Menjalankan aturan jadwal
Dokumen ini ditujukan untuk analis dan engineer keamanan yang ingin mengelola jadwal menjalankan aturan dalam Google Security Operations. Dokumen ini menjelaskan cara mengonfigurasi setelan frekuensi—dari pemindaian real-time hingga interval terjadwal 24 jam—dan cara menafsirkan operasi latar belakang yang memproses data yang terlambat tiba.
Kasus penggunaan umum
Memilih jadwal yang tepat bergantung pada tingkat keparahan ancaman dan kompleksitas logika Anda. Sebagian besar tim memprioritaskan jadwal mereka berdasarkan sasaran berikut.
Pemberitahuan prioritas tinggi
- Sasaran: Mendeteksi ancaman penting saat ancaman tersebut menyerang platform.
- Nilai: Mengurangi waktu tinggal penyerang untuk kecocokan peristiwa tunggal yang tidak memerlukan konteks tambahan.
Korelasi dan pelaporan yang kompleks
- Sasaran: Menjalankan aturan yang memerlukan jumlah, total, atau periode multi-peristiwa.
- Nilai: Memastikan sistem menyerap dan memperkaya semua log terkait sebelum eksekusi, sehingga memberikan pemberitahuan yang lebih akurat untuk analisis kepatuhan dan tren.
Sebelum memulai
Sebelum mengubah jadwal apa pun, pastikan lingkungan Anda memenuhi persyaratan berikut untuk menghindari error konfigurasi.
- Izin: Anda harus memiliki peran Admin API Chronicle (
roles/chronicle.admin) atau Editor API Chronicle (roles/chronicle.editor) untuk mengubah jadwal aturan. - Pemeriksaan lingkungan: Pastikan log Anda dipetakan dengan benar ke Unified Data Model (UDM) untuk mendukung agregasi interval terjadwal.
Terminologi utama
Untuk lebih memahami cara sistem menangani waktu, pahami istilah khusus platform ini.
- Operasi penyesuaian: Eksekusi latar belakang otomatis yang mengevaluasi ulang aturan untuk menangkap data yang terlambat tiba atau memerlukan waktu tambahan untuk pengayaan.
- Pengayaan: Proses menambahkan konteks ke log, seperti metadata aset atau identitas pengguna, yang mungkin terjadi segera setelah penyerapan awal.
Memahami penjadwalan operasi aturan
Google SecOps secara otomatis menentukan opsi penjadwalan yang tersedia berdasarkan logika aturan Anda. Menu Run Schedule hanya menampilkan opsi yang kompatibel dengan jenis aturan tertentu (misalnya, peristiwa tunggal vs. multi-peristiwa).
Konfigurasi jadwal default
Sistem mengevaluasi peristiwa setelah peristiwa tiba berdasarkan jadwal berikut. Penundaan ini memastikan kelengkapan data dan memperhitungkan latensi penyerapan atau pengayaan.
| Jadwal | Kriteria penugasan | Waktu evaluasi | Siklus penyesuaian |
|---|---|---|---|
| Real-time (10m) | Peristiwa tunggal atau periode pencocokan < 1 jam | Segera setelah tiba | Tidak. Mengevaluasi data yang terlambat/diperkaya dalam eksekusi standar. |
| Per jam (1 jam) | Periode pencocokan antara 1 jam dan 48 jam | 1 hingga 2 jam setelah kedatangan | Ya. Mencakup tahap 5 jam dan 24 jam. |
| Harian (24 jam) | Periode pencocokan > 48 jam | 24 hingga 25 jam setelah kedatangan | Ya. Mencakup tahap 5 jam dan 24 jam. |
Pelajari lebih lanjut cara mengonfigurasi jadwal yang disesuaikan untuk aturan.
Tahap penyesuaian otomatis
Untuk mencegah deteksi terlewat karena penundaan penyerapan atau pengayaan yang terlambat, sistem secara otomatis melakukan operasi "penyesuaian" untuk aturan multi-peristiwa:
- Operasi awal: Dieksekusi secepat mungkin untuk mengekspos ancaman langsung.
- Operasi menengah (~5 jam): Operasi tambahan terjadi sekitar lima jam setelah peristiwa. Catatan: Tahap ini tidak menunggu pengayaan data lengkap.
- Penyesuaian akhir (~24 jam): Dieksekusi setelah semua data dan pengayaan tambahan dikonfirmasi (visibilitas 100%).
Catatan: Aturan peristiwa tunggal memproses data yang terlambat tiba dan diperkaya selama eksekusi standar dan tidak menggunakan siklus penyesuaian 5 jam dan 24 jam.
Mengubah jadwal operasi
Untuk mengubah frekuensi sistem mengevaluasi logika deteksi kustom Anda, lakukan hal berikut:
- Di Google SecOps, buka Detection > Rules & Detections.
- Klik Rules Dashboard.
- Buka menu More more_vert untuk aturan Anda.
- Pilih nilai Run Schedule dari menu (misalnya, 10 minutes).
- Klik Save. Sistem akan otomatis menyimpan perubahan Anda.
Mengidentifikasi deteksi
Setelah aturan aktif, Anda dapat membedakan antara pemberitahuan awal dan pemberitahuan yang dihasilkan oleh operasi ulang otomatis sistem.
- Buka halaman Alerts atau Rules Dashboard.
- Di kolom Detection Type, klik Lightbulb untuk melihat apakah deteksi berasal dari operasi awal, operasi penyesuaian, atau retrohunt.
Pemecahan masalah
Tinjau dimensi data Anda untuk menyelidiki alasan deteksi tertentu muncul atau berubah dari waktu ke waktu. Meskipun sistem mengidentifikasi sebagian besar ancaman secara langsung, nuansa data tertentu memerlukan pemrosesan latar belakang untuk memberikan akurasi penuh. Memahami operasi latar belakang ini membantu Anda mengukur Mean Time to Detection (MTTD) secara akurat dan memverifikasi integritas pemberitahuan.
Latensi dan batas
Frekuensi operasi aturan secara langsung memengaruhi kecepatan deteksi Anda. Jadwal yang kurang sering akan meningkatkan waktu antara saat peristiwa terjadi dan saat sistem memproses deteksi.
Jadwal per jam: Jadwal ini berjalan setiap jam menggunakan data terbaru yang tersedia; tidak ada buffer yang diterapkan.
Jadwal harian: Sistem memperkenalkan buffer 24 jam untuk memastikan penyerapan data lengkap sebelum pemrosesan.
Perbedaan antara operasi
Operasi awal aturan mungkin tidak mengidentifikasi deteksi yang kemudian muncul selama operasi penyesuaian. Perilaku ini memastikan bahwa sistem mengidentifikasi sebagian besar ancaman secara langsung sekaligus memungkinkan konfirmasi fidelitas tinggi nanti. Penyebab umumnya mencakup:
- Latensi penyerapan data: Data log tiba setelah operasi pertama selesai.
- Kelengkapan pengayaan: Konteks dari sumber eksternal (metadata atau identitas aset) masih diproses selama operasi awal.
- Penyesuaian waktu: Operasi penyesuaian menunggu set data terlengkap sebelum dieksekusi. Deteksi dalam operasi pertama mungkin tiba lebih lambat dari yang diharapkan.
Perbaikan error
Gunakan tabel ini untuk mengatasi masalah umum terkait opsi penyesuaian yang tidak ada atau jadwal yang dibatasi.
| Masalah | Penyebab dan Perbaikan |
|---|---|
| Opsi jadwal kustom tidak ada | Aturan peristiwa tunggal menggunakan mesin real-time dan tidak mendukung interval terjadwal. Selain itu, Aturan pilihan mengikuti jadwal sistem tetap yang tidak dapat Anda ubah. |
| Interval tidak didukung | Jika Anda tidak dapat memilih Hampir Real-time, aturan Anda mungkin menggunakan bagian match atau agregasi (seperti count atau sum). Fungsi ini memerlukan interval terjadwal untuk memproses data dari waktu ke waktu. |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.