Scopri come applicare una regola ai dati in tempo reale

Quando crei una regola, inizialmente non cerca rilevamenti in base agli eventi ricevuti in tempo reale nel tuo account Google Security Operations. Tuttavia, imposti la regola per cercare i rilevamenti in tempo reale attivando l'opzione Regola live.

Quando una regola è configurata per cercare i rilevamenti in tempo reale, assegna la priorità ai dati live per il rilevamento immediato delle minacce.

Per impostare una regola come attiva, completa i seguenti passaggi:

1. Fai clic su Rilevamento > Regole e rilevamenti.

2. Fai clic sulla scheda Dashboard delle regole.

3. Fai clic sull'icona dell'opzione more_vert Regole per una regola e attiva l'opzione Regola live.

   

   Regola live

4. Seleziona Visualizza rilevamenti delle regole per visualizzare i rilevamenti di una regola attiva.

Quota di regole di visualizzazione

In alto a destra nella dashboard delle regole, fai clic su Capacità delle regole per visualizzare i limiti al numero di regole che possono essere attivate come live.

Google SecOps impone i seguenti limiti alle regole:

• Quota delle regole per più eventi: mostra il conteggio attuale delle regole per più eventi abilitate per la pubblicazione e il numero massimo consentito. Scopri di più sulla differenza tra le regole Singolo evento e Più eventi.
• Quota totale di regole: mostra il conteggio totale attuale delle regole attivate come "live" per tutti i tipi, rispetto al limite massimo consentito.

Esecuzioni delle regole

Le esecuzioni delle regole live per un determinato bucket di tempo dell'evento vengono attivate con frequenza decrescente. Viene eseguito un ultimo ciclo di pulizia, dopodiché non vengono avviate ulteriori esecuzioni.

Ogni esecuzione viene eseguita sulle versioni più recenti degli elenchi di riferimento utilizzati nelle regole e sull'arricchimento dei dati di eventi ed entità più recente.

Alcuni rilevamenti possono essere generati retroattivamente se vengono rilevati solo da esecuzioni successive. Ad esempio, l'ultima esecuzione potrebbe utilizzare l'ultima versione dell'elenco di riferimento, che ora rileva più eventi, e i dati di eventi ed entità possono essere rielaborati a causa di nuovi arricchimenti.

Deduplicazione

Google SecOps identifica e rimuove automaticamente i rilevamenti duplicati dalle regole. Questo processo si applica solo alle regole con variabili di corrispondenza, in quanto si basano su finestre temporali. I rilevamenti con valori di variabili di corrispondenza identici, all'interno di finestre temporali adiacenti, vengono eliminati come duplicati. Potrebbero essere incluse le finestre di corrispondenza immediatamente prima e dopo la finestra di un rilevamento.

Google SecOps considera ogni versione della regola come una logica nuova e distinta. Di conseguenza, quando una regola viene aggiornata, può attivare rilevamenti ripetuti in base a eventi passati. Questi rilevamenti non vengono rimossi, anche se sembrano duplicati.

Latenze di rilevamento

Il tempo necessario a una regola live per generare un rilevamento dipende da vari fattori. Per maggiori dettagli, vedi Informazioni sui ritardi nel rilevamento delle regole.

Stato della regola

Le regole live possono avere uno dei seguenti stati:

• Attivata:la regola è attiva e funziona normalmente come regola live.

• Disattivata:la regola è disattivata.

• Limitata:le regole attive possono essere impostate su questo stato quando mostrano un utilizzo delle risorse insolitamente elevato. Le regole limitate sono isolate dalle altre regole attive nel sistema per mantenere la stabilità di Google SecOps.

  Per le regole live limitate, l'esecuzione corretta delle regole non è sempre possibile. Tuttavia, se l'esecuzione della regola va a buon fine, i rilevamenti vengono conservati e sono disponibili per la revisione. Le regole live limitate generano sempre un messaggio di errore, che include consigli su come migliorare il rendimento della regola.

  Se il rendimento di una regola Limitata non migliora entro 3 giorni, il suo stato viene modificato in In pausa.

  Nota: se non sono state apportate modifiche recenti a questa regola, gli errori potrebbero essere intermittenti e potrebbero risolversi automaticamente.

• In pausa:le regole attive entrano in questo stato quando sono rimaste nello stato Limitato per 3 giorni e non hanno mostrato alcun miglioramento del rendimento. Le esecuzioni di questa regola sono state sospese e vengono restituiti messaggi di errore con suggerimenti su come migliorare il rendimento della regola.

Per ripristinare lo stato Attivata di una regola live, segui le best practice di YARA-L per ottimizzare il rendimento della regola e salva le modifiche. Una volta salvata, la regola viene reimpostata sullo stato Attivata e ci vorrà almeno un'ora prima che raggiunga di nuovo lo stato Limitata.

Puoi potenzialmente risolvere i problemi di rendimento di una regola configurandola in modo che venga eseguita meno frequentemente. Ad esempio, puoi riconfigurare una regola in modo che venga eseguita ogni 10 minuti anziché una volta all'ora o ogni 24 ore. Tuttavia, la modifica della frequenza di esecuzione di una regola non ne ripristina lo stato Attivato. Se apporti una piccola modifica alla regola e la salvi, puoi reimpostare automaticamente il suo stato su Attivata.

Gli stati delle regole vengono visualizzati nella dashboard delle regole e sono accessibili anche tramite l'API Detection Engine. Gli errori generati dalle regole con stato Limitato o In pausa sono disponibili utilizzando il metodo API ListErrors. L'errore indica che la regola è in stato Limitato o In pausa e fornisce un link alla documentazione su come risolvere il problema.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.