ルール実行スケジュールを管理する

以下でサポートされています。

このドキュメントは、Google Security Operations 内でルール実行スケジュールを管理するセキュリティ アナリストとエンジニアを対象としています。リアルタイム スキャンから 24 時間のスケジュールされた間隔まで、頻度設定を構成する方法と、遅れて到着したデータを処理するバックグラウンド実行を解釈する方法について説明します。

一般的なユースケース

適切なスケジュールを選択するかどうかは、脅威の重大度とロジックの複雑さによって異なります。ほとんどのチームは、次の目標に基づいてスケジュールを優先します。

優先度の高いアラート

  • 目標: プラットフォームに重大な脅威が侵入した瞬間に検出します。
  • : 追加のコンテキストを必要としない単一イベントの一致について、攻撃者の滞留時間を短縮します。

複雑な関連付けとレポート

  • 目的: カウント、合計、マルチイベント ウィンドウを必要とするルールを実行します。
  • : 実行前にシステムが関連するすべてのログを取り込んで拡充し、コンプライアンスと傾向分析のより正確なアラートを提供します。

始める前に

スケジュールを変更する前に、構成エラーを回避するために、環境が次の要件を満たしていることを確認してください。

  • 権限: ルール スケジュールを変更するには、Chronicle API 管理者(roles/chronicle.admin)または Chronicle API 編集者(roles/chronicle.editor)のロールが必要です。
  • 環境チェック: スケジュールされた間隔集計をサポートするために、ログが統合データモデル(UDM)に正しくマッピングされていることを確認します。

主な用語

システムがタイミングをどのように処理するかを理解するには、プラットフォーム固有の用語をよく理解してください。

  • 調整実行: ルールを再評価して、遅れて到着したデータや、拡充に時間がかかったデータをキャプチャする自動バックグラウンド実行。
  • エンリッチメント: アセット メタデータやユーザー ID などのコンテキストをログに追加するプロセス。最初の取り込みの直後に行われることがあります。

ルール実行のスケジュール設定について

Google SecOps は、ルールのロジックに基づいて利用可能なスケジューリング オプションを自動的に決定します。[実行スケジュール] メニューには、特定のルールタイプ(単一イベントと複数イベントなど)と互換性のあるオプションのみが表示されます。

デフォルトのスケジュール構成

システムは、次のスケジュールに基づいてイベントが到着した後に評価します。この遅延により、データの完全性が確保され、取り込みまたは拡充のレイテンシが考慮されます。

スケジュール 割り当て条件 評価のタイミング True-up サイクル
リアルタイム(10 分) 単一イベントまたは試合ウィンドウ < 1 時間 到着後まもなく いいえ。標準実行で遅延データまたは拡充データを評価します。
1 時間(1h) 1 時間~ 48 時間の照合期間 到着後 1 ~ 2 時間 はい。5 時間と 24 時間のステージが含まれます。
毎日(24 時間) 一致ウィンドウが 48 時間超 到着後 24 ~ 25 時間 はい。5 時間と 24 時間のステージが含まれます。

詳しくは、ルールのカスタム スケジュールを構成するをご覧ください。

自動調整のステージ

取り込みの遅延やエンリッチメントの遅延による検出漏れを防ぐため、システムは複数イベント ルールに対して「調整」実行を自動的に行います。

  1. 初回実行: 脅威をすぐに検出するために、できるだけ早く実行されます。
  2. 中間実行(約 5 時間): イベントの約 5 時間後に実行が追加されます。注: このステージでは、データ拡充が完了するまで待機しません。
  3. 最終的な調整(約 24 時間): 追加データとエンリッチメントがすべて確認されたら(100% の可視性)、1 回実行されます。

注: 単一イベントルールは、標準の実行中に遅延して到着したデータと拡充されたデータを処理し、5 時間と 24 時間の調整サイクルを使用しません。

実行スケジュールを変更する

システムがカスタム検出ロジックを評価する頻度を変更する手順は次のとおりです。

  1. Google SecOps で、[検出] > [ルールと検出] に移動します。
  2. [ルール ダッシュボード] をクリックします。
  3. ルールの [その他] more_vert メニューを開きます。
  4. メニューから [実行スケジュール] の値([10 分] など)を選択します。
  5. [保存] をクリックします。変更内容は自動的に保存されます。

検出を特定する

ルールが有効になると、最初のアラートと、システムの自動再実行によって生成されたアラートを区別できます。

  1. [アラート] ページまたは [ルール ダッシュボード] に移動します。
  2. [検出タイプ] 列で、電球アイコン をクリックして、検出が初回実行、調整実行、レトロハントのいずれに由来するかを確認します。

トラブルシューティング

データのディメンションを確認して、特定の検出が時間の経過とともに表示または変化する理由を調べます。ほとんどの脅威はシステムによって直ちに特定されますが、一部のデータニュアンスでは、完全な精度を実現するためにバックグラウンド処理が必要になります。これらのバックグラウンド実行を理解すると、平均検出時間(MTTD)を正確に測定し、アラートの完全性を検証するのに役立ちます。

レイテンシと上限

ルールの実行頻度は、検出の速度に直接影響します。スケジュール頻度が低いほど、イベントが発生してからシステムが検出を処理するまでの時間が長くなります。

  • 時間単位のスケジュール: 利用可能な最新のデータを使用して 1 時間ごとに実行されます。バッファは適用されません。

  • 毎日のスケジュール: 処理前にデータが完全に取り込まれるように、24 時間のバッファが導入されます。

実行間の不一致

ルールの初回実行では、後で調整実行時に検出される検出が特定されないことがあります。この動作により、システムはほとんどの脅威を即座に特定し、後で高忠実度で確認できます。一般的には次のような原因が考えられます。

  • データ取り込みのレイテンシ: 最初の実行が完了した後に到着したログデータ。
  • 拡充の完了: 外部ソース(アセット メタデータまたは ID)からのコンテキストが、初回実行時にまだ処理中です。
  • タイミングの調整: 調整実行は、最も完全なデータセットが揃うまで待機してから実行されます。初回実行時の検出結果が想定より遅れて届くことがあります。

エラーの修復

この表を使用して、カスタマイズ オプションの欠落やスケジュールの制限に関する一般的な問題を解決します。

問題 原因と解決策
カスタム スケジュール オプションが表示されない 単一イベント ルールはリアルタイム エンジンを使用し、スケジュールされた間隔をサポートしていません。また、キュレーション ルールは、変更できない固定のシステム スケジュールに従います。
サポートされていない間隔 [準リアルタイム] を選択できない場合、ルールで match セクションまたは集計(countsum など)が使用されている可能性があります。これらの関数では、データを経時的に処理するためにスケジュールされた間隔が必要です。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。