É possível exportar esses resultados para um painel para visualizar as tendências de latência em diferentes tipos de registro.
A regra compara o metadata.event_timestamp (quando a atividade aconteceu) com o metadata.ingested_time (quando o Google SecOps recebeu o registro).
rule rule_processing_latency_monitor {
meta:
author = "SecOps Engineering"
description = "Alerts when the gap between ingestion and detection creation is greater than 15 minutes."
severity = "Low"
events:
$event.metadata.event_timestamp.seconds = $event_ts
$event.metadata.ingested_time.seconds = $ingest_ts
// Calculate the delta in seconds
$latency_delta = $ingest_ts - $event_ts
// Threshold: 900 seconds (15 minutes)
$latency_delta > 900
match:
$event.metadata.log_type over 1h
outcome:
$max_latency = max($latency_delta)
$log_source = array_distinct($event.metadata.log_type)
condition:
$event
}
Latência de reconhecimento de casos (criação de detecção para atribuição de analista)
Esta seção não é relevante para clientes que usam a plataforma independente do Google SecOps SIEM.
A latência de reconhecimento de casos é o tempo decorrido entre a detecção que cria um alerta e o alerta reconhecido por um analista para triagem no componente SOAR.
A métrica tempo médio para reconhecimento (MTTA, na sigla em inglês) acompanha especificamente a eficiência da equipe do SOC na resposta a um alerta gerado.
- Para reduzir a latência de reconhecimento de casos, otimize o roteamento, o ajuste e a automação de alertas (por exemplo, usando playbooks para atribuição ou enriquecimento automático) para mover rapidamente o alerta para o estágio de triagem.
A seguir
- Para saber como as reproduções de regras (também chamadas de execuções de limpeza) gerenciam dados e atualizações de contexto que chegam tarde e como isso afeta as métricas de MTTD, consulte Entender as reproduções de regras e o MTTD.
- Para saber mais sobre atrasos na detecção de regras no Google SecOps, fatores contribuintes, solução de problemas e técnicas para reduzir atrasos, consulte Entender os atrasos na detecção de regras.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.