Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Planung von Regelausführungen

Unterstützt in:

Google SecOps SIEM

Dieser Leitfaden richtet sich an Sicherheitsingenieure und Entwickler, die die Regelleistung verwalten möchten, indem sie die automatisierte Ausführungsplanung verstehen. In Google SecOps wird die Planung der Regelausführung automatisch vom System verwaltet, um die Systemstabilität und Verarbeitungseffizienz zu gewährleisten. In diesem Dokument wird erläutert, wie die Verarbeitungshäufigkeit des Systems durch Ihre YARA-L-Regelkonfigurationen bestimmt wird. Wenn Sie diese Zuordnungsprinzipien befolgen, verringern Sie die Erkennungslatenz und minimieren Ressourcenkonflikte. Durch eine erfolgreiche Planung wird die Zeit bis zur Triage kritischer Bedrohungen erheblich verkürzt. Außerdem bietet sie durch die optimierte automatische Erkennung einen wichtigen geschäftlichen Vorteil.

Um die optimale Leistung bei Tausenden von Regeln aufrechtzuerhalten, verwendet Google SecOps die automatische Planung, um Ressourcenkonflikte zu vermeiden. Die Automatisierung bietet die folgenden Funktionen:

Systemstabilität: Durch die dynamische Ressourcenzuweisung werden plattformweite Latenzen vermieden.
Verarbeitungseffizienz: Das System gleicht das Streaming nahezu in Echtzeit für kritische Bedrohungen mit der optimierten Batchverarbeitung für langfristige Trends ab.
Deterministische Häufigkeit: Die Häufigkeit ist vorhersagbar und wird durch das Abgleichszeitfenster Ihrer Regel bestimmt.

Schlüsselterminologie

Deterministische Häufigkeit: Ein vorhersehbares Ausführungsintervall, das vom System basierend auf dem Abgleichszeitraum Ihrer Regel zugewiesen wird.
Erkennungsverzögerung: Die Zeitdifferenz zwischen der Aufnahme des Ereignisses und der Regelauswertung.

Hinweis

Prüfen Sie vor dem Start, ob die folgenden Voraussetzungen erfüllt sind:

Berechtigungen: Sie benötigen Lesezugriff auf das Dashboard „Regeln“ in Google SecOps.

Ausführungshäufigkeit von Regeln ansehen

Im Regel-Dashboard können Sie nachsehen, wie das System Ihre Regel geplant hat.
Öffnen Sie das Regel-Dashboard in Google SecOps und suchen Sie in der Liste nach Ihrer Regel.
In der Spalte Ausführungshäufigkeit sehen Sie das vom System zugewiesene Intervall.

Häufigkeit der Regelausführung festlegen

Das Zeitfenster, das Sie in Ihrer YARA-L-Regel definieren, bestimmt die Ausführungshäufigkeit. Diese Aktion sorgt für Systemstabilität, indem sie das Streaming nahezu in Echtzeit mit der Batchverarbeitung in Einklang bringt. Führen Sie die folgenden Schritte aus, um den Zeitraum zu definieren:

Sehen Sie sich den Abschnitt match Ihrer Regel an, um die Fenstergröße zu ermitteln.
Ordnen Sie die Fenstergröße der Systemhäufigkeit zu (z. B. No window = Near real-time).

Ausführung planen – Zuordnung

Die Ausführungshäufigkeit hängt von der Komplexität und dem in Ihrer YARA-L-Regel definierten Zeitfenster ab. In der folgenden Tabelle sehen Sie, wie sich die Konfiguration Ihrer Regel auf die Ausführung des Systems auswirkt.

Regeltyp und Fenstergröße	Ausführungshäufigkeit	Beispiel für einen Anwendungsfall
Regel für ein einzelnes Ereignis	Echtzeit	Sofortige Benachrichtigung bei wichtigen Bedrohungsindikatoren (IOCs).
Regel für mehrere Ereignisse (`window <= 48 hours`)	Stündlich	Erkennen von Brute-Force-Angriffen in einem kurzen Zeitraum (z. B. `15m` und `1h`).
Regel für mehrere Ereignisse (`window > 48 hours`)	Täglich (`24 hours`)	Monitoring langsamer Exfiltration über mehrere Tage hinweg.

Beispiel: Regel mit mehreren Ereignissen und stündlicher Ausführung

Das folgende Beispiel zeigt eine Regel mit mehreren Ereignissen, die das System aufgrund des 15‑Minuten-Fensters stündlich ausführt:


  rule fifteen_minute_window_example {

  meta:
    description = "Runs hourly because window is <= 48h"

  events:
    $e.metadata.event_type = "USER_LOGIN"
    $e.principal.user.userid = $user

  match:
    $user over 15m

  condition:
    $e
}

Systemverhalten und Einschränkungen

Keine benutzerdefinierten Intervalle: Sie können keine Regel konfigurieren, die „alle 10 Minuten“ oder „um 2:00 Uhr“ ausgeführt wird. Das System verwaltet alle Startzeiten intern.
Verzögerungen bei der Erkennung: Verzögerungen bei der Erkennung können je nach Geschwindigkeit der Datenaufnahme variieren. Weitere Informationen finden Sie unter Regelwiederholungen und MTTD und Verzögerungen bei der Regelerkennung.
Spät eintreffende Daten: Bei Regeln für einzelne Ereignisse werden alle eingehenden Daten unabhängig von der Latenz berücksichtigt. Die Auswertung von Regeln mit mehreren Ereignissen wird nach dem letzten Lauf beendet. Dieser erfolgt in der Regel 24 bis 30 Stunden nach der Ereignisstunde.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten