Applicare una regola ai dati in tempo reale
Quando crei una regola, inizialmente non cerca i rilevamenti in base agli eventi ricevuti in tempo reale nel tuo account Google Security Operations. Tuttavia, puoi impostare la regola in modo che cerchi i rilevamenti in tempo reale attivando l'opzione Regola in tempo reale.
Quando una regola è configurata per cercare i rilevamenti in tempo reale, assegna la priorità ai dati in tempo reale per il rilevamento immediato delle minacce.
Per impostare una regola in tempo reale:
Fai clic su Rilevamento > Regole e rilevamenti.
Fai clic sulla scheda Dashboard regole.
Fai clic sull'icona more_vert Regole per una regola e attiva l'opzione Regola in tempo reale.
Regola in tempo reale
Seleziona Visualizza rilevamenti regole per visualizzare i rilevamenti di una regola in tempo reale.
Visualizzare la quota di regole
In alto a destra nella dashboard Regole, fai clic su Capacità regole per visualizzare i limiti al numero di regole che possono essere attivate in tempo reale.
Google SecOps impone i seguenti limiti alle regole:
- Quota regole multi-evento: mostra il conteggio attuale delle regole multi-evento attivate in tempo reale e il massimo consentito. Scopri di più sulla differenza tra regole a evento singolo e regole multi-evento.
- Quota totale regole: mostra il conteggio totale attuale delle regole attivate in tempo reale di tutti i tipi, rispetto al limite massimo consentito.
Esecuzioni delle regole
Le esecuzioni delle regole in tempo reale per un determinato bucket di tempo dell'evento vengono attivate con frequenza decrescente. Viene eseguita un'esecuzione di pulizia finale, dopodiché non vengono avviate altre esecuzioni.
Ogni esecuzione viene eseguita sulle versioni più recenti degli elenchi di riferimento utilizzati nelle regole e sull'arricchimento più recente dei dati di eventi ed entità.
Alcuni rilevamenti possono essere generati retroattivamente se vengono rilevati solo dalle esecuzioni successive. Ad esempio, l'ultima esecuzione potrebbe utilizzare la versione più recente dell'elenco di riferimento, che ora rileva più eventi, e i dati di eventi ed entità possono essere rielaborati a causa di nuovi arricchimenti.
Deduplicazione
Per le regole che includono una sezione match, Google SecOps
identifica e rimuove automaticamente i rilevamenti e gli avvisi che hanno valori di
variabili di corrispondenza identici e si verificano in
finestre temporali adiacenti. Questa funzionalità di deduplicazione contribuisce a ridurre l'affaticamento da avvisi.
Quando sviluppi le regole, tieni presente che la funzionalità di deduplicazione influisce sul numero di rilevamenti e avvisi conservati.
Eccezioni di deduplicazione
Google SecOps considera ogni versione della regola come una logica nuova e distinta. Di conseguenza, quando crei una nuova versione di una regola, questa può attivare rilevamenti ripetuti in base agli eventi passati. Google SecOps non rimuove questi rilevamenti, anche se sembrano essere duplicati.
Latenze di rilevamento
Il tempo necessario a una regola in tempo reale per generare un rilevamento dipende da vari fattori. Per i dettagli, vedi Comprendere i ritardi di rilevamento delle regole.
Stato della regola
Le regole in tempo reale possono avere uno dei seguenti stati:
Attivata:la regola è attiva e funziona normalmente come regola in tempo reale.
Disattivata:la regola è disattivata.
Limitata:le regole in tempo reale possono essere impostate su questo stato quando mostrano un utilizzo delle risorse insolitamente elevato. Le regole Limitate sono isolate dalle altre regole in tempo reale nel sistema per mantenere la stabilità di Google SecOps.
Per le regole in tempo reale Limitate, le esecuzioni delle regole riuscite non sono sempre possibili. Tuttavia, se l'esecuzione della regola ha esito positivo, i rilevamenti vengono conservati e sono disponibili per la revisione. Le regole in tempo reale Limitate generano sempre un messaggio di errore, che include consigli su come migliorare il rendimento della regola.
Se il rendimento di una regola Limitata non migliora entro 3 giorni, il suo stato viene modificato in In pausa.
Nota: se non sono state apportate modifiche recenti a questa regola, gli errori potrebbero essere intermittenti e potrebbero risolversi automaticamente.
In pausa:le regole in tempo reale entrano in questo stato quando sono state in stato Limitato per 3 giorni e non hanno mostrato alcun miglioramento del rendimento. Le esecuzioni per questa regola sono state messe in pausa e vengono restituiti messaggi di errore con suggerimenti su come migliorare il rendimento della regola.
Per riportare una regola in tempo reale allo stato Attivata, segui le best practice di YARA-L per ottimizzare il rendimento della regola e salva le modifiche. Dopo aver salvato la regola, questa viene reimpostata sullo stato Attivata e ci vorrà almeno un'ora prima che raggiunga di nuovo lo stato Limitata.
Puoi potenzialmente risolvere i problemi di rendimento di una regola configurandola in modo che venga eseguita meno frequentemente. Ad esempio, puoi riconfigurare una regola in modo che venga eseguita una volta all'ora o una volta ogni 24 ore anziché ogni 10 minuti. Tuttavia, la modifica della frequenza di esecuzione di una regola non ne ripristina lo stato Attivata. Se apporti una piccola modifica alla regola e la salvi, puoi reimpostarne automaticamente lo stato su Attivata.
Gli stati delle regole vengono visualizzati nella Dashboard regole e sono accessibili anche tramite l'API Detection Engine. Gli errori generati dalle regole nello stato Limitata
o In pausa sono disponibili utilizzando il
ListErrors metodo API.
L'errore indica che la regola è nello stato Limitata o In pausa e fornisce un link alla documentazione su come risolvere il problema.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.