Esta página se ha traducido con Cloud Translation API.

Aprende a aplicar una regla a datos activos

Disponible en:

SecOps de Google SIEM

Cuando creas una regla, no busca detecciones inicialmente en función de los eventos recibidos en tiempo real en tu cuenta de Google Security Operations. Sin embargo, puedes configurar la regla para buscar detecciones en tiempo real activando el interruptor Regla activa.

Cuando una regla se configura para buscar detecciones en tiempo real, prioriza los datos activos para detectar amenazas de inmediato.

Para activar una regla, sigue estos pasos:

Haz clic en Detección > Reglas y detecciones.
Haga clic en la pestaña Panel de control de reglas.
Haga clic en el icono de opciones more_vert Reglas de una regla y active Regla activa.

Regla activa
Selecciona Ver detecciones de reglas para ver las detecciones de una regla activa.

Cuota de reglas de visualización

En la parte superior derecha del panel de control Reglas, haz clic en Capacidad de reglas para ver los límites del número de reglas que se pueden habilitar como activas.

Google SecOps impone los siguientes límites de reglas:

Cuota de reglas de varios eventos: muestra el recuento actual de reglas de varios eventos habilitadas y el máximo permitido. Consulte más información sobre la diferencia entre las reglas de un solo evento y las de varios eventos.
Cuota total de reglas: muestra el número total actual de reglas habilitadas como "activas" de todos los tipos, en comparación con el límite máximo permitido.

Ejecuciones de reglas

Las ejecuciones de reglas activas de un determinado intervalo de tiempo de eventos se activan con una frecuencia cada vez menor. Se realiza una última limpieza, tras la cual no se inicia ninguna otra ejecución.

Cada ejecución se realiza con las versiones más recientes de las listas de referencia que se usan en las reglas y con los datos de eventos y entidades más recientes.

Algunas detecciones se pueden generar de forma retrospectiva si solo se detectan en ejecuciones posteriores. Por ejemplo, la última ejecución puede usar la versión más reciente de la lista de referencia, que ahora detecta más eventos, y los datos de eventos y entidades se pueden volver a procesar debido a las nuevas mejoras.

Anulación de duplicados

Google SecOps identifica y elimina automáticamente las detecciones duplicadas de las reglas. Este proceso solo se aplica a las reglas con variables de coincidencia, ya que dependen de ventanas basadas en el tiempo. Las detecciones con valores de variables de coincidencia idénticos en ventanas de tiempo adyacentes se suprimen como duplicados. Esto puede incluir las ventanas de coincidencia inmediatamente anteriores y posteriores a la ventana de una detección.

Google SecOps trata cada versión de una regla como una lógica nueva y distinta. Por lo tanto, cuando se actualiza una regla, puede activar detecciones repetidas basadas en eventos anteriores. Estas detecciones no se eliminan, aunque parezcan duplicados.

Latencias de detección

El tiempo que tarda una regla activa en generar una detección depende de varios factores. Para obtener más información, consulta Información sobre los retrasos en la detección de reglas.

Estado de la regla

Las reglas activas pueden tener uno de los siguientes estados:

Habilitada: la regla está activa y funciona con normalidad como regla activa.
Inhabilitado: la regla está inhabilitada.
Limitado: las reglas activas pueden tener este estado cuando muestran un uso de recursos inusualmente alto. Las reglas limitadas están aisladas de las demás reglas activas del sistema para mantener la estabilidad de Google SecOps.

En el caso de las reglas activas limitadas, no siempre es posible ejecutar las reglas correctamente. Sin embargo, si la ejecución de la regla se realiza correctamente, las detecciones se conservan y están disponibles para que las revises. Las reglas activas limitadas siempre generan un mensaje de error, que incluye recomendaciones sobre cómo mejorar el rendimiento de la regla.

Si el rendimiento de una regla Limitada no mejora en un plazo de 3 días, su estado cambiará a En pausa.

Nota: Si no se han hecho cambios recientemente en esta regla, es posible que los errores sean intermitentes y se resuelvan automáticamente.
Pausadas: las reglas activas adoptan este estado cuando han estado en el estado Limitadas durante 3 días y no han mostrado ninguna mejora en el rendimiento. Las ejecuciones de esta regla se han pausado y se han devuelto mensajes de error con sugerencias sobre cómo mejorar el rendimiento de la regla.

Para devolver una regla activa al estado Habilitada, sigue las prácticas recomendadas de YARA-L para optimizar el rendimiento de la regla y guarda los cambios. Una vez que se haya guardado la regla, se restablecerá al estado Habilitada y tardará al menos una hora en volver al estado Limitada.

Puedes solucionar problemas de rendimiento de una regla configurándola para que se ejecute con menos frecuencia. Por ejemplo, puede cambiar la configuración de una regla para que se ejecute cada 10 minutos, una vez cada hora o una vez cada 24 horas. Sin embargo, si cambia la frecuencia de ejecución de una regla, no se volverá a activar. Si haces una pequeña modificación en la regla y la guardas, puedes restablecer automáticamente su estado a Habilitada.

Los estados de las reglas se muestran en el panel de control de reglas y también se puede acceder a ellos a través de la API Detection Engine. Los errores generados por reglas con el estado Limitado o Pausado se pueden consultar mediante el método de la API ListErrors. El error indica que la regla tiene el estado Limitado o Pausado y proporciona un enlace a la documentación sobre cómo resolver el problema.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.