Kontingente für Regeln

In Google Security Operations werden Kapazitätslimits für Erkennungsregeln erzwungen, um eine gleichbleibende Systemleistung und Abfragegeschwindigkeit zu gewährleisten.

Die Regelkapazität wird über die folgenden beiden Kategorien verwaltet:

• Benutzerdefinierte Regeln: Regeln, die von Ihrem Team geschrieben und verwaltet werden.

• Abgestimmte Erkennungsmechanismen: Regeln, die von Google geschrieben und verwaltet werden.

Kontingent für benutzerdefinierte Regeln im Blick behalten

Für benutzerdefinierte Regeln gelten strenge Leistungskontingente, die auf ihrer Komplexität basieren.

So verfolgen Sie das Kontingent für benutzerdefinierte Regeln:

1. Rufen Sie in Google SecOps Detection > Rules & Detections auf.

2. Rufen Sie den Tab Regel-Dashboard auf.

3. Klicken Sie auf Regelkapazität, um das Dialogfeld Kontingent für Regeln für mehrere Ereignisse zu öffnen. Hier werden die Kontingente für Regeln für mehrere Ereignisse und Gesamtzahl der Regeln angezeigt.

Kontingenttyp	Beschreibung	Was wird auf das Kontingent angerechnet?
Kontingent für Regeln insgesamt	Die maximale Anzahl aktivierter Regeln, die in der Umgebung zulässig sind.	Alle aktiven Regeln: Einzelereignis- und Mehrfachereignisregeln.
Kontingent für Regeln mit mehreren Ereignissen	Eine eingeschränkte Teilmenge des Gesamtkontingents, die für Regeln mit mehreren Ereignissen reserviert ist.	Nur Regeln mit mehreren Ereignissen: Regeln, die mehrere Ereignisse im Zeitverlauf korrelieren, Joins verwenden oder Aggregationen mit Zeitfenstern ausführen (z. B. Regeln mit einem „match“-Abschnitt).

• Regeln für einzelne Ereignisse werden nur auf das Gesamtkontingent für aktive Regeln angerechnet.

• Mehrfachereignisregeln verbrauchen gleichzeitig Kapazität aus beiden Kontingenten für aktive Nutzer und Mehrfachereignisse.

Regeln mit mehreren Ereignissen verbrauchen deutlich mehr Ressourcen als Regeln mit einem einzelnen Ereignis. Möglicherweise haben Sie noch Speicherplatz in Ihrem Gesamtkontingent, können aber keine neue Regel aktivieren, wenn Sie Ihr Kontingent für mehrere Ereignisse ausgeschöpft haben.

Kontingent für ausgewählte Erkennungen im Blick behalten

Kuratierte Erkennungen sind für Enterprise- und Enterprise Plus-Kunden verfügbar. Die Lizenzberechtigungen sind explizit so bemessen, dass sie die gesamte Bibliothek kuratierter Regelsätze abdecken. Das Dashboard enthält zwar Messwerte für Kapazität oder Gewicht, diese Zahlen sind jedoch nur informativ und keine harten Grenzwerte.

Bei Enterprise- und Enterprise Plus-Kunden sind die Lizenzberechtigungen explizit so bemessen, dass die gesamte Bibliothek kuratierter Regelsätze abgedeckt wird. Das Dashboard enthält zwar Messwerte für Kapazität oder Gewicht, diese Zahlen sind jedoch nur informativ und keine harten Limits.

Sie können alle kuratierten Regelsätze gleichzeitig aktivieren, ohne dass es zu Leistungseinbußen kommt oder Sie eine Kapazitätsgrenze erreichen. Wenn eine Warnung zum Limit ausgelöst wird, überprüfen Sie die Konfiguration Ihres Lizenzpakets.

Systemleistung optimieren

In diesem Abschnitt werden Optimierungsstrategien beschrieben, mit denen Sie die Regelkapazität und die Systemleistung maximieren können.

Komplexe Logik modularisieren

Erstellen Sie einfache Regeln für einzelne Ereignisse, um atomare Verhaltensweisen zu kennzeichnen. Vermeiden Sie also, umfangreiche Regeln mit mehreren Ereignissen zu schreiben, mit denen versucht wird, jede Phase eines Angriffs anhand von Rohlogs zu erkennen.

1. Signale mit Einzelereignisregeln erkennen

   • Erstellen Sie Regeln für einzelne Ereignisse für einzelne Verhaltensweisen (z. B. User Login Failed, Process Launched).

   • Auswirkung: Verbraucht das gesamte aktive Kontingent (reichlich) und wird in Echtzeit ausgeführt.

2. Benachrichtigungen mit zusammengesetzten Regeln oder Regeln für mehrere Ereignisse in Beziehung setzen

   • Schreiben Sie eine zusammengesetzte Regel, die die in Schritt 1 generierten Erkennungen als Eingabe verwendet.

   • Auswirkung: Verbraucht das Kontingent für mehrere Ereignisse (teuer).

   • Vorteil: Sie verwenden das Kontingent für mehrere Ereignisse einmal für die Logik, anstatt Rohlogs für verschiedene Szenarien mehrmals neu zu verarbeiten.

Effiziente Regeln erstellen

• Logik für einzelne Ereignisse priorisieren: Wenn eine Erkennung mit einer einzelnen Logzeile erfolgen kann (z. B. „Nutzer hat eine bekannte schädliche Domain besucht“), schreiben Sie sie als Regel für einzelne Ereignisse, um Ihr Kontingent für mehrere Ereignisse für Korrelationen zu sparen. Kein Abgleichszeitraum verwenden

• Referenzlisten verwenden: Anstelle von N Regeln für N Indikatoren verwenden Sie eine einzelne Regel, die auf eine Referenzliste verweist (z. B. target.ip in %suspicious_ips). Dadurch wird nur eine Einheit des Regelkontingents verbraucht.

• Regelmäßige Prüfungen durchführen:Prüfen Sie regelmäßig pausierte oder deaktivierte Regeln. Sie werden zwar nicht auf das aktive Kontingent angerechnet, aber durch das Archivieren wird die Umgebung übersichtlich gehalten.

Anwendungsfall: Lateral Movement durch Brute-Force-Angriffe erkennen

Szenario:Einen Angreifer erkennen, der versucht, sich über das Remote Desktop Protocol (RDP) per Brute-Force-Angriff auf einem Server anzumelden, und sofort ein verdächtiges Verwaltungstool (z. B. PsExec) ausführt, um sich seitlich zu bewegen.

Schritt 1: Signale mit Regeln für einzelne Ereignisse erkennen

Erstellen Sie zwei einfache Regeln, die für das reichlich vorhandene Gesamtkontingent für aktive Nutzer ausgeführt werden. Dadurch werden Erkennungen generiert.

• Regel A (Brute-Force-Signal):

  • Logik:

    • Suchen Sie nach auth.status = FAILURE.

    • Gruppenanmeldeereignisse

    • Wird ausgelöst, wenn es in einer Minute mehr als fünf fehlgeschlagene Versuche gibt.

  • Eingabe: UDM-Rohereignisse.

  • Ausgabe: Eine Benachrichtigung zur Erkennung mit dem Namen Possible_RDP_Brute_Force.

  • Kosten: Gering (nutzt das gesamte aktive Kontingent).

• Regel B (verdächtiges Tool-Signal):

  • Logik: Wird ausgelöst, wenn der Prozess psexec.exe ist.

  • Eingabe: UDM-Rohereignisse.

  • Ausgabe: Eine Benachrichtigung zur Erkennung mit dem Namen PsExec_Usage.

  • Kosten:Gering (nutzt das gesamte aktive Kontingent).

Schritt 2: Benachrichtigungen mit zusammengesetzter Regel in Beziehung setzen

Schreiben Sie eine zusammengesetzte Regel, die sich auf die in Schritt 1 generierten Erkennungen bezieht, nicht auf die Rohprotokolle.

• Regel C:

  • Logik: Suchen Sie nach Possible_RDP_Brute_Force AND PsExec_Usage, die innerhalb von 10 Minuten auf demselben principal.hostname auftreten.

  • Eingabe: Erkennungen aus den Regeln A und B.

  • Kosten: Hoch (Kontingent für mehrere Ereignisse wird verwendet), aber es werden nur die wenigen Benachrichtigungen verarbeitet, die in Schritt 1 generiert wurden.

Dieser mehrstufige Ansatz optimiert sowohl die Leistung als auch die Kosteneffizienz, indem die anfängliche Signalerstellung von der komplexen Korrelationslogik entkoppelt wird. Durch das Filtern von Milliarden von UDM-Rohereignissen in hochwertige Erkennungen mithilfe von Einzelereignisregeln wird das Datenvolumen reduziert, das von der Multi-Event-Engine verarbeitet wird.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten