Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

优化检测和报告性能

支持的平台：

Google SecOps SIEM

本文档介绍了如何优化检测和报告性能。

总检测延迟时间

对于安全运维中心 (SOC)，总平均检测时间 (MTTD) 是整个安全流水线中的时间延迟之和。为了准确衡量和缩短 MTTD，您需要跟踪以下三个主要组成部分：

日志提取延迟时间（从日志创建到数据注入）
规则处理延迟时间（从数据注入到检测创建）
支持请求确认延迟时间（从检测创建到分配给分析师）

日志提取延迟时间（从日志创建到数据注入）

日志提取延迟时间是指从源系统上发生安全事件 (metadata.event_timestamp) 到 Google Security Operations 成功提取并解析日志 (metadata.ingested_time) 之间所经过的时间。

促成因素：

收集器或转发器问题（例如，积压或网络节流）。
日志源解析问题（例如，UDM 规范化延迟）。

如需缩短日志提取延迟时间，请执行以下操作：

监控日志源的健康状况，并优化收集器或转发器配置。
如需监控增量，请在 YARA-L 或 Data Lake 中比较 UDM 时间戳（metadata.ingested_timestamp 与 metadata.event_timestamp）。

规则处理延迟时间（从数据注入到检测创建）

规则处理延迟时间是指从数据注入到检测引擎成功创建提醒 (detection.creation_time) 之间所经过的时间。此组件在很大程度上受 YARA-L 规则配置的影响。

促成因素：

规则运行频率：近乎实时（最佳）、10 分钟、1 小时或 24 小时。频率越高，最低处理延迟时间就越长。如需了解详情，请参阅设置运行频率。
规则类型和复杂程度：多事件规则需要匹配窗口才能完全处理，这会造成固有的延迟。依赖于其他非实时检测的复合规则也会造成延迟。如需了解详情，请参阅复合检测。

如需减少规则处理延迟时间，请执行以下操作：

尽可能使用近乎实时运行的单事件规则。
对于多事件规则，请设置尽可能小的窗口大小。

如需了解详情，请参阅信息中心的 YARA-L 2.0 查询示例。

用于监控规则处理延迟时间的 YARA-L 规则

以下 YARA-L 规则用于识别日志提取时间和检测创建时间之间的差值超过特定阈值的情况。使用该规则可识别检测流水线中的性能瓶颈。

在测试环境中部署此规则，以确定日志源的基准。

您可以将这些结果导出到信息中心，以直观呈现不同日志类型的延迟时间趋势。

该规则会将 metadata.event_timestamp（活动发生的时间）与 metadata.ingested_time（Google SecOps 收到日志的时间）进行比较。

rule rule_processing_latency_monitor {
  meta:
    author = "SecOps Engineering"
    description = "Alerts when the gap between ingestion and detection creation is greater than 15 minutes."
    severity = "Low"

  events:
    $event.metadata.event_timestamp.seconds = $event_ts
    $event.metadata.ingested_time.seconds = $ingest_ts
    
    // Calculate the delta in seconds
    $latency_delta = $ingest_ts - $event_ts

    // Threshold: 900 seconds (15 minutes)
    $latency_delta > 900

  match:
    $event.metadata.log_type over 1h

  outcome:
    $max_latency = max($latency_delta)
    $log_source = array_distinct($event.metadata.log_type)

  condition:
    $event
}

支持请求确认延迟时间（从检测创建到分配给分析师）

本部分不适用于使用 Google SecOps SIEM 独立平台的客户。

问题确认延迟时间是指从检测到问题并创建提醒到分析师在 SOAR 组件中确认提醒以进行分诊之间所经过的时间。

平均确认时间 (MTTA) 指标专门用于跟踪 SOC 团队对生成的提醒的响应效率。

为了缩短支持请求确认延迟时间，请优化提醒路由、调整和自动化（例如，使用 playbook 进行自动分配或丰富），以便快速将提醒移至分诊阶段。

后续步骤

如需了解规则重放（也称为清理运行）如何管理迟到的数据和上下文更新，以及这会如何影响 MTTD 指标，请参阅了解规则重放和 MTTD。
如需详细了解 Google SecOps 中的规则检测延迟、影响因素、问题排查以及减少延迟的技术，请参阅了解规则检测延迟。