Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Comprendre la planification de l'exécution des règles

Compatible avec :

Google secops SIEM

Ce guide s'adresse aux ingénieurs et aux développeurs en sécurité qui souhaitent gérer les performances des règles en comprenant la planification de l'exécution automatisée. Dans Google SecOps, le système gère automatiquement la planification de l'exécution des règles pour garantir la stabilité du système et l'efficacité du traitement. Ce document explique comment les configurations de vos règles YARA-L déterminent la fréquence de traitement du système. En suivant ces principes de mappage, vous réduisez la latence de détection et minimisez la contention des ressources. Une planification réussie réduit considérablement le délai de tri des menaces critiques et offre un avantage commercial essentiel grâce à une détection automatisée optimisée.

Pour maintenir des performances optimales sur des milliers de règles, Google SecOps utilise une planification automatisée afin d'éviter la contention des ressources. L'automatisation offre les fonctionnalités suivantes :

Stabilité du système : l'allocation dynamique des ressources empêche la latence à l'échelle de la plate-forme.
Efficacité du traitement : le système équilibre le streaming en temps quasi réel pour les menaces critiques avec le traitement par lot optimisé pour les tendances à long terme.
Fréquence déterministe : la fréquence est prévisible et déterminée par la fenêtre de correspondance de votre règle.

Terminologie clé

Fréquence déterministe : intervalle d'exécution prévisible que le système attribue en fonction de la fenêtre de correspondance de votre règle.
Délai de détection : différence de temps entre l'ingestion d'un événement et l'évaluation d'une règle.

Avant de commencer

Avant de commencer, vérifiez que les conditions préalables suivantes sont remplies :

Autorisations : vous devez disposer d'un accès en lecture au tableau de bord "Règles" dans Google SecOps.

Afficher la fréquence d'exécution des règles

Accédez au tableau de bord "Règles" pour vérifier comment le système a planifié votre règle.
Ouvrez le tableau de bord "Règles" dans Google SecOps et recherchez votre règle dans la liste.
Consultez la colonne Fréquence d'exécution pour identifier l'intervalle attribué par le système.

Définir la fréquence d'exécution des règles

La fenêtre temporelle que vous définissez dans votre règle YARA-L détermine sa fréquence d'exécution. Cette action maintient la stabilité du système en équilibrant le streaming en temps quasi réel avec le traitement par lot. Pour définir votre fenêtre temporelle, procédez comme suit :

Examinez la section match de votre règle pour identifier la taille de la fenêtre.
Mappez la taille de votre fenêtre à la fréquence du système (par exemple, No window = Near real-time).

Mappage de la planification de l'exécution

La fréquence d'exécution dépend de la complexité et de la fenêtre temporelle définies dans votre règle YARA-L. Le tableau suivant vous permet de comprendre l'impact de la configuration de votre règle sur l'exécution du système.

Type de règle et taille de la fenêtre	Fréquence d'exécution	Exemple de cas d'utilisation
Règle à événement unique	Temps réel	Alerte immédiate sur les indicateurs de compromission (IOC) critiques.
Règle multi-événements (`window <= 48 hours`)	Toutes les heures	Détection des tentatives d'attaque par force brute sur une courte période (par exemple, `15m` et `1h`).
Règle multi-événements (`window > 48 hours`)	Tous les jours (`24 hours`)	Surveillance de l'exfiltration lente sur plusieurs jours.

Exemple : Règle multi-événements avec exécution toutes les heures

L'exemple suivant illustre une règle multi-événements que le système exécute toutes les heures en raison de la fenêtre de 15 minutes :


  rule fifteen_minute_window_example {

  meta:
    description = "Runs hourly because window is <= 48h"

  events:
    $e.metadata.event_type = "USER_LOGIN"
    $e.principal.user.userid = $user

  match:
    $user over 15m

  condition:
    $e
}

Comportements et limites du système

Aucun intervalle personnalisé : vous ne pouvez pas configurer une règle pour qu'elle « s'exécute toutes les 10 minutes » ou « s'exécute à 2h ». Le système gère toutes les heures de début en interne.
Délais de détection : les délais de détection peuvent varier en fonction des vitesses d’ingestion des données. Pour en savoir plus, consultez Comprendre les relectures de règles et le délai moyen de détection et Comprendre les délais de détection des règles.
Données arrivant en retard : les règles à événement unique évaluent toutes les données entrantes , quelle que soit la latence. Les règles multi-événements cessent d'évaluer après la dernière exécution, qui a généralement lieu 24 à 30 heures après l'heure de l'événement.

Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels Google SecOps.