Comprendre la planification de l'exécution des règles

Compatible avec :

Ce guide s'adresse aux ingénieurs et développeurs en sécurité qui souhaitent gérer les performances des règles en comprenant la planification de l'exécution automatisée. Dans Google SecOps, le système gère automatiquement la planification de l'exécution des règles pour assurer la stabilité du système et l'efficacité du traitement. Ce document explique comment les configurations de vos règles YARA-L déterminent la fréquence de traitement du système. En suivant ces principes de mappage, vous réduisez la latence de détection et minimisez la contention des ressources. Une planification efficace réduit considérablement le temps de tri des menaces critiques et offre un avantage commercial essentiel grâce à une détection automatisée optimisée.

Pour maintenir des performances optimales sur des milliers de règles, Google SecOps utilise la planification automatique afin d'éviter la contention des ressources. L'automatisation offre les fonctionnalités suivantes :

  • Stabilité du système : l'allocation dynamique des ressources empêche la latence à l'échelle de la plate-forme.

  • Efficacité du traitement : le système équilibre le streaming quasi en temps réel pour les menaces critiques avec le traitement par lot optimisé pour les tendances à long terme.

  • Fréquence déterministe : la fréquence est prévisible et déterminée par la période de correspondance de votre règle.

Terminologie clé

  • Fréquence déterministe : intervalle d'exécution prévisible que le système attribue en fonction de la fenêtre de correspondance de votre règle.

  • Délai de détection : différence de temps entre l'ingestion d'un événement et l'évaluation d'une règle.

Avant de commencer

Avant de commencer, assurez-vous que les conditions préalables suivantes sont remplies :

  • Autorisations : vous devez disposer d'un accès en lecture au tableau de bord "Règles" dans Google SecOps.

Afficher la fréquence d'exécution des règles

  1. Accédez au tableau de bord des règles pour vérifier comment le système a planifié votre règle.

  2. Ouvrez le tableau de bord des règles dans Google SecOps et recherchez votre règle dans la liste.

  3. Consultez la colonne Fréquence d'exécution pour identifier l'intervalle attribué par le système.

Définir la fréquence d'exécution de la règle

La période que vous définissez dans votre règle YARA-L détermine sa fréquence d'exécution. Cette action permet de maintenir la stabilité du système en équilibrant le streaming quasi en temps réel avec le traitement par lot. Pour définir votre période, procédez comme suit :

  1. Consultez la section match de votre règle pour identifier la taille de la fenêtre.

  2. Associez la taille de votre fenêtre à la fréquence du système (par exemple, No window = Near real-time).

Mappage d'exécution planifiée

La fréquence d'exécution dépend de la complexité et de la période définies dans votre règle YARA-L. Le tableau suivant vous permet de comprendre l'impact de la configuration de votre règle sur l'exécution du système.

Type de règle et taille de la fenêtre Fréquence d'exécution Exemple de cas d'utilisation
Règle à événement unique (sans fenêtre de correspondance) Temps réel Alertes immédiates sur les indicateurs critiques (IOC).
Règle multi-événements (window <= 48 hours) Toutes les heures Détecter les tentatives de forçage brut dans une courte période (par exemple, 15m et 1h).
Règle multi-événements (window > 48 hours) Tous les jours (24 hours) Surveillance de l'exfiltration lente sur plusieurs jours.

Exemple : Règle multi-événement avec exécution horaire

L'exemple suivant illustre une règle multi-événements que le système exécute toutes les heures en raison de la fenêtre de 15 minutes :


  rule fifteen_minute_window_example {

  meta:
    description = "Runs hourly because window is <= 48h"

  events:
    $e.metadata.event_type = "USER_LOGIN"
    $e.principal.user.userid = $user

  match:
    $user over 15m

  condition:
    $e
}

Comportements et limites du système

  • Pas d'intervalles personnalisés : vous ne pouvez pas configurer une règle pour qu'elle s'exécute "toutes les 10 minutes" ou "à 2h du matin". Le système gère en interne toutes les heures de début.

  • Délais de détection : ils peuvent varier en fonction de la vitesse d'ingestion des données. Pour en savoir plus, consultez Comprendre les relectures de règles et le MTTD et Comprendre les délais de détection des règles.

  • Données arrivant tardivement : les règles mono-événement évaluent toutes les données qui arrivent, quelle que soit la latence. Les règles multi-événements cessent d'être évaluées après la dernière exécution, qui a généralement lieu 24 à 30 heures après l'heure de l'événement.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.