Mempelajari cara menerapkan aturan ke data aktif

Didukung di:

Saat Anda membuat aturan, aturan tersebut awalnya tidak menelusuri deteksi berdasarkan peristiwa yang diterima di akun Google Security Operations Anda secara real time. Namun, Anda menyetel aturan untuk menelusuri deteksi secara real time dengan menyetel tombol Aturan Live ke aktif.

Jika dikonfigurasi untuk menelusuri deteksi secara real time, aturan akan memprioritaskan data langsung untuk deteksi ancaman secara langsung.

Untuk mengaktifkan aturan, selesaikan langkah-langkah berikut:

  1. Klik Deteksi > Aturan & Deteksi.

  2. Klik tab Dasbor Aturan.

  3. Klik ikon opsi more_vert Aturan untuk aturan dan aktifkan Aturan Aktif.

    Aturan aktif

    Aturan Aktif

  4. Pilih Lihat Deteksi Aturan untuk melihat deteksi dari aturan aktif.

Kuota Aturan Display

Di kanan atas dasbor Aturan, klik Kapasitas aturan untuk menampilkan batas jumlah aturan yang dapat diaktifkan sebagai live.

Google SecOps menerapkan batas aturan berikut:

  • Kuota aturan multi-peristiwa: Menampilkan jumlah aturan multi-peristiwa yang diaktifkan untuk live saat ini dan jumlah maksimum yang diizinkan. Pelajari lebih lanjut perbedaan antara Aturan peristiwa tunggal dan Aturan multi-peristiwa.
  • Total Kuota Aturan: Menampilkan jumlah total aturan yang diaktifkan sebagai "aktif" di semua jenis, dibandingkan dengan batas maksimum yang diizinkan.

Eksekusi aturan

Eksekusi aturan live untuk bucket waktu peristiwa tertentu dipicu dengan frekuensi yang menurun. Pembersihan akhir akan dilakukan, setelah itu tidak ada lagi eksekusi yang dimulai.

Setiap eksekusi berjalan di versi terbaru daftar referensi yang digunakan dalam aturan, dan terhadap pengayaan data peristiwa dan entitas terbaru.

Beberapa deteksi dapat dibuat secara retrospektif jika hanya terdeteksi oleh eksekusi berikutnya. Misalnya, eksekusi terakhir mungkin menggunakan versi terbaru daftar rujukan, yang kini mendeteksi lebih banyak peristiwa, dan data peristiwa serta entitas dapat diproses ulang karena adanya pengayaan baru.

Penghapusan duplikat

Untuk aturan yang menyertakan bagian match, Google SecOps secara otomatis mengidentifikasi dan menghapus deteksi dan pemberitahuan yang memiliki nilai variabel kecocokan yang identik dan terjadi dalam jangka waktu yang berdekatan. Fitur penghapusan duplikat ini membantu mengurangi kelelahan akibat notifikasi. Saat Anda mengembangkan aturan, perhatikan bahwa fitur penghapusan duplikat memengaruhi jumlah deteksi dan pemberitahuan yang dipertahankan.

Pengecualian penghapusan duplikat

Google SecOps memperlakukan setiap versi aturan sebagai logika baru yang berbeda. Akibatnya, saat Anda membuat versi baru aturan, aturan tersebut dapat memicu deteksi berulang berdasarkan peristiwa sebelumnya. Google SecOps tidak menghapus deteksi ini, meskipun tampaknya merupakan duplikat.

Latensi deteksi

Waktu yang diperlukan agar aturan aktif menghasilkan deteksi bergantung pada berbagai faktor. Untuk mengetahui detailnya, lihat Memahami penundaan deteksi aturan.

Status aturan

Aturan aktif dapat memiliki salah satu status berikut:

  • Diaktifkan: Aturan aktif dan berfungsi normal sebagai aturan aktif.

  • Dinonaktifkan: Aturan dinonaktifkan.

  • Terbatas: Aturan aktif dapat disetel ke status ini saat menunjukkan penggunaan resource yang sangat tinggi. Aturan terbatas diisolasi dari aturan aktif lainnya dalam sistem untuk menjaga stabilitas Google SecOps.

    Untuk aturan live Terbatas, eksekusi aturan yang berhasil tidak selalu memungkinkan. Namun, jika eksekusi aturan berhasil, deteksi akan dipertahankan dan tersedia untuk Anda tinjau. Aturan live Terbatas selalu menghasilkan pesan error, yang mencakup rekomendasi tentang cara meningkatkan performa aturan.

    Jika performa aturan Terbatas tidak meningkat dalam waktu 3 hari, statusnya akan diubah menjadi Dijeda.

    Catatan: Jika tidak ada perubahan terbaru pada aturan ini, error mungkin terjadi sesekali dan dapat diselesaikan secara otomatis.

  • Dijeda: Aturan aktif memasuki status ini jika telah berada dalam status Terbatas selama 3 hari dan belum menunjukkan peningkatan performa. Eksekusi untuk aturan ini telah dijeda dan pesan error dengan saran tentang cara meningkatkan performa aturan akan ditampilkan.

Untuk mengembalikan aturan aktif ke status Diaktifkan, ikuti praktik terbaik YARA-L untuk mengoptimalkan performa aturan Anda dan simpan perubahan. Setelah aturan disimpan, aturan akan direset ke status Diaktifkan, dan akan memerlukan waktu setidaknya satu jam sebelum mencapai status Terbatas lagi.

Anda berpotensi menyelesaikan masalah performa dengan aturan dengan mengonfigurasinya agar berjalan lebih jarang. Misalnya, Anda dapat mengonfigurasi ulang aturan dari yang berjalan setiap 10 menit menjadi sekali per jam atau sekali setiap 24 jam. Namun, mengubah frekuensi eksekusi aturan tidak akan mengubah statusnya kembali menjadi Diaktifkan. Jika Anda membuat sedikit perubahan pada aturan dan menyimpannya, Anda dapat otomatis mereset statusnya menjadi Diaktifkan.

Status aturan ditampilkan di Dasbor Aturan dan juga dapat diakses melalui Detection Engine API. Error yang dihasilkan oleh aturan dalam status Terbatas atau Dijeda tersedia menggunakan metode API ListErrors. Error ini menunjukkan bahwa aturan berada dalam status Terbatas atau Dijeda, dan memberikan link ke dokumentasi tentang cara menyelesaikan masalah ini.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.