Analiza la eficacia y la eficiencia de las reglas
Esta guía está destinada a ingenieros de seguridad que crean, implementan y supervisan reglas en Google Security Operations. En ella, se explica cómo supervisar las reglas para garantizar que funcionen según lo previsto y que no consuman recursos en exceso con los datos disponibles en tu instancia de Google SecOps. Estos datos te ayudan a depurar las detecciones retrasadas, comprender el impacto de los datos de enriquecimiento que llegan tarde en las reglas y determinar qué reglas tienen el mayor tiempo medio de detección (MTTD).
En esta guía, se proporciona documentación sobre las siguientes tareas:
Cómo evaluar una regla durante su lanzamiento inicial, recibir alertas y consultar el Panel de reglas para supervisar su estado
Cómo identificar la causa de las demoras en la detección (por ejemplo, si se debió a una transferencia tardía o a una lógica ineficiente) y ajustar el informe del tiempo medio de detección (MTTD) o ajustar la regla con exclusiones de reglas adicionales
Antes de comenzar
Para ver y modificar las reglas como se describe en este documento, debes ser editor de la API de Chronicle. Para obtener más información, consulta Roles y permisos de Google Security Operations.
Antes de analizar la eficacia de las reglas en Google SecOps, debes comprender bien el lenguaje YARA-L, las consultas YARA-L, cómo crear y administrar reglas y cómo crear paneles:
- YARA-L
- Crea consultas YARA-L
- Crea y administra reglas
- Crea paneles basados en consultas y reglas de YARA-L
Terminología clave
- Reglas: Identifican amenazas automáticamente a medida que se transfieren datos de registro a tu cuenta de Google SecOps.
- Cuotas: Son límites en el volumen de transferencia de datos, la cantidad y la complejidad de las consultas que puedes ejecutar en tus datos, y la cantidad y la complejidad de las reglas que tienes activas en tu cuenta de Google SecOps.
- Alertas y detecciones: Son problemas de seguridad identificados por Google SecOps y tu propia infraestructura de seguridad que requieren tu atención.
- Transferencia: Es el proceso de importar tus datos de seguridad a Google SecOps y convertirlos a UDM.
- Repeticiones de reglas: Son repeticiones automáticas de reglas en datos existentes en caso de que lleguen o se procesen datos de contexto relevantes más tarde que los datos del evento inicial.
- RetroHunt: Aplica reglas nuevas a los datos existentes para identificar amenazas que no se descubrieron anteriormente.
Cómo analizar reglas
En las siguientes secciones, se describe cómo analizar el rendimiento de tus reglas.
Prueba y evalúa las reglas después de la implementación
Cuando implementes una regla en producción por primera vez, supervísala en el panel Rule Observability durante 24 a 48 horas:
Navega a Paneles.
Busca
Rule Observability.Busca la regla nueva en la columna Regla. El panel Rule Observability incluye estadísticas como el recuento de detecciones, la latencia de transferencia y el tiempo desde la transferencia hasta la detección.
Para asegurarte de que la lógica de la regla no introduzca demoras artificiales antes de que comience a generar alertas de alta prioridad, puedes usar la referencia del esquema para las detecciones. El esquema define el formato estructurado que se usa para supervisar las alertas de seguridad. Está optimizado para hacer un seguimiento de la frecuencia de detección, la distribución de riesgos y el rendimiento de las reglas. Para comprender mejor cómo usar el esquema, consulta los ejemplos de consultas .
Identifica el motivo de la demora en los resultados de las reglas
Completa los siguientes pasos para determinar si los resultados de las reglas se retrasan y, si es así, por qué:
- Navega a Detecciones > Alertas & IOCs.
- En la pestaña Alertas, busca la columna Tipo de detección.
- Busca alertas con un ícono de bombilla amarilla.
- Coloca el cursor sobre el ícono para ver si la detección se activó por alguno de los siguientes motivos:
- Reprocesamiento de reglas: Un usuario lo activó manualmente.
- RetroHunt: Un usuario lo activó manualmente.
- Datos de eventos retrasados: Indica si se espera una demora en la detección.
Filtra las alertas según la hora de detección
Navega a Detecciones > Alertas & IOCs.
En la pestaña Alertas, usa el elemento de filtro para la columna Hora de detección para ordenar las detecciones según su hora de llegada.
Haz clic en el ícono de actualización en la parte superior de la tabla y, luego, en Actualizar ahora. Puedes ver las alertas más recientes que llegan a tu cuenta de Google SecOps y la regla asociada con cada alerta (consulta la columna Nombre de la regla).
Examina los metadatos
Para obtener información adicional sobre el rendimiento de tus reglas, puedes inspeccionar el
JSON de detección sin procesar con
latencyMetrics para encontrar la diferencia entre el oldestEventTime
y eloldestIngestionTime.
Valores de sincronización de detección
En la siguiente tabla, se enumeran los valores enumerados asociados con
DetectionTimingDetails:
Valor |
Descripción |
Impacto del MTTD |
|---|---|---|
|
Detección creada dentro del plazo para programar citas estándar. |
Verdad fundamental para el MTTD |
|
Se generó debido a una repetición de reglas (por ejemplo, datos que llegaron tarde). |
Representa el riesgo operativo y debe tenerse en cuenta en los informes. |
|
Se generó a través de una ejecución histórica de RetroHunt. |
Por lo general, se filtra de los informes estándar del MTTD. |
Ejemplo: Metadatos de latencyMetrics
En el siguiente
latencyMetrics
ejemplo, se muestra la diferencia de tiempo entre el momento en que ocurrió un evento
(oldestEventTime en comparación con newestEventTime) y el momento en que se transfirió el evento
(oldestIngestionTime en comparación con newestIngestionTime). La latencia entre el
evento y la transferencia a la cuenta de Google SecOps es de aproximadamente
53 minutos.
"detectionTimingDetails": ["DETECTION_TIMING_DETAILS_REPROCESSING"],
"latencyMetrics": {
"oldestIngestionTime": "2025-12-09T16:54:14Z",
"newestIngestionTime": "2025-12-09T16:54:14Z",
"oldestEventTime": "2025-12-09T16:01:06Z",
"newestEventTime": "2025-12-09T16:01:06Z"
}
|
|---|
Soluciona problemas
En la siguiente tabla, se enumeran algunos de los problemas que puedes tener con tus reglas y cómo resolverlos:
Problema |
Resolución |
|---|---|
Aparece el ícono de bombilla, pero la enumeración es UNSPECIFIED. |
Este es un comportamiento normal cuando el delta entre la hora del evento y la hora de transferencia supera los 30 minutos. Usa las métricas del Centro de estado de los datos para investigar la fuente de la demora en la transferencia. |
La detección aparece tarde en relación con la hora del evento. |
Verifica detectionTimingDetails. Si el valor de enumeración es REPROCESSING, es probable que la demora se deba a datos de enriquecimiento que llegaron tarde en lugar de a la latencia de ejecución de la regla. Si es UNSPECIFIED, investiga la eficiencia de la lógica de la regla. |
Exceso de procesamiento |
Es probable que la regla analice demasiados datos o tenga una lógica ineficiente. Navega a Exclusiones de reglas o usa Descarga de filtros para ajustar la regla y acotar su búsqueda de datos. |
Limitaciones conocidas
- Rigidez del umbral: La señal visual para los datos tardíos se fija en un umbral de 30 minutos y no tiene en cuenta los períodos de latencia definidos por el usuario.
- Estado de los datos: La observabilidad de las reglas informa el estado de las reglas, pero la supervisión del estado de los datos (más cerca de la transferencia) es más eficaz para detectar problemas generales de datos que llegan tarde.
- Aplicación de cuotas: Si bien el panel muestra el uso de recursos, no proporciona notificaciones en tiempo real cuando las reglas se acercan al límite de una cuota.
¿Qué sigue?
Para obtener información sobre las repeticiones de reglas y las demoras en la detección de reglas, consulta lo siguiente:
¿Necesitas más ayuda? Obtén respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.