瞭解規則執行排程
本指南適用於想瞭解自動執行排程,進而管理規則效能的資安工程師和開發人員。在 Google SecOps 中,系統會自動管理規則執行排程,確保系統穩定性和處理效率。本文說明 YARA-L 規則設定如何決定系統的處理頻率。遵循這些對應原則可縮短偵測延遲時間,並盡量減少資源爭用。成功排定時間後,重大威脅的分類時間會大幅縮短,且透過最佳化的自動偵測功能,可為業務帶來重大效益。
為維持數千條規則的最佳效能,Google SecOps 會自動排定時間,避免資源爭用。這項自動化功能提供下列功能:
系統穩定性:動態資源分配可避免全平台延遲。
處理效率:系統會平衡近乎即時的串流處理作業,以因應重大威脅,並最佳化批次處理作業,以掌握長期趨勢。
確定性頻率:頻率可預測,且取決於規則的比對時間範圍。
重要術語
確定性頻率:系統根據規則的比對時間範圍指派的可預測執行間隔。
偵測延遲:事件擷取和規則評估之間的時間差。
事前準備
開始之前,請確認符合下列先決條件:
- 權限:您必須具備 Google SecOps 規則資訊主頁的檢視權限。
查看規則執行頻率
前往規則資訊主頁,確認系統排定規則的方式。
在 Google SecOps 中開啟「規則」資訊主頁,然後在清單中找出規則。
查看「執行頻率」欄,找出系統指派的間隔。
定義規則執行頻率
您在 YARA-L 規則中定義的時間範圍,會決定規則的執行頻率。這項動作會平衡近乎即時的串流和批次處理作業,維持系統穩定性。如要定義時間範圍,請完成下列步驟:
查看規則的「
match」部分,找出回溯期大小。將視窗大小對應至系統頻率 (例如
No window = Near real-time)。
排定執行作業的對應
執行頻率取決於 YARA-L 規則中定義的複雜度和時間範圍。請參閱下表,瞭解規則設定對系統執行的影響。
| 規則類型和時間範圍 | 執行頻率 | 用途範例 |
|---|---|---|
| 單一事件規則 (沒有比對視窗) | 即時 | 針對重大指標 (IOC) 立即發出警報。 |
多重事件規則 (window <= 48 hours)
|
每小時 | 在短時間內偵測暴力破解嘗試 (例如 15m 和 1h)。
|
多重事件規則 (window > 48 hours)
|
每日 (24 hours)
|
監控多天內緩慢的資料外洩。 |
範例:每小時執行一次的多事件規則
以下範例示範多事件規則。由於時間範圍為 15 分鐘,系統每小時會執行一次規則:
rule fifteen_minute_window_example {
meta:
description = "Runs hourly because window is <= 48h"
events:
$e.metadata.event_type = "USER_LOGIN"
$e.principal.user.userid = $user
match:
$user over 15m
condition:
$e
}
系統行為和限制
無法自訂間隔:你無法將規則設定為「每 10 分鐘執行一次」或「在凌晨 2 點執行」。系統會從內部管理所有開始時間。
偵測延遲:偵測延遲時間會因資料擷取速度而異。詳情請參閱「瞭解規則重播和 MTTD」 和「瞭解規則偵測延遲」。
延遲抵達的資料:單一事件規則會評估所有抵達的資料,無論延遲時間長短。多事件規則會在上次執行後停止評估,通常是在事件發生後 24 到 30 小時。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。