Memahami penjadwalan eksekusi aturan

Panduan ini ditujukan bagi Engineer Keamanan dan Developer yang ingin mengelola performa aturan dengan memahami penjadwalan eksekusi otomatis. Di Google SecOps, sistem secara otomatis mengelola penjadwalan eksekusi aturan untuk memastikan stabilitas sistem dan efisiensi pemrosesan. Dokumen ini menjelaskan cara konfigurasi aturan YARA-L Anda menentukan frekuensi pemrosesan sistem. Dengan mengikuti prinsip pemetaan ini, Anda dapat mengurangi latensi deteksi dan meminimalkan pertentangan resource. Penjadwalan yang berhasil akan mengurangi waktu triase untuk ancaman kritis secara signifikan, dan memberikan manfaat bisnis yang penting melalui deteksi otomatis yang dioptimalkan.

Untuk mempertahankan performa optimal di ribuan aturan, Google SecOps menggunakan penjadwalan otomatis untuk mencegah perebutan resource. Otomatisasi ini menyediakan kemampuan berikut:

• Stabilitas sistem: Alokasi resource dinamis mencegah latensi di seluruh platform.

• Efisiensi pemrosesan: Sistem menyeimbangkan streaming hampir real-time untuk ancaman penting dengan pemrosesan batch yang dioptimalkan untuk tren jangka panjang.

• Frekuensi deterministik: Frekuensinya dapat diprediksi dan ditentukan oleh periode pencocokan aturan Anda.

Terminologi utama

• Frekuensi deterministik: Interval eksekusi yang dapat diprediksi yang ditetapkan sistem berdasarkan jendela kecocokan aturan Anda.

• Penundaan deteksi: Perbedaan waktu antara penyerapan peristiwa dan evaluasi aturan.

Sebelum memulai

Sebelum memulai, pastikan prasyarat berikut terpenuhi:

• Izin: Anda harus memiliki akses lihat ke dasbor Aturan di Google SecOps.

Melihat frekuensi eksekusi aturan

1. Buka dasbor Aturan untuk memverifikasi cara sistem menjadwalkan aturan Anda.

2. Buka dasbor Aturan di Google SecOps dan temukan aturan Anda dalam daftar.

3. Lihat kolom Frekuensi eksekusi untuk mengidentifikasi interval yang ditetapkan sistem.

Menentukan frekuensi eksekusi aturan

Jendela waktu yang Anda tentukan dalam aturan YARA-L menentukan frekuensi penyebarannya. Tindakan ini menjaga stabilitas sistem dengan menyeimbangkan streaming hampir real-time dengan pemrosesan batch. Untuk menentukan jangka waktu, selesaikan langkah-langkah berikut:

1. Tinjau bagian match aturan Anda untuk mengidentifikasi ukuran jendela.

2. Petakan ukuran jendela Anda ke frekuensi sistem (misalnya, No window = Near real-time).

Pemetaan operasi jadwal

Frekuensi eksekusi bergantung pada kompleksitas dan jangka waktu yang ditentukan dalam aturan YARA-L Anda. Gunakan tabel berikut untuk memahami pengaruh konfigurasi aturan terhadap eksekusi sistem.

Contoh: Aturan multi-peristiwa dengan eksekusi per jam

Contoh berikut menunjukkan aturan multi-peristiwa yang dieksekusi sistem setiap jam karena jendela 15 menit:

  rule fifteen_minute_window_example {

  meta:
    description = "Runs hourly because window is <= 48h"

  events:
    $e.metadata.event_type = "USER_LOGIN"
    $e.principal.user.userid = $user

  match:
    $user over 15m

  condition:
    $e
}

Perilaku dan batasan sistem

• Tidak ada interval kustom: Anda tidak dapat mengonfigurasi aturan untuk "dijalankan setiap 10 menit" atau "dijalankan pada pukul 02.00". Sistem mengelola semua waktu mulai secara internal.

• Penundaan deteksi: Penundaan deteksi dapat bervariasi berdasarkan kecepatan penyerapan data. Untuk mengetahui informasi selengkapnya, lihat Memahami pemutaran ulang aturan dan MTTD serta Memahami penundaan deteksi aturan.

• Data yang terlambat tiba: Aturan peristiwa tunggal mengevaluasi semua data yang tiba terlepas dari latensi. Aturan multi-peristiwa berhenti dievaluasi setelah dijalankan terakhir kali, yang biasanya 24 hingga 30 jam setelah jam peristiwa.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.