Diese Seite wurde von der Cloud Translation API übersetzt.

Regel auf Live-Daten anwenden

Unterstützt in:

Google SecOps SIEM

Wenn Sie eine Regel erstellen, wird nicht sofort nach erkannten Ereignissen gesucht, die in Echtzeit in Ihrem Google Security Operations-Konto eingehen. Sie können die Regel jedoch so einstellen, dass sie in Echtzeit nach erkannten Objekten sucht. Dazu aktivieren Sie die Ein/Aus-Schaltfläche Live-Regel.

Wenn eine Regel so konfiguriert ist, dass sie in Echtzeit nach Erkennungen sucht, werden Live-Daten für die sofortige Bedrohungserkennung priorisiert.

So aktivieren Sie eine Regel:

Klicken Sie auf Erkennung > Regeln und Erkennungen.
Klicken Sie auf den Tab Regel-Dashboard.
Klicken Sie für eine Regel auf das Dreipunkt-Menü more_vert Regeln und aktivieren Sie Aktive Regel.

Live-Regel
Wählen Sie Regelerkennungen ansehen aus, um Erkennungen aus einer aktiven Regel aufzurufen.

Kontingent für Anzeigeregeln

Klicken Sie rechts oben im Dashboard „Regeln“ auf Regelkapazität, um die Grenzwerte für die Anzahl der Regeln anzuzeigen, die live aktiviert werden können.

Für Google SecOps gelten die folgenden Regeln:

Kontingent für Regeln für mehrere Ereignisse: Hier sehen Sie die aktuelle Anzahl der aktivierten Regeln für mehrere Ereignisse und die maximal zulässige Anzahl. Weitere Informationen zum Unterschied zwischen Regeln für einzelne Ereignisse und Regeln für mehrere Ereignisse
Gesamtkontingent für Regeln: Hier sehen Sie die aktuelle Gesamtzahl der Regeln, die für alle Typen als „aktiv“ aktiviert sind, im Vergleich zum maximal zulässigen Limit.

Regelausführungen

Die Ausführung von Live-Regeln für einen bestimmten Event-Zeitraum wird mit abnehmender Häufigkeit ausgelöst. Es wird eine letzte Bereinigung durchgeführt. Danach werden keine weiteren Ausführungen gestartet.

Bei jeder Ausführung werden die neuesten Versionen der in den Regeln verwendeten Referenzlisten und die neuesten Datenanreicherungen für Ereignisse und Entitäten verwendet.

Einige Erkennungen können nachträglich generiert werden, wenn sie erst bei späteren Ausführungen erkannt werden. Bei der letzten Ausführung wird beispielsweise die neueste Version der Referenzliste verwendet, in der jetzt mehr Ereignisse erkannt werden. Außerdem können Ereignis- und Entitätsdaten aufgrund neuer Anreicherungen neu verarbeitet werden.

Deduplizierung

Google SecOps erkennt und entfernt automatisch doppelte Erkennungen aus Regeln. Dieser Prozess gilt nur für Regeln mit Abgleichsvariablen, da sie auf zeitbasierten Zeiträumen beruhen. Erkennungen mit identischen Werten für die Abgleichsvariable in benachbarten Zeiträumen werden als Duplikate unterdrückt. Dazu können die Abgleichszeiträume unmittelbar vor und nach dem Zeitraum einer Erkennung gehören.

In Google SecOps wird jede Regelversion als separate, neue Logik behandelt. Wenn eine Regel aktualisiert wird, kann sie daher wiederholte Erkennungen basierend auf vergangenen Ereignissen auslösen. Diese Erkennungen werden nicht entfernt, auch wenn sie Duplikate zu sein scheinen.

Erkennungslatenzen

Die Zeit, die benötigt wird, bis eine Live-Regel eine Erkennung generiert, hängt von verschiedenen Faktoren ab. Weitere Informationen finden Sie unter Verzögerungen bei der Erkennung von Regeln.

Regelstatus

Live-Regeln können einen der folgenden Status haben:

Aktiv:Die Regel ist aktiv und funktioniert normal als Live-Regel.
Deaktiviert:Die Regel ist deaktiviert.
Eingeschränkt:Livestream-Regeln können auf diesen Status gesetzt werden, wenn sie eine ungewöhnlich hohe Ressourcennutzung aufweisen. Eingeschränkte Regeln sind von den anderen aktiven Regeln im System isoliert, um die Stabilität von Google SecOps zu gewährleisten.

Bei eingeschränkten Live-Regeln sind erfolgreiche Regelausführungen nicht immer möglich. Wenn die Regelausführung jedoch erfolgreich ist, werden die erkannten Ereignisse beibehalten und können von Ihnen überprüft werden. Für eingeschränkte Live-Regeln wird immer eine Fehlermeldung generiert, die Empfehlungen zur Verbesserung der Leistung der Regel enthält.

Wenn sich die Leistung einer eingeschränkten Regel nicht innerhalb von drei Tagen verbessert, wird ihr Status in Pausiert geändert.

Hinweis: Wenn an dieser Regel in letzter Zeit keine Änderungen vorgenommen wurden, sind die Fehler möglicherweise nur vorübergehend und werden automatisch behoben.
Pausiert:Live-Regeln erhalten diesen Status, wenn sie drei Tage lang den Status Eingeschränkt haben und keine Leistungssteigerung zu verzeichnen ist. Die Ausführung dieser Regel wurde pausiert und es werden Fehlermeldungen mit Vorschlägen zur Verbesserung der Leistung der Regel zurückgegeben.

Wenn Sie eine aktive Regel wieder in den Status Aktiviert zurücksetzen möchten, folgen Sie den YARA-L-Best Practices, um die Leistung der Regel zu optimieren, und speichern Sie die Änderungen. Nachdem die Regel gespeichert wurde, wird sie auf den Status Aktiviert zurückgesetzt. Es dauert mindestens eine Stunde, bis sie wieder den Status Eingeschränkt erreicht.

Sie können Leistungsprobleme mit einer Regel möglicherweise beheben, indem Sie sie so konfigurieren, dass sie seltener ausgeführt wird. Sie können beispielsweise eine Regel so konfigurieren, dass sie nicht mehr alle 10 Minuten, sondern einmal pro Stunde oder einmal alle 24 Stunden ausgeführt wird. Wenn Sie die Ausführungshäufigkeit einer Regel ändern, wird ihr Status jedoch nicht wieder auf Aktiviert geändert. Wenn Sie eine kleine Änderung an der Regel vornehmen und sie speichern, können Sie ihren Status automatisch auf Aktiviert zurücksetzen.

Regelstatus werden im Dashboard für Regeln angezeigt und sind auch über die Detection Engine API verfügbar. Fehler, die durch Regeln mit dem Status Limited (Eingeschränkt) oder Paused (Pausiert) generiert werden, sind über die API-Methode ListErrors verfügbar. Der Fehler weist darauf hin, dass die Regel den Status Eingeschränkt oder Pausiert hat. Außerdem wird ein Link zur Dokumentation zur Behebung des Problems bereitgestellt.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten