Pianificare le esecuzioni delle regole
Questo documento è rivolto agli analisti e agli ingegneri della sicurezza che vogliono gestire le pianificazioni di esecuzione delle regole in Google Security Operations. Spiega come configurare le impostazioni di frequenza, dalla scansione in tempo reale agli intervalli pianificati di 24 ore, e come interpretare le esecuzioni in background che elaborano i dati in arrivo in ritardo.
Casi d'uso comuni
La scelta della pianificazione corretta dipende dalla gravità della minaccia e dalla complessità della logica. La maggior parte dei team dà la priorità alle pianificazioni in base ai seguenti obiettivi.
Avvisi ad alta priorità
- Obiettivo: rilevare le minacce critiche nel momento in cui raggiungono la piattaforma.
- Valore: riduce il dwell time dell'attaccante per le corrispondenze di eventi singoli che non richiedono un contesto aggiuntivo.
Correlazione e reportistica complesse
- Obiettivo: eseguire regole che richiedono conteggi, somme o finestre multi-evento.
- Valore: garantisce che il sistema acquisisca e arricchisca tutti i log correlati prima dell'esecuzione, fornendo avvisi più accurati per l'analisi della conformità e delle tendenze.
Prima di iniziare
Prima di modificare le pianificazioni, assicurati che il tuo ambiente soddisfi i seguenti requisiti per evitare errori di configurazione.
- Autorizzazioni: devi avere il ruolo Chronicle API Admin (
roles/chronicle.admin) o Chronicle API Editor (roles/chronicle.editor) per modificare le pianificazioni delle regole. - Controllo dell'ambiente:assicurati che i log siano mappati correttamente al Modello di dati unificato (UDM) per supportare le aggregazioni degli intervalli pianificati.
Terminologia chiave
Per comprendere meglio come il sistema gestisce i tempi, familiarizza con questi termini specifici della piattaforma.
- Esecuzioni di allineamento:esecuzioni automatiche in background che rivalutano le regole per acquisire i dati arrivati in ritardo o che hanno richiesto più tempo per l'arricchimento.
- Arricchimento:il processo di aggiunta di contesto a un log, ad esempio metadati della risorsa o identità utente, che potrebbe avvenire poco dopo l'acquisizione iniziale.
Informazioni sulla pianificazione dell'esecuzione delle regole
Google SecOps determina automaticamente le opzioni di pianificazione disponibili in base alla logica delle regole. Il menu Pianificazione dell'esecuzione mostra solo le opzioni compatibili con il tipo di regola specifico (ad esempio, evento singolo o multi-evento).
Configurazione della pianificazione predefinita
Il sistema valuta gli eventi dopo il loro arrivo in base alla seguente pianificazione. Questo ritardo garantisce la completezza dei dati e tiene conto della latenza di acquisizione o arricchimento.
| Pianifica | Criteri di assegnazione | Tempi di valutazione | Cicli di allineamento |
|---|---|---|---|
| In tempo reale (10 m) | Evento singolo o finestra di corrispondenza < 1 ora | Poco dopo l'arrivo | No. Valuta i dati arricchiti/in ritardo nell'esecuzione standard. |
| Ogni ora (1 ora) | Finestra di corrispondenza tra 1 ora e 48 ore | Da 1 a 2 ore dopo l'arrivo | Sì. Include fasi di 5 e 24 ore. |
| Ogni giorno (24 ore) | Finestra di corrispondenza > 48 ore | Da 24 a 25 ore dopo l'arrivo | Sì. Include fasi di 5 e 24 ore. |
Scopri di più su come configurare pianificazioni personalizzate per le regole.
Fasi di allineamento automatico
Per evitare rilevamenti mancanti a causa di ritardi nell'acquisizione o arricchimenti in ritardo, il sistema esegue automaticamente esecuzioni di "allineamento" per le regole multi-evento:
- Esecuzione iniziale: eseguita il più rapidamente possibile per esporre le minacce immediate.
- Esecuzione intermedia (~5 ore): un'esecuzione aggiuntiva si verifica circa cinque ore dopo l'evento. Nota: questa fase non attende l'arricchimento completo dei dati.
- Allineamento finale (~24 ore): eseguito una volta confermati tutti i dati e gli arricchimenti aggiuntivi (visibilità al 100%).
Nota:le regole per eventi singoli elaborano i dati arricchiti e in arrivo in ritardo durante l'esecuzione standard e non utilizzano cicli di allineamento di 5 e 24 ore.
Modificare la pianificazione dell'esecuzione
Per modificare la frequenza con cui il sistema valuta la logica di rilevamento personalizzata:
- In Google SecOps, vai a Rilevamento > Regole e rilevamenti.
- Fai clic su Dashboard delle regole.
- Apri il menu Altro more_vert per la regola.
- Seleziona un valore di Pianificazione dell'esecuzione dal menu (ad esempio, 10 minuti).
- Fai clic su Salva. Il sistema salva automaticamente le modifiche.
Identificare i rilevamenti
Una volta attivata una regola, puoi distinguere tra gli avvisi iniziali e quelli generati dalle riesecuzioni automatiche del sistema.
- Vai alla pagina Avvisi o alla Dashboard delle regole.
- Nella colonna Tipo di rilevamento , fai clic su Lampadina per verificare se il rilevamento è stato generato da un'esecuzione iniziale, da un'esecuzione di allineamento o da una ricerca retroattiva.
Risoluzione dei problemi
Esamina le dimensioni dei dati per capire perché rilevamenti specifici vengono visualizzati o cambiano nel tempo. Sebbene il sistema identifichi immediatamente la maggior parte delle minacce, alcune sfumature dei dati richiedono l'elaborazione in background per fornire la massima accuratezza. La comprensione di queste esecuzioni in background ti aiuta a misurare con precisione il tempo medio di rilevamento (MTTD) e a verificare l'integrità degli avvisi.
Latenza e limiti
La frequenza di esecuzione delle regole influisce direttamente sulla velocità dei rilevamenti. Le pianificazioni meno frequenti aumentano il tempo che intercorre tra il momento in cui si verifica un evento e il momento in cui il sistema elabora un rilevamento.
Pianificazioni orarie: vengono eseguite ogni ora utilizzando i dati più recenti disponibili; non viene applicato alcun buffer.
Pianificazioni giornaliere: il sistema introduce un buffer di 24 ore per garantire importazione dati completa prima dell'elaborazione.
Discrepanze tra le esecuzioni
L'esecuzione iniziale di una regola potrebbe non identificare un rilevamento che viene visualizzato in un secondo momento durante un'esecuzione di allineamento. Questo comportamento garantisce che il sistema identifichi immediatamente la maggior parte delle minacce, consentendo al contempo una conferma ad alta fedeltà in un secondo momento. Le cause comuni includono:
- Latenza di acquisizione dei dati:i dati di log arrivano dopo il completamento della prima esecuzione.
- Completezza dell'arricchimento:il contesto di origini esterne (metadati della risorsa o identità) è ancora in fase di elaborazione durante l'esecuzione iniziale.
- Regolazioni dei tempi:le esecuzioni di allineamento attendono il set di dati più completo prima dell'esecuzione. I rilevamenti nella prima esecuzione potrebbero arrivare in ritardo rispetto al previsto.
Correzione degli errori
Utilizza questa tabella per risolvere i problemi comuni relativi a opzioni di personalizzazione mancanti o pianificazioni limitate.
| Problema | Causa e correzione |
|---|---|
| Opzioni di pianificazione personalizzata mancanti | Le regole per eventi singoli utilizzano il motore in tempo reale e non supportano gli intervalli pianificati. Inoltre, le regole selezionate seguono pianificazioni di sistema fisse che non puoi modificare. |
| Intervalli non supportati | Se non riesci a selezionare Quasi in tempo reale, è probabile che la regola utilizzi una sezione match o aggregazioni (ad esempio count o sum). Queste funzioni richiedono intervalli pianificati per elaborare i dati nel tempo. |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.