Supervisa el rendimiento de las reglas

Compatible con:

Esta guía está dirigida a los ingenieros de seguridad que crean, implementan y supervisan reglas en Google Security Operations. Explica cómo supervisar las reglas para garantizar que funcionen según lo previsto y que no consuman recursos en exceso con los datos disponibles en tu instancia de Google SecOps. Estos datos te ayudan a depurar las detecciones retrasadas, comprender el impacto de los datos de enriquecimiento que llegan tarde en las reglas y determinar qué reglas tienen el tiempo promedio de detección (MTTD) más alto.

En esta guía, se proporciona documentación sobre las siguientes tareas:

  • Cómo evaluar una regla durante su lanzamiento inicial, recibir alertas y consultar el Panel de reglas para supervisar su estado

  • Cómo identificar la causa de las demoras en la detección (por ejemplo, si se debió a una incorporación tardía o a una lógica ineficiente) y ajustar los informes del tiempo medio de detección (MTTD) o ajustar la regla con exclusiones de reglas adicionales

Antes de comenzar

Para ver y modificar reglas como se describe en este documento, debes ser editor de la API de Chronicle. Para obtener más información, consulta Roles y permisos de Google Security Operations.

Antes de analizar la eficacia de las reglas en Google SecOps, debes comprender bien el lenguaje YARA-L, las consultas de YARA-L, cómo crear y administrar reglas, y cómo crear paneles:

Terminología clave

  • Reglas: Identifican amenazas automáticamente a medida que los datos de registro se transfieren a tu cuenta de Google SecOps.
  • Cuotas: Límites en el volumen de transferencia de datos, la cantidad y la complejidad de las consultas que puedes ejecutar en tus datos, y la cantidad y la complejidad de las reglas que tienes activas en tu cuenta de Google SecOps.
  • Alertas y detecciones: Problemas de seguridad identificados por Google SecOps y tu propia infraestructura de seguridad que requieren tu atención.
  • Transferencia: Proceso de importar tus datos de seguridad a Google SecOps y convertirlos al UDM.
  • Repeticiones de reglas: Vuelven a ejecutar automáticamente las reglas en los datos existentes en caso de que los datos de contexto pertinentes lleguen o se procesen más tarde que los datos del evento inicial.
  • Retrohunt: Aplica reglas nuevas a los datos existentes para identificar amenazas que no se habían descubierto antes.

Cómo analizar reglas

En las siguientes secciones, se describe cómo analizar el rendimiento de tus reglas.

Prueba y evalúa las reglas después de la implementación

Cuando implementes una regla en producción por primera vez, supervisa el panel Rule Observability durante 24 a 48 horas:

  1. Navega a Paneles.

  2. Busca Rule Observability.

  3. Busca la regla nueva en la columna Regla. El panel Observabilidad de reglas incluye estadísticas como el recuento de detecciones, la latencia de la transferencia y el tiempo transcurrido desde la transferencia hasta la detección.

Para asegurarte de que la lógica de la regla no introduzca demoras artificiales antes de comenzar a generar alertas de alta prioridad, puedes usar la referencia del esquema para las detecciones. El esquema define el formato estructurado que se usa para supervisar las alertas de seguridad. Está optimizado para hacer un seguimiento de la frecuencia de detección, la distribución del riesgo y el rendimiento de las reglas. Para comprender mejor cómo usar el esquema, observa detenidamente los ejemplos de consultas.

Identifica el motivo del retraso en el resultado de la regla

Completa los siguientes pasos para determinar si los resultados de las reglas se retrasan y, si es así, por qué:

  1. Navega a Detections > Alerts & IOCs.
  2. En la pestaña Alertas, busca la columna Tipo de detección.
  3. Busca las alertas con un ícono de bombilla amarilla.
  4. Coloca el cursor sobre el ícono para ver si la detección se activó por alguno de los siguientes motivos:
    • Reprocesamiento de reglas: Un usuario lo activa manualmente.
    • Retrohunt: Se activa manualmente por un usuario.
    • Datos de eventos retrasados: Indica si se espera una demora en la detección.

Cómo filtrar alertas según la hora de detección

  1. Navega a Detections > Alerts & IOCs.

  2. En la pestaña Alertas, usa el elemento de filtro de la columna Hora de detección para ordenar las detecciones según su hora de llegada.

  3. Haz clic en el ícono de actualización en la parte superior de la tabla y, luego, en Actualizar ahora. Puedes ver las alertas más recientes que llegan a tu cuenta de Google SecOps y la regla asociada a cada alerta (consulta la columna Nombre de la regla).

Cómo examinar los metadatos

Para obtener más información sobre el rendimiento de tus reglas, puedes inspeccionar el JSON de detección sin procesar con latencyMetrics para encontrar la diferencia entre oldestEventTime y oldestIngestionTime.

Valores de sincronización de la detección

En la siguiente tabla, se enumeran los valores asociados con DetectionTimingDetails:


Valor
Descripción
Impacto del MTTD

UNSPECIFIED


La detección se creó dentro del plazo para programar citas estándar.
Es la verdad fundamental para el MTTD.

REPROCESSING


Se genera debido a una reproducción de reglas (por ejemplo, datos que llegan tarde).
Representa el riesgo operativo y debe tenerse en cuenta en los informes.

RETROHUNT


Se generó a través de una ejecución histórica de retrobúsqueda.
Por lo general, se filtra de los informes estándar del MTTD.

Ejemplo: Metadatos de latencyMetrics

En el siguiente ejemplo de latencyMetrics, se muestra la diferencia de tiempo entre el momento en que ocurrió un evento (oldestEventTime en comparación con newestEventTime) y el momento en que se incorporó el evento (oldestIngestionTime en comparación con newestIngestionTime). La latencia entre el evento y la incorporación en la cuenta de Google SecOps es de aproximadamente 53 minutos.

"detectionTimingDetails": ["DETECTION_TIMING_DETAILS_REPROCESSING"],
"latencyMetrics": {
  "oldestIngestionTime": "2025-12-09T16:54:14Z",
  "newestIngestionTime": "2025-12-09T16:54:14Z",
  "oldestEventTime": "2025-12-09T16:01:06Z",
  "newestEventTime": "2025-12-09T16:01:06Z"
}

Soluciona problemas

En la siguiente tabla, se enumeran algunos de los problemas que puedes tener con tus reglas y cómo resolverlos:


Problema
Resolución

Aparece el ícono de bombilla, pero la enumeración es UNSPECIFIED.
Este es un comportamiento normal cuando la diferencia entre la hora del evento y la hora de la transferencia supera los 30 minutos. Usa las métricas del Centro de estado de los datos para investigar la fuente de la demora en la transferencia.

La detección aparece tarde en relación con la hora del evento.
Revisa el detectionTimingDetails. Si el valor de enumeración es REPROCESSING, es probable que la demora se deba a datos de enriquecimiento que llegan tarde y no a la latencia de ejecución de la regla. Si es UNSPECIFIED, investiga la eficiencia de la lógica de la regla.

Exceso de procesamiento.
Es probable que la regla analice demasiados datos o tenga una lógica ineficiente. Navega a Exclusiones de reglas o usa Descarga de filtros para ajustar la regla y acotar su búsqueda de datos.

Limitaciones conocidas

  • Rigidez del umbral: La señal visual para los datos tardíos se fija en un umbral de 30 minutos y no tiene en cuenta los períodos de latencia definidos por el usuario.
  • Estado de los datos: La observabilidad de las reglas informa el estado de las reglas, pero la supervisión del estado de los datos (más cerca de la transferencia) es más eficaz para detectar problemas generales de datos que llegan tarde.
  • Aplicación de cuotas: Si bien el panel muestra el uso de recursos, no proporciona notificaciones en tiempo real cuando las reglas se acercan a un límite de cuota.

¿Qué sigue?

Para obtener información sobre las repeticiones de reglas y las demoras en la detección de reglas, consulta los siguientes vínculos:

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.