Analizzare l'efficacia e l'efficienza delle regole

Supportato in:

Questa guida è rivolta agli ingegneri della sicurezza che creano, eseguono il deployment e monitorano le regole in Google Security Operations. Spiega come monitorare le regole per assicurarsi che funzionino come previsto e che non consumino risorse in modo eccessivo utilizzando i dati disponibili nell'istanza di Google SecOps. Questi dati ti aiutano a eseguire il debug dei rilevamenti ritardati, a comprendere l'impatto dei dati di arricchimento in ritardo sulle regole e a identificare le regole con il tempo medio di rilevamento (MTTD) più elevato.

Questa guida fornisce documentazione sulle seguenti attività:

  • Come valutare una regola durante la release iniziale, ricevere avvisi e controllare la dashboard Regole per monitorarne l'integrità.

  • Come identificare la causa di eventuali ritardi nel rilevamento (ad esempio, se è dovuto all'inserimento in ritardo o a una logica inefficiente) e modificare il report del tempo medio di rilevamento (MTTD) o ottimizzare la regola con ulteriori esclusioni di regole.

Prima di iniziare

Per visualizzare e modificare le regole come descritto in questo documento, devi essere un editor dell'API Chronicle. Per saperne di più, consulta Ruoli e autorizzazioni di Google Security Operations.

Prima di analizzare l'efficacia delle regole in Google SecOps, devi acquisire una buona conoscenza del linguaggio YARA-L, delle query YARA-L, di come creare e gestire le regole e di come creare le dashboard:

Terminologia chiave

  • Regole: identificano automaticamente le minacce man mano che i dati di log vengono inseriti nel tuo account Google SecOps.
  • Quote: limiti sul volume di importazione dati, sul numero e sulla complessità delle query che puoi eseguire sui tuoi dati e sul numero e sulla complessità di regole attive nel tuo account Google SecOps.
  • Avvisi e rilevamenti: problemi di sicurezza identificati da Google SecOps e dalla tua infrastruttura di sicurezza che richiedono la tua attenzione.
  • Inserimento: processo di importazione dei dati di sicurezza in Google SecOps e conversione in UDM.
  • Riproduzioni di regole: esecuzioni automatiche di regole sui dati esistenti nel caso in cui i dati di contesto pertinenti arrivino o vengano elaborati in un secondo momento rispetto ai dati degli eventi iniziali.
  • RetroHunt: applica nuove regole ai dati esistenti per identificare le minacce non rilevate in precedenza.

Come analizzare le regole

Le sezioni seguenti descrivono come analizzare il rendimento delle regole.

Testare e valutare le regole dopo il deployment

Quando esegui il deployment di una regola in produzione per la prima volta, monitorala nella dashboard Rule Observability per 24-48 ore:

  1. Vai a Dashboard.

  2. Cerca Rule Observability.

  3. Cerca la nuova regola nella colonna Regola. La dashboard Rule Observability include statistiche come il conteggio dei rilevamenti, la latenza di inserimento e il tempo dall'inserimento al rilevamento.

Per assicurarti che la logica della regola non introduca ritardi artificiali prima che inizi a generare avvisi ad alta priorità, puoi utilizzare il riferimento allo schema per i rilevamenti. Lo schema definisce il formato strutturato utilizzato per monitorare gli avvisi di sicurezza. È ottimizzato per il monitoraggio della frequenza di rilevamento, della distribuzione del rischio e del rendimento delle regole. Puoi farti un'idea migliore di come utilizzare lo schema esaminando attentamente gli esempi di query.

Identificare il motivo del ritardo dei risultati delle regole

Completa i seguenti passaggi per determinare se i risultati delle regole sono in ritardo e, in caso affermativo, perché:

  1. Vai a Rilevamenti > Avvisi & IOC.
  2. Nella scheda Avvisi, individua la colonna Tipo di rilevamento.
  3. Cerca gli avvisi con l'icona di una lampadina gialla.
  4. Passa il mouse sopra l'icona per vedere se il rilevamento è stato attivato da uno dei seguenti elementi:
    • Rielaborazione delle regole: attivata manualmente da un utente.
    • RetroHunt: attivata manualmente da un utente.
    • Dati degli eventi in ritardo: indica se è previsto un ritardo nel rilevamento.

Filtrare gli avvisi in base all'ora di rilevamento

  1. Vai a Rilevamenti > Avvisi & IOC.

  2. Nella scheda Avvisi, utilizza l'elemento filtro per la colonna Ora di rilevamento per ordinare i rilevamenti in base all'ora di arrivo.

  3. Fai clic sull'icona di aggiornamento nella parte superiore della tabella e poi su Aggiorna ora. Puoi visualizzare gli ultimi avvisi in arrivo nel tuo account Google SecOps e la regola associata a ogni avviso (controlla la colonna Nome regola).

Esaminare i metadati

Per ulteriori informazioni sul rendimento delle regole, puoi esaminare il JSON di rilevamento non elaborato utilizzando latencyMetrics per trovare la differenza tra il oldestEventTime e iloldestIngestionTime.

Valori di temporizzazione del rilevamento

La tabella seguente elenca i valori enumerati associati a DetectionTimingDetails:


Valore
Descrizione
Impatto sul tempo medio di rilevamento (MTTD)

UNSPECIFIED


Rilevamento creato nella finestra di programmazione standard.
Dati di fatto per il tempo medio di rilevamento (MTTD).

REPROCESSING


Generato a causa di una riproduzione di regole (ad esempio, dati in arrivo in ritardo).
Rappresenta il rischio operativo; deve essere considerato nei report.

RETROHUNT


Generato tramite un'esecuzione di RetroHunt storica.
In genere viene filtrato dai report standard sul tempo medio di rilevamento (MTTD).

Esempio: metadati latencyMetrics

Il seguente latencyMetrics esempio mostra la differenza di tempo tra il momento in cui si è verificato un evento (oldestEventTime rispetto a newestEventTime) e il momento in cui l'evento è stato inserito (oldestIngestionTime rispetto a newestIngestionTime). La latenza tra l' evento e l'inserimento nell'account Google SecOps è di circa 53 minuti.

"detectionTimingDetails": ["DETECTION_TIMING_DETAILS_REPROCESSING"],
"latencyMetrics": {
  "oldestIngestionTime": "2025-12-09T16:54:14Z",
  "newestIngestionTime": "2025-12-09T16:54:14Z",
  "oldestEventTime": "2025-12-09T16:01:06Z",
  "newestEventTime": "2025-12-09T16:01:06Z"
}

Risoluzione dei problemi

La tabella seguente elenca alcuni dei problemi che potresti riscontrare con le regole e come risolverli:


Problema
Soluzione

Viene visualizzata l'icona della lampadina, ma l'enumerazione è UNSPECIFIED.
Questo è un comportamento normale quando il delta tra l'ora dell'evento e l'ora di inserimento supera i 30 minuti. Utilizza le metriche dell'hub Integrità dei dati per esaminare l'origine del ritardo di inserimento.

Il rilevamento viene visualizzato in ritardo rispetto all'ora dell'evento.
Controlla detectionTimingDetails. Se il valore di enumerazione è REPROCESSING, il ritardo è probabilmente dovuto ai dati di arricchimento in arrivo in ritardo anziché alla latenza di esecuzione delle regole. Se UNSPECIFIED, esamina l'efficienza della logica della regola.

Calcolo eccessivo.
È probabile che la regola esegua la scansione di troppi dati o abbia una logica inefficiente. Vai a Esclusioni di regole o utilizza Offload dei filtri per ottimizzare la regola in modo da restringere la ricerca dei dati.

Limitazioni note

  • Rigidità della soglia: l'indicatore visivo per i dati in ritardo è fissato a una soglia di 30 minuti e non tiene conto delle finestre di latenza definite dall'utente.
  • Integrità dei dati: l'osservabilità delle regole informa sull'integrità delle regole, ma il monitoraggio dell'integrità dei dati (più vicino all'inserimento) è più efficace per rilevare i problemi generali relativi ai dati in arrivo in ritardo.
  • Applicazione delle quote: sebbene la dashboard mostri l'utilizzo delle risorse, non fornisce notifiche in tempo reale quando le regole si avvicinano a un limite di quota.

Passaggi successivi

Per informazioni sulle riproduzioni di regole e sui ritardi nel rilevamento delle regole, consulta le seguenti risorse:

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.