Halaman ini diterjemahkan oleh Cloud Translation API.

Mempelajari cara menerapkan aturan ke data aktif

Didukung di:

Google secops SIEM

Saat Anda membuat aturan, aturan tersebut awalnya tidak menelusuri deteksi berdasarkan peristiwa yang diterima di akun Google Security Operations Anda secara real time. Namun, Anda menyetel aturan untuk menelusuri deteksi secara real time dengan mengaktifkan tombol Aturan Live.

Jika dikonfigurasi untuk menelusuri deteksi secara real time, aturan akan memprioritaskan data langsung untuk deteksi ancaman secara langsung.

Untuk mengaktifkan aturan, selesaikan langkah-langkah berikut:

Klik Deteksi > Aturan & Deteksi.
Klik tab Dasbor Aturan.
Klik ikon opsi more_vert Aturan untuk aturan dan aktifkan Aturan Aktif.

Aturan Aktif
Pilih Lihat Deteksi Aturan untuk melihat deteksi dari aturan aktif.

Kuota Aturan Display

Di kanan atas dasbor Aturan, klik Kapasitas aturan untuk menampilkan batas jumlah aturan yang dapat diaktifkan sebagai live.

Google SecOps menerapkan batas aturan berikut:

Kuota Beberapa Aturan Peristiwa: Menampilkan jumlah saat ini aturan Beberapa Peristiwa yang diaktifkan untuk live dan jumlah maksimum yang diizinkan. Pelajari lebih lanjut perbedaan antara aturan Peristiwa Tunggal dan Multi-Peristiwa.
Total Kuota Aturan: Menampilkan jumlah total aturan yang diaktifkan sebagai "aktif" di semua jenis, dibandingkan dengan batas maksimum yang diizinkan.

Eksekusi aturan

Eksekusi aturan live untuk bucket waktu peristiwa tertentu dipicu dengan frekuensi yang menurun. Pembersihan akhir akan dilakukan, setelah itu tidak ada lagi eksekusi yang dimulai.

Setiap eksekusi berjalan di versi terbaru daftar referensi yang digunakan dalam aturan, dan terhadap pengayaan data peristiwa dan entitas terbaru.

Beberapa deteksi dapat dibuat secara retrospektif jika hanya terdeteksi oleh eksekusi berikutnya. Misalnya, eksekusi terakhir mungkin menggunakan versi terbaru daftar rujukan, yang kini mendeteksi lebih banyak peristiwa, dan data peristiwa serta entitas dapat diproses ulang karena adanya pengayaan baru.

Penghapusan duplikat

Google SecOps secara otomatis mengidentifikasi dan menghapus deteksi duplikat dari aturan. Proses ini hanya berlaku untuk aturan dengan variabel pencocokan, karena aturan tersebut mengandalkan periode berbasis waktu. Deteksi dengan nilai variabel kecocokan yang identik, dalam jangka waktu yang berdekatan, akan disembunyikan sebagai duplikat. Hal ini dapat mencakup periode pencocokan tepat sebelum dan sesudah periode deteksi.

Google SecOps memperlakukan setiap versi aturan sebagai logika baru yang berbeda. Akibatnya, saat aturan diperbarui, aturan tersebut dapat memicu deteksi berulang berdasarkan peristiwa sebelumnya. Deteksi ini tidak dihapus, meskipun tampaknya merupakan duplikat.

Latensi deteksi

Waktu yang diperlukan agar aturan aktif menghasilkan deteksi bergantung pada berbagai faktor. Untuk mengetahui detailnya, lihat Memahami penundaan deteksi aturan.

Status aturan

Aturan aktif dapat memiliki salah satu status berikut:

Diaktifkan: Aturan aktif dan berfungsi normal sebagai aturan aktif.
Dinonaktifkan: Aturan dinonaktifkan.
Terbatas: Aturan aktif dapat disetel ke status ini saat menunjukkan penggunaan resource yang sangat tinggi. Aturan terbatas diisolasi dari aturan aktif lainnya dalam sistem untuk menjaga stabilitas Google SecOps.

Untuk aturan live Terbatas, eksekusi aturan yang berhasil tidak selalu memungkinkan. Namun, jika eksekusi aturan berhasil, deteksi akan dipertahankan dan tersedia untuk Anda tinjau. Aturan aktif Terbatas selalu menghasilkan pesan error, yang mencakup rekomendasi tentang cara meningkatkan performa aturan.

Jika performa aturan Terbatas tidak meningkat dalam waktu 3 hari, statusnya akan diubah menjadi Dijeda.

Catatan: Jika tidak ada perubahan terbaru pada aturan ini, error mungkin terjadi sesekali dan dapat diselesaikan secara otomatis.
Dijeda: Aturan aktif memasuki status ini jika telah berada dalam status Terbatas selama 3 hari dan tidak menunjukkan peningkatan performa. Eksekusi untuk aturan ini telah dijeda dan pesan error dengan saran tentang cara meningkatkan performa aturan akan ditampilkan.

Untuk mengembalikan aturan aktif ke status Diaktifkan, ikuti praktik terbaik YARA-L untuk mengoptimalkan performa aturan Anda dan simpan perubahan. Setelah aturan disimpan, aturan akan direset ke status Diaktifkan, dan akan memerlukan waktu setidaknya satu jam sebelum mencapai status Terbatas lagi.

Anda berpotensi menyelesaikan masalah performa dengan aturan dengan mengonfigurasinya agar berjalan lebih jarang. Misalnya, Anda dapat mengonfigurasi ulang aturan dari yang berjalan setiap 10 menit menjadi berjalan sekali per jam atau sekali setiap 24 jam. Namun, mengubah frekuensi eksekusi aturan tidak akan mengubah statusnya kembali menjadi Diaktifkan. Jika Anda membuat sedikit perubahan pada aturan dan menyimpannya, Anda dapat otomatis mereset statusnya menjadi Diaktifkan.

Status aturan ditampilkan di Dasbor Aturan dan juga dapat diakses melalui Detection Engine API. Error yang dihasilkan oleh aturan dalam status Terbatas atau Dijeda tersedia menggunakan metode API ListErrors. Error ini menunjukkan bahwa aturan berada dalam status Terbatas atau Dijeda, dan memberikan link ke dokumentasi tentang cara menyelesaikan masalah ini.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.