Memahami penjadwalan eksekusi aturan

Panduan ini ditujukan untuk Engineer Keamanan dan Developer yang ingin mengelola performa aturan dengan memahami penjadwalan eksekusi otomatis. Di Google SecOps, sistem secara otomatis mengelola penjadwalan eksekusi aturan untuk memastikan stabilitas sistem dan efisiensi pemrosesan. Dokumen ini menjelaskan cara konfigurasi aturan YARA-L Anda menentukan frekuensi pemrosesan sistem. Dengan mengikuti prinsip pemetaan ini, Anda dapat mengurangi latensi deteksi dan meminimalkan pertentangan resource. Penjadwalan yang berhasil akan mengurangi waktu untuk melakukan triase ancaman penting secara drastis, dan memberikan manfaat bisnis yang penting melalui deteksi otomatis yang dioptimalkan.

Untuk mempertahankan performa optimal di ribuan aturan, Google SecOps menggunakan penjadwalan otomatis untuk mencegah pertentangan resource. Otomatisasi ini menyediakan kemampuan berikut:

• Stabilitas sistem: Alokasi resource dinamis mencegah latensi di seluruh platform.

• Efisiensi pemrosesan: Sistem menyeimbangkan streaming mendekati real-time untuk ancaman penting dengan pemrosesan batch yang dioptimalkan untuk tren jangka panjang.

• Frekuensi deterministik: Frekuensi dapat diprediksi dan ditentukan oleh periode pencocokan aturan Anda.

Terminologi utama

• Frekuensi deterministik: Interval eksekusi yang dapat diprediksi yang ditetapkan sistem berdasarkan periode pencocokan aturan Anda.

• Penundaan deteksi: Perbedaan waktu antara penyerapan peristiwa dan evaluasi aturan.

Sebelum memulai

Sebelum memulai, pastikan prasyarat berikut terpenuhi:

• Izin: Anda harus memiliki akses lihat ke dasbor Aturan di Google SecOps.

Melihat frekuensi eksekusi aturan

1. Buka dasbor Aturan untuk memverifikasi cara sistem menjadwalkan aturan Anda.

2. Buka dasbor Aturan di Google SecOps dan temukan aturan Anda dalam daftar.

3. Lihat kolom Frekuensi eksekusi untuk mengidentifikasi interval yang ditetapkan sistem.

Menentukan frekuensi eksekusi aturan

Periode waktu yang Anda tentukan dalam aturan YARA-L akan menentukan frekuensi eksekusinya. Tindakan ini mempertahankan stabilitas sistem dengan menyeimbangkan streaming mendekati real-time dengan pemrosesan batch. Untuk menentukan periode waktu, selesaikan langkah-langkah berikut:

1. Tinjau bagian match aturan Anda untuk mengidentifikasi ukuran periode.

2. Petakan ukuran periode Anda ke frekuensi sistem (misalnya, No window = Near real-time).

Memetakan eksekusi terjadwal

Frekuensi eksekusi bergantung pada kompleksitas dan periode waktu yang ditentukan dalam aturan YARA-L Anda. Gunakan tabel berikut untuk memahami pengaruh konfigurasi aturan Anda terhadap eksekusi sistem.

Contoh: Aturan multi-peristiwa dengan eksekusi setiap jam

Contoh berikut menunjukkan aturan multi-peristiwa yang dieksekusi sistem setiap jam karena periode 15 menit:

  rule fifteen_minute_window_example {

  meta:
    description = "Runs hourly because window is <= 48h"

  events:
    $e.metadata.event_type = "USER_LOGIN"
    $e.principal.user.userid = $user

  match:
    $user over 15m

  condition:
    $e
}

Perilaku dan batasan sistem

• Tidak ada interval kustom: Anda tidak dapat mengonfigurasi aturan untuk "dijalankan setiap 10 menit" atau "dijalankan pukul 02.00". Sistem mengelola semua waktu mulai secara internal.

• Penundaan deteksi: Penundaan deteksi dapat bervariasi berdasarkan kecepatan penyerapan data. Untuk mengetahui informasi selengkapnya, lihat Memahami pemutaran ulang aturan dan MTTD dan Memahami penundaan deteksi aturan.

• Data yang terlambat diterima: Aturan satu peristiwa mengevaluasi semua data yang diterima terlepas dari latensi. Aturan multi-peristiwa berhenti mengevaluasi setelah eksekusi terakhir, yang biasanya 24 hingga 30 jam setelah jam peristiwa.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.