Ausführungsplanung für Regeln

Unterstützt in:

Diese Anleitung richtet sich an Sicherheitsexperten und Entwickler, die die Regelleistung verwalten möchten, indem sie die automatisierte Ausführungsplanung verstehen. In Google SecOps verwaltet das System die Ausführungsplanung für Regeln automatisch, um die Systemstabilität und Verarbeitungseffizienz zu gewährleisten. In diesem Dokument wird erläutert, wie die Konfigurationen Ihrer YARA-L-Regeln die Verarbeitungshäufigkeit des Systems bestimmen. Wenn Sie diese Zuordnungsprinzipien befolgen, können Sie die Erkennungslatenz reduzieren und Ressourcenkonflikte minimieren. Eine erfolgreiche Planung verkürzt die Zeit bis zur Triage für kritische Bedrohungen erheblich und bietet durch die optimierte automatisierte Erkennung einen entscheidenden geschäftlichen Vorteil.

Um eine optimale Leistung bei Tausenden von Regeln aufrechtzuerhalten, verwendet Google SecOps die automatisierte Planung, um Ressourcenkonflikte zu vermeiden. Die Automatisierung bietet die folgenden Funktionen:

  • Systemstabilität: Die dynamische Ressourcenzuweisung verhindert plattformweite Latenz.

  • Verarbeitungseffizienz: Das System gleicht das Streaming in nahezu Echtzeit für kritische Bedrohungen mit der optimierten Batchverarbeitung für langfristige Trends aus.

  • Deterministische Häufigkeit: Die Häufigkeit ist vorhersehbar und wird durch das Abgleichsfenster Ihrer Regel bestimmt.

Schlüsselterminologie

  • Deterministische Häufigkeit: Ein vorhersehbares Ausführungsintervall, das das System basierend auf dem Abgleichsfenster Ihrer Regel zuweist.

  • Erkennungsverzögerung: Die Zeitdifferenz zwischen der Aufnahme von Ereignissen und der Regel auswertung.

Hinweis

Bevor Sie beginnen, prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

  • Berechtigungen: Sie müssen Zugriff auf das Dashboard „Regeln“ in Google SecOps haben.

Ausführungshäufigkeit von Regeln ansehen

  1. Rufen Sie das Dashboard „Regeln“ auf, um zu prüfen, wie das System Ihre Regel geplant hat.

  2. Öffnen Sie das Dashboard „Regeln“ in Google SecOps und suchen Sie Ihre Regel in der Liste.

  3. In der Spalte Ausführungshäufigkeit sehen Sie das vom System zugewiesene Intervall.

Ausführungshäufigkeit von Regeln definieren

Das in Ihrer YARA-L-Regel definierte Zeitfenster bestimmt die Ausführungshäufigkeit. Diese Aktion sorgt für Systemstabilität, indem sie das Streaming in nahezu Echtzeit mit der Batchverarbeitung ausgleicht. So definieren Sie das Zeitfenster:

  1. Prüfen Sie den Abschnitt match Ihrer Regel, um die Fenstergröße zu ermitteln.

  2. Ordnen Sie die Fenstergröße der Systemhäufigkeit zu (z. B. No window = Near real-time).

Zuordnung der Ausführungsplanung

Die Ausführungshäufigkeit hängt von der Komplexität und dem in Ihrer YARA-L-Regel definierten Zeitfenster ab. In der folgenden Tabelle sehen Sie, wie sich die Regelkonfiguration auf die Systemausführung auswirkt.

Regeltyp und Fenstergröße Ausführungshäufigkeit Beispiel für einen Anwendungsfall
Regel für ein einzelnes Ereignis (kein Abgleichsfenster) Echtzeit Sofortige Benachrichtigung bei kritischen Indikatoren (IOCs).
Regel für mehrere Ereignisse (window <= 48 hours) Stündlich Erkennen von Brute-Force-Angriffen in einem kurzen Fenster (z. B. 15m und 1h).
Regel für mehrere Ereignisse (window > 48 hours) Täglich (24 hours) Überwachen der langsamen Exfiltration über mehrere Tage.

Beispiel: Regel für mehrere Ereignisse mit stündlicher Ausführung

Das folgende Beispiel zeigt eine Regel für mehrere Ereignisse, die vom System aufgrund des 15-Minuten-Fensters stündlich ausgeführt wird:


  rule fifteen_minute_window_example {

  meta:
    description = "Runs hourly because window is <= 48h"

  events:
    $e.metadata.event_type = "USER_LOGIN"
    $e.principal.user.userid = $user

  match:
    $user over 15m

  condition:
    $e
}

Systemverhalten und Einschränkungen

  • Keine benutzerdefinierten Intervalle: Sie können keine Regel so konfigurieren, dass sie „alle 10 Minuten“ oder „um 2 Uhr“ ausgeführt wird. Das System verwaltet alle Startzeiten intern.

  • Erkennungsverzögerungen: Erkennungsverzögerungen können je nach Geschwindigkeit der Datenaufnahme variieren. Weitere Informationen finden Sie unter Regelwiederholungen und MTTD und Erkennungsverzögerungen bei Regeln.

  • Spät eintreffende Daten: Regeln für einzelne Ereignisse werten alle eingehenden Daten unabhängig von der Latenz aus. Regeln für mehrere Ereignisse werden nach der letzten Ausführung nicht mehr ausgewertet. Das ist in der Regel 24 bis 30 Stunden nach der Ereigniszeit.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten