Informazioni sulla pianificazione dell'esecuzione delle regole

Supportato in:

Questa guida è rivolta agli ingegneri della sicurezza e agli sviluppatori che vogliono gestire le prestazioni delle regole comprendendo la pianificazione dell'esecuzione automatica. In Google SecOps, il sistema gestisce automaticamente la pianificazione dell'esecuzione delle regole per garantire la stabilità del sistema e l'efficienza dell'elaborazione. Questo documento spiega in che modo le configurazioni delle regole YARA-L determinano la frequenza di elaborazione del sistema. Se segui questi principi di mappatura, riduci la latenza di rilevamento e minimizzi la contesa delle risorse. La pianificazione riuscita riduce drasticamente il tempo di triage per le minacce critiche e offre un vantaggio aziendale fondamentale grazie al rilevamento automatizzato ottimizzato.

Per mantenere prestazioni ottimali in migliaia di regole, Google SecOps utilizza la pianificazione automatica per evitare la contesa delle risorse. L'automazione offre le seguenti funzionalità:

  • Stabilità del sistema: l'allocazione dinamica delle risorse impedisce la latenza a livello di piattaforma.

  • Efficienza di elaborazione: il sistema bilancia lo streaming quasi in tempo reale per le minacce critiche con l'elaborazione batch ottimizzata per le tendenze a lungo termine.

  • Frequenza deterministica: la frequenza è prevedibile e determinata dalla finestra di corrispondenza della regola.

Terminologia chiave

  • Frequenza deterministica: un intervallo di esecuzione prevedibile che il sistema assegna in base alla finestra di corrispondenza della regola.

  • Ritardo di rilevamento: la differenza di tempo tra l'importazione dell'evento e la valutazione della regola.

Prima di iniziare

Prima di iniziare, verifica che siano soddisfatti i seguenti prerequisiti:

  • Autorizzazioni: devi disporre dell'accesso in visualizzazione alla dashboard Regole in Google SecOps.

Visualizzare la frequenza di esecuzione delle regole

  1. Vai alla dashboard delle regole per verificare come il sistema ha pianificato la regola.

  2. Apri la dashboard delle regole in Google SecOps e individua la tua regola nell'elenco.

  3. Visualizza la colonna Frequenza di esecuzione per identificare l'intervallo assegnato dal sistema.

Definisci la frequenza di esecuzione della regola

La finestra temporale definita nella regola YARA-L determina la frequenza di esecuzione. Questa azione mantiene la stabilità del sistema bilanciando lo streaming quasi in tempo reale con l'elaborazione batch. Per definire la finestra temporale, completa i seguenti passaggi:

  1. Esamina la sezione match della regola per identificare le dimensioni della finestra.

  2. Mappa le dimensioni della finestra alla frequenza del sistema (ad esempio, No window = Near real-time).

Mappatura dell'esecuzione pianificata

La frequenza di esecuzione dipende dalla complessità e dalla finestra temporale definite nella regola YARA-L. Utilizza la seguente tabella per capire in che modo la configurazione delle regole influisce sull'esecuzione del sistema.

Tipo di regola e dimensione della finestra Frequenza di esecuzione Esempio di caso d'uso
Regola per un singolo evento (nessuna finestra di corrispondenza) In tempo reale Avvisi immediati sugli indicatori critici (IOC).
Regola per più eventi (window <= 48 hours) Ogni ora Rilevamento di tentativi di attacco di tipo brute force in un breve periodo di tempo (ad esempio, 15m e 1h).
Regola per più eventi (window > 48 hours) Giornaliero (24 hours) Monitoraggio dell'esfiltrazione lenta per diversi giorni.

Esempio: regola multi-evento con esecuzione oraria

L'esempio seguente mostra una regola multi-evento che il sistema esegue ogni ora a causa della finestra di 15 minuti:


  rule fifteen_minute_window_example {

  meta:
    description = "Runs hourly because window is <= 48h"

  events:
    $e.metadata.event_type = "USER_LOGIN"
    $e.principal.user.userid = $user

  match:
    $user over 15m

  condition:
    $e
}

Comportamenti e limitazioni del sistema

  • Nessun intervallo personalizzato: non puoi configurare una regola per "eseguirla ogni 10 minuti" o "eseguirla alle 2:00". Il sistema gestisce internamente tutti gli orari di inizio.

  • Ritardi nel rilevamento: i ritardi nel rilevamento possono variare in base alle velocità di importazione dati. Per saperne di più, vedi Informazioni sulle ripetizioni delle regole e sul MTTD e Informazioni sui ritardi nel rilevamento delle regole.

  • Dati in ritardo: le regole basate su un singolo evento valutano tutti i dati in arrivo indipendentemente dalla latenza. Le regole multi-evento smettono di essere valutate dopo l'ultima esecuzione, che in genere avviene 24-30 ore dopo l'ora dell'evento.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.