Informazioni sulle quote delle regole

Google Security Operations applica limiti di capacità alle regole di rilevamento per garantire prestazioni di sistema e velocità di query coerenti.

La capacità delle regole viene gestita tramite le seguenti due categorie:

• Regole personalizzate: regole scritte e gestite dal tuo team.

• Rilevamenti curati: regole scritte e gestite da Google.

Monitorare la quota di regole personalizzate

Le regole personalizzate sono soggette a quote di rendimento rigorose in base alla loro complessità.

Per monitorare la quota di regole personalizzate:

1. In Google SecOps, vai a Rilevamento > Regole e rilevamenti.

2. Vai alla scheda Dashboard delle regole.

3. Fai clic su Capacità delle regole per aprire la finestra di dialogo Quota di regole per più eventi. Mostra le quote Regole per più eventi e Regole totali.

Tipo di quota	Descrizione	Cosa viene conteggiato ai fini del calcolo della quota
Quota totale di regole	Il numero massimo di regole abilitate consentite nell'ambiente.	Tutte le regole attive: a evento singolo e a più eventi.
Quota di regole per più eventi	Un sottoinsieme limitato della quota totale riservata alle regole multi-evento.	Solo regole multi-evento: regole che mettono in correlazione più eventi nel tempo, utilizzano join o eseguono aggregazioni in finestra (ad esempio, regole con una sezione di corrispondenza).

• Le regole per singolo evento vengono conteggiate solo ai fini della quota attiva totale.

• Le regole multi-evento consumano la capacità sia delle quote totali attive sia di quelle multi-evento contemporaneamente.

Le regole multi-evento consumano molte più risorse rispetto alle regole a evento singolo. Potresti avere spazio disponibile nella quota totale, ma non riuscire ad attivare una nuova regola se hai esaurito la quota multievento.

Monitorare la quota di rilevamenti selezionati

I rilevamenti curati sono disponibili per i clienti Enterprise ed Enterprise Plus. I diritti di licenza sono dimensionati in modo esplicito per ospitare l'intera raccolta di serie di regole curate. Sebbene la dashboard fornisca metriche relative a Capacità o Peso, queste cifre sono informative e non rappresentano limiti rigidi.

Per i clienti Enterprise ed Enterprise Plus, i diritti di licenza sono dimensionati in modo esplicito per ospitare l'intera libreria di set di regole curati. Sebbene la dashboard fornisca metriche relative a Capacità o Peso, queste cifre sono informative e non rappresentano limiti rigidi.

Puoi attivare contemporaneamente tutti i set di regole curati senza rischiare compromessi in termini di prestazioni o di raggiungere un limite di capacità. Se viene attivato un avviso di limite, verifica la configurazione del pacchetto di licenze.

Ottimizzare le prestazioni del sistema

Questa sezione descrive le strategie di ottimizzazione per massimizzare la capacità delle regole e le prestazioni del sistema.

Modularizza la logica complessa

Crea regole leggere e basate su un singolo evento per segnalare comportamenti atomici. ovvero evita di scrivere regole multi-evento massicce che tentano di rilevare ogni fase di un attacco dai log non elaborati.

1. Rilevare segnali con regole a evento singolo

   • Crea regole per singoli eventi per comportamenti individuali (ad esempio, User Login Failed, Process Launched).

   • Impatto: utilizza la quota attiva totale (abbondante) e viene eseguito quasi in tempo reale.

2. Correlare gli avvisi con una regola composita o multi-evento

   • Scrivi una regola composita che utilizzi i rilevamenti generati nel passaggio 1 come input.

   • Impatto: consuma la quota di più eventi (costoso).

   • Vantaggio: utilizzi la quota multi-evento una sola volta per la logica, anziché elaborare nuovamente i log non elaborati più volte per scenari diversi.

Crea un design efficiente delle regole

• Dai la priorità alla logica di un singolo evento: se un rilevamento può essere eseguito con una singola riga di log (ad esempio "L'utente ha visitato un dominio dannoso noto"), scrivila come regola per un singolo evento per salvare la quota di più eventi per le correlazioni. Evita di utilizzare una finestra di corrispondenza.

• Utilizza elenchi di riferimento: anziché N regole per N indicatori, utilizza una singola regola che fa riferimento a un elenco di riferimento (ad esempio, target.ip in %suspicious_ips). In questo modo viene utilizzata una sola unità di quota di regole.

• Esegui controlli regolari:controlla regolarmente le regole sospese o disattivate. Sebbene non vengano conteggiati ai fini della quota attiva, l'archiviazione mantiene pulito l'ambiente.

Caso d'uso: rilevare il movimento laterale tramite attacchi di forza bruta

Scenario: rileva un malintenzionato che tenta di accedere a un server tramite Risk Data Platform (RDP) con un attacco di forza bruta ed esegue immediatamente uno strumento amministrativo sospetto (come PsExec) per spostarsi lateralmente.

Passaggio 1: rileva i segnali con le regole per singolo evento

Crea due regole leggere che vengono eseguite in base alla quota totale attiva abbondante. Questi generano rilevamenti.

• Regola A (indicatore di attacco di tipo brute force):

  • Logica:

    • Controlla la presenza di auth.status = FAILURE.

    • Eventi di accesso al gruppo.

    • Attiva se si verificano più di 5 tentativi non riusciti in 1 minuto.

  • Input: eventi UDM non elaborati.

  • Output: un avviso di rilevamento denominato Possible_RDP_Brute_Force.

  • Costo: basso (utilizza la quota attiva totale).

• Regola B (indicatore di strumento sospetto):

  • Logica: attiva il trigger se la procedura è psexec.exe.

  • Input: eventi UDM non elaborati.

  • Output: un avviso di rilevamento denominato PsExec_Usage.

  • Costo:basso (utilizza la quota attiva totale).

Passaggio 2: metti in correlazione gli avvisi con la regola composita

Scrivi una regola composita che esamini i rilevamenti generati nel passaggio 1, non i log non elaborati.

• Regola C:

  • Logica: cerca Possible_RDP_Brute_Force AND PsExec_Usage che si verifica nello stesso principal.hostname entro 10 minuti.

  • Input: rilevamenti dalle regole A e B.

  • Costo: elevato (utilizza la quota multi-evento), ma elabora solo i pochi avvisi generati nel passaggio 1.

Questo approccio a più livelli ottimizza sia le prestazioni sia l'efficienza dei costi separando la generazione iniziale di indicatori dalla logica di correlazione complessa. Filtrando miliardi di eventi UDM non elaborati in rilevamenti ad alta fedeltà utilizzando regole per singolo evento, riduci il volume di dati elaborati dal motore multi-evento.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.