管理規則執行時間表

支援的國家/地區:

本文適用於想在 Google Security Operations 中管理規則執行時間表的安全分析師和工程師。本文說明如何設定掃描頻率 (從即時掃描到 24 小時排程間隔),以及如何解讀處理延遲抵達資料的背景執行作業。

常見用途

選擇合適的排程取決於威脅的嚴重程度和邏輯的複雜度。大多數團隊會根據下列目標安排行程。

高優先順序警報

  • 目標:在重大威脅入侵平台時立即偵測。
  • 價值:對於不需要額外脈絡的單一事件比對,可縮短攻擊者停留時間。

複雜的關聯和報告

  • 目標:執行需要計數、總和或多重事件時間範圍的規則。
  • 價值:確保系統在執行前擷取並擴充所有相關記錄,為法規遵循和趨勢分析提供更準確的快訊。

事前準備

修改任何排程前,請確認環境符合下列需求,以免發生設定錯誤。

  • 權限:您必須具備 Chronicle API 管理員 (roles/chronicle.admin) 或 Chronicle API 編輯者 (roles/chronicle.editor) 角色,才能修改規則排程。
  • 環境檢查:請確認記錄已正確對應至統合式資料模型 (UDM),以支援排程間隔匯總。

重要術語

如要進一步瞭解系統如何處理時間碼,請先熟悉下列平台專屬術語。

  • 補償執行:自動在背景執行,重新評估規則,擷取延遲抵達或需要額外時間進行擴充的資料。
  • 擴充:為記錄新增內容的程序,例如資產中繼資料或使用者身分,可能在初始擷取後不久發生。

瞭解規則執行排程

Google SecOps 會根據規則邏輯,自動判斷可用的排程選項。「執行時間表」選單只會顯示與特定規則類型相容的選項 (例如單一事件與多個事件)。

預設排程設定

系統會根據下列時間表,在事件送達後進行評估。這項延遲是為了確保資料完整性,並考量擷取或擴充延遲。

排程 指派條件 評估時間 結算週期
即時 (10 分鐘) 單一事件或比對回溯期 < 1 小時 抵達後不久 。在標準執行作業中評估延遲/經過擴充的資料。
每小時 (1 小時) 比對時間範圍介於 1 小時和 48 小時之間 抵達後 1 到 2 小時 是。包括 5 小時和 24 小時階段。
每日 (24 小時) 比對時間範圍 > 48 小時 抵達後 24 至 25 小時 是。包括 5 小時和 24 小時階段。

進一步瞭解如何為規則設定自訂時間表

自動結算階段

為避免因擷取延遲或延後擴充而錯過偵測結果,系統會自動對多事件規則執行「修正」作業:

  1. 初始執行:盡快執行,找出立即性威脅。
  2. 中繼執行 (~5 小時):事件發生後約五小時會額外執行一次。注意:這個階段不會等待完整資料擴充。
  3. 最終調整 (~24 小時):確認所有額外資料和擴充功能後執行 (100% 可見度)。

注意:單一事件規則會在標準執行期間處理延遲抵達和經過擴充的資料,不會使用 5 小時和 24 小時的修正週期。

變更跑步時間表

如要變更系統評估自訂偵測邏輯的頻率,請按照下列步驟操作:

  1. 在 Google SecOps 中,依序前往「偵測」>「規則與偵測項目」
  2. 按一下「規則資訊主頁」
  3. 開啟規則的「更多」 more_vert 選單。
  4. 從選單中選取「執行時間表」值 (例如「10 分鐘」)。
  5. 按一下 [儲存]。系統會自動儲存變更。

找出偵測項目

規則啟用後,您就能區分初始快訊和系統自動重新執行規則所產生的快訊。

  1. 前往「快訊」頁面或「規則資訊主頁」
  2. 在「偵測類型」欄中,按一下「燈泡」圖示 ,即可查看偵測結果是來自初始執行、校正執行還是回溯搜尋。

疑難排解

查看資料的維度,瞭解特定偵測結果出現或隨時間變化的原因。雖然系統會立即找出大部分威脅,但某些資料細微差異需要背景處理才能完全準確。瞭解這些背景執行作業,有助於準確評估平均偵測時間 (MTTD),並驗證快訊的完整性。

延遲和限制

規則執行頻率會直接影響偵測速度。排程頻率越低,系統處理偵測作業的時間就越晚。

  • 每小時排程:每小時執行一次,使用最新資料,不套用緩衝區。

  • 每日排程:系統會導入 24 小時緩衝期,確保資料擷取完畢後再進行處理。

執行次數有出入

規則的初始執行作業可能無法找出偵測結果,但後續的校正執行作業可能會找出。這項行為可確保系統立即找出大部分的威脅,同時允許稍後進行高精確度確認。常見原因包括:

  • 資料擷取延遲:第一次執行完成後才收到的記錄資料。
  • 擴充完整度:初始執行期間,系統仍在處理外部來源的內容 (資產中繼資料或身分)。
  • 時間調整:系統會等到資料集最完整時,才執行補償作業。第一次執行時,偵測結果可能會比預期時間更晚送達。

錯誤修正

如果找不到自訂選項或排程受限,請參閱下表排解常見問題。

問題 原因和修正方式
缺少自訂時間表選項 單一事件規則使用即時引擎,不支援排定間隔。此外,精選規則會按照固定的系統排程執行,您無法修改。
不支援的時間間隔 如果無法選取「近乎即時」,表示規則可能使用 match 區段或匯總 (例如 countsum)。這些函式需要排定間隔,才能處理一段時間內的資料。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。