Gerenciar sua programação de execução de regras

Compatível com:

Este documento é destinado a analistas e engenheiros de segurança que querem gerenciar programações de execução de regras no Google Security Operations. Ele explica como configurar as configurações de frequência, desde a verificação em tempo real até intervalos programados de 24 horas, e como interpretar as execuções em segundo plano que processam dados atrasados.

Casos de uso comuns

A escolha da programação certa depende da gravidade da ameaça e da complexidade da sua lógica. A maioria das equipes prioriza as programações com base nos seguintes objetivos.

Alertas de alta prioridade

  • Objetivo: detectar ameaças críticas no momento em que elas atingem a plataforma.
  • Valor: reduz o tempo de permanência do invasor em correspondências de evento único que não exigem contexto adicional.

Correlação e relatórios complexos

  • Objetivo: execute regras que exigem contagens, somas ou períodos de vários eventos.
  • Valor: garante que o sistema ingere e enriqueça todos os registros relacionados antes da execução, fornecendo alertas mais precisos para conformidade e análise de tendências.

Antes de começar

Antes de modificar qualquer programação, verifique se o ambiente atende aos requisitos a seguir para evitar erros de configuração.

  • Permissões: é necessário ter a função de administrador da API do Chronicle (roles/chronicle.admin) ou editor da API do Chronicle (roles/chronicle.editor) para modificar programações de regras.
  • Verificação do ambiente:confira se os registros estão mapeados corretamente para o Modelo de dados unificado (UDM) e se há suporte para agregações de intervalo programado.

Terminologia importante

Para entender melhor como o sistema processa o tempo, familiarize-se com estes termos específicos da plataforma.

  • Execuções de ajuste:execuções automáticas em segundo plano que reavaliam as regras para capturar dados que chegaram atrasados ou exigiram mais tempo para enriquecimento.
  • Enriquecimento:o processo de adicionar contexto a um registro, como metadados de recursos ou identidade do usuário, que pode acontecer logo após a ingestão inicial.

Entender o agendamento de execução de regras

O Google SecOps determina automaticamente as opções de programação disponíveis com base na lógica da sua regra. O menu Executar programação mostra apenas opções compatíveis com seu tipo de regra específico (por exemplo, evento único x vários eventos).

Configuração padrão de programação

O sistema avalia os eventos depois que eles chegam, de acordo com a programação a seguir. Esse atraso garante a integridade dos dados e considera a latência de ingestão ou enriquecimento.

Programar Critérios de atribuição Tempo de avaliação Ciclos de ajuste
Tempo real (10 min) Evento único ou janela de correspondência < 1h Logo após a chegada Não.Avalia dados atrasados/enriquecidos na execução padrão.
Por hora (1h) Janela de correspondência entre 1 hora e 48 horas 1 a 2 horas após a chegada Sim. Inclui estágios de 5 e 24 horas.
Diária (24 horas) Janela de correspondência > 48 horas 24 a 25 horas após a chegada Sim. Inclui estágios de 5 e 24 horas.

Saiba como configurar programações personalizadas para regras.

Estágios de ajuste automático

Para evitar detecções perdidas devido a atrasos na ingestão ou enriquecimento tardio, o sistema realiza automaticamente execuções de "ajuste" para regras de vários eventos:

  1. Execução inicial: executada o mais rápido possível para expor ameaças imediatas.
  2. Execução intermediária (~5h): uma execução adicional ocorre aproximadamente cinco horas após o evento. Observação: essa etapa não espera o aprimoramento total dos dados.
  3. Ajuste final (~24 horas): executado quando todos os dados e enriquecimentos adicionais são confirmados (100% de visibilidade).

Observação:as regras de evento único processam dados enriquecidos e que chegam atrasados durante a execução padrão e não usam ciclos de ajuste de 5 e 24 horas.

Mudar a programação de execução

Para mudar a frequência com que o sistema avalia sua lógica de detecção personalizada, faça o seguinte:

  1. No Google SecOps, acesse Detecção > Regras e detecções.
  2. Clique em Painel de regras.
  3. Abra o menu Mais more_vert da sua regra.
  4. Selecione um valor de Programação de execução no menu (por exemplo, 10 minutos).
  5. Clique em Salvar. O sistema salva as mudanças automaticamente.

Identificar detecções

Depois que uma regra é ativada, é possível distinguir entre alertas iniciais e aqueles gerados pelas novas execuções automáticas do sistema.

  1. Acesse a página Alertas ou o Painel de regras.
  2. Na coluna Tipo de detecção, clique em Lâmpada para saber se a detecção foi originada de uma execução inicial, de uma execução de ajuste ou de uma retrocaça.

Solução de problemas

Analise as dimensões dos seus dados para investigar por que detecções específicas aparecem ou mudam com o tempo. Embora o sistema identifique a maioria das ameaças imediatamente, algumas nuances de dados exigem processamento em segundo plano para oferecer precisão total. Entender essas execuções em segundo plano ajuda a medir com precisão o tempo médio de detecção (MTTD) e verificar a integridade dos alertas.

Latência e limites

A frequência de execução das regras afeta diretamente a velocidade das detecções. Programações menos frequentes aumentam o tempo entre a ocorrência de um evento e o momento em que o sistema processa uma detecção.

  • Programações por hora: são executadas a cada hora usando os dados mais recentes disponíveis. Não há buffer aplicado.

  • Programações diárias: o sistema introduz um buffer de 24 horas para garantir a ingestão completa de dados antes do processamento.

Discrepâncias entre execuções

A execução inicial de uma regra pode não identificar uma detecção que aparece mais tarde durante uma execução de ajuste. Esse comportamento garante que o sistema identifique a maioria das ameaças imediatamente, permitindo uma confirmação de alta fidelidade mais tarde. Estas são as causas mais comuns:

  • Latência de ingestão de dados:dados de registro que chegam depois da conclusão da primeira execução.
  • Integridade do enriquecimento:o contexto de fontes externas (metadados de recursos ou identidades) ainda está sendo processado durante a execução inicial.
  • Ajustes de tempo:as execuções de true-up aguardam o conjunto de dados mais completo antes da execução. As detecções na primeira execução podem chegar mais tarde do que o esperado.

Correção de erros

Use esta tabela para resolver problemas comuns relacionados a opções de personalização ausentes ou programações restritas.

Problema Causa e correção
Opções de programação personalizada ausentes As regras de evento único usam o mecanismo em tempo real e não são compatíveis com intervalos programados. Além disso, as regras selecionadas seguem programações fixas do sistema que não podem ser modificadas.
Intervalos sem suporte Se não for possível selecionar Quase em tempo real, provavelmente sua regra usa uma seção match ou agregações (como count ou sum). Essas funções exigem intervalos programados para processar dados ao longo do tempo.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.