了解规则运行调度
本指南适用于希望通过了解自动执行调度来管理规则性能的安全工程师和开发者。在 Google SecOps 中,系统会自动管理规则执行调度,以确保系统稳定性和处理效率。本文档介绍了 YARA-L 规则配置如何决定系统的处理频率。遵循这些映射原则有助于缩短检测延迟时间并最大限度地减少资源争用。成功调度可大幅缩短关键威胁的分类时间,并通过优化的自动检测提供关键业务优势。
为了在数千条规则中保持最佳性能,Google SecOps 使用自动调度来防止资源争用。自动化提供以下功能:
系统稳定性:动态资源分配可防止平台范围内的 延迟。
处理效率:系统会平衡 关键威胁的近乎实时流式处理与长期趋势的优化批处理。
确定性频率:频率是可预测的,由规则的匹配窗口决定 。
主要术语
确定性频率:系统 根据规则的匹配窗口分配的可预测执行间隔。
检测延迟时间 :事件提取与规则 评估之间的时间差。
准备工作
在开始之前,请确认满足以下前提条件:
- 权限:您必须拥有 Google SecOps 中“规则”信息中心的查看权限。
查看规则执行频率
前往规则信息中心 ,验证系统如何调度规则。
在 Google SecOps 中打开规则信息中心 ,然后在列表中找到您的规则。
查看运行频率 列,以确定系统分配的间隔。
定义规则运行频率
您在 YARA-L 规则中定义的时间窗口决定了其运行频率。此操作通过平衡近乎实时流式处理与批处理来维持系统稳定性。如需定义时间窗口,请完成以下步骤:
查看规则的
match部分,以确定窗口大小。将窗口大小映射到系统频率(例如,
No window = Near real-time)。
调度运行映射
运行频率取决于 YARA-L 规则中定义的复杂性和时间窗口。请使用下表了解规则配置如何影响系统执行。
| 规则类型和窗口大小 | 执行频率 | 应用场景示例 |
|---|---|---|
| 单事件规则(无匹配窗口) | 实时 | 针对关键指标 (IOC) 的即时提醒。 |
多事件规则 (window <= 48 hours)
|
每小时 | 在短时间内(例如 15m 和 1h)检测暴力破解尝试。
|
多事件规则 (window > 48 hours)
|
每日 (24 hours)
|
监控几天内的缓慢数据渗漏。 |
示例:每小时执行的多事件规则
以下示例展示了一个多事件规则,由于窗口为 15 分钟,系统每小时执行一次:
rule fifteen_minute_window_example {
meta:
description = "Runs hourly because window is <= 48h"
events:
$e.metadata.event_type = "USER_LOGIN"
$e.principal.user.userid = $user
match:
$user over 15m
condition:
$e
}
系统行为和限制
无自定义间隔:您无法将规则配置为 “每 10 分钟运行一次”或“在凌晨 2 点运行”。系统会在内部管理所有开始时间。
检测延迟时间:检测延迟时间可能会因数据注入速度而异。如需了解详情,请参阅了解规则重放和 MTTD 和了解规则检测延迟时间。
延迟到达的数据:单事件规则会评估所有到达的数据 无论延迟时间如何。多事件规则会在上次运行后停止评估,通常是在事件发生时间后的 24 到 30 小时。
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。