איך מחילים כלל על נתונים פעילים

נתמך ב:

כשיוצרים כלל, הוא לא מחפש בהתחלה זיהויים שמבוססים על אירועים שמתקבלים בחשבון Google Security Operations בזמן אמת. עם זאת, אפשר להגדיר את הכלל כך שיחפש זיהויים בזמן אמת. לשם כך, מעבירים את המתג Live Rule למצב מופעל.

כשמגדירים כלל לחיפוש של זיהויים בזמן אמת, הוא נותן עדיפות לנתונים בזמן אמת כדי לזהות איומים באופן מיידי.

כדי להפעיל כלל, מבצעים את השלבים הבאים:

  1. לוחצים על Detection (זיהוי) > Rules & Detections (כללים וזיהויים).

  2. לוחצים על הכרטיסייה מרכז הבקרה של הכללים.

  3. לוחצים על סמל האפשרויות הנוספות more_vert כללים של כלל מסוים ומעבירים את המתג כלל פעיל למצב מופעל.

    כלל פעיל

    כלל פעיל

  4. כדי לראות את הזיהויים של כלל פעיל, לוחצים על הצגת הזיהויים של הכלל.

מכסת כללי התצוגה

בפינה השמאלית העליונה של לוח הבקרה 'כללים', לוחצים על קיבולת הכללים כדי להציג את המגבלות על מספר הכללים שאפשר להפעיל כפעילים.

ב-Google SecOps יש מגבלות על מספר הכללים:

הרצות של כללים

הפעלות של כללים בזמן אמת עבור קטגוריית זמן נתונה של אירוע מופעלות בתדירות הולכת ופוחתת. מתבצעת הרצה סופית של ניקוי, ואחריה לא מתחילות הרצות נוספות.

כל הרצה מתבצעת על הגרסאות העדכניות ביותר של רשימות ההפניה שמשמשות בכללים, ועל העשרת הנתונים העדכנית ביותר של אירועים וישויות.

חלק מהזיהויים יכולים להיווצר רטרוספקטיבית אם הם מזוהים רק על ידי ביצועים מאוחרים יותר. לדוגמה, ההרצה האחרונה עשויה להשתמש בגרסה העדכנית של רשימת ההפניות, שמזהה עכשיו יותר אירועים, ונתוני אירועים וישויות יכולים לעבור עיבוד מחדש בגלל העשרות חדשות.

ביטול כפילויות

בכללים שכוללים קטע match,‏ Google SecOps מזהה באופן אוטומטי התראות וזיהויים עם ערכים זהים של משתנה ההתאמה שמתרחשים בחלונות זמן סמוכים, ומסיר אותם. התכונה הזו של ביטול כפילויות עוזרת לצמצם את עייפות ההתראות. כשמפתחים כללים, חשוב לזכור שהתכונה לביטול כפילויות משפיעה על מספר הזיהויים וההתראות שנשמרים.

חריגים לביטול כפילויות

מערכת Google SecOps מתייחסת לכל גרסה של כלל כאל לוגיקה חדשה ושונה. כתוצאה מכך, כשיוצרים גרסה חדשה של כלל, היא יכולה להפעיל זיהויים חוזרים שמבוססים על אירועים קודמים. מערכת Google SecOps לא מסירה את הזיהויים האלה, גם אם נראה שהם כפולים.

זמני האחזור של הזיהוי

משך הזמן שנדרש לכלל פעיל כדי ליצור זיהוי תלוי בגורמים שונים. לפרטים נוספים, אפשר לעיין במאמר בנושא הסבר על עיכובים בזיהוי כללים.

סטטוס הכלל

הסטטוס של כלל פעיל יכול להיות אחד מהבאים:

  • מופעל: הכלל פעיל ופועל כרגיל ככלל פעיל.

  • מושבת: הכלל מושבת.

  • מוגבל: כללים פעילים יכולים לקבל את הסטטוס הזה אם הם מציגים שימוש גבוה באופן חריג במשאבים. כללים עם הסטטוס מוגבל מבודדים מהכללים הפעילים האחרים במערכת כדי לשמור על היציבות של Google SecOps.

    בכללים פעילים מסוג מוגבל, לא תמיד אפשר להריץ את הכלל בהצלחה. עם זאת, אם הריצה של הכלל מצליחה, הממצאים נשמרים וזמינים לבדיקה. כללים פעילים מסוג מוגבל תמיד יוצרים הודעת שגיאה, שכוללת המלצות לשיפור הביצועים של הכלל.

    אם הביצועים של כלל עם הסטטוס מוגבל לא משתפרים תוך 3 ימים, הסטטוס שלו משתנה לבהשהיה.

    הערה: אם לא בוצעו שינויים לאחרונה בכלל הזה, יכול להיות שהשגיאות הן זמניות והן ייפתרו אוטומטית.

  • מושהה: כללים פעילים עוברים לסטטוס הזה אם הם היו בסטטוס מוגבל למשך 3 ימים ולא חל שיפור בביצועים שלהם. ההפעלות של הכלל הזה מושהות ומוחזרות הודעות שגיאה עם הצעות לשיפור הביצועים של הכלל.

כדי להחזיר כלל פעיל לסטטוס Enabled, פועלים לפי השיטות המומלצות ל-YARA-L כדי לשפר את הביצועים של הכלל ושומרים את השינויים. אחרי ששומרים את הכלל, הוא מאופס לסטטוס מופעל, ויעבור לפחות שעה עד שהוא יגיע שוב לסטטוס מוגבל.

כדי לפתור בעיות בביצועים של כלל מסוים, אפשר להגדיר אותו כך שיפעל בתדירות נמוכה יותר. לדוגמה, אפשר להגדיר מחדש כלל שפועל כל 10 דקות כך שיפעל פעם בשעה או פעם ב-24 שעות. עם זאת, שינוי תדירות ההפעלה של כלל לא ישנה את הסטטוס שלו בחזרה למופעל. אם מבצעים שינוי קטן בכלל ושומרים אותו, אפשר לאפס את הסטטוס שלו באופן אוטומטי למופעל.

סטטוסי הכללים מוצגים בלוח הבקרה של הכללים וזמינים גם דרך Detection Engine API. שגיאות שנוצרות על ידי כללים בסטטוס Limited או Paused זמינות באמצעות שיטת ה-API‏ ListErrors. השגיאה מציינת שהכלל נמצא בסטטוס Limited או Paused, ומספקת קישור לתיעוד בנושא פתרון הבעיה.

הבעיה עדיין לא נפתרה? קבלת תשובות מחברי הקהילה וממומחי Google SecOps.