Monitorare il rendimento delle regole
Questa guida è destinata agli ingegneri della sicurezza che creano, eseguono il deployment e monitorano le regole in Google Security Operations. Spiega come monitorare le regole per assicurarsi che funzionino come previsto e non consumino risorse in modo eccessivo utilizzando i dati disponibili nell'istanza Google SecOps. Questi dati ti aiutano a eseguire il debug dei rilevamenti ritardati, comprendere l'impatto dei dati di arricchimento in arrivo in ritardo sulle regole e identificare le regole con il tempo medio di rilevamento (MTTD) più elevato.
Questa guida fornisce la documentazione sulle seguenti attività:
Come valutare una regola durante il rilascio iniziale, ricevere avvisi e controllare la dashboard delle regole per monitorarne l'integrità.
Come identificare la causa di eventuali ritardi nel rilevamento (ad esempio, se sono dovuti a un'importazione tardiva o a una logica inefficiente) e modificare i report sul tempo medio di rilevamento (MTTD) o ottimizzare la regola con ulteriori esclusioni dalle regole.
Prima di iniziare
Per visualizzare e modificare le regole come descritto in questo documento, devi avere il ruolo di editor dell'API Chronicle. Per saperne di più, consulta Ruoli e autorizzazioni di Google Security Operations.
Prima di analizzare l'efficacia delle regole in Google SecOps, devi acquisire una buona conoscenza del linguaggio YARA-L, delle query YARA-L, di come creare e gestire le regole e di come creare i dashboard:
- YARA-L
- Creare query YARA-L
- Creare e gestire le regole
- Creazione di dashboard basate su query e regole YARA-L
Terminologia chiave
- Regole: identifica automaticamente le minacce man mano che i dati di log vengono inseriti nel tuo account Google SecOps.
- Quote: limiti al volume di importazione dati, al numero e alla complessità delle query che puoi eseguire sui tuoi dati e al numero e alla complessità delle regole attive nel tuo account Google SecOps.
- Avvisi e rilevamenti: problemi di sicurezza identificati da Google SecOps e dalla tua infrastruttura di sicurezza che richiedono la tua attenzione.
- Importazione: processo di importazione dei dati di sicurezza in Google SecOps e conversione in UDM.
- Riproduzioni delle regole: ripetizioni automatiche delle regole rispetto ai dati esistenti nel caso in cui i dati di contesto pertinenti arrivino o vengano elaborati in un secondo momento rispetto ai dati iniziali dell'evento.
- Retrohunt: applica nuove regole ai dati esistenti per identificare minacce precedentemente non scoperte.
Come analizzare le regole
Le sezioni seguenti descrivono come analizzare il rendimento delle regole.
Testare e valutare le regole dopo il deployment
Quando esegui il deployment di una regola in produzione per la prima volta, monitorala nella dashboard Rule Observability per 24-48 ore:
Vai a Dashboard
Cerca
Rule Observability.Cerca la nuova regola nella colonna Regola. La dashboard Osservabilità delle regole include statistiche come il conteggio dei rilevamenti, la latenza di importazione e il tempo che intercorre tra l'importazione e il rilevamento.
Per assicurarti che la logica della regola non introduca ritardi artificiali prima di iniziare a generare avvisi di priorità alta, puoi utilizzare il riferimento allo schema per i rilevamenti. Lo schema definisce il formato strutturato utilizzato per monitorare gli avvisi di sicurezza. È ottimizzato per il monitoraggio della frequenza di rilevamento, della distribuzione del rischio e delle prestazioni delle regole. Per capire meglio come utilizzare lo schema, dai un'occhiata agli Esempi di query.
Identifica il motivo del ritardo del risultato della regola
Per determinare se i risultati delle regole sono ritardati e, in caso affermativo, perché, completa i seguenti passaggi:
- Vai a Rilevamenti > Avvisi e IOC.
- Nella scheda Avvisi, trova la colonna Tipo di rilevamento.
- Cerca gli avvisi con un'icona a forma di lampadina gialla.
- Passa il mouse sopra l'icona per vedere se il rilevamento è stato attivato da uno dei seguenti elementi:
- Rielaborazione delle regole: attivata manualmente da un utente.
- RetroHunt: attivato manualmente da un utente.
- Dati sugli eventi ritardati: indica se è previsto un ritardo nel rilevamento.
Filtrare gli avvisi in base all'ora di rilevamento
Vai a Rilevamenti > Avvisi e IOC.
Nella scheda Avvisi, utilizza l'elemento filtro per la colonna Ora di rilevamento per ordinare i rilevamenti in base all'ora di arrivo.
Fai clic sull'icona di aggiornamento nella parte superiore della tabella e poi su Aggiorna ora. Puoi visualizzare gli avvisi più recenti che arrivano nel tuo account Google SecOps e la regola associata a ogni avviso (controlla la colonna Nome regola).
Esaminare i metadati
Per ulteriori informazioni sul rendimento delle regole, puoi esaminare il codice JSON di rilevamento non elaborato utilizzando latencyMetrics per trovare la differenza tra oldestEventTime e oldestIngestionTime.
Valori di temporizzazione del rilevamento
La tabella seguente elenca i valori enumerati associati a
DetectionTimingDetails:
Valore |
Descrizione |
Impatto del tempo medio di rilevamento |
|---|---|---|
|
Rilevamento creato all'interno della finestra di programmazione standard. |
Dati di riferimento per MTTD. |
|
Generato a causa di una riproduzione della regola (ad esempio, dati in arrivo in ritardo). |
Rappresenta il rischio operativo e deve essere preso in considerazione nei report. |
|
Generato tramite l'esecuzione di una retrocaccia storica. |
In genere vengono esclusi dai report standard sul tempo medio di rilevamento. |
Esempio: metadati latencyMetrics
Il seguente
latencyMetrics
esempio mostra la differenza di tempo tra il momento in cui si è verificato un evento
(oldestEventTime rispetto a newestEventTime) e il momento in cui l'evento è stato importato
(oldestIngestionTime rispetto a newestIngestionTime). La latenza tra l'evento e l'importazione nell'account Google SecOps è di circa
53 minuti.
"detectionTimingDetails": ["DETECTION_TIMING_DETAILS_REPROCESSING"],
"latencyMetrics": {
"oldestIngestionTime": "2025-12-09T16:54:14Z",
"newestIngestionTime": "2025-12-09T16:54:14Z",
"oldestEventTime": "2025-12-09T16:01:06Z",
"newestEventTime": "2025-12-09T16:01:06Z"
}
|
|---|
Risoluzione dei problemi
La seguente tabella elenca alcuni dei problemi che potresti riscontrare con le regole e come risolverli:
Problema |
Risoluzione |
|---|---|
Viene visualizzata l'icona della lampadina, ma l'enumerazione è UNSPECIFIED. |
Si tratta di un comportamento normale quando il delta tra l'ora dell'evento e l'ora di importazione supera i 30 minuti. Utilizza le metriche dell'hub di integrità dei dati per esaminare l'origine del ritardo di importazione. |
Il rilevamento avviene in ritardo rispetto all'ora dell'evento. |
Controlla detectionTimingDetails. Se il valore di enumerazione è REPROCESSING, il ritardo è probabilmente dovuto ai dati di arricchimento in arrivo in ritardo anziché alla latenza di esecuzione delle regole. Se UNSPECIFIED, esamina l'efficienza della logica della regola. |
Calcolo in eccesso. |
La regola probabilmente analizza troppi dati o ha una logica inefficiente. Vai a Esclusioni regole o utilizza Filter Offloading per perfezionare la regola e restringere la ricerca dei dati. |
Limitazioni note
- Rigidità della soglia:l'indicatore visivo per i dati in ritardo è fissato a una soglia di 30 minuti e non tiene conto delle finestre di latenza definite dall'utente.
- Integrità dei dati:l'osservabilità delle regole informa sull'integrità delle regole, ma il monitoraggio dell'integrità dei dati (più vicino all'importazione) è più efficace per rilevare problemi generali di dati in ritardo.
- Applicazione delle quote:anche se la dashboard mostra l'utilizzo delle risorse, non fornisce notifiche in tempo reale quando le regole si avvicinano a un limite di quota.
Passaggi successivi
Per informazioni sulle ripetizioni delle regole e sui ritardi nel rilevamento delle regole, vedi quanto segue:
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.