瞭解規則配額
Google Security Operations 會對偵測規則強制執行容量限制,確保系統效能和查詢速度一致。
規則容量是透過下列兩種類別管理:
自訂規則:由團隊編寫及管理的規則。
精選偵測:由 Google 編寫及管理的規則。
追蹤自訂規則配額
自訂規則會根據複雜度,受到嚴格的效能配額限制。
如要追蹤自訂規則配額,請按照下列步驟操作:
在 Google SecOps 中,依序前往「偵測」>「規則與偵測項目」。
前往「規則資訊主頁」分頁。
按一下「規則容量」,開啟「多個事件規則配額」對話方塊。 顯示「多重事件規則」和「規則總數」配額。
| 配額類型 | 說明 | 哪些項目會計入配額 |
|---|---|---|
| 規則總配額 | 環境中可啟用的規則數量上限。 | 所有有效規則:單一事件和多重事件。 |
| 多個事件規則配額 | 多事件規則專用的配額子集。 | 僅限多事件規則:這類規則會關聯一段時間內的多個事件、使用聯結或執行視窗式匯總 (例如含有相符區段的規則)。 |
多重事件規則消耗的資源遠多於單一事件規則。如果多重事件配額已用盡,即使總配額仍有可用空間,也無法啟用新規則。
追蹤精選偵測規則配額
Enterprise 和 Enterprise Plus 客戶可使用精選偵測功能。 授權權利的大小經過明確調整,可容納整個精選規則集程式庫。雖然資訊主頁會提供「容量」或「重量」指標,但這些數字僅供參考,並非硬性限制。
對於 Enterprise 和 Enterprise Plus 客戶,授權權利會明確調整大小,以容納整個精選規則集庫。雖然資訊主頁會提供「容量」或「重量」指標,但這些數字僅供參考,並非硬性限制。
您可以同時啟用所有精選規則集,不必擔心效能會受到影響或達到容量上限。如果系統觸發限制警告,請確認授權套件設定。
最佳化系統效能
本節將說明最佳化策略,協助您充分發揮規則容量和系統效能。
將複雜邏輯模組化
建立輕量的單一事件規則,標記原子行為。也就是說,請避免編寫大型多事件規則,嘗試從原始記錄偵測攻擊的每個階段。
使用單一事件規則偵測信號
為個別行為建立單一事件規則 (例如
User Login Failed、Process Launched)。影響:消耗總有效配額 (充足),並以接近即時的速度執行。
使用複合或多重事件規則關聯快訊
編寫複合規則,將步驟 1 中產生的偵測結果做為輸入內容。
影響:會耗用多重事件配額 (費用較高)。
優點:您只需使用一次多重事件配額,即可套用邏輯,不必為不同情境多次重新處理原始記錄。
設計有效率的規則
優先處理單一事件邏輯:如果可使用單一記錄行進行偵測 (例如「使用者造訪已知的不良網域」),請將其編寫為單一事件規則,以便將多事件配額用於關聯性。避免使用比對視窗。
使用參照清單:不要使用 N 個規則來處理 N 個指標,而是使用參照清單參照單一規則 (例如
target.ip in %suspicious_ips)。這樣只會消耗一個規則配額單位。定期稽核:定期稽核已暫停或停用的規則。 雖然封存的帳戶不會計入有效配額,但仍可維持環境整潔。
用途:透過暴力破解偵測橫向移動
情境:偵測到攻擊者嘗試透過遠端桌面通訊協定 (RDP) 暴力破解伺服器,並立即執行可疑的管理工具 (例如 PsExec) 進行橫向移動。
步驟 1:使用單一事件規則偵測信號
建立兩項輕量型規則,在充足的總有效配額上執行。 這些規則會產生偵測結果。
規則 A (暴力信號):
邏輯:
檢查
auth.status = FAILURE。群組登入事件。
如果 1 分鐘內嘗試失敗次數超過 5 次,就會觸發警報。
輸入:原始 UDM 事件。
輸出:名為
Possible_RDP_Brute_Force的偵測快訊。費用:低 (使用總配額)。
規則 B (可疑工具信號):
邏輯:如果程序為
psexec.exe,則觸發。輸入:原始 UDM 事件。
輸出:名為
PsExec_Usage的偵測快訊。費用:低 (使用總配額)。
步驟 2:將快訊與複合規則建立關聯
撰寫一項複合規則,查看步驟 1 中產生的偵測項目,而非原始記錄。
規則 C:
邏輯:在 10 分鐘內,尋找在同一
principal.hostname發生Possible_RDP_Brute_Force AND PsExec_Usage的事件。輸入:規則 A 和 B 的偵測結果。
費用:高 (使用多事件配額),但只會處理步驟 1 中產生的少數快訊。
這種分層方法會將初始信號產生作業與複雜的關聯性邏輯分離,進而盡可能提高效能和成本效益。使用單一事件規則將數十億個原始 UDM 事件篩選為高保真度偵測結果,即可減少多事件引擎處理的資料量。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。