Información sobre la programación de la ejecución de reglas

Compatible con:

Esta guía está dirigida a los ingenieros y desarrolladores de seguridad que desean administrar el rendimiento de las reglas comprendiendo la programación de ejecución automatizada. En Google SecOps, el sistema administra automáticamente la programación de la ejecución de reglas para garantizar la estabilidad del sistema y la eficiencia del procesamiento. En este documento, se explica cómo la configuración de tus reglas de YARA-L determina la frecuencia de procesamiento del sistema. Si sigues estos principios de asignación, reducirás la latencia de detección y minimizarás la contención de recursos. La programación exitosa reduce drásticamente el tiempo de clasificación de las amenazas críticas y proporciona un beneficio comercial fundamental a través de la detección automatizada optimizada.

Para mantener un rendimiento óptimo en miles de reglas, Google SecOps usa la programación automatizada para evitar la contención de recursos. La automatización proporciona las siguientes capacidades:

  • Estabilidad del sistema: La asignación dinámica de recursos evita la latencia en toda la plataforma.

  • Eficiencia del procesamiento: El sistema equilibra la transmisión casi en tiempo real para las amenazas críticas con el procesamiento por lotes optimizado para las tendencias a largo plazo.

  • Frecuencia determinística: La frecuencia es predecible y se determina según el período de coincidencia de tu regla.

Terminología clave

  • Frecuencia determinística: Es un intervalo de ejecución predecible que el sistema asigna según la ventana de coincidencia de tu regla.

  • Retraso en la detección: Es la diferencia de tiempo entre la incorporación del evento y la evaluación de la regla.

Antes de comenzar

Antes de comenzar, confirma que se cumplan los siguientes requisitos:

  • Permisos: Debes tener acceso de visualización al panel de reglas en Google SecOps.

Consulta la frecuencia de ejecución de la regla

  1. Ve al panel de reglas para verificar cómo programó el sistema tu regla.

  2. Abre el panel de reglas en Google SecOps y busca tu regla en la lista.

  3. Consulta la columna Frecuencia de ejecución para identificar el intervalo asignado por el sistema.

Cómo definir la frecuencia de ejecución de la regla

El período que defines en tu regla de YARA-L determina su frecuencia de ejecución. Esta acción mantiene la estabilidad del sistema, ya que equilibra la transmisión casi en tiempo real con el procesamiento por lotes. Para definir tu período, completa los siguientes pasos:

  1. Revisa la sección match de tu regla para identificar el tamaño de la ventana.

  2. Asigna el tamaño de la ventana a la frecuencia del sistema (por ejemplo, No window = Near real-time).

Asignación de ejecución programada

La frecuencia de ejecución depende de la complejidad y el período definidos en tu regla de YARA-L. Usa la siguiente tabla para comprender cómo la configuración de tu regla afecta la ejecución del sistema.

Tipo de regla y tamaño de la ventana Frecuencia de ejecución Ejemplo de caso de uso
Regla de un solo evento (sin ventana de coincidencia) En tiempo real Alertas inmediatas sobre indicadores críticos (IOC)
Regla de eventos múltiples (window <= 48 hours) Cada hora Detectar intentos de fuerza bruta en un período corto (por ejemplo, 15m y 1h)
Regla de eventos múltiples (window > 48 hours) Diario (24 hours) Supervisamos la exfiltración lenta durante varios días.

Ejemplo: Regla de varios eventos con ejecución por hora

En el siguiente ejemplo, se muestra una regla de varios eventos que el sistema ejecuta cada hora debido al período de 15 minutos:


  rule fifteen_minute_window_example {

  meta:
    description = "Runs hourly because window is <= 48h"

  events:
    $e.metadata.event_type = "USER_LOGIN"
    $e.principal.user.userid = $user

  match:
    $user over 15m

  condition:
    $e
}

Comportamientos y limitaciones del sistema

  • Sin intervalos personalizados: No puedes configurar una regla para que se ejecute "cada 10 minutos" o "a las 2 a.m.". El sistema administra todos los horarios de inicio de forma interna.

  • Demoras en la detección: Las demoras en la detección pueden variar según las velocidades de transferencia de datos. Para obtener más información, consulta Información sobre las repeticiones de reglas y el MTTD y Información sobre las demoras en la detección de reglas.

  • Datos que llegan tarde: Las reglas de un solo evento evalúan todos los datos que llegan, independientemente de la latencia. Las reglas de varios eventos dejan de evaluarse después de la última ejecución, que suele ser entre 24 y 30 horas después de la hora del evento.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.