Información sobre la programación de ejecución de reglas
Esta guía está destinada a ingenieros y desarrolladores de seguridad que desean administrar el rendimiento de las reglas mediante la comprensión de la programación de ejecución automatizada. En Google SecOps, el sistema administra automáticamente la programación de ejecución de reglas para garantizar la estabilidad del sistema y la eficiencia del procesamiento. En este documento, se explica cómo las configuraciones de tus reglas de YARA-L determinan la frecuencia de procesamiento del sistema. Si sigues estos principios de asignación, reducirás la latencia de detección y minimizarás la contención de recursos. La programación exitosa reduce drásticamente el tiempo de clasificación de las amenazas críticas y proporciona un beneficio comercial fundamental a través de la detección automatizada optimizada.
Para mantener un rendimiento óptimo en miles de reglas, Google SecOps usa la programación automatizada para evitar la contención de recursos. La automatización proporciona las siguientes capacidades:
Estabilidad del sistema: La asignación dinámica de recursos evita la latencia en toda la plataforma.
Eficiencia de procesamiento: El sistema equilibra la transmisión casi en tiempo real para las amenazas críticas con el procesamiento por lotes optimizado para las tendencias a largo plazo.
Frecuencia determinista: La frecuencia es predecible y está determinada por el período de coincidencia de tu regla.
Terminología clave
Frecuencia determinista: Es un intervalo de ejecución predecible que el sistema asigna en función del período de coincidencia de tu regla.
Retraso de detección: Es la diferencia de tiempo entre la ingesta de eventos y la evaluación de reglas.
Antes de comenzar
Antes de comenzar, confirma que se cumplan los siguientes requisitos previos:
- Permisos: Debes tener acceso de lectura al panel de reglas en Google SecOps.
Cómo ver la frecuencia de ejecución de reglas
Ve al panel de reglas para verificar cómo el sistema programó tu regla.
Abre el panel de reglas en Google SecOps y busca tu regla en la lista.
Consulta la columna Frecuencia de ejecución para identificar el intervalo asignado por el sistema.
Cómo definir la frecuencia de ejecución de reglas
El período que definas en tu regla de YARA-L determina su frecuencia de ejecución. Esta acción mantiene la estabilidad del sistema mediante el equilibrio de la transmisión casi en tiempo real con el procesamiento por lotes. Para definir tu período, completa los siguientes pasos:
Revisa la sección
matchde tu regla para identificar el tamaño del período.Asigna el tamaño del período a la frecuencia del sistema (por ejemplo,
No window = Near real-time).
Cómo programar la asignación de ejecución
La frecuencia de ejecución depende de la complejidad y el período definidos en tu regla de YARA-L. Usa la siguiente tabla para comprender cómo la configuración de tu regla afecta la ejecución del sistema.
| Tipo de regla y tamaño del período | Frecuencia de ejecución | Ejemplo de caso de uso |
|---|---|---|
| Regla de evento único | En tiempo real | Alertas inmediatas sobre indicadores críticos (IOCs) |
Regla de varios eventos (window <= 48 hours)
|
Cada hora | Detección de intentos de fuerza bruta en un período corto (por ejemplo, 15m y 1h)
|
Regla de varios eventos (window > 48 hours)
|
Diario (24 hours)
|
Supervisión de la exfiltración lenta durante varios días |
Ejemplo: Regla de varios eventos con ejecución por hora
En el siguiente ejemplo, se muestra una regla de varios eventos que el sistema ejecuta cada hora debido al período de 15 minutos:
rule fifteen_minute_window_example {
meta:
description = "Runs hourly because window is <= 48h"
events:
$e.metadata.event_type = "USER_LOGIN"
$e.principal.user.userid = $user
match:
$user over 15m
condition:
$e
}
Comportamientos y limitaciones del sistema
Sin intervalos personalizados: No puedes configurar una regla para que se "ejecute cada 10 minutos" o "se ejecute a las 2 a.m.". El sistema administra todos los horarios de inicio de forma interna.
Retrasos de detección: Los retrasos de detección pueden variar según las velocidades de ingesta de datos. Para obtener más información, consulta Información sobre las repeticiones de reglas y el MTTD y Información sobre los retrasos de detección de reglas.
Datos que llegan tarde: Las reglas de evento único evalúan todos los datos que llegan independientemente de la latencia. Las reglas de varios eventos dejan de evaluarse después de la última ejecución, que suele ser entre 24 y 30 horas después de la hora del evento.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.