Entender as cotas de regra
O Google Security Operations aplica limites de capacidade às regras de detecção para garantir o desempenho consistente do sistema e a velocidade das consultas.
A capacidade de regras é gerenciada pelas duas categorias a seguir:
Regras personalizadas: regras escritas e gerenciadas pela sua equipe.
Detecções selecionadas: regras escritas e gerenciadas pelo Google.
Acompanhar a cota de regras personalizadas
As regras personalizadas estão sujeitas a cotas de performance rígidas com base na complexidade delas.
Para rastrear a cota de regras personalizadas, faça o seguinte:
No Google SecOps, acesse Detecção > Regras e detecções.
Acesse a guia Painel de regras.
Clique em Capacidade de regras para abrir a caixa de diálogo Cota de regras de vários eventos. Ela mostra as cotas de Regras de vários eventos e Total de regras.
| Tipo da cota | Descrição | O que é contabilizado na cota |
|---|---|---|
| Cota total de regras | O número máximo de regras ativadas permitidas no ambiente. | Todas as regras ativas: de evento único e de vários eventos. |
| Cota de várias regras de eventos | Um subconjunto restrito da cota total reservada para regras de vários eventos. | Somente regras de vários eventos: regras que correlacionam vários eventos ao longo do tempo, usam junções ou realizam agregações em janelas (por exemplo, regras com uma seção de correspondência). |
Regras de evento único são contabilizadas apenas na cota total ativa.
As regras de vários eventos consomem capacidade das cotas total ativa e de vários eventos simultaneamente.
As regras de vários eventos consomem muito mais recursos do que as regras de evento único. Você pode ter espaço disponível na sua cota total, mas não conseguir ativar uma nova regra se tiver esgotado a cota de vários eventos.
Acompanhar a cota de detecções selecionadas
As detecções selecionadas estão disponíveis para clientes do Enterprise e do Enterprise Plus. Os direitos de licença são dimensionados explicitamente para acomodar toda a biblioteca de conjuntos de regras selecionados. Embora o painel forneça métricas de Capacidade ou Peso, esses números são informativos e não limites rígidos.
Para clientes do Enterprise e do Enterprise Plus, os direitos de licença são dimensionados explicitamente para acomodar toda a biblioteca de conjuntos de regras selecionados. Embora o painel forneça métricas de Capacidade ou Peso, esses números são informativos e não limites rígidos.
É possível ativar todos os conjuntos de regras selecionados simultaneamente sem correr o risco de comprometer o desempenho ou atingir um limite de capacidade. Se um aviso de limite for acionado, verifique a configuração do pacote de licenças.
Otimizar o desempenho do sistema
Esta seção descreve estratégias de otimização para maximizar a capacidade das regras e a performance do sistema.
Modularizar lógica complexa
Crie regras leves de evento único para sinalizar comportamentos atômicos. Ou seja, evite escrever regras de vários eventos que tentam detectar todos os estágios de um ataque com base em registros brutos.
Detectar indicadores com regras de evento único
Crie regras de evento único para comportamentos individuais (por exemplo,
User Login Failed,Process Launched).Impacto: consome a cota total ativa (abundante) e é executado quase em tempo real.
Correlacionar alertas com uma regra composta ou de vários eventos
Escreva uma regra composta que use as detecções geradas na etapa 1 como entrada.
Impacto: consome a cota de vários eventos (caro).
Benefício: você usa a cota de vários eventos uma vez para a lógica, em vez de reprocessar registros brutos várias vezes para diferentes cenários.
Criar um design de regra eficiente
Priorize a lógica de evento único: se uma detecção puder ser feita com uma única linha de registro (por exemplo, "O usuário visitou um domínio ruim conhecido"), escreva-a como uma regra de evento único para salvar sua cota de vários eventos para correlações. Evite usar uma janela de correspondência.
Use listas de referência: em vez de regras N para N indicadores, use uma única regra que faça referência a uma lista de referência (por exemplo,
target.ip in %suspicious_ips). Isso consome apenas uma unidade da cota de regras.Faça auditorias regulares:audite regularmente as regras pausadas ou desativadas. Embora não sejam contabilizados na cota ativa, o arquivamento mantém o ambiente limpo.
Caso de uso: detectar movimento lateral por força bruta
Cenário:detectar um invasor que tenta entrar em um servidor por força bruta usando a plataforma de dados de risco (RDP) e executa imediatamente uma ferramenta administrativa suspeita (como o PsExec) para se mover lateralmente.
Etapa 1: detectar indicadores com regras de evento único
Crie duas regras leves que sejam executadas na cota total ativa abundante. Elas geram detecções.
Regra A (indicador de força bruta):
Lógica:
Verifique se há
auth.status = FAILURE.Eventos de login em grupo.
Acione se houver mais de cinco tentativas com falha em um minuto.
Entrada: eventos brutos do UDM.
Saída: um alerta de detecção chamado
Possible_RDP_Brute_Force.Custo: baixo (usa a cota total ativa).
Regra B (indicador de ferramenta suspeita):
Lógica: acione se o processo for
psexec.exe.Entrada: eventos brutos do UDM.
Saída: um alerta de detecção chamado
PsExec_Usage.Custo:baixo (usa a cota total ativa).
Etapa 2: correlacionar alertas com regra composta
Escreva uma regra composta que analise as detecções geradas na etapa 1, não os registros brutos.
Regra C:
Lógica: procure
Possible_RDP_Brute_Force AND PsExec_Usageque ocorram no mesmoprincipal.hostnameem um período de 10 minutos.Entrada: detecções das regras A e B.
Custo: alto (usa cota de vários eventos), mas processa apenas os poucos alertas gerados na etapa 1.
Essa abordagem em níveis otimiza o desempenho e a eficiência de custos ao desacoplar a geração inicial de indicadores da lógica de correlação complexa. Ao filtrar bilhões de eventos UDM brutos em detecções de alta fidelidade usando regras de evento único, você reduz o volume de dados processados pelo mecanismo de vários eventos.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.