Surveiller les performances des règles
Ce guide est destiné aux ingénieurs en sécurité qui créent, déploient et surveillent des règles dans Google Security Operations. Il explique comment surveiller les règles pour s'assurer qu'elles fonctionnent comme prévu et qu'elles ne consomment pas de ressources de manière excessive à l'aide des données disponibles dans votre instance Google SecOps. Ces données vous aident à déboguer les détections retardées, à comprendre l'impact des données d'enrichissement arrivant en retard sur les règles et à identifier les règles dont le délai moyen de détection (MTTD) est le plus élevé.
Ce guide fournit de la documentation sur les tâches suivantes :
Comment évaluer une règle lors de sa publication initiale, recevoir des alertes et consulter le tableau de bord des règles pour surveiller son état
Comment identifier la cause des retards de détection (par exemple, s'ils sont dus à une ingestion tardive ou à une logique inefficace) et ajuster le reporting du délai moyen de détection (MTTD) ou ajuster la règle avec des exclusions de règles supplémentaires
Avant de commencer
Pour afficher et modifier les règles comme décrit dans ce document, vous devez être un éditeur de l'API Chronicle. Pour en savoir plus, consultez Google Security Operations rôles et autorisations.
Avant d'analyser l'efficacité des règles dans Google SecOps, vous devez bien comprendre le langage YARA-L, les requêtes YARA-L, comment créer et gérer des règles, et comment créer des tableaux de bord :
- YARA-L
- Créer des requêtes YARA-L
- Créer et gérer des règles
- Créer des tableaux de bord basés sur des requêtes et des règles YARA-L
Terminologie clé
- Règles : identifient automatiquement les menaces lorsque les données de journaux sont ingérées dans votre compte Google SecOps.
- Quotas : limites concernant le volume d'ingestion de données, le nombre et la complexité des requêtes que vous pouvez exécuter sur vos données, ainsi que le nombre et la complexité des règles actives dans votre compte Google SecOps.
- Alertes et détections : problèmes de sécurité identifiés par Google SecOps et votre propre infrastructure de sécurité qui nécessitent votre attention.
- Ingestion : processus d'importation de vos données de sécurité dans Google SecOps et de conversion au format UDM.
- Relectures de règles : réexécutions automatiques de règles sur des données existantes dans le cas où des données de contexte pertinentes arrivent ou sont traitées après les données d'événement initiales.
- RetroHunt : application de nouvelles règles à des données existantes pour identifier des menaces précédemment non découvertes.
Analyser les règles
Les sections suivantes décrivent comment analyser les performances de vos règles.
Tester et évaluer les règles après le déploiement
Lorsque vous déployez une règle en production pour la première fois, surveillez-la dans le tableau de bord Rule Observability pendant 24 à 48 heures :
Accédez à Tableaux de bord.
Recherchez
Rule Observability.Recherchez la nouvelle règle dans la colonne Rule (Règle). Le tableau de bord Rule Observability inclut des statistiques telles que le nombre de détections, la latence d'ingestion et le délai entre l'ingestion et la détection.
Pour vous assurer que la logique de la règle n'introduit pas de retards artificiels avant de commencer à générer des alertes de haute priorité, vous pouvez utiliser la référence de schéma pour les détections. Le schéma définit le format structuré utilisé pour surveiller les alertes de sécurité. Il est optimisé pour le suivi de la fréquence de détection, de la répartition des risques et des performances des règles. Vous pouvez mieux comprendre comment utiliser le schéma en examinant de près les exemples de requêtes.
Identifier la raison du retard des résultats de la règle
Procédez comme suit pour déterminer si les résultats de la règle sont retardés et, le cas échéant, pourquoi :
- Accédez à Détections > Alertes et IOC.
- Dans l'onglet Alertes, recherchez la colonne Type de détection.
- Recherchez les alertes avec une icône d'ampoule jaune.
- Pointez sur l'icône pour voir si la détection a été déclenchée par l'un des éléments suivants :
- Retraitement des règles : généré en raison d'une relecture de règle
- RetroHunt : déclenché manuellement par un utilisateur.
- Données d'événement retardées : générées en raison d'une relecture de règle, en particulier en raison de données arrivant en retard.
Pour obtenir une description plus détaillée des détections créées en raison du retraitement des règles, consultez Relectures de règles.
Filtrer les alertes en fonction de l'heure de détection
Accédez à Détections > Alertes et IOC.
Dans l'onglet Alertes, utilisez l'élément de filtre de la colonne Heure de détection pour trier les détections en fonction de leur heure d'arrivée.
Cliquez sur l'icône d'actualisation en haut du tableau, puis sur Actualiser maintenant. Vous pouvez voir les dernières alertes arrivant dans votre compte Google SecOps et la règle associée à chaque alerte (consultez la colonne Nom de la règle).
Examiner les métadonnées
Pour mieux comprendre les performances de vos règles, vous pouvez inspecter le
JSON de détection brut à l'aide de
latencyMetrics afin de trouver la différence entre le oldestEventTime
et leoldestIngestionTime.
Valeurs de timing de détection
Le tableau suivant répertorie les valeurs énumérées associées à
DetectionTimingDetails :
Valeur |
Description |
Impact sur le MTTD |
|---|---|---|
|
Détection créée dans la fenêtre de planification standard. |
Vérité terrain pour le MTTD. |
|
Généré en raison d'une relecture de règle (par exemple, données arrivant en retard). |
Représente le risque opérationnel ; doit être pris en compte dans les rapports. |
|
Généré par une exécution historique de RetroHunt. |
Généralement filtré du reporting MTTD standard. |
Exemple : métadonnées latencyMetrics
L'exemple
latencyMetrics
suivant montre la différence de temps entre le moment où un événement s'est produit
(oldestEventTime par rapport à newestEventTime) et le moment où l'événement a été ingéré
(oldestIngestionTime par rapport à newestIngestionTime). La latence entre l'événement
et l'ingestion dans le compte Google SecOps est d'environ
53 minutes.
"detectionTimingDetails": ["DETECTION_TIMING_DETAILS_REPROCESSING"],
"latencyMetrics": {
"oldestIngestionTime": "2025-12-09T16:54:14Z",
"newestIngestionTime": "2025-12-09T16:54:14Z",
"oldestEventTime": "2025-12-09T16:01:06Z",
"newestEventTime": "2025-12-09T16:01:06Z"
}
|
|---|
Dépannage
Le tableau suivant répertorie certains des problèmes que vous pouvez rencontrer avec vos règles et comment les résoudre :
Problème |
Résolution |
|---|---|
L'icône d'ampoule s'affiche, mais l'énumération est UNSPECIFIED. |
Il s'agit d'un comportement normal lorsque le delta entre l'heure de l'événement et l'heure d'ingestion dépasse 30 minutes. Utilisez les métriques du Data Health Hub pour examiner la source du retard d'ingestion. |
La détection apparaît tardivement par rapport à l'heure de l'événement. |
Vérifiez detectionTimingDetails. Si la valeur d'énumération est REPROCESSING, le retard est probablement dû à des données d'enrichissement arrivant en retard plutôt qu'à une latence d'exécution de la règle. Si la valeur est UNSPECIFIED, examinez l'efficacité de la logique de la règle. |
Calcul excessif. |
La règle analyse probablement trop de données ou sa logique est inefficace. Accédez à Exclusions de règles ou utilisez Déchargement de filtres pour ajuster la règle afin de limiter sa recherche de données. |
Limitations connues
- Rigidité du seuil : l'indicateur visuel pour les données tardives est fixé à un seuil de 30 minutes et ne tient pas compte des fenêtres de latence définies par l'utilisateur.
- Intégrité des données : l'observabilité des règles informe sur l'état des règles, mais la surveillance de l'intégrité des données (plus proche de l'ingestion) est plus efficace pour détecter les problèmes généraux de données arrivant en retard.
- Application des quotas : bien que le tableau de bord affiche l'utilisation des ressources, il ne fournit pas de notifications en temps réel lorsque les règles approchent d'une limite de quota.
Étape suivante
Pour en savoir plus sur les relectures de règles et les retards de détection des règles, consultez les pages suivantes :
Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels de Google SecOps.