Aplica una regla a los datos en vivo
Cuando creas una regla, inicialmente no busca detecciones basadas en los eventos recibidos en tu cuenta de Google Security Operations en tiempo real. Sin embargo, puedes configurar la regla para que busque detecciones en tiempo real si activas el botón de activación Regla en vivo.
Cuando una regla está configurada para buscar detecciones en tiempo real, prioriza los datos en vivo para la detección inmediata de amenazas.
Para configurar una regla en vivo, completa los siguientes pasos:
Haz clic en Detección > Reglas y detecciones.
Haz clic en la pestaña Panel de reglas.
Haz clic en el ícono de opción more_vert Reglas para una regla y activa la Regla en vivo.

Regla en vivo
Selecciona Ver detecciones de reglas para ver las detecciones de una regla en vivo.
Muestra la cuota de reglas
En la esquina superior derecha del panel de reglas, haz clic en Capacidad de reglas para mostrar los límites de la cantidad de reglas que se pueden habilitar como en vivo.
Google SecOps impone los siguientes límites de reglas:
- Cuota de reglas de varios eventos: Muestra el recuento actual de reglas de varios eventos habilitadas en vivo y el máximo permitido. Obtén más información sobre la diferencia entre las reglas de un solo evento y las reglas de varios eventos.
- Cuota total de reglas: Muestra el recuento total actual de reglas habilitadas como "en vivo" en todos los tipos, en comparación con el límite máximo permitido.
Ejecuciones de reglas
Las ejecuciones de reglas en vivo para un bucket de tiempo de evento determinado se activan con una frecuencia cada vez menor. Se realiza una ejecución de limpieza final, después de la cual no se inician más ejecuciones.
Cada ejecución se ejecuta en las versiones más recientes de las listas de referencia que se usan en las reglas y en el enriquecimiento de datos de eventos y entidades más reciente.
Algunas detecciones se pueden generar de forma retrospectiva si solo se detectan en ejecuciones posteriores. Por ejemplo, la última ejecución podría usar la versión más reciente de la lista de referencia, que ahora detecta más eventos, y los datos de eventos y entidades se pueden volver a procesar debido a los nuevos enriquecimientos.
Anulación de duplicación
En el caso de las reglas que incluyen una sección match, Google SecOps
identifica y quita automáticamente las detecciones y alertas que tienen valores de variables de
coincidencia idénticos y que ocurren en
ventanas de tiempo adyacentes. Esta función de anulación de duplicación ayuda a reducir la fatiga de alertas.
Cuando desarrolles reglas, ten en cuenta que la función de anulación de duplicación afecta la cantidad de detecciones y alertas que se conservan.
Excepciones de anulación de duplicación
Google SecOps trata cada versión de la regla como una lógica nueva y distinta. Como resultado, cuando creas una versión nueva de una regla, puede activar detecciones repetidas basadas en eventos anteriores. Google SecOps no quita estas detecciones, incluso si parecen ser duplicados.
Latencias de detección
El tiempo que tarda una regla en vivo en generar una detección depende de varios factores. Para obtener más información, consulta Comprende las demoras en la detección de reglas.
Estado de la regla
Las reglas en vivo pueden tener uno de los siguientes estados:
Habilitado: La regla está activa y funciona normalmente como una regla en vivo.
Inhabilitado: La regla está inhabilitada.
Limitado: Las reglas en vivo se pueden establecer en este estado cuando muestran un uso de recursos inusualmente alto. Las reglas limitadas se aíslan de las otras reglas en vivo del sistema para mantener la estabilidad de Google SecOps.
En el caso de las reglas en vivo limitadas, no siempre es posible realizar ejecuciones de reglas exitosas. Sin embargo, si la ejecución de la regla se realiza correctamente, las detecciones se conservan y están disponibles para que las revises. Las reglas en vivo limitadas siempre generan un mensaje de error, que incluye recomendaciones sobre cómo mejorar el rendimiento de la regla.
Si el rendimiento de una regla limitada no mejora en un plazo de 3 días, su estado cambia a En pausa.
Nota: Si no se realizaron cambios recientes en esta regla, es posible que los errores sean intermitentes y se resuelvan automáticamente.
En pausa: Las reglas en vivo ingresan a este estado cuando estuvieron en estado limitado durante 3 días y no mostraron ninguna mejora en el rendimiento. Se pausaron las ejecuciones de esta regla y se muestran mensajes de error con sugerencias para mejorar el rendimiento de la regla.
Para volver a establecer cualquier regla en vivo en el estado Habilitado, sigue las prácticas recomendadas de YARA-L para optimizar el rendimiento de la regla y guardar los cambios. Una vez que se guarde la regla, se restablecerá al estado Habilitado y tardará al menos una hora en volver a alcanzar el estado Limitado.
Puedes resolver problemas de rendimiento con una regla si la configuras para que se ejecute con menos frecuencia. Por ejemplo, puedes volver a configurar una regla para que se ejecute cada 10 minutos, una vez por hora o una vez cada 24 horas. Sin embargo, cambiar la frecuencia de ejecución de una regla no cambiará su estado a Habilitado. Si realizas una pequeña modificación en la regla y la guardas, puedes restablecer automáticamente su estado a Habilitado.
Los estados de las reglas se muestran en el Panel de reglas y también se puede acceder a ellos a través de la API de Detection Engine. Los errores generados por las reglas en el estado Limitado
o En pausa están disponibles con el
ListErrors método de API.
El error indica que la regla está en el estado Limitado o En pausa , y proporciona un vínculo a la documentación sobre cómo resolver el problema.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.