ルールの実行スケジュールについて

このガイドは、自動実行スケジューリングを理解してルールのパフォーマンスを管理したいセキュリティ エンジニアとデベロッパーを対象としています。Google SecOps では、システムの安定性と処理効率を確保するために、ルール実行のスケジューリングが自動的に管理されます。このドキュメントでは、YARA-L ルール構成によってシステムの処理頻度がどのように決定されるかについて説明します。これらのマッピング原則に従うことで、検出レイテンシを短縮し、リソース競合を最小限に抑えることができます。スケジューリングが成功すると、重大な脅威のトリアージまでの時間が大幅に短縮され、最適化された自動検出によってビジネス上の重要なメリットが得られます。

数千ものルールで最適なパフォーマンスを維持するために、Google SecOps は自動スケジューリングを使用してリソースの競合を防ぎます。自動化により、次の機能が提供されます。

• システムの安定性: 動的なリソース割り当てにより、プラットフォーム全体のレイテンシを防ぎます。

• 処理効率: システムは、重大な脅威に対するニア リアルタイムのストリーミングと、長期的な傾向に対する最適化されたバッチ処理のバランスを取ります。

• 決定論的頻度: 頻度は予測可能で、ルールの照合ウィンドウによって決まります。

主な用語

• 決定論的頻度: ルールの照合ウィンドウに基づいてシステムが割り当てる予測可能な実行間隔。

• 検出遅延: イベントの取り込みとルールの評価の間の時間差。

始める前に

開始する前に、次の前提条件を満たしていることを確認してください。

• 権限: Google SecOps のルール ダッシュボードに対する閲覧権限が必要です。

ルールの実行頻度を表示する

1. ルール ダッシュボードに移動して、システムがルールをどのようにスケジュールしたかを確認します。

2. Google SecOps でルール ダッシュボードを開き、リストでルールを見つけます。

3. [実行頻度] 列を表示して、システム割り当ての間隔を確認します。

ルールの実行頻度を定義する

YARA-L ルールで定義する期間によって、実行頻度が決まります。このアクションは、準リアルタイムのストリーミングとバッチ処理のバランスを取ることで、システムの安定性を維持します。時間枠を定義する手順は次のとおりです。

1. ルールの match セクションを確認して、ウィンドウ サイズを特定します。

2. ウィンドウ サイズをシステム頻度にマッピングします（例: No window = Near real-time）。

スケジュール実行マッピング

実行頻度は、YARA-L ルールで定義された複雑さと時間枠によって異なります。次の表を使用して、ルール構成がシステム実行に与える影響を確認します。

例: 1 時間ごとに実行されるマルチイベント ルール

次の例は、15 分間のウィンドウによりシステムが 1 時間ごとに実行する複数イベント ルールを示しています。

  rule fifteen_minute_window_example {

  meta:
    description = "Runs hourly because window is <= 48h"

  events:
    $e.metadata.event_type = "USER_LOGIN"
    $e.principal.user.userid = $user

  match:
    $user over 15m

  condition:
    $e
}

システムの動作と制限事項

• カスタム間隔なし: 「10 分ごとに実行」または「午前 2 時に実行」するようにルールを構成することはできません。システムはすべての開始時間を内部で管理します。

• 検出の遅延: 検出の遅延は、データの取り込み速度によって異なります。詳細については、ルールの再生と MTTD を理解するとルールの検出遅延を理解するをご覧ください。

• 遅延到着データ: 単一イベント ルールは、レイテンシに関係なく、到着したすべてのデータを評価します。マルチイベント ルールは、最後の実行後に評価を停止します。通常、これはイベント時間の 24 ～ 30 時間後です。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。