Monitorare il rendimento delle regole

Supportato in:

Questa guida è destinata agli ingegneri della sicurezza che creano, eseguono il deployment e monitorano le regole in Google Security Operations. Spiega come monitorare le regole per assicurarsi che funzionino come previsto e non consumino risorse in modo eccessivo utilizzando i dati disponibili nell'istanza Google SecOps. Questi dati ti aiutano a eseguire il debug dei rilevamenti ritardati, comprendere l'impatto dei dati di arricchimento in arrivo in ritardo sulle regole e identificare le regole con il tempo medio di rilevamento (MTTD) più elevato.

Questa guida fornisce la documentazione sulle seguenti attività:

  • Come valutare una regola durante il rilascio iniziale, ricevere avvisi e controllare la dashboard delle regole per monitorarne l'integrità.

  • Come identificare la causa di eventuali ritardi nel rilevamento (ad esempio, se sono dovuti a un'importazione tardiva o a una logica inefficiente) e modificare i report sul tempo medio di rilevamento (MTTD) o ottimizzare la regola con ulteriori esclusioni dalle regole.

Prima di iniziare

Per visualizzare e modificare le regole come descritto in questo documento, devi avere il ruolo di editor dell'API Chronicle. Per saperne di più, consulta Ruoli e autorizzazioni di Google Security Operations.

Prima di analizzare l'efficacia delle regole in Google SecOps, devi acquisire una buona conoscenza del linguaggio YARA-L, delle query YARA-L, di come creare e gestire le regole e di come creare i dashboard:

Terminologia chiave

  • Regole: identifica automaticamente le minacce man mano che i dati di log vengono inseriti nel tuo account Google SecOps.
  • Quote: limiti al volume di importazione dati, al numero e alla complessità delle query che puoi eseguire sui tuoi dati e al numero e alla complessità delle regole attive nel tuo account Google SecOps.
  • Avvisi e rilevamenti: problemi di sicurezza identificati da Google SecOps e dalla tua infrastruttura di sicurezza che richiedono la tua attenzione.
  • Importazione: processo di importazione dei dati di sicurezza in Google SecOps e conversione in UDM.
  • Riproduzioni delle regole: ripetizioni automatiche delle regole rispetto ai dati esistenti nel caso in cui i dati di contesto pertinenti arrivino o vengano elaborati in un secondo momento rispetto ai dati iniziali dell'evento.
  • Retrohunt: applica nuove regole ai dati esistenti per identificare minacce precedentemente non scoperte.

Come analizzare le regole

Le sezioni seguenti descrivono come analizzare il rendimento delle regole.

Testare e valutare le regole dopo il deployment

Quando esegui il deployment di una regola in produzione per la prima volta, monitorala nella dashboard Rule Observability per 24-48 ore:

  1. Vai a Dashboard

  2. Cerca Rule Observability.

  3. Cerca la nuova regola nella colonna Regola. La dashboard Osservabilità delle regole include statistiche come il conteggio dei rilevamenti, la latenza di importazione e il tempo che intercorre tra l'importazione e il rilevamento.

Per assicurarti che la logica della regola non introduca ritardi artificiali prima di iniziare a generare avvisi di priorità alta, puoi utilizzare il riferimento allo schema per i rilevamenti. Lo schema definisce il formato strutturato utilizzato per monitorare gli avvisi di sicurezza. È ottimizzato per il monitoraggio della frequenza di rilevamento, della distribuzione del rischio e delle prestazioni delle regole. Per capire meglio come utilizzare lo schema, dai un'occhiata agli Esempi di query.

Identifica il motivo del ritardo del risultato della regola

Per determinare se i risultati delle regole sono ritardati e, in caso affermativo, perché, completa i seguenti passaggi:

  1. Vai a Rilevamenti > Avvisi e IOC.
  2. Nella scheda Avvisi, trova la colonna Tipo di rilevamento.
  3. Cerca gli avvisi con un'icona a forma di lampadina gialla.
  4. Passa il mouse sopra l'icona per vedere se il rilevamento è stato attivato da uno dei seguenti elementi:
    • Rielaborazione della regola: generato a causa di una riproduzione della regola
    • RetroHunt: attivato manualmente da un utente.
    • Dati sugli eventi ritardati: generati a causa di una riproduzione di regole specificamente a causa di dati in arrivo in ritardo.

Per una descrizione più dettagliata dei rilevamenti creati a causa del rielaborazione delle regole, vedi Riproduzioni delle regole.

Filtrare gli avvisi in base all'ora di rilevamento

  1. Vai a Rilevamenti > Avvisi e IOC.

  2. Nella scheda Avvisi, utilizza l'elemento filtro per la colonna Ora di rilevamento per ordinare i rilevamenti in base all'ora di arrivo.

  3. Fai clic sull'icona di aggiornamento nella parte superiore della tabella e poi su Aggiorna ora. Puoi visualizzare gli avvisi più recenti che arrivano nel tuo account Google SecOps e la regola associata a ogni avviso (controlla la colonna Nome regola).

Esaminare i metadati

Per ulteriori informazioni sul rendimento delle regole, puoi esaminare il codice JSON di rilevamento non elaborato utilizzando latencyMetrics per trovare la differenza tra oldestEventTime e oldestIngestionTime.

Valori di temporizzazione del rilevamento

La tabella seguente elenca i valori enumerati associati a DetectionTimingDetails:


Valore

Descrizione

Impatto del tempo medio di rilevamento

UNSPECIFIED


Rilevamento creato all'interno della finestra di pianificazione standard.

Dati di riferimento per MTTD.

REPROCESSING


Generato a causa di una riproduzione della regola (ad esempio, dati in arrivo in ritardo).

Rappresenta il rischio operativo e deve essere preso in considerazione nei report.

RETROHUNT


Generato tramite l'esecuzione di una retrocaccia storica.

In genere vengono esclusi dai report standard sul tempo medio di rilevamento.

Esempio: metadati latencyMetrics

Il seguente latencyMetrics esempio mostra la differenza di tempo tra il momento in cui si è verificato un evento (oldestEventTime rispetto a newestEventTime) e il momento in cui l'evento è stato importato (oldestIngestionTime rispetto a newestIngestionTime). La latenza tra l'evento e l'importazione nell'account Google SecOps è di circa 53 minuti.

"detectionTimingDetails": ["DETECTION_TIMING_DETAILS_REPROCESSING"],
"latencyMetrics": {
  "oldestIngestionTime": "2025-12-09T16:54:14Z",
  "newestIngestionTime": "2025-12-09T16:54:14Z",
  "oldestEventTime": "2025-12-09T16:01:06Z",
  "newestEventTime": "2025-12-09T16:01:06Z"
}

Risoluzione dei problemi

La seguente tabella elenca alcuni dei problemi che potresti riscontrare con le regole e come risolverli:


Problema

Risoluzione

Viene visualizzata l'icona della lampadina, ma l'enumerazione è UNSPECIFIED.

Si tratta di un comportamento normale quando il delta tra l'ora dell'evento e l'ora di importazione supera i 30 minuti. Utilizza le metriche dell'hub di integrità dei dati per esaminare l'origine del ritardo di importazione.

Il rilevamento avviene in ritardo rispetto all'ora dell'evento.

Controlla detectionTimingDetails. Se il valore di enumerazione è REPROCESSING, il ritardo è probabilmente dovuto a dati di arricchimento in arrivo in ritardo anziché alla latenza di esecuzione delle regole. Se UNSPECIFIED, esamina l'efficienza della logica della regola.

Calcolo in eccesso.

È probabile che la regola esamini troppi dati o abbia una logica inefficiente. Vai a Esclusioni regole o utilizza Filter Offloading per perfezionare la regola e restringere la ricerca dei dati.

Limitazioni note

  • Rigidità della soglia:l'indicatore visivo per i dati in ritardo è fissato a una soglia di 30 minuti e non tiene conto delle finestre di latenza definite dall'utente.
  • Integrità dei dati:l'osservabilità delle regole informa sull'integrità delle regole, ma il monitoraggio dell'integrità dei dati (più vicino all'importazione) è più efficace per rilevare problemi generali di dati in ritardo.
  • Applicazione delle quote:mentre la dashboard mostra l'utilizzo delle risorse, non fornisce notifiche in tempo reale quando le regole si avvicinano a un limite di quota.

Passaggi successivi

Per informazioni sulle ripetizioni delle regole e sui ritardi nel rilevamento delle regole, vedi quanto segue:

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.