Gestire la pianificazione dell'esecuzione delle regole

Supportato in:

Questo documento è rivolto agli analisti e agli ingegneri della sicurezza che vogliono gestire le pianificazioni di esecuzione delle regole in Google Security Operations. Spiega come configurare le impostazioni di frequenza, dalla scansione in tempo reale agli intervalli pianificati di 24 ore, e come interpretare le esecuzioni in background che elaborano i dati in arrivo in ritardo.

Casi d'uso comuni

La scelta della pianificazione giusta dipende dalla gravità della minaccia e dalla complessità della logica. La maggior parte dei team dà la priorità ai propri programmi in base ai seguenti obiettivi.

Avvisi ad alta priorità

  • Obiettivo: rilevare le minacce critiche nel momento in cui colpiscono la piattaforma.
  • Valore: riduce il tempo di permanenza degli autori degli attacchi per le corrispondenze di un singolo evento che non richiedono un contesto aggiuntivo.

Correlazione e reportistica complesse

  • Obiettivo: esegui regole che richiedono conteggi, somme o finestre multi-evento.
  • Valore: garantisce che il sistema acquisisca e arricchisca tutti i log correlati prima dell'esecuzione, fornendo avvisi più accurati per l'analisi della conformità e delle tendenze.

Prima di iniziare

Prima di modificare qualsiasi pianificazione, assicurati che il tuo ambiente soddisfi i seguenti requisiti per evitare errori di configurazione.

  • Autorizzazioni: devi disporre del ruolo Amministratore API Chronicle (roles/chronicle.admin) o Editor API Chronicle (roles/chronicle.editor) per modificare le pianificazioni delle regole.
  • Controllo dell'ambiente:assicurati che i log siano mappati correttamente al modello UDM (Unified Data Model) per supportare le aggregazioni a intervalli pianificati.

Terminologia chiave

Per comprendere meglio come il sistema gestisce la sincronizzazione, familiarizza con questi termini specifici della piattaforma.

  • Esecuzioni di aggiustamento:esecuzioni automatiche in background che rivalutano le regole per acquisire i dati arrivati in ritardo o che richiedono più tempo per l'arricchimento.
  • Arricchimento:il processo di aggiunta di contesto a un log, ad esempio metadati degli asset o identità utente, che può avvenire poco dopo l'importazione iniziale.

Informazioni sulla pianificazione dell'esecuzione delle regole

Google SecOps determina automaticamente le opzioni di pianificazione disponibili in base alla logica della regola. Il menu Pianificazione esecuzione mostra solo le opzioni compatibili con il tipo di regola specifico (ad esempio, evento singolo o multi-evento).

Configurazione della pianificazione predefinita

Il sistema valuta gli eventi dopo il loro arrivo in base alla seguente pianificazione. Questo ritardo garantisce la completezza dei dati e tiene conto della latenza di importazione o arricchimento.

Pianifica Criteri di assegnazione Tempistiche di valutazione Cicli di conguaglio
In tempo reale (10 minuti) Finestra di un singolo evento o partita < 1 ora Poco dopo l'arrivo No.Valuta i dati tardivi/arricchiti nell'esecuzione standard.
Oraria (1 ora) Finestra di corrispondenza compresa tra 1 e 48 ore Da 1 a 2 ore dopo l'arrivo Sì. Sono incluse tappe di 5 e 24 ore.
Ogni giorno (24 ore) Finestra di corrispondenza > 48 ore 24-25 ore dopo l'arrivo Sì. Sono incluse tappe di 5 e 24 ore.

Scopri di più su come configurare pianificazioni personalizzate per le regole.

Fasi di adeguamento automatico

Per evitare rilevamenti mancati a causa di ritardi nell'importazione o dell'arricchimento tardivo, il sistema esegue automaticamente "aggiustamenti" per le regole multi-evento:

  1. Esecuzione iniziale: eseguita il più rapidamente possibile per rilevare le minacce immediate.
  2. Esecuzione intermedia (~5 ore): un'ulteriore esecuzione si verifica circa cinque ore dopo l'evento. Nota: questa fase non attende l'arricchimento completo dei dati.
  3. Riconciliazione finale (~24 ore): eseguita una volta confermati tutti i dati aggiuntivi e l'arricchimento (visibilità al 100%).

Nota:le regole per singolo evento elaborano i dati arricchiti e in ritardo durante l'esecuzione standard e non utilizzano cicli di riconciliazione di 5 e 24 ore.

Modificare la pianificazione della corsa

Per modificare la frequenza con cui il sistema valuta la logica di rilevamento personalizzata:

  1. In Google SecOps, vai a Rilevamento > Regole e rilevamenti.
  2. Fai clic su Dashboard delle regole.
  3. Apri il menu Altro more_vert per la regola.
  4. Seleziona un valore per Programma di corsa dal menu (ad esempio 10 minuti).
  5. Fai clic su Salva. Il sistema salva automaticamente le modifiche.

Identificare i rilevamenti

Una volta attiva una regola, puoi distinguere tra gli avvisi iniziali e quelli generati dalle ripetizioni automatiche del sistema.

  1. Vai alla pagina Avvisi o alla dashboard delle regole.
  2. Nella colonna Tipo di rilevamento, fai clic su Lampadina per vedere se il rilevamento è stato generato da un'esecuzione iniziale, da un'esecuzione di adeguamento o da una ricerca retroattiva.

Risoluzione dei problemi

Esamina le dimensioni dei dati per capire perché alcune rilevazioni specifiche vengono visualizzate o cambiano nel tempo. Sebbene il sistema identifichi la maggior parte delle minacce immediatamente, alcune sfumature dei dati richiedono l'elaborazione in background per fornire la massima precisione. La comprensione di queste esecuzioni in background ti aiuta a misurare con precisione il tempo medio di rilevamento (MTTD) e a verificare l'integrità degli avvisi.

Latenza e limiti

La frequenza di esecuzione delle regole influisce direttamente sulla velocità dei rilevamenti. Le pianificazioni meno frequenti aumentano il tempo che intercorre tra il verificarsi di un evento e l'elaborazione di un rilevamento da parte del sistema.

  • Pianificazioni orarie: vengono eseguite ogni ora utilizzando i dati più recenti disponibili; non viene applicato alcun buffer.

  • Pianificazioni giornaliere: il sistema introduce un buffer di 24 ore per garantire l'importazione completa dei dati prima dell'elaborazione.

Discrepanze tra le corse

L'esecuzione iniziale di una regola potrebbe non identificare un rilevamento che viene visualizzato in un secondo momento durante un'esecuzione di riconciliazione. Questo comportamento garantisce che il sistema identifichi immediatamente la maggior parte delle minacce, consentendo al contempo una conferma ad alta fedeltà in un secondo momento. Alcune delle cause più comuni sono:

  • Latenza di importazione dei dati: i dati di log arrivano dopo il completamento della prima esecuzione.
  • Completezza dell'arricchimento:contesto da fonti esterne (metadati o identità degli asset) ancora in elaborazione durante l'esecuzione iniziale.
  • Aggiustamenti della tempistica: le esecuzioni di adeguamento attendono il set di dati più completo prima di essere eseguite. I rilevamenti nella prima esecuzione potrebbero arrivare più tardi del previsto.

Correzione degli errori

Utilizza questa tabella per risolvere i problemi comuni relativi a opzioni di personalizzazione mancanti o pianificazioni limitate.

Problema Causa e correzione
Opzioni di programmazione personalizzata mancanti Le regole a evento singolo utilizzano il motore in tempo reale e non supportano gli intervalli pianificati. Inoltre, le regole curate seguono pianificazioni di sistema fisse che non puoi modificare.
Intervalli non supportati Se non riesci a selezionare Quasi in tempo reale, è probabile che la regola utilizzi una sezione match o aggregazioni (come count o sum). Queste funzioni richiedono intervalli pianificati per elaborare i dati nel tempo.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.