Administra la programación de ejecución de tus reglas
Este documento está dirigido a los analistas y los ingenieros de seguridad que desean administrar los programas de ejecución de reglas en Google Security Operations. Se explica cómo configurar los parámetros de frecuencia, desde el análisis en tiempo real hasta los intervalos programados de 24 horas, y cómo interpretar las ejecuciones en segundo plano que procesan los datos que llegan tarde.
Casos de uso habituales
Elegir la programación adecuada depende de la gravedad de la amenaza y la complejidad de tu lógica. La mayoría de los equipos priorizan sus agendas en función de los siguientes objetivos.
Alertas de prioridad alta
- Objetivo: Detectar las amenazas críticas en el momento en que afectan la plataforma
- Valor: Reduce el tiempo de permanencia del atacante para las coincidencias de un solo evento que no requieren contexto adicional.
Correlación y generación de informes complejos
- Objetivo: Ejecutar reglas que requieren recuentos, sumas o períodos de varios eventos
- Valor: Garantiza que el sistema ingiera y enriquezca todos los registros relacionados antes de la ejecución, lo que proporciona alertas más precisas para el cumplimiento y el análisis de tendencias.
Antes de comenzar
Antes de modificar cualquier programa, asegúrate de que tu entorno cumpla con los siguientes requisitos para evitar errores de configuración.
- Permisos: Debes tener el rol de administrador de la API de Chronicle (
roles/chronicle.admin) o de editor de la API de Chronicle (roles/chronicle.editor) para modificar los programas de reglas. - Verificación del entorno: Asegúrate de que tus registros estén asignados correctamente al modelo de datos unificado (UDM) para admitir agregaciones de intervalos programados.
Terminología clave
Para comprender mejor cómo el sistema controla los tiempos, familiarízate con estos términos específicos de la plataforma.
- Ejecuciones de ajuste: Son ejecuciones automáticas en segundo plano que vuelven a evaluar las reglas para capturar los datos que llegaron tarde o que requirieron tiempo adicional para el enriquecimiento.
- Enriquecimiento: Proceso de agregar contexto a un registro, como metadatos de recursos o identidad del usuario, que puede ocurrir poco después de la transferencia inicial.
Información sobre la programación de la ejecución de reglas
Google SecOps determina automáticamente las opciones de programación disponibles según la lógica de tu regla. En el menú Ejecutar programación, solo se muestran las opciones compatibles con tu tipo de regla específico (por ejemplo, de un solo evento o de varios eventos).
Configuración de la programación predeterminada
El sistema evalúa los eventos después de que llegan según el siguiente programa. Esta demora garantiza la integridad de los datos y tiene en cuenta la latencia de la transferencia o el enriquecimiento.
| Programar | Criterios de asignación | Momento de la evaluación | Ciclos de ajuste |
|---|---|---|---|
| Tiempo real (10 min) | Ventana de un solo evento o de coincidencia inferior a 1 h | Poco después de la llegada | No. Evalúa los datos enriquecidos o tardíos en la ejecución estándar. |
| Por hora (1 h) | Período de coincidencias entre 1 h y 48 h | De 1 a 2 horas después de la llegada | Sí. Incluye etapas de 5 y 24 horas. |
| Diario (24 h) | Período de coincidencia superior a 48 h | Entre 24 y 25 horas después de la llegada | Sí. Incluye etapas de 5 y 24 horas. |
Obtén más información para configurar programas personalizados para las reglas.
Etapas de ajuste automático
Para evitar detecciones perdidas debido a retrasos en la transferencia o enriquecimiento tardío, el sistema ejecuta automáticamente "correcciones" para las reglas de múltiples eventos:
- Ejecución inicial: Se ejecuta lo más rápido posible para exponer las amenazas inmediatas.
- Ejecución intermedia (alrededor de 5 h): Se realiza una ejecución adicional aproximadamente cinco horas después del evento. Nota: Esta etapa no espera el enriquecimiento completo de los datos.
- Ajuste final (alrededor de 24 h): Se ejecuta una vez que se confirman todos los datos y el enriquecimiento adicionales (visibilidad del 100%).
Nota: Las reglas de un solo evento procesan los datos enriquecidos y que llegan tarde durante la ejecución estándar, y no utilizan ciclos de ajuste de 5 y 24 horas.
Cómo cambiar la programación de ejecución
Para cambiar la frecuencia con la que el sistema evalúa tu lógica de detección personalizada, haz lo siguiente:
- En Google SecOps, ve a Detección > Reglas y detecciones.
- Haz clic en Panel de reglas.
- Abre el menú Más more_vert de tu regla.
- Selecciona un valor de Run Schedule en el menú (por ejemplo, 10 minutes).
- Haz clic en Guardar. El sistema guarda los cambios automáticamente.
Identifica las detecciones
Una vez que una regla está activa, puedes distinguir entre las alertas iniciales y las que genera el sistema en sus ejecuciones automáticas.
- Ve a la página Alertas o al Panel de reglas.
- En la columna Tipo de detección, haz clic en Bombilla para ver si la detección se originó a partir de una ejecución inicial, una ejecución de actualización o una búsqueda retroactiva.
Soluciona problemas
Revisa las dimensiones de tus datos para investigar por qué aparecen o cambian con el tiempo las detecciones específicas. Si bien el sistema identifica la mayoría de las amenazas de inmediato, ciertos matices de los datos requieren un procesamiento en segundo plano para brindar una precisión total. Comprender estas ejecuciones en segundo plano te ayuda a medir con precisión tu tiempo promedio de detección (MTTD) y a verificar la integridad de tus alertas.
Latencia y límites
La frecuencia de ejecución de las reglas afecta directamente la velocidad de las detecciones. Los programas menos frecuentes aumentan el tiempo que transcurre entre el momento en que ocurre un evento y el momento en que el sistema procesa una detección.
Programaciones por hora: Se ejecutan cada hora con los datos más recientes disponibles; no se aplica ningún búfer.
Programaciones diarias: El sistema introduce un búfer de 24 horas para garantizar la transferencia completa de datos antes del procesamiento.
Discrepancias entre ejecuciones
Es posible que la ejecución inicial de una regla no identifique una detección que aparezca más adelante durante una ejecución de conciliación. Este comportamiento garantiza que el sistema identifique la mayoría de las amenazas de inmediato y, al mismo tiempo, permite una confirmación de alta fidelidad más adelante. Entre las causas comunes, se incluyen las siguientes:
- Latencia de transferencia de datos: Datos de registro que llegan después de que se completa la primera ejecución.
- Integridad del enriquecimiento: El contexto de fuentes externas (metadatos o identidades de recursos) aún se está procesando durante la ejecución inicial.
- Ajustes de sincronización: Las ejecuciones de ajuste esperan el conjunto de datos más completo antes de ejecutarse. Es posible que las detecciones en la primera ejecución lleguen más tarde de lo esperado.
Corrección de errores
Usa esta tabla para resolver problemas comunes relacionados con la falta de opciones de personalización o los programas restringidos.
| Problema | Causa y solución |
|---|---|
| Faltan opciones de programación personalizadas | Las reglas de un solo evento usan el motor en tiempo real y no admiten intervalos programados. Además, las reglas seleccionadas siguen programas fijos del sistema que no puedes modificar. |
| Intervalos no admitidos | Si no puedes seleccionar Casi en tiempo real, es probable que tu regla use una sección match o agregaciones (como count o sum). Estas funciones requieren intervalos programados para procesar datos a lo largo del tiempo. |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.