Mengelola jadwal eksekusi aturan

Didukung di:

Dokumen ini ditujukan untuk analis dan engineer keamanan yang ingin mengelola jadwal eksekusi aturan dalam Google Security Operations. Dokumen ini menjelaskan cara mengonfigurasi setelan frekuensi—dari pemindaian real-time hingga interval terjadwal 24 jam—dan cara menafsirkan proses latar belakang yang memproses data yang terlambat tiba.

Kasus penggunaan umum

Memilih jadwal yang tepat bergantung pada tingkat keparahan ancaman dan kompleksitas logika Anda. Sebagian besar tim memprioritaskan jadwal mereka berdasarkan tujuan berikut.

Pemberitahuan prioritas tinggi

  • Tujuan: Mendeteksi ancaman penting saat ancaman tersebut menyerang platform.
  • Nilai: Mengurangi waktu tunggu penyerang untuk kecocokan peristiwa tunggal yang tidak memerlukan konteks tambahan.

Korelasi dan pelaporan yang kompleks

  • Tujuan: Menjalankan aturan yang memerlukan jumlah, total, atau periode multi-peristiwa.
  • Nilai: Memastikan bahwa sistem menyerap dan memperkaya semua log terkait sebelum eksekusi, sehingga memberikan pemberitahuan yang lebih akurat untuk analisis kepatuhan dan tren.

Sebelum memulai

Sebelum mengubah jadwal apa pun, pastikan lingkungan Anda memenuhi persyaratan berikut untuk menghindari kesalahan konfigurasi.

  • Izin: Anda harus memiliki peran Admin Chronicle API (roles/chronicle.admin) atau Editor Chronicle API (roles/chronicle.editor) untuk mengubah jadwal aturan.
  • Pemeriksaan lingkungan: Pastikan log Anda dipetakan dengan benar ke Model Data Terpadu (UDM) untuk mendukung agregasi interval terjadwal.

Terminologi utama

Untuk lebih memahami cara sistem menangani pengaturan waktu, pahami istilah khusus platform ini.

  • Eksekusi penyesuaian: Eksekusi latar belakang otomatis yang mengevaluasi ulang aturan untuk mengambil data yang terlambat tiba atau memerlukan waktu tambahan untuk pengayaan.
  • Pengayaan: Proses menambahkan konteks ke log, seperti metadata aset atau identitas pengguna, yang dapat terjadi segera setelah penyerapan awal.

Memahami penjadwalan eksekusi aturan

Google SecOps secara otomatis menentukan opsi penjadwalan yang tersedia berdasarkan logika aturan Anda. Menu Jadwal Run hanya menampilkan opsi yang kompatibel dengan jenis aturan tertentu (misalnya, acara tunggal vs. multi-acara).

Konfigurasi jadwal default

Sistem mengevaluasi peristiwa setelah peristiwa tiba berdasarkan jadwal berikut. Penundaan ini memastikan kelengkapan data dan memperhitungkan latensi penyerapan atau pengayaan.

Jadwal Kriteria penugasan Waktu evaluasi Siklus penyesuaian
Real-time (10 menit) Periode satu acara atau pertandingan < 1 jam Segera setelah tiba Tidak. Mengevaluasi data yang terlambat/diperkaya dalam eksekusi standar.
Per jam (1 jam) Periode pencocokan antara 1 jam dan 48 jam 1 hingga 2 jam setelah tiba Ya. Mencakup tahap 5 jam dan 24 jam.
Harian (24 jam) Periode pencocokan > 48 jam 24 hingga 25 jam setelah kedatangan Ya. Mencakup tahap 5 jam dan 24 jam.

Pelajari lebih lanjut cara mengonfigurasi jadwal yang disesuaikan untuk aturan.

Tahap penyesuaian otomatis

Untuk mencegah deteksi yang terlewat karena penundaan penyerapan atau pengayaan yang terlambat, sistem secara otomatis melakukan proses "penyesuaian" untuk aturan multi-peristiwa:

  1. Jalankan awal: Dieksekusi secepat mungkin untuk memaparkan ancaman langsung.
  2. Jeda menengah (~5 jam): Jeda tambahan terjadi sekitar lima jam setelah acara. Catatan: Tahap ini tidak menunggu pengayaan data selesai sepenuhnya.
  3. Penyesuaian akhir (~24 jam): Dilakukan setelah semua data dan pengayaan tambahan dikonfirmasi (visibilitas 100%).

Catatan: Aturan peristiwa tunggal memproses data yang terlambat tiba dan diperkaya selama eksekusi standar dan tidak menggunakan siklus penyesuaian 5 jam dan 24 jam.

Mengubah jadwal eksekusi

Untuk mengubah frekuensi sistem mengevaluasi logika deteksi kustom Anda, lakukan hal berikut:

  1. Di Google SecOps, buka Deteksi > Aturan & Deteksi.
  2. Klik Dasbor Aturan.
  3. Buka menu Lainnya more_vert untuk aturan Anda.
  4. Pilih nilai Jadwal Run dari menu (misalnya, 10 menit).
  5. Klik Simpan. Sistem akan menyimpan perubahan Anda secara otomatis.

Mengidentifikasi deteksi

Setelah aturan aktif, Anda dapat membedakan antara notifikasi awal dan notifikasi yang dihasilkan oleh penjalanan ulang otomatis sistem.

  1. Buka halaman Alerts atau Dasbor Aturan.
  2. Di kolom Jenis Deteksi, klik Bohlam untuk melihat apakah deteksi berasal dari proses awal, proses penyesuaian, atau retrohunt.

Pemecahan masalah

Tinjau dimensi data Anda untuk menyelidiki alasan deteksi tertentu muncul atau berubah seiring waktu. Meskipun sistem mengidentifikasi sebagian besar ancaman dengan segera, nuansa data tertentu memerlukan pemrosesan di latar belakang untuk memberikan akurasi penuh. Memahami proses latar belakang ini membantu Anda mengukur Waktu Rata-Rata untuk Mendeteksi (MTTD) secara akurat dan memverifikasi integritas pemberitahuan Anda.

Latensi dan batas

Frekuensi menjalankan aturan secara langsung memengaruhi kecepatan deteksi Anda. Jadwal yang kurang sering akan meningkatkan waktu antara saat peristiwa terjadi dan saat sistem memproses deteksi.

  • Jadwal per jam: Jadwal ini berjalan setiap jam menggunakan data terbaru yang tersedia; tidak ada buffer yang diterapkan.

  • Jadwal harian: Sistem memperkenalkan buffer 24 jam untuk memastikan penyerapan data selesai sebelum diproses.

Perbedaan antar-proses

Jalannya aturan awal mungkin tidak mengidentifikasi deteksi yang kemudian muncul selama jalannya penyesuaian. Perilaku ini memastikan bahwa sistem mengidentifikasi sebagian besar ancaman dengan segera sekaligus memungkinkan konfirmasi fidelitas tinggi di kemudian hari. Penyebab umumnya mencakup:

  • Latensi penyerapan data: Data log yang tiba setelah proses pertama selesai.
  • Kelengkapan pengayaan: Konteks dari sumber eksternal (metadata aset atau identitas) masih diproses selama proses awal.
  • Penyesuaian waktu: Proses penyesuaian menunggu hingga set data paling lengkap sebelum dieksekusi. Deteksi pada proses pertama mungkin tiba lebih lambat dari yang diharapkan.

Perbaikan error

Gunakan tabel ini untuk menyelesaikan masalah umum terkait opsi penyesuaian yang tidak ada atau jadwal yang dibatasi.

Masalah Penyebab dan Perbaikan
Opsi jadwal kustom tidak ada Aturan peristiwa tunggal menggunakan mesin real-time dan tidak mendukung interval terjadwal. Selain itu, Aturan pilihan mengikuti jadwal sistem tetap yang tidak dapat Anda ubah.
Interval yang tidak didukung Jika Anda tidak dapat memilih Near Real-time, kemungkinan aturan Anda menggunakan bagian match atau agregasi (seperti count atau sum). Fungsi ini memerlukan interval terjadwal untuk memproses data dari waktu ke waktu.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.