Regelausführungen planen
Dieses Dokument richtet sich an Sicherheitsanalysten und ‑ingenieure, die Zeitpläne für Regelausführungen in Google Security Operations verwalten möchten. Hier wird erläutert, wie Sie Häufigkeitseinstellungen konfigurieren – von Echtzeitscans bis hin zu geplanten Intervallen von 24 Stunden – und wie Sie die Hintergrundausführungen interpretieren, bei denen verspätet eingegangene Daten verarbeitet werden.
Gängige Anwendungsfälle
Die Wahl des richtigen Zeitplans hängt von der Schwere der Bedrohung und der Komplexität Ihrer Logik ab. Die meisten Teams priorisieren ihre Zeitpläne anhand der folgenden Ziele.
Warnmeldungen mit hoher Priorität
- Ziel: Kritische Bedrohungen erkennen, sobald sie auf der Plattform auftreten.
- Wert: Verkürzt die Verweilzeit von Angreifern bei Übereinstimmungen mit einzelnen Ereignissen, für die kein zusätzlicher Kontext erforderlich ist.
Komplexe Korrelation und Berichterstellung
- Ziel: Regeln ausführen, für die Zählungen, Summen oder Fenster für mehrere Ereignisse erforderlich sind.
- Wert: Das System nimmt alle zugehörigen Logs auf und reichert sie an, bevor die Ausführung erfolgt. So werden genauere Warnmeldungen für die Compliance- und Trendanalyse bereitgestellt.
Hinweis
Bevor Sie Zeitpläne ändern, prüfen Sie, ob Ihre Umgebung die folgenden Anforderungen erfüllt, um Konfigurationsfehler zu vermeiden.
- Berechtigungen: Sie benötigen die Rolle „Chronicle API Admin“ (
roles/chronicle.admin) oder „Chronicle API Editor“ (roles/chronicle.editor), um Zeitpläne für Regeln zu ändern. - Umgebungsprüfung:Achten Sie darauf, dass Ihre Logs korrekt dem Unified Data Model (UDM) zugeordnet sind, um Aggregationen in geplanten Intervallen zu unterstützen.
Schlüsselterminologie
Um besser zu verstehen, wie das System mit der Zeit umgeht, machen Sie sich mit diesen plattformspezifischen Begriffen vertraut.
- Korrekturausführungen:Automatische Hintergrundausführungen, bei denen Regeln neu ausgewertet werden, um Daten zu erfassen, die verspätet eingegangen sind oder für die die Anreicherung mehr Zeit in Anspruch genommen hat.
- Anreicherung:Der Prozess, einem Log Kontext hinzuzufügen, z. B. Asset-Metadaten oder Nutzeridentität. Dies kann kurz nach der ersten Aufnahme erfolgen.
Zeitplanung für Regelausführungen
Google SecOps ermittelt die verfügbaren Zeitplanungsoptionen automatisch anhand Ihrer Regellogik. Im Menü Ausführungszeitplan werden nur Optionen angezeigt, die mit Ihrem spezifischen Regeltyp kompatibel sind (z. B. Einzelereignisregel oder Regel für mehrere Ereignisse).
Standardkonfiguration für Zeitpläne
Das System wertet Ereignisse nach ihrem Eintreffen anhand des folgenden Zeitplans aus. Diese Verzögerung sorgt für vollständige Daten und berücksichtigt die Latenz bei der Aufnahme oder Anreicherung.
| Zeitplan | Zuweisungskriterien | Zeitpunkt der Auswertung | Korrekturzyklen |
|---|---|---|---|
| Echtzeit (10 Min.) | Einzelereignisregel oder Zeitfenster für Abgleich < 1 Stunde | Kurz nach dem Eintreffen | Nein.Verspätet eingegangene/angereicherte Daten werden bei der Standardausführung ausgewertet. |
| Stündlich (1 Stunde) | Zeitfenster für Abgleich zwischen 1 und 48 Stunden | 1 bis 2 Stunden nach der Ankunft | Ja Beinhaltet 5-Stunden- und 24-Stunden-Phasen. |
| Täglich (24 Stunden) | Zeitfenster für Abgleich > 48 Stunden | 24 bis 25 Stunden nach der Ankunft | Ja Beinhaltet 5-Stunden- und 24-Stunden-Phasen. |
Weitere Informationen zum Konfigurieren benutzerdefinierter Zeitpläne für Regeln
Automatische Korrekturphasen
Um zu verhindern, dass Erkennungen aufgrund von Verzögerungen bei der Aufnahme oder verspäteter Anreicherung verpasst werden, führt das System automatisch Korrekturausführungen für Regeln für mehrere Ereignisse durch:
- Erste Ausführung: Wird so schnell wie möglich ausgeführt, um sofortige Bedrohungen aufzudecken.
- Zwischenausführung (~5 Stunden): Eine zusätzliche Ausführung erfolgt etwa fünf Stunden nach dem Ereignis. Hinweis: In dieser Phase wird nicht auf die vollständige Datenanreicherung gewartet.
- Letzte Korrektur (~24 Stunden): Wird ausgeführt, sobald alle zusätzlichen Daten und Anreicherungen bestätigt wurden (100% Sichtbarkeit).
Hinweis:Bei Einzelereignisregeln werden verspätet eingegangene und angereicherte Daten während der Standardausführung verarbeitet. Es werden keine 5-Stunden- und 24-Stunden-Korrekturzyklen verwendet.
Ausführungszeitplan ändern
So ändern Sie, wie oft das System Ihre benutzerdefinierte Erkennungslogik auswertet:
- Rufen Sie in Google SecOps Detection > Rules & Detections auf.
- Klicken Sie auf Rules Dashboard.
- Öffnen Sie das Mehr more_vert Menü für Ihre Regel.
- Wählen Sie im Menü einen Wert für Ausführungszeitplan aus (z. B. 10 Minuten).
- Klicken Sie auf Speichern. Die Änderungen werden automatisch vom System gespeichert.
Erkennungen identifizieren
Sobald eine Regel aktiv ist, können Sie zwischen ersten Warnmeldungen und solchen unterscheiden, die durch die automatischen Wiederholungen des Systems generiert wurden.
- Rufen Sie die Seite Warnmeldungen oder das Rules Dashboard auf.
- Klicken Sie in der Spalte Detection Type (Erkennungstyp) auf Glühbirne , um zu sehen, ob die Erkennung aus einer ersten Ausführung, einer Korrekturausführung oder einer Retrohunt stammt.
Fehlerbehebung
Prüfen Sie die Dimensionen Ihrer Daten, um zu untersuchen, warum bestimmte Erkennungen im Laufe der Zeit angezeigt werden oder sich ändern. Das System erkennt die meisten Bedrohungen sofort. Bestimmte Datennuancen erfordern jedoch eine Hintergrundverarbeitung, um eine vollständige Genauigkeit zu gewährleisten. Wenn Sie diese Hintergrundausführungen verstehen, können Sie die mittlere Zieldiagnosezeit (Mean Time to Detection, MTTD) genau messen und die Integrität Ihrer Warnmeldungen überprüfen.
Latenz und Limits
Die Häufigkeit der Regelausführung wirkt sich direkt auf die Geschwindigkeit Ihrer Erkennungen aus. Bei weniger häufigen Zeitplänen verlängert sich die Zeit zwischen dem Auftreten eines Ereignisses und der Verarbeitung einer Erkennung durch das System.
Stündliche Zeitpläne: Diese werden stündlich mit den neuesten verfügbaren Daten ausgeführt. Es wird kein Puffer angewendet.
Tägliche Zeitpläne: Das System führt einen 24-Stunden-Puffer ein, um eine vollständige Datenaufnahme vor der Verarbeitung zu gewährleisten.
Abweichungen zwischen Ausführungen
Bei der ersten Ausführung einer Regel wird möglicherweise keine Erkennung identifiziert, die später bei einer Korrekturausführung auftritt. So kann das System die meisten Bedrohungen sofort erkennen und später eine Bestätigung mit hoher Genauigkeit ermöglichen. Das kann folgende Gründe haben:
- Latenz bei der Datenaufnahme:Logdaten, die nach Abschluss der ersten Ausführung eingehen.
- Vollständigkeit der Anreicherung:Kontext aus externen Quellen (Asset-Metadaten oder Identitäten), der während der ersten Ausführung noch verarbeitet wird.
- Zeitabstimmungen:Bei Korrekturausführungen wird gewartet, bis das vollständigste Dataset vorhanden ist, bevor die Ausführung erfolgt. Erkennungen bei der ersten Ausführung können später als erwartet eintreffen.
Fehlerbehebung
In dieser Tabelle finden Sie Informationen zur Behebung häufiger Probleme im Zusammenhang mit fehlenden Anpassungsoptionen oder eingeschränkten Zeitplänen.
| Problem | Ursache und Lösung |
|---|---|
| Fehlende Optionen für benutzerdefinierte Zeitpläne | Einzelereignisregeln verwenden die Echtzeit-Engine und unterstützen keine geplanten Intervalle. Außerdem folgen kuratierte Regeln festen Systemzeitplänen, die Sie nicht ändern können. |
| Nicht unterstützte Intervalle | Wenn Sie Near Real-time (Nahezu in Echtzeit) nicht auswählen können, verwendet Ihre Regel wahrscheinlich einen match-Abschnitt oder Aggregationen wie count oder sum. Für diese Funktionen sind geplante Intervalle erforderlich, um Daten im Laufe der Zeit zu verarbeiten. |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten