Entender a programação de execução de regras

Este guia é destinado a engenheiros e desenvolvedores de segurança que querem gerenciar a performance das regras entendendo a programação de execução automatizada. No Google SecOps, o sistema gerencia automaticamente a programação de execução de regras para garantir a estabilidade do sistema e a eficiência do processamento. Este documento explica como as configurações de regras YARA-L determinam a frequência de processamento do sistema. Ao seguir esses princípios de mapeamento, você reduz a latência de detecção e minimiza a contenção de recursos. A programação bem-sucedida reduz drasticamente o tempo de triagem de ameaças críticas e oferece um benefício comercial essencial por meio da detecção automatizada otimizada.

Para manter a performance ideal em milhares de regras, o Google SecOps usa a programação automatizada para evitar a contenção de recursos. A automação oferece os seguintes recursos:

• Estabilidade do sistema: a alocação dinâmica de recursos evita a latência em toda a plataforma.

• Eficiência de processamento: o sistema equilibra o streaming quase em tempo real para ameaças críticas com o processamento em lote otimizado para tendências de longo prazo.

• Frequência determinística: a frequência é previsível e determinada pela janela de correspondência da regra.

Terminologia importante

• Frequência determinística: um intervalo de execução previsível que o sistema atribui com base na janela de correspondência da regra.

• Atraso de detecção: a diferença de tempo entre a ingestão de eventos e a avaliação de regras.

Antes de começar

Antes de começar, confirme se os seguintes pré-requisitos foram atendidos:

• Permissões: você precisa ter acesso de visualização ao painel "Regras" no Google SecOps.

Conferir a frequência de execução da regra

1. Acesse o painel "Regras" para verificar como o sistema programou a regra.

2. Abra o painel "Regras" no Google SecOps e encontre a regra na lista.

3. Confira a coluna Frequência de execução para identificar o intervalo atribuído pelo sistema.

Definir a frequência de execução da regra

A janela de tempo definida na regra YARA-L determina a frequência de execução. Essa ação mantém a estabilidade do sistema equilibrando o streaming quase em tempo real com o processamento em lote. Para definir a janela de tempo, siga estas etapas:

1. Analise a seção match da regra para identificar o tamanho da janela.

2. Mapeie o tamanho da janela para a frequência do sistema (por exemplo, No window = Near real-time).

Programar o mapeamento de execução

A frequência de execução depende da complexidade e da janela de tempo definida na regra YARA-L. Use a tabela a seguir para entender como a configuração da regra afeta a execução do sistema.

Exemplo: regra de vários eventos com execução por hora

O exemplo a seguir demonstra uma regra de vários eventos que o sistema executa a cada hora devido à janela de 15 minutos:

  rule fifteen_minute_window_example {

  meta:
    description = "Runs hourly because window is <= 48h"

  events:
    $e.metadata.event_type = "USER_LOGIN"
    $e.principal.user.userid = $user

  match:
    $user over 15m

  condition:
    $e
}

Comportamentos e limitações do sistema

• Sem intervalos personalizados: não é possível configurar uma regra para "executar a cada 10 minutos" ou "executar às 2h". O sistema gerencia todos os horários de início internamente.

• Atrasos de detecção: os atrasos de detecção podem variar com base nas velocidades de ingestão de dados. Para mais informações, consulte Entender as repetições de regras e o MTTD e Entender os atrasos de detecção de regras.

• Dados que chegam tarde: as regras de evento único avaliam todos os dados recebidos independentemente da latência. As regras de vários eventos param de avaliar após a última execução, que normalmente é de 24 a 30 horas após o horário do evento.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.