Ausführungsplanung für Regeln

Unterstützt in:

Diese Anleitung richtet sich an Sicherheitsingenieure und Entwickler, die die Regelleistung verwalten möchten, indem sie die automatische Ausführungsplanung verstehen. In Google SecOps verwaltet das System die Ausführungsplanung für Regeln automatisch, um die Systemstabilität und Verarbeitungseffizienz zu gewährleisten. In diesem Dokument wird erläutert, wie die Konfigurationen Ihrer YARA-L-Regeln die Verarbeitungshäufigkeit des Systems bestimmen. Wenn Sie diese Zuordnungsprinzipien befolgen, können Sie die Erkennungslatenz reduzieren und Ressourcenkonflikte minimieren. Eine erfolgreiche Planung verkürzt die Zeit bis zur Triage für kritische Bedrohungen erheblich und bietet durch die optimierte automatische Erkennung einen entscheidenden geschäftlichen Vorteil.

Um eine optimale Leistung bei Tausenden von Regeln aufrechtzuerhalten, verwendet Google SecOps die automatische Planung, um Ressourcenkonflikte zu vermeiden. Die Automatisierung bietet die folgenden Möglichkeiten:

  • Systemstabilität: Die dynamische Ressourcenzuweisung verhindert plattformweite Latenz.

  • Verarbeitungseffizienz: Das System gleicht Streaming in nahezu Echtzeit für kritische Bedrohungen mit der optimierten Batchverarbeitung für langfristige Trends aus.

  • Deterministische Häufigkeit: Die Häufigkeit ist vorhersehbar und wird durch das Abgleichsfenster Ihrer Regel bestimmt.

Schlüsselterminologie

  • Deterministische Häufigkeit: Ein vorhersehbares Ausführungsintervall, das das System basierend auf dem Abgleichsfenster Ihrer Regel zuweist.

  • Erkennungsverzögerung: Die Zeitdifferenz zwischen der Aufnahme von Ereignissen und der Regel auswertung.

Hinweis

Bevor Sie beginnen, prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

  • Berechtigungen: Sie benötigen Lesezugriff auf das Dashboard „Regeln“ in Google SecOps.

Ausführungshäufigkeit von Regeln ansehen

  1. Rufen Sie das Dashboard „Regeln“ auf, um zu prüfen, wie das System Ihre Regel geplant hat.

  2. Öffnen Sie das Dashboard „Regeln“ in Google SecOps und suchen Sie Ihre Regel in der Liste.

  3. In der Spalte Ausführungshäufigkeit sehen Sie das vom System zugewiesene Intervall.

Ausführungshäufigkeit von Regeln definieren

Das in Ihrer YARA-L-Regel definierte Zeitfenster bestimmt die Ausführungshäufigkeit. Diese Aktion sorgt für Systemstabilität, indem sie Streaming in nahezu Echtzeit mit der Batchverarbeitung ausgleicht. So definieren Sie das Zeitfenster:

  1. Prüfen Sie den Abschnitt match Ihrer Regel, um die Fenstergröße zu ermitteln.

  2. Ordnen Sie die Fenstergröße der Systemhäufigkeit zu (z. B. No window = Near real-time).

Zuordnung der Ausführungsplanung

Die Ausführungshäufigkeit hängt von der Komplexität und dem in Ihrer YARA-L-Regel definierten Zeitfenster ab. In der folgenden Tabelle sehen Sie, wie sich die Regelkonfiguration auf die Systemausführung auswirkt.

Regeltyp und Fenstergröße Ausführungshäufigkeit Beispiel für einen Anwendungsfall
Regel für ein einzelnes Ereignis Echtzeit Sofortige Benachrichtigung bei kritischen Indikatoren (IOCs).
Regel für mehrere Ereignisse (window <= 48 hours) Stündlich Erkennen von Brute-Force-Angriffen in einem kurzen Zeitfenster (z. B. 15m und 1h).
Regel für mehrere Ereignisse (window > 48 hours) Täglich (24 hours) Monitoring langsamer Exfiltration über mehrere Tage.

Beispiel: Regel für mehrere Ereignisse mit stündlicher Ausführung

Im folgenden Beispiel wird eine Regel für mehrere Ereignisse veranschaulicht, die das System aufgrund des 15-Minuten-Fensters stündlich ausführt:


  rule fifteen_minute_window_example {

  meta:
    description = "Runs hourly because window is <= 48h"

  events:
    $e.metadata.event_type = "USER_LOGIN"
    $e.principal.user.userid = $user

  match:
    $user over 15m

  condition:
    $e
}

Systemverhalten und Einschränkungen

  • Keine benutzerdefinierten Intervalle: Sie können keine Regel konfigurieren, die „alle 10 Minuten“ oder „um 2 Uhr“ ausgeführt wird. Das System verwaltet alle Startzeiten intern.

  • Erkennungsverzögerungen: Erkennungsverzögerungen können je nach Geschwindigkeit der Datenaufnahme variieren. Weitere Informationen finden Sie unter Regelwiederholungen und MTTD und Erkennungsverzögerungen bei Regeln.

  • Verspätet eingehende Daten: Regeln für einzelne Ereignisse werten alle eingehenden Daten unabhängig von der Latenz aus. Regeln für mehrere Ereignisse werden nach der letzten Ausführung nicht mehr ausgewertet. Das ist in der Regel 24 bis 30 Stunden nach der Ereigniszeit.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten