Appliquer une règle aux données en direct

Compatible avec :

Lorsque vous créez une règle, elle ne recherche pas initialement les détections en fonction des événements reçus en temps réel dans votre compte Google Security Operations. Toutefois, vous pouvez configurer la règle pour qu'elle recherche les détections en temps réel en activant le bouton Règle en direct.

Lorsqu'une règle est configurée pour rechercher les détections en temps réel, elle donne la priorité aux données en direct pour une détection immédiate des menaces.

Pour définir une règle comme étant en direct, procédez comme suit :

  1. Cliquez sur Détection > Règles et détections.

  2. Cliquez sur l'onglet Tableau de bord des règles.

  3. Cliquez sur l'icône d'option more_vert Règles pour une règle, puis activez le bouton Règle en direct.

    Règle active

    Règle en direct

  4. Sélectionnez Afficher les détections de règles pour afficher les détections d'une règle en direct.

Afficher le quota de règles

En haut à droite du tableau de bord des règles, cliquez sur Capacité des règles pour afficher les limites du nombre de règles pouvant être activées en direct.

Google SecOps impose les limites de règles suivantes :

Exécutions de règles

Les exécutions de règles en direct pour un bucket de temps d'événement donné sont déclenchées avec une fréquence décroissante. Une dernière exécution de nettoyage a lieu, après quoi aucune autre exécution ne démarre.

Chaque exécution s'exécute sur les dernières versions des listes de référence utilisées dans les règles, ainsi que sur le dernier enrichissement des données d'événement et d'entité.

Certaines détections peuvent être générées rétrospectivement si elles ne sont détectées que par des exécutions ultérieures. Par exemple, la dernière exécution peut utiliser la dernière version de la liste de référence, qui détecte désormais plus d'événements, et les données d'événement et d'entité peuvent être retraitées en raison de nouveaux enrichissements.

Déduplication

Pour les règles qui incluent une section match, Google SecOps identifie et supprime automatiquement les détections et les alertes qui ont des valeurs de variables de correspondance match identiques et qui se produisent dans des fenores temporelles adjacentes. Cette fonctionnalité de déduplication permet de réduire la fatigue liée aux alertes. Lorsque vous développez des règles, sachez que la fonctionnalité de déduplication affecte le nombre de détections et d'alertes conservées.

Exceptions de déduplication

Google SecOps traite chaque version de règle comme une logique distincte et nouvelle. Par conséquent, lorsque vous créez une version d'une règle, elle peut déclencher des détections répétées en fonction d'événements passés. Google SecOps ne supprime pas ces détections, même si elles semblent être des doublons.

Latences de détection

Le temps nécessaire à une règle en direct pour générer une détection dépend de plusieurs facteurs. Pour en savoir plus, consultez Comprendre les délais de détection des règles.

État de la règle

Les règles en direct peuvent avoir l'un des états suivants :

  • Activée : la règle est active et fonctionne normalement en tant que règle en direct.

  • Désactivée : la règle est désactivée.

  • Limitée : les règles en direct peuvent être définies sur cet état lorsqu'elles présentent une utilisation des ressources anormalement élevée. Les règles limitées sont isolées des autres règles en direct du système afin de maintenir la stabilité de Google SecOps.

    Pour les règles en direct limitées, les exécutions de règles réussies ne sont pas toujours possibles. Toutefois, si l'exécution de la règle réussit, les détections sont conservées et vous pouvez les examiner. Les règles en direct limitées génèrent toujours un message d'erreur, qui inclut des recommandations sur la façon d'améliorer les performances de la règle.

    Si les performances d'une règle limitée ne s'améliorent pas dans les trois jours, son état passe à Suspendue.

    Remarque : Si aucune modification récente n'a été apportée à cette règle, les erreurs peuvent être intermittentes et se résoudre automatiquement.

  • Suspendue : les règles en direct passent à cet état lorsqu'elles sont à l'état Limitée depuis trois jours et qu'aucune amélioration des performances n'a été constatée. Les exécutions de cette règle ont été suspendues et des messages d'erreur contenant des suggestions sur la façon d'améliorer les performances de la règle sont renvoyés.

Pour rétablir l'état Activée d'une règle en direct, suivez les bonnes pratiques YARA-L pour optimiser ses performances et enregistrez les modifications. Une fois la règle enregistrée, elle est réinitialisée à l'état Activée et il faudra au moins une heure avant qu'elle n'atteigne à nouveau l'état Limitée.

Vous pouvez potentiellement résoudre les problèmes de performances d'une règle en la configurant pour qu'elle s'exécute moins fréquemment. Par exemple, vous pouvez reconfigurer une règle pour qu'elle s'exécute toutes les 10 minutes, une fois par heure ou une fois toutes les 24 heures. Toutefois, la modification de la fréquence d'exécution d'une règle ne rétablira pas son état sur Activée. Si vous apportez une petite modification à la règle et que vous l'enregistrez, vous pouvez réinitialiser automatiquement son état sur Activée.

Les états des règles sont affichés dans le tableau de bord des règles et sont également accessibles via l'API Detection Engine. Les erreurs générées par les règles à l'état Limitée ou Suspendue sont disponibles à l'aide de la ListErrors méthode d'API. L'erreur indique que la règle est à l'état Limitée ou Suspendue , et fournit un lien vers la documentation sur la façon de résoudre le problème.

Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels Google SecOps.