Programa ejecuciones de reglas
Este documento está dirigido a analistas e ingenieros de seguridad que desean administrar los programas de ejecución de reglas en Google Security Operations. En él, se explica cómo configurar los parámetros de frecuencia, desde el análisis en tiempo real hasta los intervalos programados de las 24 horas, y cómo interpretar las ejecuciones en segundo plano que procesan los datos que llegan tarde.
Casos de uso habituales
La elección del programa adecuado depende de la gravedad de la amenaza y la complejidad de tu lógica. La mayoría de los equipos priorizan sus programas en función de los siguientes objetivos.
Alertas de alta prioridad
- Objetivo: Detectar amenazas críticas en el momento en que llegan a la plataforma.
- Valor: Reduce el tiempo de permanencia del atacante para las coincidencias de un solo evento que no requieren contexto adicional.
Correlación y generación de informes complejos
- Objetivo: Ejecutar reglas que requieran recuentos, sumas o ventanas de varios eventos.
- Valor: Asegura que el sistema ingiera y enriquezca todos los registros relacionados antes de la ejecución, lo que proporciona alertas más precisas para el cumplimiento y el análisis de tendencias.
Antes de comenzar
Antes de modificar cualquier programa, asegúrate de que tu entorno cumpla con los siguientes requisitos para evitar errores de configuración.
- Permisos: Debes tener el rol de administrador de la API de Chronicle (
roles/chronicle.admin) o de editor de la API de Chronicle (roles/chronicle.editor) para modificar los programas de reglas. - Verificación del entorno: Asegúrate de que tus registros estén asignados correctamente al Modelo de datos unificado (UDM) para admitir agregaciones de intervalos programados.
Terminología clave
Para comprender mejor cómo maneja el sistema la sincronización, familiarízate con estos términos específicos de la plataforma.
- Ejecuciones de regularización: Ejecuciones automáticas en segundo plano que vuelven a evaluar las reglas para capturar datos que llegaron tarde o que requirieron tiempo adicional para el enriquecimiento.
- Enriquecimiento: Es el proceso de agregar contexto a un registro, como metadatos de activos o identidad del usuario, que puede ocurrir poco después de la transferencia inicial.
Comprende la programación de ejecución de reglas
Google SecOps determina automáticamente las opciones de programación disponibles en función de la lógica de tu regla. El menú Programación de ejecución solo muestra las opciones compatibles con tu tipo de regla específico (por ejemplo, evento único vs. varios eventos).
Configuración de programación predeterminada
El sistema evalúa los eventos después de que llegan según el siguiente programa. Este retraso garantiza la integridad de los datos y tiene en cuenta la latencia de transferencia o enriquecimiento.
| Programar | Criterios de asignación | Tiempo de evaluación | Ciclos de regularización |
|---|---|---|---|
| Tiempo real (10 min) | Evento único o período de las coincidencias < 1 h | Poco después de la llegada | No. Evalúa los datos tardíos o enriquecidos en la ejecución estándar. |
| Por hora (1 h) | Período de las coincidencias entre 1 h y 48 h | De 1 a 2 horas después de la llegada | Sí. Incluye etapas de 5 y 24 horas. |
| A diario (24 h) | Período de las coincidencias > 48 h | De 24 a 25 horas después de la llegada | Sí. Incluye etapas de 5 y 24 horas. |
Obtén más información para configurar programas personalizados para las reglas.
Etapas de regularización automáticas
Para evitar detecciones perdidas debido a retrasos en la transferencia o enriquecimiento tardío, el sistema realiza automáticamente ejecuciones de "regularización" para las reglas de varios eventos:
- Ejecución inicial: Se ejecuta lo más rápido posible para exponer amenazas inmediatas.
- Ejecución intermedia (~5 h): Se produce una ejecución adicional aproximadamente cinco horas después del evento. Nota: Esta etapa no espera el enriquecimiento de datos completo.
- Regularización final (~24 h): Se ejecuta una vez que se confirman todos los datos y el enriquecimiento adicionales (visibilidad del 100%).
Nota: Las reglas de evento único procesan los datos enriquecidos y que llegan tarde durante la ejecución estándar, y no usan ciclos de regularización de 5 y 24 horas.
Cambia el programa de ejecución
Para cambiar la frecuencia con la que el sistema evalúa tu lógica de detección personalizada, haz lo siguiente:
- En Google SecOps, ve a Detección > Reglas y detecciones.
- Haz clic en Panel de reglas.
- Abre el menú Más more_vert de tu regla.
- Selecciona un valor de Programación de ejecución en el menú (por ejemplo, 10 minutos).
- Haz clic en Guardar. El sistema guarda los cambios automáticamente.
Identifica las detecciones
Una vez que una regla está activa, puedes distinguir entre las alertas iniciales y las que genera el sistema automáticamente.
- Ve a la página Alertas o al Panel de reglas.
- En la columna Tipo de detección, haz clic en Bombilla para ver si la detección se originó a partir de una ejecución inicial, una ejecución de regularización o una búsqueda retroactiva.
Soluciona problemas
Revisa las dimensiones de tus datos para investigar por qué aparecen o cambian detecciones específicas con el tiempo. Si bien el sistema identifica la mayoría de las amenazas de inmediato, ciertos matices de datos requieren procesamiento en segundo plano para proporcionar una precisión total. Comprender estas ejecuciones en segundo plano te ayuda a medir con precisión el tiempo promedio de detección (MTTD) y verificar la integridad de tus alertas.
Latencia y límites
La frecuencia de ejecución de las reglas afecta directamente la velocidad de tus detecciones. Los programas menos frecuentes aumentan el tiempo entre el momento en que ocurre un evento y el momento en que el sistema procesa una detección.
Programas por hora: Se ejecutan cada hora con los datos más recientes disponibles; no se aplica ningún búfer.
Programas diarios: El sistema introduce un búfer de 24 horas para garantizar la transferencia completa de datos antes del procesamiento.
Discrepancias entre las ejecuciones
Es posible que la ejecución inicial de una regla no identifique una detección que luego aparezca durante una ejecución de regularización. Este comportamiento garantiza que el sistema identifique la mayoría de las amenazas de inmediato y, al mismo tiempo, permita una confirmación de alta fidelidad más adelante. Entre las causas comunes, se incluyen las siguientes:
- Latencia de transferencia de datos: Datos de registro que llegan después de que se completa la primera ejecución.
- Integridad del enriquecimiento: Contexto de fuentes externas (metadatos de activo o identidades) que aún se procesan durante la ejecución inicial.
- Ajustes de tiempo: Las ejecuciones de regularización esperan el conjunto de datos más completo antes de ejecutarse. Es posible que las detecciones en la primera ejecución lleguen más tarde de lo esperado.
Corrección de errores
Usa esta tabla para resolver problemas comunes relacionados con la falta de opciones de personalización o programas restringidos.
| Problema | Causa y solución |
|---|---|
| Faltan opciones de programación personalizadas | Las reglas de evento único usan el motor en tiempo real y no admiten intervalos programados. Además, las reglas seleccionadas siguen programas fijos del sistema que no puedes modificar. |
| Intervalos no admitidos | Si no puedes seleccionar Casi en tiempo real, es probable que tu regla use una sección match o agregaciones (como count o sum). Estas funciones requieren intervalos programados para procesar datos a lo largo del tiempo. |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.