Effektivität und Effizienz von Regeln analysieren

Unterstützt in:

Dieser Leitfaden richtet sich an Sicherheitsexperten, die Regeln in Google Security Operations erstellen, bereitstellen und überwachen. Darin wird beschrieben, wie Sie Regeln überwachen können, um sicherzustellen, dass sie wie vorgesehen funktionieren und nicht übermäßig viele Ressourcen verbrauchen. Dazu werden die Daten verwendet, die in Ihrer Google SecOps-Instanz verfügbar sind. Anhand dieser Daten können Sie verzögerte Erkennungen debuggen, die Auswirkungen von Enrichment-Daten, die spät eintreffen, auf Regeln nachvollziehen und ermitteln, für welche Regeln die höchste mittlere Zieldiagnosezeit (Mean Time To Diagnosis, MTTD) gilt.

Dieser Leitfaden enthält Dokumentation zu den folgenden Aufgaben:

  • Wie Sie eine Regel bei der ersten Veröffentlichung bewerten, Benachrichtigungen erhalten und das Regel-Dashboard aufrufen, um den Zustand der Regel zu überwachen.

  • Sie können die Ursache von Erkennungsverzögerungen ermitteln (z. B. ob sie auf eine verspätete Aufnahme oder eine ineffiziente Logik zurückzuführen sind) und entweder die Berichterstellung zur mittleren Erkennungszeit (Mean Time to Detect, MTTD) anpassen oder die Regel mit zusätzlichen Regelausschlüssen optimieren.

Hinweis

Um Regeln wie in diesem Dokument beschrieben aufzurufen und zu ändern, müssen Sie die Rolle „Chronicle API Editor“ haben. Weitere Informationen finden Sie unter Rollen und Berechtigungen in Google Security Operations.

Bevor Sie die Effektivität von Regeln in Google SecOps analysieren, sollten Sie sich mit der YARA-L-Sprache, YARA-L-Abfragen, dem Erstellen und Verwalten von Regeln und dem Erstellen von Dashboards vertraut machen:

Schlüsselterminologie

  • Regeln: Bedrohungen werden automatisch erkannt, wenn Protokolldaten in Ihr Google SecOps-Konto aufgenommen werden.
  • Kontingente: Beschränkungen für das Volumen der Datenaufnahme, die Anzahl und Komplexität der Abfragen, die Sie für Ihre Daten ausführen können, sowie die Anzahl und Komplexität der Regeln, die in Ihrem Google SecOps-Konto aktiv sind.
  • Warnungen und Erkennungen: Sicherheitsprobleme, die von Google SecOps und Ihrer eigenen Sicherheitsinfrastruktur erkannt wurden und Ihre Aufmerksamkeit erfordern.
  • Aufnahme: Prozess zum Importieren Ihrer Sicherheitsdaten in Google SecOps und zum Konvertieren in das UDM.
  • Regelwiederholungen: Automatisches erneutes Ausführen von Regeln für vorhandene Daten, wenn relevante Kontextdaten später als die ursprünglichen Ereignisdaten eintreffen oder verarbeitet werden.
  • Retrohunt: Wenden Sie neue Regeln auf vorhandene Daten an, um bisher unentdeckte Bedrohungen zu identifizieren.

Regeln analysieren

In den folgenden Abschnitten wird beschrieben, wie Sie die Leistung Ihrer Regeln analysieren.

Regeln nach der Bereitstellung testen und bewerten

Wenn Sie eine Regel zum ersten Mal in der Produktion bereitstellen, sollten Sie sie 24 bis 48 Stunden lang im Rule Observability-Dashboard beobachten:

  1. Dashboards aufrufen

  2. Suchen Sie nach Rule Observability.

  3. Suchen Sie in der Spalte Regel nach der neuen Regel. Das Dashboard Rule Observability (Regel-Observability) enthält Statistiken wie die Anzahl der erkannten Elemente, die Aufnahme-Latenz und die Zeit von der Aufnahme bis zur Erkennung.

Damit die Regellogik keine künstlichen Verzögerungen einführt, bevor sie mit dem Generieren von Benachrichtigungen mit hoher Priorität beginnt, können Sie die Schemareferenz für Erkennungen verwenden. Das Schema definiert das strukturierte Format, das zum Überwachen von Sicherheitswarnungen verwendet wird. Es ist für die Nachverfolgung der Erkennungshäufigkeit, der Risikoverteilung und der Regelleistung optimiert. Abfragebeispiele können Ihnen helfen, das Schema besser zu verstehen.

Grund für die Verzögerung des Regelergebnisses ermitteln

Führen Sie die folgenden Schritte aus, um festzustellen, ob die Regelergebnisse verzögert sind und, falls ja, warum:

  1. Rufen Sie ErkennungenWarnungen und IOCs auf.
  2. Suchen Sie auf dem Tab Benachrichtigungen nach der Spalte Erkennungstyp.
  3. Suchen Sie nach Benachrichtigungen mit einem gelben Glühbirnensymbol.
  4. Bewegen Sie den Mauszeiger auf das Symbol, um zu sehen, ob die Erkennung durch einen der folgenden Punkte ausgelöst wurde:
    • Regelneubearbeitung: Wird manuell von einem Nutzer ausgelöst.
    • Retrohunt: Wird manuell von einem Nutzer ausgelöst.
    • Verzögerte Ereignisdaten: Gibt an, ob eine Erkennungsverzögerung erwartet wird.

Benachrichtigungen nach Erkennungszeit filtern

  1. Rufen Sie ErkennungenWarnungen und IOCs auf.

  2. Verwenden Sie auf dem Tab Benachrichtigungen das Filterelement für die Spalte Erkennungszeit, um Erkennungen nach ihrer Ankunftszeit zu sortieren.

  3. Klicken Sie oben in der Tabelle auf das Aktualisierungssymbol  und dann auf Jetzt aktualisieren. Sie können die neuesten Benachrichtigungen in Ihrem Google SecOps-Konto und die mit jeder Benachrichtigung verknüpfte Regel (Spalte Regelname) sehen.

Metadaten untersuchen

Wenn Sie mehr darüber erfahren möchten, wie Ihre Regeln funktionieren, können Sie das JSON der Roherkennung mit latencyMetrics untersuchen, um den Unterschied zwischen oldestEventTime und oldestIngestionTime zu ermitteln.

Werte für die Erkennungszeit

In der folgenden Tabelle sind die Aufzählungswerte für DetectionTimingDetails aufgeführt:


Wert
Beschreibung
Auswirkungen der MTTD

UNSPECIFIED


Die Erkennung wurde innerhalb des standardmäßigen Planungszeitraums erstellt.
Grundwahrheit für MTTD.

REPROCESSING


Wird aufgrund einer Regelwiederholung generiert (z. B. bei verspätet eingehenden Daten).
Stellt das operationelle Risiko dar und sollte in Berichten berücksichtigt werden.

RETROHUNT


Wurde durch einen historischen Retrohunt-Lauf generiert.
Wird in der Regel aus Standardberichten zur durchschnittlichen Zeit bis zur Fehlerbehebung herausgefiltert.

Beispiel: latencyMetrics-Metadaten

Im folgenden Beispiel für latencyMetrics wird der Zeitunterschied zwischen dem Eintreten eines Ereignisses (oldestEventTime im Vergleich zu newestEventTime) und dem Zeitpunkt, zu dem das Ereignis aufgenommen wurde (oldestIngestionTime im Vergleich zu newestIngestionTime), veranschaulicht. Die Latenz zwischen dem Ereignis und der Aufnahme in das Google SecOps-Konto beträgt etwa 53 Minuten.

"detectionTimingDetails": ["DETECTION_TIMING_DETAILS_REPROCESSING"],
"latencyMetrics": {
  "oldestIngestionTime": "2025-12-09T16:54:14Z",
  "newestIngestionTime": "2025-12-09T16:54:14Z",
  "oldestEventTime": "2025-12-09T16:01:06Z",
  "newestEventTime": "2025-12-09T16:01:06Z"
}

Fehlerbehebung

In der folgenden Tabelle sind einige Probleme aufgeführt, die bei Ihren Regeln auftreten können, sowie Lösungsvorschläge.


Problem
Lösung

Glühbirnensymbol wird angezeigt, aber die Aufzählung ist UNSPECIFIED.
Das ist normal, wenn die Differenz zwischen Ereigniszeit und Aufnahmezeit mehr als 30 Minuten beträgt. Verwenden Sie die Messwerte im Data Health Hub, um die Ursache der Verzögerung bei der Aufnahme zu ermitteln.

Die Erkennung erfolgt spät im Vergleich zum Zeitpunkt des Ereignisses.
Prüfe die detectionTimingDetails. Wenn der Aufzählungswert REPROCESSING ist, ist die Verzögerung wahrscheinlich auf verspätet eingehende Anreicherungsdaten und nicht auf die Latenz bei der Regelausführung zurückzuführen. Wenn UNSPECIFIED, prüfen Sie die Effizienz der Regellogik.

Überschüssige Rechenleistung.
Die Regel scannt wahrscheinlich zu viele Daten oder hat eine ineffiziente Logik. Rufen Sie Regelausschlüsse auf oder verwenden Sie Filter-Offloading, um die Regel so anzupassen, dass die Datensuche eingeschränkt wird.

Bekannte Einschränkungen

  • Strenge des Schwellenwerts:Der visuelle Hinweis für verspätete Daten ist auf einen Schwellenwert von 30 Minuten festgelegt und berücksichtigt keine benutzerdefinierten Latenzzeiträume.
  • Datenintegrität:Die Beobachtbarkeit von Regeln gibt Aufschluss über die Integrität von Regeln. Die Überwachung der Datenintegrität (näher an der Erfassung) ist jedoch effektiver, um allgemeine Probleme mit verspätet eingehenden Daten zu erkennen.
  • Kontingentdurchsetzung:Im Dashboard wird die Ressourcennutzung angezeigt, aber es werden keine Echtzeitbenachrichtigungen gesendet, wenn Regeln sich einem Kontingentlimit nähern.

Nächste Schritte

Weitere Informationen zu Regelwiederholungen und Verzögerungen bei der Erkennung von Regeln finden Sie hier:

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten