Memahami kuota aturan
Google Security Operations menerapkan batas kapasitas pada aturan deteksi untuk memastikan performa sistem dan kecepatan kueri yang konsisten.
Kapasitas aturan dikelola melalui dua kategori berikut:
Aturan kustom: Aturan yang ditulis dan dikelola oleh tim Anda.
Deteksi yang diseleksi: Aturan yang ditulis dan dikelola oleh Google.
Melacak kuota aturan kustom
Aturan kustom tunduk pada kuota performa yang ketat berdasarkan kompleksitasnya.
Untuk melacak kuota aturan kustom, lakukan hal berikut:
Di Google SecOps, buka Detection > Rules & Detections.
Buka tab Dasbor aturan.
Klik Kapasitas aturan untuk membuka dialog Kuota aturan beberapa peristiwa. Halaman ini menampilkan kuota Aturan multi-peristiwa dan Total aturan.
| Jenis kuota | Deskripsi | Yang mengurangi kuota |
|---|---|---|
| Total kuota aturan | Jumlah maksimum aturan yang diaktifkan yang diizinkan di lingkungan. | Semua aturan aktif: Peristiwa tunggal dan multi-peristiwa. |
| Kuota aturan beberapa peristiwa | Subkumpulan terbatas dari total kuota yang disediakan untuk aturan multi-acara. | Hanya aturan multi-peristiwa: Aturan yang mengorelasikan beberapa peristiwa dari waktu ke waktu, menggunakan gabungan, atau melakukan agregasi berwindow (misalnya, aturan dengan bagian kecocokan). |
Aturan peristiwa tunggal hanya dihitung dalam total kuota aktif.
Aturan multi-peristiwa menggunakan kapasitas dari kedua kuota aktif total dan multi-peristiwa secara bersamaan.
Aturan multi-peristiwa menggunakan lebih banyak resource daripada aturan peristiwa tunggal. Anda mungkin memiliki ruang yang tersedia dalam kuota total, tetapi tidak dapat mengaktifkan aturan baru jika kuota multi-acara Anda telah habis.
Melacak kuota deteksi pilihan
Deteksi yang dikurasi tersedia untuk pelanggan Enterprise dan Enterprise Plus. Hak lisensi secara eksplisit disesuaikan untuk mengakomodasi seluruh library kumpulan aturan yang dikurasi. Meskipun dasbor menyediakan metrik Kapasitas atau Bobot, angka-angka ini bersifat informatif, dan bukan batas yang ketat.
Untuk pelanggan Enterprise dan Enterprise Plus, hak lisensi secara eksplisit disesuaikan untuk mengakomodasi seluruh pustaka set aturan yang dikurasi. Meskipun dasbor menyediakan metrik Kapasitas atau Berat, angka ini bersifat informatif, dan bukan batas tetap.
Anda dapat mengaktifkan semua kumpulan aturan pilihan secara bersamaan tanpa risiko pengorbanan performa atau mencapai batas kapasitas. Jika peringatan batas terpicu, verifikasi konfigurasi paket lisensi Anda.
Mengoptimalkan performa sistem
Bagian ini menguraikan strategi pengoptimalan untuk memaksimalkan kapasitas aturan dan performa sistem Anda.
Membuat logika kompleks menjadi modular
Buat aturan ringan satu peristiwa untuk menandai perilaku atomik. Artinya, hindari menulis aturan multi-peristiwa besar yang mencoba mendeteksi setiap tahap serangan dari log mentah.
Mendeteksi sinyal dengan aturan peristiwa tunggal
Buat aturan peristiwa tunggal untuk perilaku individual (misalnya,
User Login Failed,Process Launched).Dampak: Menggunakan total kuota aktif (berlimpah) dan berjalan hampir secara real-time.
Menghubungkan pemberitahuan dengan aturan komposit atau multi-peristiwa
Tulis aturan komposit yang menggunakan deteksi yang dihasilkan pada langkah 1 sebagai input.
Dampak: Menggunakan kuota multi-acara (mahal).
Manfaat: Anda menggunakan kuota multi-peristiwa satu kali untuk logika, bukan memproses ulang log mentah beberapa kali untuk skenario yang berbeda.
Membuat desain aturan yang efisien
Prioritaskan logika peristiwa tunggal: Jika deteksi dapat dilakukan dengan satu baris log (misalnya, "Pengguna mengunjungi domain buruk yang diketahui"), tulis sebagai aturan peristiwa tunggal untuk menghemat kuota multi-peristiwa Anda untuk korelasi. Hindari penggunaan periode pencocokan.
Gunakan daftar referensi: Daripada menggunakan N aturan untuk N indikator, gunakan satu aturan yang mereferensikan daftar referensi (misalnya,
target.ip in %suspicious_ips). Hal ini hanya menggunakan satu unit kuota aturan.Lakukan audit rutin: Lakukan audit aturan yang dijeda atau dinonaktifkan secara rutin. Meskipun tidak dihitung dalam kuota aktif, pengarsipan ini menjaga lingkungan tetap bersih.
Kasus penggunaan: Mendeteksi pergerakan lateral melalui serangan brute force
Skenario: Mendeteksi penyerang yang mencoba masuk ke server secara brute force melalui Risk Data Platform (RDP) dan segera menjalankan alat administratif yang mencurigakan (seperti PsExec) untuk bergerak secara lateral.
Langkah 1: Mendeteksi sinyal dengan aturan peristiwa tunggal
Buat dua aturan ringan yang berjalan pada kuota aktif total yang berlimpah. Aturan ini menghasilkan deteksi.
Aturan A (sinyal brute force):
Logika:
Periksa
auth.status = FAILURE.Peristiwa login grup.
Aktifkan jika ada lebih dari 5 upaya gagal dalam 1 menit.
Input: Peristiwa UDM mentah.
Output: Pemberitahuan deteksi bernama
Possible_RDP_Brute_Force.Biaya: Rendah (menggunakan total kuota aktif).
Aturan B (sinyal alat yang mencurigakan):
Logika: Pemicu jika prosesnya adalah
psexec.exe.Input: Peristiwa UDM mentah.
Output: Pemberitahuan deteksi bernama
PsExec_Usage.Biaya: Rendah (menggunakan total kuota aktif).
Langkah 2: Korelasikan pemberitahuan dengan aturan gabungan
Tulis satu aturan gabungan yang melihat deteksi yang dihasilkan pada langkah 1, bukan log mentah.
Aturan C:
Logika: Cari
Possible_RDP_Brute_Force AND PsExec_Usageyang terjadi padaprincipal.hostnameyang sama dalam waktu 10 menit.Input: Deteksi dari aturan A dan B.
Biaya: Tinggi (menggunakan kuota multi-peristiwa) tetapi hanya memproses beberapa pemberitahuan yang dihasilkan pada langkah 1.
Pendekatan bertingkat ini mengoptimalkan performa dan efisiensi biaya dengan memisahkan pembuatan sinyal awal dari logika korelasi yang kompleks. Dengan memfilter miliaran peristiwa UDM mentah menjadi deteksi fidelitas tinggi menggunakan aturan peristiwa tunggal, Anda mengurangi volume data yang diproses oleh mesin multi-peristiwa.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.