ライブデータにルールを適用する方法を学習する

以下でサポートされています。

ルールを作成すると、最初は Google Security Operations アカウントで受信したイベントに基づいて検出がリアルタイムで検索されることはありません。ただし、[ライブルール] を [有効] に設定して、検出をリアルタイムで検索するルールを設定します。

検出をリアルタイムで検索するようにルールが構成されている場合、ライブデータが優先され、脅威が直ちに検出されます。

ルールをライブにするには、次の手順を行います。

  1. [Detection] > [Rules & Detections] をクリックします。

  2. [Rules Dashboard] タブをクリックします。

  3. ルールの more_vert Rules オプション アイコンをクリックし、[Live Rule] を有効にします。

    ライブルール

    ライブルール

  4. [View Rule Detections] を選択して、ライブルールからの検出を表示します。

ルールの割り当てを確認する

ルール ダッシュボードの右上にある [Rules capacity] をクリックすると、ライブとして有効にできるルール数の上限が表示されます。

Google SecOps には次のルール上限が適用されます。

  • Multiple Events Rules Quota: ライブとして有効な Multiple Event ルールの現在の数と、許可されている最大数が表示されます。Single Eventルールと Multiple Event ルールの違いについて詳しくは、こちらをご覧ください。
  • Total Rules Quota: すべてのタイプで「ライブ」として有効なルールの現在の合計数と、許可されている最大上限が比較して表示されます。

ルールを実行する

頻度の低下に伴い、特定のイベント時間バケット用のライブルール実行がトリガーされます。最終的なクリーンアップが行われると、その後は実行されません。

各実行は、ルールで使用される最新バージョンの参照リストを確認し、最新のイベントとエンティティのデータ拡充に対して行われます。

一部の検出結果は、後の実行でのみ検出される場合、遡及的に生成されます。たとえば、最後の実行では、より多くのイベントを検出する最新バージョンの参照リストが使用される場合があり、新しい拡充によってイベントとエンティティ データが再処理されます。

重複除去

Google SecOps は、重複する検出結果を自動的に識別してルールから削除します。このプロセスは、時間ベースのウィンドウに依存するため、一致変数を含むルールにのみ適用されます。一致変数の値が同じで、時間枠が隣接している検出結果は、重複として抑制されます。これには、検出ウィンドウの直前と直後の照合ウィンドウが含まれる場合があります。

Google SecOps は、各ルール バージョンを個別の新しいロジックとして扱います。そのため、ルールが更新されると、過去のイベントに基づいて検出が繰り返しトリガーされる可能性があります。これらの検出は、重複しているように見えても削除されません。

検出のレイテンシ

ライブルールが検出を生成するまでの時間は、さまざまな要因によって異なります。詳細については、ルールの検出遅延についてをご覧ください。

ルールのステータス

ライブルールのステータスは次のいずれかになります。

  • [有効]: ルールは有効で、ライブルールとして正常に動作しています。

  • [無効]: ルールは無効です。

  • [制限付き]: リソースルールの使用が異常に多い場合に、ライブルールをこのステータスに設定できます。[制限付き] のルールは、システム内の他のライブルールから分離されており、Google SecOps の安定性を維持します。

    [制限付き] のライブルールの場合、ルールが正常に実行されるとは限りません。ただし、ルールの実行が成功すると、検出結果は保持され、確認できます。[制限付き] のライブルールは常にエラー メッセージを生成します。エラーメッセージには、ルールのパフォーマンスを改善する方法に関する最適化案が含まれています。

    [制限付き] のルールのパフォーマンスが 3 日以内に改善されない場合、ステータスは [一時停止] に変更されます。

    : このルールに最近変更が加えられていない場合、エラーは断続的に発生し、自動的に解決される可能性があります。

  • [一時停止]: ライブルールは、3 日間 [制限付き] ステータスでパフォーマンスの改善が見られない場合、このステータスになります。このルールの実行は一時停止され、ルールのパフォーマンスを改善する方法に関する提案を含むエラー メッセージが返されます。

ライブルールを [有効] ステータスに戻すには、YARA-L のベスト プラクティスに沿ってルールのパフォーマンスを最適化し、変更を保存します。ルールが保存されると、[有効] ステータスにリセットされ、ルールが再度 [制限付き] になるまでに少なくとも 1 時間かかります。

ルールの実行頻度を少なくするように構成することで、ルールのパフォーマンスの問題を解決できる可能性があります。たとえば、ルールを 10 分ごとの実行から、1 時間に 1 回、または 24 時間に 1 回実行するように再構成できます。ただし、ルールの実行頻度を変更しても、ステータスが [Enabled] に戻ることはありません。ルールに少し変更を加えて保存すると、ステータスは自動的に [有効] にリセットされます。

ルールのステータスは [ルール ダッシュボード] に表示され、Detection Engine API を介してアクセスすることもできます。[制限付き] または [一時停止] ステータスのルールによって生成されたエラーは、ListErrors API メソッドを使用して確認できます。エラーには、ルールのステータスが [制限付き] または [一時停止] であることが示され、問題の解決方法を示すドキュメントへのリンクが表示されます。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。