Otimizar a performance das regras

Compatível com:

Este documento descreve como otimizar a performance de detecção e geração de relatórios.

Latência total de detecção

Para um centro de operações de segurança (SOC), o tempo médio total para detecção (MTTD, na sigla em inglês) é a soma dos atrasos no pipeline de segurança. Para medir e reduzir o MTTD com precisão, é necessário acompanhar três componentes principais:

Latência de ingestão de registros (criação de registros para ingestão de dados)

A latência de ingestão de registros é o tempo decorrido entre a ocorrência do ocorrência de segurança no sistema de origem (metadata.event_timestamp) e a ingestão e análise do registro no Google Security Operations (metadata.ingested_time).

Fatores contribuintes:

  • Problemas do coletor ou encaminhador (por exemplo, backlogs ou limitação de rede).
  • Problemas de análise da origem do registro (por exemplo, atrasos na normalização da UDM).

Para reduzir a latência de ingestão de registros, faça o seguinte:

  • Monitore a integridade da fonte de registro e otimize as configurações do coletor ou encaminhador.
  • Para monitorar o delta, no YARA-L ou no Data Lake, compare os carimbos de data/hora da UDM: metadata.ingested_timestamp versus metadata.event_timestamp.

Latência de processamento de regras (ingestão de dados para criação de detecção)

A latência de processamento de regras é o tempo decorrido entre a ingestão de dados e a criação de um alerta pelo mecanismo de detecção (detection.creation_time). Esse componente é muito afetado pela configuração da regra YARA-L.

Fatores contribuintes:

  • Frequência de execução de regras:quase em tempo real (melhor), 10 minutos, 1 hora ou 24 horas. Quanto maior a frequência, maior a latência mínima de processamento. Para mais informações, consulte Definir a frequência de execução.
  • Tipo e complexidade da regra:as regras de vários eventos exigem uma janela de correspondência para serem totalmente processadas, o que impõe uma latência inerente. As regras compostas que dependem de outras detecções não em tempo real também introduzem atrasos. Para mais informações, consulte Detecções compostas.

Para reduzir a latência de processamento de regras, faça o seguinte:

  • Use regras de evento único executadas quase em tempo real, quando possível.
  • Para regras de vários eventos, defina o menor tamanho de janela possível.

Para mais informações, consulte Consultas de amostra do YARA-L 2.0 para painéis.

Regra YARA-L para monitorar a latência de processamento de regras

A regra YARA-L a seguir identifica instâncias em que o delta entre o momento em que um registro foi ingerido e o momento em que a detecção foi criada excede um limite específico. Use a regra para identificar gargalos de performance no pipeline de detecção.

Implante essa regra no ambiente de teste para definir as fontes de registro.

É possível exportar esses resultados para um painel para visualizar as tendências de latência em diferentes tipos de registro.

A regra compara o metadata.event_timestamp (quando a atividade aconteceu) com o metadata.ingested_time (quando o Google SecOps recebeu o registro).

rule rule_processing_latency_monitor {
  meta:
    author = "SecOps Engineering"
    description = "Alerts when the gap between ingestion and detection creation is greater than 15 minutes."
    severity = "Low"

  events:
    $event.metadata.event_timestamp.seconds = $event_ts
    $event.metadata.ingested_time.seconds = $ingest_ts
    
    // Calculate the delta in seconds
    $latency_delta = $ingest_ts - $event_ts

    // Threshold: 900 seconds (15 minutes)
    $latency_delta > 900

  match:
    $event.metadata.log_type over 1h

  outcome:
    $max_latency = max($latency_delta)
    $log_source = array_distinct($event.metadata.log_type)

  condition:
    $event
}

Latência de reconhecimento de casos (criação de detecção para atribuição de analista)

Esta seção não é relevante para clientes que usam a plataforma independente do Google SecOps SIEM.

A latência de reconhecimento de casos é o tempo decorrido entre a detecção que cria um alerta e o alerta reconhecido por um analista para triagem no componente SOAR.

A métrica tempo médio para reconhecimento (MTTA, na sigla em inglês) acompanha especificamente a eficiência da equipe do SOC na resposta a um alerta gerado.

  • Para reduzir a latência de reconhecimento de casos, otimize o roteamento, o ajuste e a automação de alertas (por exemplo, usando playbooks para atribuição ou enriquecimento automático) para mover rapidamente o alerta para o estágio de triagem.

A seguir

  • Para saber como as reproduções de regras (também chamadas de execuções de limpeza) gerenciam dados e atualizações de contexto que chegam tarde e como isso afeta as métricas de MTTD, consulte Entender as reproduções de regras e o MTTD.
  • Para saber mais sobre atrasos na detecção de regras no Google SecOps, fatores contribuintes, solução de problemas e técnicas para reduzir atrasos, consulte Entender os atrasos na detecção de regras.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.