Información sobre las cuotas de reglas
Google Security Operations aplica límites de capacidad en las reglas de detección para garantizar un rendimiento constante del sistema y una velocidad de consulta.
La capacidad de las reglas se administra a través de las siguientes dos categorías:
Reglas personalizadas: Son reglas que escribe y administra tu equipo.
Detecciones seleccionadas: Son reglas escritas y administradas por Google.
Realiza un seguimiento de la cuota de reglas personalizadas
Las reglas personalizadas están sujetas a cuotas de rendimiento estrictas según su complejidad.
Para hacer un seguimiento de la cuota de reglas personalizadas, haz lo siguiente:
En Google SecOps, ve a Detección > Reglas y detecciones.
Ve a la pestaña Panel de reglas.
Haz clic en Capacidad de reglas para abrir el diálogo Cuota de reglas de varios eventos. Muestra las cuotas de Reglas de eventos múltiples y Reglas totales.
| Tipo de cuota | Descripción | Qué se incluye en la cuota |
|---|---|---|
| Cuota total de reglas | Es la cantidad máxima de reglas habilitadas permitidas en el entorno. | Todas las reglas activas: de evento único y de varios eventos |
| Cuota de reglas de varios eventos | Es un subconjunto restringido de la cuota total reservada para las reglas de varios eventos. | Solo reglas de varios eventos: Son reglas que correlacionan varios eventos a lo largo del tiempo, usan uniones o realizan agregaciones con ventanas (por ejemplo, reglas con una sección de coincidencias). |
Las reglas de evento único solo se tienen en cuenta para la cuota activa total.
Las reglas de evento múltiple consumen capacidad de ambas cuotas de eventos múltiples y de cuotas activas totales de forma simultánea.
Las reglas de eventos múltiples consumen muchos más recursos que las reglas de eventos únicos. Es posible que tengas espacio disponible en tu cuota total, pero no puedas habilitar una regla nueva si agotaste tu cuota de varios eventos.
Realiza un seguimiento de la cuota de detecciones seleccionadas
Las detecciones seleccionadas están disponibles para los clientes de Enterprise y Enterprise Plus. Los derechos de licencia se dimensionan explícitamente para abarcar toda la biblioteca de conjuntos de reglas seleccionados. Si bien el panel proporciona métricas de Capacidad o Peso, estas cifras son informativas y no representan límites estrictos.
En el caso de los clientes de Enterprise y Enterprise Plus, los derechos de licencia se dimensionan de forma explícita para admitir toda la biblioteca de conjuntos de reglas seleccionados. Si bien el panel proporciona métricas de Capacidad o Peso, estas cifras son informativas y no representan límites estrictos.
Puedes activar todos los conjuntos de reglas seleccionados de forma simultánea sin correr el riesgo de afectar el rendimiento ni alcanzar un límite de capacidad. Si se activa una advertencia de límite, verifica la configuración del paquete de licencias.
Optimiza el rendimiento del sistema
En esta sección, se describen las estrategias de optimización para maximizar la capacidad de tus reglas y el rendimiento del sistema.
Modulariza la lógica compleja
Crea reglas ligeras de un solo evento para marcar comportamientos atómicos. Es decir, evita escribir reglas masivas de varios eventos que intenten detectar cada etapa de un ataque a partir de registros sin procesar.
Detecta indicadores con reglas de un solo evento
Crea reglas de un solo evento para comportamientos individuales (por ejemplo,
User Login Failed,Process Launched).Impacto: Consume la cuota activa total (abundante) y se ejecuta casi en tiempo real.
Correlaciona alertas con reglas compuestas o de varios eventos
Escribe una regla compuesta que use las detecciones generadas en el paso 1 como entrada.
Impacto: Consume la cuota de varios eventos (costoso).
Beneficio: Usas la cuota de varios eventos una vez para la lógica, en lugar de volver a procesar los registros sin procesar varias veces para diferentes situaciones.
Crea un diseño de reglas eficiente
Prioriza la lógica de un solo evento: Si una detección se puede realizar con una sola línea de registro (por ejemplo, "El usuario visitó un dominio no seguro conocido"), escríbela como una regla de un solo evento para guardar tu cuota de varios eventos para las correlaciones. Evita usar una ventana de coincidencias.
Usa listas de referencia: En lugar de N reglas para N indicadores, usa una sola regla que haga referencia a una lista de referencia (por ejemplo,
target.ip in %suspicious_ips). Esto consume solo una unidad de la cuota de reglas.Realiza auditorías periódicas: Audita periódicamente las reglas pausadas o inhabilitadas. Si bien no se consideran para la cuota activa, archivarlos mantiene el entorno limpio.
Caso de uso: Detecta el movimiento lateral por fuerza bruta
Situación: Detectar a un atacante que intenta ingresar por fuerza bruta a un servidor a través de la Plataforma de datos de riesgo (RDP) y ejecuta de inmediato una herramienta administrativa sospechosa (como PsExec) para moverse lateralmente.
Paso 1: Detecta indicadores con reglas de un solo evento
Crea dos reglas ligeras que se ejecuten en la cuota total activa abundante. Estos generan detecciones.
Regla A (señal de fuerza bruta):
Lógica:
Busca
auth.status = FAILURE.Son eventos de acceso a grupos.
Se activa si hay más de 5 intentos fallidos en 1 minuto.
Entrada: Eventos de UDM sin procesar.
Resultado: Una alerta de detección llamada
Possible_RDP_Brute_Force.Costo: Bajo (usa la cuota activa total).
Regla B (indicador de herramienta sospechosa):
Lógica: Se activa si el proceso es
psexec.exe.Entrada: Eventos de UDM sin procesar.
Resultado: Una alerta de detección llamada
PsExec_Usage.Costo: Bajo (usa la cuota activa total).
Paso 2: Correlaciona las alertas con la regla compuesta
Escribe una regla compuesta que analice las detecciones generadas en el paso 1, no los registros sin procesar.
Regla C:
Lógica: Busca
Possible_RDP_Brute_Force AND PsExec_Usageque ocurran en el mismoprincipal.hostnameen un plazo de 10 minutos.Entrada: Detecciones de las reglas A y B.
Costo: Alto (usa la cuota de varios eventos), pero solo procesa las pocas alertas generadas en el paso 1.
Este enfoque por niveles optimiza el rendimiento y la rentabilidad, ya que desacopla la generación de señales iniciales de la lógica de correlación compleja. Al filtrar miles de millones de eventos UDM sin procesar en detecciones de alta fidelidad con reglas de un solo evento, reduces el volumen de datos que procesa el motor de varios eventos.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.