了解规则配额
Google Security Operations 会对检测规则强制执行容量限制,以确保系统性能和查询速度保持一致。
规则容量通过以下两个类别进行管理:
自定义规则:由您的团队编写和管理的规则。
精选检测规则:由 Google 编写和管理的规则。
跟踪自定义规则配额
自定义规则会受到严格的性能配额限制,具体取决于其复杂程度。
如需跟踪自定义规则配额,请执行以下操作:
在 Google SecOps 中,依次前往检测 > 规则和检测。
前往规则信息中心标签页。
点击规则容量,打开多事件规则配额对话框。 它会显示多个事件规则和规则总数配额。
| 配额类型 | 说明 | 哪些内容会占用配额 |
|---|---|---|
| 规则总数配额 | 环境中允许的已启用规则数量上限。 | 所有有效规则:单事件规则和多事件规则。 |
| 多事件规则配额 | 为多事件规则预留的总配额的受限子集。 | 仅限多事件规则:随时间推移关联多个事件、使用联接或执行窗口化聚合的规则(例如,包含匹配部分的规则)。 |
多事件规则比单事件规则消耗的资源多得多。您可能在总配额内有可用空间,但如果您已用尽多事件配额,则无法启用新规则。
跟踪精选检测配额
精选检测功能适用于企业版和企业 Plus 版客户。 许可授权明确规定了大小,以容纳整个精选规则集库。虽然信息中心会提供容量或重量指标,但这些数据仅供参考,并非硬性限制。
对于企业版和企业 Plus 版客户,许可授权明确规定了大小,可容纳整个精选规则集库。 虽然信息中心会提供容量或重量指标,但这些数据仅供参考,并非硬性限制。
您可以同时激活所有精选规则集,而不会有性能权衡风险或达到容量上限。如果触发了限额警告,请验证您的许可方案配置。
优化系统性能
本部分概述了可最大限度提高规则容量和系统性能的优化策略。
将复杂逻辑模块化
创建轻量级单事件规则,以标记原子行为。也就是说,避免编写庞大的多事件规则,试图从原始日志中检测攻击的每个阶段。
使用单事件规则检测信号
为单个行为(例如
User Login Failed、Process Launched)创建单事件规则。影响:消耗总活跃配额(充足),并以近乎实时的方式运行。
将提醒与复合规则或多事件规则相关联
编写一条复合规则,该规则使用第 1 步中生成的检测结果作为输入。
影响:消耗多事件配额(费用高)。
益处:您只需为逻辑使用一次多事件配额,而无需针对不同场景多次重新处理原始日志。
创建高效的规则设计
优先考虑单事件逻辑:如果可以通过单条日志行(例如“用户访问了已知的不良网域”)完成检测,请将其编写为单事件规则,以便将多事件配额用于关联。避免使用匹配窗口。
使用参考列表:使用引用参考列表(例如
target.ip in %suspicious_ips)的单个规则,而不是针对 N 个指标使用 N 个规则。这样只会消耗一个单位的规则配额。定期执行审核:定期审核已暂停或已停用的规则。虽然归档的账号不会计入有效账号配额,但这样做有助于保持环境整洁。
使用场景:通过暴力破解检测横向移动
场景:检测到攻击者尝试通过风险数据平台 (RDP) 强行进入服务器,并立即执行可疑的管理工具(例如 PsExec)以横向移动。
第 1 步:使用单事件规则检测信号
创建两个在充足的总有效配额下运行的轻量级规则。 这些会生成检测结果。
规则 A(暴力信号):
逻辑:
检查
auth.status = FAILURE。群组登录事件。
如果 1 分钟内失败尝试次数超过 5 次,则触发。
输入:原始 UDM 事件。
输出:名为
Possible_RDP_Brute_Force的检测提醒。费用:低(使用总有效配额)。
规则 B(可疑工具信号):
逻辑:如果流程为
psexec.exe,则触发。输入:原始 UDM 事件。
输出:名为
PsExec_Usage的检测提醒。费用:低(使用总有效配额)。
第 2 步:将提醒与复合规则相关联
编写一条复合规则,用于查看在第 1 步中生成的检测结果,而不是原始日志。
规则 C:
逻辑:查找在同一
principal.hostname内 10 分钟内发生的Possible_RDP_Brute_Force AND PsExec_Usage。输入:来自规则 A 和 B 的检测结果。
费用:高(使用多事件配额),但仅处理第 1 步中生成的少量提醒。
这种分层方法将初始信号生成与复杂的关联逻辑分离,从而优化性能和成本效益。通过使用单事件规则将数十亿个原始 UDM 事件过滤为高保真度检测结果,您可以减少多事件引擎处理的数据量。
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。