Monitorare il rendimento delle regole

Supportato in:

Questa guida è destinata agli ingegneri della sicurezza che creano, eseguono il deployment e monitorano le regole in Google Security Operations. Spiega come monitorare le regole per assicurarsi che funzionino come previsto e non consumino risorse in modo eccessivo utilizzando i dati disponibili nell'istanza Google SecOps. Questi dati ti aiutano a eseguire il debug dei rilevamenti ritardati, comprendere l'impatto dei dati di arricchimento in arrivo in ritardo sulle regole e identificare le regole con il tempo medio di rilevamento (MTTD) più elevato.

Questa guida fornisce la documentazione sulle seguenti attività:

  • Come valutare una regola durante il rilascio iniziale, ricevere avvisi e controllare la dashboard delle regole per monitorarne l'integrità.

  • Come identificare la causa di eventuali ritardi nel rilevamento (ad esempio, se sono dovuti a un'importazione tardiva o a una logica inefficiente) e modificare i report sul tempo medio di rilevamento (MTTD) o ottimizzare la regola con ulteriori esclusioni dalle regole.

Prima di iniziare

Per visualizzare e modificare le regole come descritto in questo documento, devi avere il ruolo di editor dell'API Chronicle. Per saperne di più, consulta Ruoli e autorizzazioni di Google Security Operations.

Prima di analizzare l'efficacia delle regole in Google SecOps, devi acquisire una buona conoscenza del linguaggio YARA-L, delle query YARA-L, di come creare e gestire le regole e di come creare i dashboard:

Terminologia chiave

  • Regole: identifica automaticamente le minacce man mano che i dati di log vengono inseriti nel tuo account Google SecOps.
  • Quote: limiti al volume di importazione dati, al numero e alla complessità delle query che puoi eseguire sui tuoi dati e al numero e alla complessità delle regole attive nel tuo account Google SecOps.
  • Avvisi e rilevamenti: problemi di sicurezza identificati da Google SecOps e dalla tua infrastruttura di sicurezza che richiedono la tua attenzione.
  • Importazione: processo di importazione dei dati di sicurezza in Google SecOps e conversione in UDM.
  • Riproduzioni delle regole: ripetizioni automatiche delle regole rispetto ai dati esistenti nel caso in cui i dati di contesto pertinenti arrivino o vengano elaborati in un secondo momento rispetto ai dati iniziali dell'evento.
  • Retrohunt: applica nuove regole ai dati esistenti per identificare minacce precedentemente non scoperte.

Come analizzare le regole

Le sezioni seguenti descrivono come analizzare il rendimento delle regole.

Testare e valutare le regole dopo il deployment

Quando esegui il deployment di una regola in produzione per la prima volta, monitorala nella dashboard Rule Observability per 24-48 ore:

  1. Vai a Dashboard

  2. Cerca Rule Observability.

  3. Cerca la nuova regola nella colonna Regola. La dashboard Osservabilità delle regole include statistiche come il conteggio dei rilevamenti, la latenza di importazione e il tempo che intercorre tra l'importazione e il rilevamento.

Per assicurarti che la logica della regola non introduca ritardi artificiali prima di iniziare a generare avvisi di priorità alta, puoi utilizzare il riferimento allo schema per i rilevamenti. Lo schema definisce il formato strutturato utilizzato per monitorare gli avvisi di sicurezza. È ottimizzato per il monitoraggio della frequenza di rilevamento, della distribuzione del rischio e delle prestazioni delle regole. Per capire meglio come utilizzare lo schema, dai un'occhiata agli Esempi di query.

Identifica il motivo del ritardo del risultato della regola

Per determinare se i risultati delle regole sono ritardati e, in caso affermativo, perché, completa i seguenti passaggi:

  1. Vai a Rilevamenti > Avvisi e IOC.
  2. Nella scheda Avvisi, trova la colonna Tipo di rilevamento.
  3. Cerca gli avvisi con un'icona a forma di lampadina gialla.
  4. Passa il mouse sopra l'icona per vedere se il rilevamento è stato attivato da uno dei seguenti elementi:
    • Rielaborazione delle regole: attivata manualmente da un utente.
    • RetroHunt: attivato manualmente da un utente.
    • Dati sugli eventi ritardati: indica se è previsto un ritardo nel rilevamento.

Filtrare gli avvisi in base all'ora di rilevamento

  1. Vai a Rilevamenti > Avvisi e IOC.

  2. Nella scheda Avvisi, utilizza l'elemento filtro per la colonna Ora di rilevamento per ordinare i rilevamenti in base all'ora di arrivo.

  3. Fai clic sull'icona di aggiornamento nella parte superiore della tabella e poi su Aggiorna ora. Puoi visualizzare gli avvisi più recenti che arrivano nel tuo account Google SecOps e la regola associata a ogni avviso (controlla la colonna Nome regola).

Esaminare i metadati

Per ulteriori informazioni sul rendimento delle regole, puoi esaminare il codice JSON di rilevamento non elaborato utilizzando latencyMetrics per trovare la differenza tra oldestEventTime e oldestIngestionTime.

Valori di temporizzazione del rilevamento

La tabella seguente elenca i valori enumerati associati a DetectionTimingDetails:


Valore

Descrizione

Impatto del tempo medio di rilevamento

UNSPECIFIED


Rilevamento creato all'interno della finestra di programmazione standard.

Dati di riferimento per MTTD.

REPROCESSING


Generato a causa di una riproduzione della regola (ad esempio, dati in arrivo in ritardo).

Rappresenta il rischio operativo e deve essere preso in considerazione nei report.

RETROHUNT


Generato tramite l'esecuzione di una retrocaccia storica.

In genere vengono esclusi dai report standard sul tempo medio di rilevamento.

Esempio: metadati latencyMetrics

Il seguente latencyMetrics esempio mostra la differenza di tempo tra il momento in cui si è verificato un evento (oldestEventTime rispetto a newestEventTime) e il momento in cui l'evento è stato importato (oldestIngestionTime rispetto a newestIngestionTime). La latenza tra l'evento e l'importazione nell'account Google SecOps è di circa 53 minuti.

"detectionTimingDetails": ["DETECTION_TIMING_DETAILS_REPROCESSING"],
"latencyMetrics": {
  "oldestIngestionTime": "2025-12-09T16:54:14Z",
  "newestIngestionTime": "2025-12-09T16:54:14Z",
  "oldestEventTime": "2025-12-09T16:01:06Z",
  "newestEventTime": "2025-12-09T16:01:06Z"
}

Risoluzione dei problemi

La seguente tabella elenca alcuni dei problemi che potresti riscontrare con le regole e come risolverli:


Problema

Risoluzione

Viene visualizzata l'icona della lampadina, ma l'enumerazione è UNSPECIFIED.

Si tratta di un comportamento normale quando il delta tra l'ora dell'evento e l'ora di importazione supera i 30 minuti. Utilizza le metriche dell'hub di integrità dei dati per esaminare l'origine del ritardo di importazione.

Il rilevamento avviene in ritardo rispetto all'ora dell'evento.

Controlla detectionTimingDetails. Se il valore di enumerazione è REPROCESSING, il ritardo è probabilmente dovuto ai dati di arricchimento in arrivo in ritardo anziché alla latenza di esecuzione delle regole. Se UNSPECIFIED, esamina l'efficienza della logica della regola.

Calcolo in eccesso.

La regola probabilmente analizza troppi dati o ha una logica inefficiente. Vai a Esclusioni regole o utilizza Filter Offloading per perfezionare la regola e restringere la ricerca dei dati.

Limitazioni note

  • Rigidità della soglia:l'indicatore visivo per i dati in ritardo è fissato a una soglia di 30 minuti e non tiene conto delle finestre di latenza definite dall'utente.
  • Integrità dei dati:l'osservabilità delle regole informa sull'integrità delle regole, ma il monitoraggio dell'integrità dei dati (più vicino all'importazione) è più efficace per rilevare problemi generali di dati in ritardo.
  • Applicazione delle quote:anche se la dashboard mostra l'utilizzo delle risorse, non fornisce notifiche in tempo reale quando le regole si avvicinano a un limite di quota.

Passaggi successivi

Per informazioni sulle ripetizioni delle regole e sui ritardi nel rilevamento delle regole, vedi quanto segue:

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.