Wir haben unsere Navigationsstruktur neu organisiert, um sie direkt an Ihre Arbeitsabläufe anzupassen. Weitere Informationen finden Sie in den Versionshinweisen zu Google SecOps.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Regel auf Live-Daten anwenden

Unterstützt in:

Google SecOps SIEM

Wenn Sie eine Regel erstellen, werden zunächst keine Erkennungen auf Grundlage von Ereignissen gesucht, die in Echtzeit in Ihrem Google Security Operations-Konto eingehen. Sie können jedoch festlegen, dass die Regel in Echtzeit nach Erkennungen suchen soll, indem Sie die Option Live-Regel aktivieren.

Wenn eine Regel so konfiguriert ist, dass sie in Echtzeit nach Erkennungen sucht, werden Live-Daten für die sofortige Bedrohungserkennung priorisiert.

So legen Sie fest, dass eine Regel live sein soll:

Klicken Sie auf Erkennung > Regeln und Erkennungen.
Klicken Sie auf den Tab Regel-Dashboard.
Klicken Sie für eine Regel auf das Dreipunkt-Menü more_vert Regeln und aktivieren Sie die Option Live-Regel.

Live-Regel
Wählen Sie Regel-Erkennungen ansehen aus, um Erkennungen aus einer Live-Regel anzusehen.

Regelkontingent anzeigen

Klicken Sie rechts oben im Regel-Dashboard auf Regelkapazität , um die Limits für die Anzahl der Regeln anzuzeigen, die als live aktiviert werden können.

Für Google SecOps gelten die folgenden Regel-Limits:

Kontingent für Regeln mit mehreren Ereignissen: Hier wird die aktuelle Anzahl der live aktivierten Regeln mit mehreren Ereignissen und das maximal zulässige Limit angezeigt. Weitere Informationen zum Unterschied zwischen Regeln mit einem Ereignis und Regeln mit mehreren Ereignissen.
Gesamtkontingent für Regeln: Hier wird die aktuelle Gesamtzahl der Regeln angezeigt, die für alle Typen als "live" aktiviert sind, im Vergleich zum maximal zulässigen Limit.

Regelausführungen

Live-Regelausführungen für einen bestimmten Ereigniszeitraum werden mit abnehmender Häufigkeit ausgelöst. Es erfolgt eine letzte Bereinigungsrunde, danach werden keine weiteren Ausführungen gestartet.

Jede Ausführung wird mit den neuesten Versionen der Referenzlisten ausgeführt, die in den Regeln verwendet werden, und mit der neuesten Datenanreicherung von Ereignis- und Entitätsdaten.

Einige Erkennungen können nachträglich generiert werden, wenn sie erst bei späteren Ausführungen erkannt werden. Bei der letzten Ausführung wird beispielsweise möglicherweise die neueste Version der Referenzliste verwendet, mit der jetzt mehr Ereignisse erkannt werden. Außerdem können Ereignis- und Entitätsdaten aufgrund neuer Anreicherungen noch einmal verarbeitet werden.

Deduplizierung

Bei Regeln mit einem match-Abschnitt werden in Google SecOps automatisch Erkennungen und Benachrichtigungen entfernt, die identische Werte für die Übereinstimmungsvariable haben und in angrenzenden Zeiträumen auftreten. Diese Deduplizierungsfunktion trägt dazu bei, die Benachrichtigungsermüdung zu verringern. Wenn Sie Regeln entwickeln, müssen Sie berücksichtigen, dass sich die Deduplizierungsfunktion auf die Anzahl der beibehaltenen Erkennungen und Benachrichtigungen auswirkt.

Ausnahmen bei der Deduplizierung

In Google SecOps wird jede Regelversion als separate, neue Logik behandelt. Wenn Sie eine neue Version einer Regel erstellen, können daher wiederholte Erkennungen basierend auf vergangenen Ereignissen ausgelöst werden. Diese Erkennungen werden in Google SecOps nicht entfernt, auch wenn sie als Duplikate erscheinen.

Erkennungslatenzen

Die Zeit, die eine Live-Regel benötigt, um eine Erkennung zu generieren, hängt von verschiedenen Faktoren ab. Weitere Informationen finden Sie unter Verzögerungen bei der Erkennung von Regeln.

Regelstatus

Live-Regeln können einen der folgenden Status haben:

Aktiviert:Die Regel ist aktiv und funktioniert normal als Live-Regel.
Deaktiviert:Die Regel ist deaktiviert.
Eingeschränkt:Live-Regeln können diesen Status erhalten, wenn sie eine ungewöhnlich hohe Ressourcennutzung aufweisen. Eingeschränkte Regeln werden von den anderen Live-Regeln im System isoliert, um die Stabilität von Google SecOps aufrechtzuerhalten.

Bei eingeschränkten Live-Regeln sind erfolgreiche Regelausführungen nicht immer möglich. Wenn die Regelausführung jedoch erfolgreich ist, werden Erkennungen beibehalten und können von Ihnen überprüft werden. Eingeschränkte Live-Regeln generieren immer eine Fehlermeldung mit Empfehlungen zur Verbesserung der Leistung der Regel.

Wenn sich die Leistung einer eingeschränkten Regel nicht innerhalb von drei Tagen verbessert, wird ihr Status in Pausiert geändert.

Hinweis: Wenn an dieser Regel keine kürzlichen Änderungen vorgenommen wurden, sind die Fehler möglicherweise nur vorübergehend und können automatisch behoben werden.
Pausiert:Live-Regeln erhalten diesen Status, wenn sie drei Tage lang den Status Eingeschränkt hatten und keine Leistungsverbesserung gezeigt haben. Die Ausführungen für diese Regel wurden pausiert und es werden Fehlermeldungen mit Vorschlägen zur Verbesserung der Leistung der Regel zurückgegeben.

Wenn Sie eine Live-Regel wieder in den Status Aktiviert versetzen möchten, folgen Sie den Best Practices für YARA-L, um die Leistung der Regel zu optimieren, und speichern Sie die Änderungen. Nachdem die Regel gespeichert wurde, wird sie auf den Status Aktiviert zurückgesetzt. Es dauert mindestens eine Stunde, bis sie wieder den Status Eingeschränkt erreicht.

Sie können Leistungsprobleme mit einer Regel möglicherweise beheben, indem Sie sie so konfigurieren, dass sie seltener ausgeführt wird. Sie können beispielsweise eine Regel so umkonfigurieren, dass sie nicht alle 10 Minuten, sondern einmal pro Stunde oder einmal alle 24 Stunden ausgeführt wird. Wenn Sie die Ausführungshäufigkeit einer Regel ändern, wird ihr Status jedoch nicht wieder in Aktiviert geändert. Wenn Sie eine kleine Änderung an der Regel vornehmen und sie speichern, können Sie ihren Status automatisch auf Aktiviert zurücksetzen.

Regelstatus werden im Regel-Dashboard angezeigt und sind auch über die Detection Engine API zugänglich. Fehler, die von Regeln im Status Eingeschränkt oder Pausiert generiert werden, sind über die ListErrors API-Methode verfügbar. Der Fehler gibt an, dass sich die Regel entweder im Status Eingeschränkt oder Pausiert befindet, und enthält einen Link zur Dokumentation, in der beschrieben wird, wie das Problem behoben werden kann.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten