Entender o agendamento de execução de regras

Este guia é destinado a engenheiros e desenvolvedores de segurança que querem gerenciar o desempenho das regras entendendo o agendamento de execução automatizada. No Google SecOps, o sistema gerencia automaticamente o agendamento da execução de regras para garantir a estabilidade do sistema e a eficiência do processamento. Este documento explica como as configurações de regras YARA-L determinam a frequência de processamento do sistema. Ao seguir esses princípios de mapeamento, você reduz a latência de detecção e minimiza a disputa de recursos. O agendamento bem-sucedido reduz drasticamente o tempo de triagem para ameaças críticas e oferece um benefício comercial importante com a detecção automatizada otimizada.

Para manter a performance ideal em milhares de regras, o Google SecOps usa o agendamento automatizado para evitar a disputa de recursos. A automação oferece os seguintes recursos:

• Estabilidade do sistema: a alocação dinâmica de recursos evita a latência em toda a plataforma.

• Eficiência de processamento: o sistema equilibra o streaming quase em tempo real para ameaças críticas com o processamento em lote otimizado para tendências de longo prazo.

• Frequência determinística: a frequência é previsível e determinada pela janela de correspondência da sua regra.

Terminologia importante

• Frequência determinística: um intervalo de execução previsível que o sistema atribui com base na janela de correspondência da sua regra.

• Atraso na detecção: a diferença de tempo entre a ingestão de eventos e a avaliação de regras.

Antes de começar

Antes de começar, confirme se os seguintes pré-requisitos foram atendidos:

• Permissões: você precisa ter acesso de visualização ao painel "Regras" no Google SecOps.

Ver a frequência de execução da regra

1. Acesse o painel "Regras" para verificar como o sistema programou sua regra.

2. Abra o painel de regras no Google SecOps e encontre sua regra na lista.

3. Consulte a coluna Frequência de execução para identificar o intervalo atribuído pelo sistema.

Definir a frequência de execução da regra

O período definido na regra YARA-L determina a frequência de execução dela. Essa ação mantém a estabilidade do sistema ao equilibrar o streaming quase em tempo real com o processamento em lote. Para definir o período, siga estas etapas:

1. Analise a seção match da sua regra para identificar o tamanho da janela.

2. Mapeie o tamanho da janela para a frequência do sistema (por exemplo, No window = Near real-time).

Mapeamento de execução programada

A frequência de execução depende da complexidade e do período definido na regra YARA-L. Use a tabela a seguir para entender como a configuração da regra afeta a execução do sistema.

Exemplo: regra de vários eventos com execução por hora

O exemplo a seguir demonstra uma regra de vários eventos que o sistema executa a cada hora devido à janela de 15 minutos:

  rule fifteen_minute_window_example {

  meta:
    description = "Runs hourly because window is <= 48h"

  events:
    $e.metadata.event_type = "USER_LOGIN"
    $e.principal.user.userid = $user

  match:
    $user over 15m

  condition:
    $e
}

Comportamentos e limitações do sistema

• Sem intervalos personalizados: não é possível configurar uma regra para "ser executada a cada 10 minutos" ou "ser executada às 2h". O sistema gerencia todos os horários de início internamente.

• Atrasos na detecção: podem variar de acordo com as velocidades de ingestão de dados. Para mais informações, consulte Entender as repetições de regras e o MTTD e Entender os atrasos na detecção de regras.

• Dados atrasados: as regras de evento único avaliam todos os dados recebidos, independentemente da latência. As regras de vários eventos param de ser avaliadas após a última execução, que geralmente ocorre de 24 a 30 horas após a hora do evento.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.