Memahami pemutaran ulang aturan dan MTTD
Dokumen ini menjelaskan cara pemutaran ulang aturan (juga disebut penyelesaian) mengelola data yang terlambat tiba dan pembaruan konteks, serta pengaruhnya terhadap metrik Waktu Rata-Rata untuk Mendeteksi (MTTD).
Replay aturan
Google SecOps memproses data keamanan dalam jumlah besar. Untuk memastikan deteksi yang akurat untuk aturan yang bergantung pada data kontekstual atau berkorelasi, mesin aturan akan otomatis menjalankan proses pemutaran ulang aturan. Proses ini mengevaluasi blok data peristiwa yang sama beberapa kali pada interval yang berbeda untuk menangani data yang terlambat tiba atau aturan yang memerlukan konteks yang diperbarui, seperti mencocokkan Indikator Kompromi (IOC).
Pemicu pemutaran ulang aturan
Aturan dievaluasi ulang (dijalankan ulang) saat data konteks yang relevan tiba atau diproses setelah data peristiwa awal.
Pemicu pemutaran ulang aturan umum meliputi:
Data pengayaan yang terlambat tiba
Pipeline pengayaan data, seperti Entity Context Graph (ECG), dapat memproses data dalam batch. Jika peristiwa UDM tiba sebelum data kontekstual terkait (seperti informasi aset atau konteks pengguna), deteksi mungkin terlewat selama eksekusi aturan awal.
Pembaruan pengayaan UDM secara retroaktif
Jika aturan Anda menggunakan kolom yang diberi alias (kolom yang diperkaya) dalam logika deteksi, seperti
$udm.event.principal.hostname, dan data sumber (misalnya, catatan DHCP) tiba lebih dari satu jam kemudian, nilai kolom tersebut akan diperbarui secara retroaktif untuk waktu peristiwa tertentu tersebut. Eksekusi aturan berikutnya ("cleanup runs") kemudian menggunakan nilai yang baru diperkaya ini, yang dapat memicu deteksi yang sebelumnya terlewat.Aturan multi-acara terjadwal
Aturan Multi-Peristiwa (ME) berjalan sesuai jadwal (misalnya, 10 menit, per jam, atau harian) untuk mengevaluasi blok waktu peristiwa. Untuk merekam pembaruan pengayaan yang terlambat pada data historis, aturan ini mengevaluasi ulang blok waktu yang sama di lain waktu, sering kali berjalan setidaknya dua atau tiga kali (misalnya, dengan pemeriksaan pada 5-8 jam dan lagi pada 24-48 jam kemudian).
Dampak pada metrik waktu
Jika deteksi dihasilkan dari pemutaran ulang aturan, Periode Deteksi atau Stempel Waktu Peristiwa pemberitahuan merujuk pada waktu aktivitas berbahaya asli. Waktu Dibuat adalah waktu deteksi dibuat, yang bisa jauh lebih lama, terkadang berjam-jam atau berhari-hari kemudian.
Latensi deteksi yang tinggi (perbedaan waktu yang besar antara peristiwa dan deteksi) biasanya disebabkan oleh pengayaan ulang data yang terlambat tiba atau latensi dalam pipeline Entity Context Graph (ECG).
Perbedaan waktu ini dapat membuat deteksi muncul "terlambat" atau "tertunda", yang dapat membingungkan analis dan mendistorsi metrik performa seperti MTTD.
| Komponen metrik | Sumber waktu | Pengaruh pemutaran ulang terhadap MTTD |
|---|---|---|
| Periode Deteksi / Stempel Waktu Peristiwa | Waktu terjadinya peristiwa keamanan asli. | Waktu ini tetap akurat dengan waktu acara. |
| Waktu Deteksi / Waktu Dibuat | Waktu deteksi benar-benar dikeluarkan oleh mesin. | Waktu ini muncul "terlambat" atau "tertunda" relatif terhadap Stempel Waktu Peristiwa karena bergantung pada eksekusi sekunder (replay) yang menggabungkan data pengayaan yang terlambat. Perbedaan ini berdampak negatif pada penghitungan MTTD. |
Praktik terbaik untuk mengukur MTTD
MTTD mengukur waktu dari kompromi awal hingga deteksi ancaman yang efektif. Saat Anda menganalisis deteksi yang dipicu oleh pemutaran ulang aturan, terapkan praktik terbaik berikut untuk mempertahankan metrik MTTD yang akurat.
Memprioritaskan sistem deteksi real-time
Untuk deteksi tercepat, gunakan aturan Peristiwa Tunggal. Aturan ini berjalan mendekati real-time, biasanya dengan penundaan kurang dari 5 menit.
Hal ini juga mendukung penggunaan Deteksi gabungan yang lebih komprehensif.
Memperhitungkan pemutaran ulang aturan dalam aturan multiperistiwa
Aturan multi-peristiwa secara inheren menimbulkan latensi yang lebih tinggi karena frekuensi eksekusi terjadwalnya. Saat mengukur MTTD untuk deteksi yang dihasilkan oleh aturan multiperistiwa, penting untuk menyadari bahwa deteksi yang dihasilkan dari pemutaran ulang aturan otomatis berfungsi untuk meningkatkan cakupan dan akurasi. Meskipun pemutaran ulang ini sering kali menangkap ancaman yang memerlukan konteks terlambat, pemutaran ulang ini pasti akan meningkatkan latensi yang dilaporkan untuk deteksi tertentu tersebut.
Untuk pemberitahuan penting yang sensitif terhadap waktu: Gunakan aturan Peristiwa Tunggal atau aturan Multi-Peristiwa dengan frekuensi eksekusi praktis yang paling singkat (misalnya, periode pencocokan yang lebih singkat, di bawah satu jam).
Untuk korelasi yang kompleks dan berdurasi panjang (UEBA, serangan multi-tahap): Perkirakan latensi yang lebih tinggi (hingga 48 jam atau lebih) jika aturan mengandalkan gabungan kontekstual yang ekstensif atau daftar referensi yang mungkin diperbarui secara asinkron. Manfaatnya di sini adalah deteksi dengan fidelitas yang lebih tinggi, bukan kecepatan absolut.
Mengoptimalkan aturan untuk mengurangi ketergantungan pada pengayaan data terlambat
Untuk mengoptimalkan kecepatan deteksi dan meminimalkan dampak eksekusi pengayaan retroaktif, pertimbangkan untuk menggunakan kolom non-alias (kolom yang tidak tunduk pada pipeline pengayaan hilir) dalam logika aturan Anda jika memungkinkan.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.