了解规则运行调度
本指南适用于希望通过了解自动化执行调度来管理规则性能的安全工程师和开发者。在 Google SecOps 中,系统会自动管理规则执行调度,以确保系统稳定性和处理效率。本文档介绍了 YARA-L 规则配置如何决定系统的处理频率。遵循这些映射原则有助于缩短检测延迟时间并最大限度地减少资源争用。成功安排可大幅缩短关键威胁的初步评估时间,并通过优化的自动化检测提供关键业务优势。
为了在数千条规则中保持最佳性能,Google SecOps 使用自动化调度来防止资源争用。自动化功能可实现以下操作:
系统稳定性:动态资源分配可防止出现平台范围的延迟。
处理效率:该系统可平衡近乎实时的流式传输(用于处理严重威胁)与优化的批处理(用于处理长期趋势)。
确定性频次:频次是可预测的,由规则的匹配窗口确定。
主要术语
确定性频次:系统根据规则的匹配窗口分配的可预测执行间隔。
检测延迟时间:事件提取与规则评估之间的时间差。
准备工作
在开始之前,请确认满足以下前提条件:
- 权限:您必须拥有 Google SecOps 中“规则”信息中心的查看权限。
查看规则执行频率
前往“规则”信息中心,验证系统如何安排规则的执行时间。
在 Google SecOps 中打开规则信息中心,然后在列表中找到您的规则。
查看运行频率列,以确定系统分配的间隔。
定义规则运行频率
您在 YARA-L 规则中定义的时间窗口决定了该规则的运行频率。此操作通过平衡近乎实时的流式处理与批处理来维持系统稳定性。如需定义时间窗口,请完成以下步骤:
查看规则的
match部分,以确定窗口大小。将窗口大小映射到系统频率(例如
No window = Near real-time)。
安排运行时间映射
运行频率取决于 YARA-L 规则中定义的复杂程度和时间窗口。请使用下表了解规则配置对系统执行的影响。
| 规则类型和窗口大小 | 执行频率 | 使用场景示例 |
|---|---|---|
| 单事件规则 | 实时 | 针对关键指标(失陷指标 [IOC])的即时提醒。 |
多事件规则 (window <= 48 hours)
|
每小时 | 在短时间内(例如 15m 和 1h)检测暴力破解尝试。
|
多事件规则 (window > 48 hours)
|
每日(24 hours)
|
监控持续数天的缓慢数据渗出。 |
示例:每小时执行一次的多事件规则
以下示例展示了一个多事件规则,由于时间窗口为 15 分钟,系统每小时都会执行该规则:
rule fifteen_minute_window_example {
meta:
description = "Runs hourly because window is <= 48h"
events:
$e.metadata.event_type = "USER_LOGIN"
$e.principal.user.userid = $user
match:
$user over 15m
condition:
$e
}
系统行为和限制
无自定义间隔:您无法将规则配置为“每 10 分钟运行一次”或“在凌晨 2 点运行”。系统会在内部管理所有开始时间。
检测延迟:检测延迟时间可能会因数据注入速度而异。如需了解详情,请参阅了解规则重放和 MTTD 以及了解规则检测延迟时间。
延迟到达的数据:单事件规则会评估所有到达的数据,无论延迟时间长短。多事件规则会在上次运行后停止评估,而上次运行通常是在事件小时后的 24 到 30 小时内。
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。