管理规则运行时间表

支持的平台:

本文档适用于希望在 Google Security Operations 中管理规则运行时间表的安全分析师和工程师。本文介绍了如何配置频次设置(从实时扫描到 24 小时间隔),以及如何解读处理延迟到达数据的后台运行。

常见使用场景

选择合适的时间表取决于威胁的严重程度和逻辑的复杂程度。大多数团队都会根据以下目标来确定日程安排的优先级。

高优先级提醒

  • 目标:在关键威胁攻击平台的那一刻检测到它们。
  • 价值:对于不需要额外上下文的单事件匹配,可缩短攻击者的停留时间。

复杂的关联和报告

  • 目标:运行需要计数、求和或多事件窗口的规则。
  • 价值:确保系统在执行之前提取并丰富所有相关日志,从而为合规性和趋势分析提供更准确的提醒。

准备工作

在修改任何时间表之前,请确保您的环境满足以下要求,以免出现配置错误。

  • 权限:您必须拥有 Chronicle API 管理员 (roles/chronicle.admin) 或 Chronicle API 编辑者 (roles/chronicle.editor) 角色才能修改规则调度。
  • 环境检查:确保您的日志已正确映射到统一数据模型 (UDM),以支持按预定时间间隔进行汇总。

主要术语

为了更好地了解系统如何处理计时,请熟悉以下特定于平台的术语。

  • 补全运行:自动后台执行,用于重新评估规则,以捕获延迟到达或需要额外时间进行丰富的数据。
  • 丰富化:向日志添加上下文(例如资产元数据或用户身份)的过程,可能在初始注入后不久发生。

了解规则运行调度

Google SecOps 会根据您的规则逻辑自动确定可用的时间安排选项。运行时间表菜单仅显示与您的特定规则类型(例如单事件与多事件)兼容的选项。

默认时间表配置

系统会在事件到达后根据以下时间表对其进行评估。这种延迟可确保数据完整性,并考虑注入或丰富延迟。

时间表 作业标准 评估时间 补足周期
实时(10 分钟) 单事件或匹配时段 < 1 小时 到达后不久 否。在标准执行中评估延迟/丰富的数据。
每小时(1 小时) 匹配窗口期介于 1 小时和 48 小时之间 到达后 1 到 2 小时 是。包括 5 小时和 24 小时阶段。
每天(24 小时) 匹配窗口 > 48 小时 到达后 24 至 25 小时 是。包括 5 小时和 24 小时阶段。

详细了解如何为规则配置自定义时间表

自动调整阶段

为防止因数据提取延迟或后期丰富而导致检测遗漏,系统会自动针对多事件规则执行“校正”运行:

  1. 初始运行:尽快执行,以发现即时威胁。
  2. 中等运行时间(约 5 小时):在活动结束后约 5 小时再运行一次。注意:此阶段不会等待完整的数据丰富化。
  3. 最终调整(约 24 小时):在确认所有其他数据和丰富信息后执行(100% 可见性)。

注意:单事件规则在标准执行期间处理延迟到达的数据和丰富的数据,并且不使用 5 小时和 24 小时的校正周期。

更改跑步时间表

如需更改系统评估自定义检测逻辑的频率,请执行以下操作:

  1. 在 Google SecOps 中,依次前往检测 > 规则和检测
  2. 点击规则信息中心
  3. 打开相应规则的更多 more_vert 菜单。
  4. 从菜单中选择一个运行时间安排值(例如 10 分钟)。
  5. 点击保存。系统会自动保存您所做的更改。

识别检测结果

规则生效后,您可以区分初始提醒和系统自动重新运行生成的提醒。

  1. 前往提醒页面或规则信息中心
  2. 检测类型列中,点击灯泡图标 ,查看检测是源自初始运行、校正运行还是回溯搜寻。

问题排查

查看数据的各个维度,以调查为何特定检测结果会显示或随时间变化。虽然系统可以立即识别出大多数威胁,但某些细微的数据差别需要进行后台处理才能提供完全准确的结果。了解这些后台运行有助于您准确衡量检测平均时间 (MTTD),并验证提醒的完整性。

延迟和限制

规则运行频率会直接影响检测速度。较低的调度频率会增加事件发生与系统处理检测之间的时间。

  • 每小时运行一次的时间表:这些时间表每小时运行一次,使用最新可用数据;不应用任何缓冲。

  • 每日安排:系统会引入 24 小时的缓冲期,以确保在处理之前完整数据注入。

不同运行之间的差异

规则的初始运行可能无法识别在后续的校正运行中出现的检测结果。此行为可确保系统立即识别大多数威胁,同时允许稍后进行高保真度确认。出现该消息的常见原因包括:

  • 数据注入延迟时间:首次运行完成后到达的日志数据。
  • 丰富化完整性:在初始运行期间,来自外部来源(资产元数据或身份)的上下文仍在处理中。
  • 时间调整:校正运行会等待最完整的数据集,然后再执行。首次运行时的检测结果可能会晚于预期时间到达。

错误修复

请使用此表格解决与缺少自定义选项或受限时间表相关的常见问题。

问题 原因和修复
缺少自定义时间表选项 单事件规则使用实时引擎,不支持预定间隔。此外,精选规则遵循无法修改的固定系统时间表。
不支持的间隔 如果您无法选择近乎实时,则您的规则可能使用了 match 部分或聚合函数(例如 countsum)。这些函数需要按预定间隔处理数据。

需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。