Regel auf Live-Daten anwenden
Wenn Sie eine Regel erstellen, wird nicht sofort nach erkannten Ereignissen gesucht, die in Echtzeit in Ihrem Google Security Operations-Konto eingehen. Sie können die Regel jedoch so einstellen, dass sie in Echtzeit nach erkannten Objekten sucht, indem Sie den Schalter Live-Regel aktivieren.
Wenn eine Regel so konfiguriert ist, dass sie in Echtzeit nach Erkennungen sucht, werden Live-Daten für die sofortige Bedrohungserkennung priorisiert.
So aktivieren Sie eine Regel:
Klicken Sie auf Erkennung > Regeln und Erkennungen.
Klicken Sie auf den Tab Regel-Dashboard.
Klicken Sie für eine Regel auf das Dreipunkt-Menü more_vert Regeln und aktivieren Sie die Option Aktive Regel.
Live-Regel
Wählen Sie Regelerkennungen ansehen aus, um Erkennungen aus einer aktiven Regel aufzurufen.
Kontingent für Anzeigeregeln
Klicken Sie rechts oben im Dashboard „Regeln“ auf Regelkapazität, um die Grenzwerte für die Anzahl der Regeln anzuzeigen, die als aktiv festgelegt werden können.
Für Google SecOps gelten die folgenden Regeln:
- Kontingent für Regeln mit mehreren Ereignissen: Hier sehen Sie die aktuelle Anzahl der aktivierten Regeln mit mehreren Ereignissen und die maximal zulässige Anzahl. Weitere Informationen zu Regeln für einzelne Ereignisse und Regeln für mehrere Ereignisse
- Gesamtkontingent für Regeln: Hier sehen Sie die aktuelle Gesamtzahl der Regeln, die für alle Typen als „aktiv“ aktiviert sind, im Vergleich zum maximal zulässigen Limit.
Regelausführungen
Die Ausführung von Live-Regeln für einen bestimmten Event-Zeitraum wird mit abnehmender Häufigkeit ausgelöst. Es wird eine letzte Bereinigung durchgeführt. Danach werden keine weiteren Ausführungen gestartet.
Bei jeder Ausführung werden die neuesten Versionen der in den Regeln verwendeten Referenzlisten und die neuesten Datenanreicherungen für Ereignisse und Entitäten verwendet.
Einige Erkennungen können nachträglich generiert werden, wenn sie erst bei späteren Ausführungen erkannt werden. Bei der letzten Ausführung wird beispielsweise die neueste Version der Referenzliste verwendet, in der jetzt mehr Ereignisse erkannt werden. Außerdem können Ereignis- und Entitätsdaten aufgrund neuer Anreicherungen neu verarbeitet werden.
Deduplizierung
Bei Regeln, die einen match-Abschnitt enthalten, werden Erkennungen und Benachrichtigungen mit identischen Abgleichsvariablen-Werten, die in angrenzenden Zeiträumen auftreten, automatisch von Google SecOps identifiziert und entfernt. Diese Funktion zur Deduplizierung trägt dazu bei, die Anzahl der Benachrichtigungen zu reduzieren.
Beachten Sie beim Entwickeln von Regeln, dass sich die Deduplizierungsfunktion auf die Anzahl der erkannten Verstöße und Warnungen auswirkt, die beibehalten werden.
Ausnahmen bei der Deduplizierung
In Google SecOps wird jede Regelversion als separate, neue Logik behandelt. Wenn Sie eine neue Version einer Regel erstellen, kann es daher zu wiederholten Erkennungen auf Grundlage vergangener Ereignisse kommen. Google SecOps entfernt diese Erkennungen nicht, auch wenn sie Duplikate zu sein scheinen.
Erkennungslatenzen
Die Zeit, die benötigt wird, bis eine Live-Regel eine Erkennung generiert, hängt von verschiedenen Faktoren ab. Weitere Informationen finden Sie unter Verzögerungen bei der Erkennung von Regeln.
Regelstatus
Live-Regeln können einen der folgenden Status haben:
Aktiv:Die Regel ist aktiv und funktioniert normal als Live-Regel.
Deaktiviert:Die Regel ist deaktiviert.
Eingeschränkt:Livestream-Regeln können auf diesen Status gesetzt werden, wenn sie eine ungewöhnlich hohe Ressourcennutzung aufweisen. Eingeschränkte Regeln sind von den anderen aktiven Regeln im System isoliert, um die Stabilität von Google SecOps zu gewährleisten.
Bei eingeschränkten Live-Regeln ist eine erfolgreiche Ausführung nicht immer möglich. Wenn die Regelausführung jedoch erfolgreich ist, werden die erkannten Ereignisse beibehalten und können von Ihnen überprüft werden. Für eingeschränkte Live-Regeln wird immer eine Fehlermeldung generiert, die Empfehlungen zur Verbesserung der Leistung der Regel enthält.
Wenn sich die Leistung einer eingeschränkten Regel nicht innerhalb von drei Tagen verbessert, wird ihr Status in Pausiert geändert.
Hinweis: Wenn an dieser Regel in letzter Zeit keine Änderungen vorgenommen wurden, sind die Fehler möglicherweise nur vorübergehend und werden automatisch behoben.
Pausiert:Live-Regeln erhalten diesen Status, wenn sie drei Tage lang den Status Eingeschränkt haben und keine Leistungssteigerung zu verzeichnen ist. Die Ausführung dieser Regel wurde pausiert und es werden Fehlermeldungen mit Vorschlägen zur Verbesserung der Leistung der Regel zurückgegeben.
Wenn Sie eine aktive Regel wieder in den Status Aktiviert zurücksetzen möchten, folgen Sie den YARA-L-Best Practices, um die Leistung der Regel zu optimieren, und speichern Sie die Änderungen. Nachdem die Regel gespeichert wurde, wird sie auf den Status Aktiviert zurückgesetzt. Es dauert mindestens eine Stunde, bis sie wieder den Status Eingeschränkt erreicht.
Sie können Leistungsprobleme mit einer Regel möglicherweise beheben, indem Sie sie so konfigurieren, dass sie seltener ausgeführt wird. Sie können beispielsweise eine Regel so konfigurieren, dass sie nicht mehr alle 10 Minuten, sondern einmal pro Stunde oder einmal alle 24 Stunden ausgeführt wird. Wenn Sie die Ausführungshäufigkeit einer Regel ändern, wird ihr Status jedoch nicht wieder auf Aktiviert zurückgesetzt. Wenn Sie eine kleine Änderung an der Regel vornehmen und sie speichern, können Sie ihren Status automatisch auf Aktiviert zurücksetzen.
Regelstatus werden im Dashboard für Regeln angezeigt und sind auch über die Detection Engine API verfügbar. Fehler, die durch Regeln mit dem Status Limited (Eingeschränkt) oder Paused (Pausiert) generiert werden, sind über die API-Methode ListErrors verfügbar.
Der Fehler weist darauf hin, dass die Regel entweder den Status Eingeschränkt oder Pausiert hat. Außerdem wird ein Link zur Dokumentation zur Behebung des Problems bereitgestellt.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten