Memahami pemutaran ulang aturan dan MTTD
Dokumen ini menjelaskan cara pemutaran ulang aturan (juga disebut penyelesaian) mengelola data yang terlambat tiba dan update konteks, serta pengaruhnya terhadap metrik Waktu Rata-Rata untuk Mendeteksi (MTTD).
Pemutaran ulang aturan
Google SecOps memproses data keamanan dalam jumlah besar. Untuk memastikan deteksi yang akurat untuk aturan yang bergantung pada data kontekstual atau berkorelasi, mesin aturan akan otomatis menjalankan proses pemutaran ulang aturan.
Proses pemutaran ulang aturan menangani dua kategori aturan yang berbeda:
Aturan peristiwa tunggal: Saat proses pengayaan UDM memperbarui peristiwa yang sebelumnya dievaluasi, sistem memutar ulang aturan peristiwa tunggal.
Aturan multi-acara: Aturan multi-acara dijalankan sesuai jadwal yang Anda pilih, memproses blok waktu acara. Aturan ini berulang kali mengevaluasi ulang blok waktu yang sama pada interval yang berbeda untuk mencatat pembaruan pengayaan yang terlambat, seperti data konteks aset atau pengguna yang cocok atau Indikator Kompromi (IOC).
Misalnya, aturan dapat dijalankan setidaknya dua atau tiga kali (pada 5-8 jam dan lagi pada 24-48 jam kemudian) untuk memperhitungkan data peristiwa dan konteks yang terlambat tiba.
Pemicu pemutaran ulang aturan
Sistem mengevaluasi ulang (menjalankan ulang) aturan saat data konteks yang relevan tiba atau saat data konteks diproses lebih lambat daripada data peristiwa awal.
Alasan umum pemutaran ulang meliputi:
Data pengayaan yang terlambat tiba: Pipeline pengayaan data, seperti grafik konteks entitas (ECG), sering kali memproses data dalam batch. Jika peristiwa UDM tiba sebelum data kontekstual terkait (seperti informasi aset atau konteks pengguna), eksekusi aturan awal mungkin tidak mendeteksi.
Pembaruan pelengkapan UDM secara retroaktif: Aturan yang menggunakan kolom yang diberi alias (kolom yang dilengkapi) dalam logika deteksinya, seperti
$udm.event.principal.hostname, dapat memicu pemutaran ulang saat data sumber (misalnya, data DHCP) tertunda. Kedatangan terlambat ini akan memperbarui nilai kolom tersebut secara retroaktif. Pemutaran ulang aturan berikutnya menggunakan nilai yang baru diperkaya ini, yang berpotensi memicu deteksi yang sebelumnya terlewat.
Dampak pada metrik waktu
Saat deteksi dihasilkan dari pemutaran ulang aturan, kami menggunakan terminologi berikut:
- Periode Deteksi atau Stempel Waktu Peristiwa peringatan mengacu pada waktu aktivitas berbahaya asli.
- Waktu Dibuat adalah waktu sistem membuat deteksi, yang bisa jauh lebih lama, terkadang berjam-jam atau berhari-hari kemudian.
- Latensi deteksi adalah perbedaan waktu antara Stempel Waktu Peristiwa dan Waktu Pembuatan deteksi.
Pengayaan ulang karena data yang terlambat tiba, atau latensi dengan pembaruan sumber konteks seperti grafik konteks entitas (ECG) biasanya menyebabkan latensi deteksi yang tinggi.
Perbedaan waktu ini dapat membuat deteksi muncul "terlambat" atau "tertunda", yang dapat membingungkan analis dan mendistorsi metrik performa seperti MTTD.
| Komponen metrik | Sumber waktu | Pengaruh pemutaran ulang terhadap MTTD |
|---|---|---|
| Periode Deteksi / Stempel Waktu Peristiwa | Waktu terjadinya peristiwa keamanan asli. | Waktu ini tetap akurat dengan waktu acara. |
| Waktu Deteksi / Waktu Dibuat | Waktu deteksi benar-benar dikeluarkan oleh mesin. | Waktu ini tampak "terlambat" atau "tertunda" relatif terhadap Stempel Waktu Peristiwa karena bergantung pada eksekusi sekunder (pemutaran ulang) yang menggabungkan data pengayaan yang terlambat. Perbedaan ini berdampak negatif pada perhitungan MTTD. |
Praktik terbaik untuk mengukur MTTD
MTTD mengukur waktu dari kompromi awal hingga deteksi ancaman yang efektif. Saat Anda menganalisis deteksi yang dipicu oleh pemutaran ulang aturan, terapkan praktik terbaik berikut untuk mempertahankan metrik MTTD yang akurat.
Google SecOps menyediakan beberapa metrik yang dapat dikueri pengguna untuk mengukur MTTD secara akurat. Untuk mengetahui detail tentang metrik ini, lihat halaman Contoh kueri YARA-L 2.0 untuk Dasbor.
Ikon di kolom Jenis Deteksi mengidentifikasi deteksi dari retrohunt atau menjalankan pemrosesan ulang. Ikon ini juga muncul di halaman Peringatan di Google SecOps.
Memprioritaskan sistem deteksi real-time
Untuk deteksi tercepat, gunakan aturan satu peristiwa. Aturan ini berjalan mendekati real-time, biasanya dengan penundaan kurang dari 5 menit.
Hal ini juga mendukung penggunaan Deteksi gabungan yang lebih komprehensif.
Memperhitungkan pemutaran ulang aturan dalam aturan multiperistiwa
Aturan multi-peristiwa secara inheren menimbulkan latensi yang lebih tinggi karena frekuensi jalannya yang terjadwal. Saat Anda mengukur MTTD untuk deteksi dari aturan multiperistiwa, ketahui bahwa pemutaran ulang aturan otomatis meningkatkan cakupan dan akurasi. Pemutaran ulang ini sering kali menangkap ancaman yang memerlukan konteks terlambat, yang meningkatkan latensi yang dilaporkan untuk deteksi tersebut.
Untuk pemberitahuan penting yang mendesak: Gunakan aturan peristiwa tunggal atau aturan multi-peristiwa dengan frekuensi eksekusi praktis yang paling singkat. Mengurangi periode pencocokan tidak secara langsung memengaruhi latensi, tetapi dapat meningkatkan efisiensi dengan menyetel penundaan minimum.
Untuk korelasi yang kompleks dan berdurasi panjang (UEBA, serangan multi-tahap): Aturan ini mengandalkan gabungan kontekstual atau daftar referensi yang ekstensif, yang mungkin diperbarui secara asinkron. Mereka dapat mengalami latensi tinggi dengan data peristiwa atau kontekstual yang terlambat tiba, tetapi mereka menawarkan manfaat deteksi fidelitas yang lebih tinggi daripada kecepatan absolut.
Mengoptimalkan aturan untuk mengurangi ketergantungan pada pengayaan data terlambat
Untuk mengoptimalkan kecepatan deteksi dan meminimalkan dampak eksekusi pengayaan secara retroaktif, pertimbangkan untuk menggunakan kolom non-alias (kolom yang tidak tunduk pada pipeline pengayaan hilir) dalam logika aturan Anda jika memungkinkan.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.