Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Comprende la programación de ejecución de reglas

Compatible con:

Google secops SIEM

Esta guía está destinada a ingenieros y desarrolladores de seguridad que desean administrar el rendimiento de las reglas mediante la comprensión de la programación de ejecución automatizada. En Google SecOps, el sistema administra automáticamente la programación de ejecución de reglas para garantizar la estabilidad del sistema y la eficiencia del procesamiento. En este documento, se explica cómo las configuraciones de reglas de YARA-L determinan la frecuencia de procesamiento del sistema. Si sigues estos principios de asignación, reduces la latencia de detección y minimizas la contención de recursos. La programación exitosa reduce drásticamente el tiempo de clasificación de las amenazas críticas y proporciona un beneficio comercial fundamental a través de la detección automatizada optimizada.

Para mantener un rendimiento óptimo en miles de reglas, Google SecOps usa la programación automatizada para evitar la contención de recursos. La automatización proporciona las siguientes capacidades:

Estabilidad del sistema: La asignación dinámica de recursos evita la latencia en toda la plataforma.
Eficiencia de procesamiento: El sistema equilibra la transmisión casi en tiempo real para amenazas críticas con el procesamiento por lotes optimizado para tendencias a largo plazo.
Frecuencia determinista: La frecuencia es predecible y está determinada por el período de coincidencia de tu regla.

Terminología clave

Frecuencia determinista: Es un intervalo de ejecución predecible que el sistema asigna en función del período de coincidencia de tu regla.
Demora de detección: Es la diferencia de tiempo entre la ingesta de eventos y la evaluación de reglas.

Antes de comenzar

Antes de comenzar, confirma que se cumplan los siguientes requisitos:

Permisos: Debes tener acceso de lectura al panel de reglas en Google SecOps.

Ver la frecuencia de ejecución de la regla

Ve al panel de reglas para verificar cómo el sistema programó tu regla.
Abre el panel de reglas en Google SecOps y busca tu regla en la lista.
Consulta la columna Frecuencia de ejecución para identificar el intervalo asignado por el sistema.

Define la frecuencia de ejecución de la regla

El período que defines en tu regla de YARA-L determina su frecuencia de ejecución. Esta acción mantiene la estabilidad del sistema equilibrando la transmisión casi en tiempo real con el procesamiento por lotes. Para definir tu período, completa los siguientes pasos:

Revisa la sección match de tu regla para identificar el tamaño del período.
Asigna el tamaño del período a la frecuencia del sistema (por ejemplo, No window = Near real-time).

Asignación de programación de ejecución

La frecuencia de ejecución depende de la complejidad y el período definidos en tu regla de YARA-L. Usa la siguiente tabla para comprender cómo la configuración de tu regla afecta la ejecución del sistema.

Tipo de regla y tamaño del período	Frecuencia de ejecución	Ejemplo de caso de uso
Regla de un solo evento	En tiempo real	Alertas inmediatas sobre indicadores críticos (IOCs)
Regla de varios eventos (`window <= 48 hours`)	Cada hora	Detectar intentos de fuerza bruta en un período breve (por ejemplo, `15m` y `1h`)
Regla de varios eventos (`window > 48 hours`)	Diariamente (`24 hours`)	Supervisar la exfiltración lenta durante varios días

Ejemplo: Regla de varios eventos con ejecución por hora

En el siguiente ejemplo, se muestra una regla de varios eventos que el sistema ejecuta cada hora debido al período de 15 minutos:


  rule fifteen_minute_window_example {

  meta:
    description = "Runs hourly because window is <= 48h"

  events:
    $e.metadata.event_type = "USER_LOGIN"
    $e.principal.user.userid = $user

  match:
    $user over 15m

  condition:
    $e
}

Comportamientos y limitaciones del sistema

Sin intervalos personalizados: No puedes configurar una regla para que se "ejecute cada 10 minutos" o "se ejecute a las 2 a.m.". El sistema administra todos los horarios de inicio de forma interna.
Demoras de detección: Las demoras de detección pueden variar según las velocidades de ingesta de datos. Para obtener más información, consulta Comprende las repeticiones de reglas y el MTTD y Comprende las demoras de detección de reglas.
Datos que llegan tarde: Las reglas de un solo evento evalúan todos los datos que llegan independientemente de la latencia. Las reglas de varios eventos dejan de evaluarse después de la última ejecución, que suele ser entre 24 y 30 horas después de la hora del evento.

¿Necesitas más ayuda? Obtén respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.