Saiba como aplicar uma regra a dados em tempo real

Suportado em:

Quando cria uma regra, esta não procura inicialmente deteções com base em eventos recebidos na sua conta do Google Security Operations em tempo real. No entanto, pode definir a regra para pesquisar deteções em tempo real ativando o botão Regra em direto.

Quando uma regra é configurada para pesquisar deteções em tempo real, dá prioridade aos dados em direto para a deteção imediata de ameaças.

Para ativar uma regra, conclua os seguintes passos:

  1. Clique em Deteção > Regras e deteções.

  2. Clique no separador Painel de controlo de regras.

  3. Clique no ícone de opção more_vert Regras para uma regra e ative a Regra em direto.

    Regra publicada

    Regra em direto

  4. Selecione Ver deteções de regras para ver as deteções de uma regra em direto.

Quota de regras de apresentação

Na parte superior direita do painel de controlo Regras, clique em Capacidade das regras para apresentar os limites do número de regras que podem ser ativadas como ativas.

O Google SecOps impõe os seguintes limites de regras:

  • Quota de regras de vários eventos: apresenta a contagem atual de regras de vários eventos ativadas para publicação em direto e o máximo permitido. Saiba mais sobre a diferença entre as regras de evento único e vários eventos.
  • Quota total de regras: apresenta a contagem total atual de regras ativadas como "em direto" em todos os tipos, em comparação com o limite máximo permitido.

Execuções de regras

As execuções de regras em direto para um determinado intervalo de tempo de evento são acionadas com uma frequência cada vez menor. É executada uma limpeza final, após a qual não são iniciadas mais execuções.

Cada execução é realizada nas versões mais recentes das listas de referência usadas nas regras e no enriquecimento de dados de eventos e entidades mais recente.

Algumas deteções podem ser geradas retrospetivamente se forem detetadas apenas por execuções posteriores. Por exemplo, a última execução pode usar a versão mais recente da lista de referência, que agora deteta mais eventos, e os dados de eventos e entidades podem ser novamente processados devido a novos enriquecimentos.

Remoção de duplicados

O Google SecOps identifica e remove automaticamente deteções duplicadas das regras. Este processo aplica-se apenas a regras com variáveis de correspondência, uma vez que dependem de intervalos baseados no tempo. As deteções com valores de variáveis de correspondência idênticos, em intervalos de tempo adjacentes, são suprimidas como duplicados. Isto pode incluir os períodos de correspondência imediatamente antes e depois do período de uma deteção.

O Google SecOps trata cada versão da regra como uma lógica nova e distinta. Como resultado, quando uma regra é atualizada, pode acionar deteções repetidas com base em eventos anteriores. Estas deteções não são removidas, mesmo que pareçam ser duplicados.

Latências de deteção

O tempo que uma regra em direto demora a gerar uma deteção depende de vários fatores. Para obter detalhes, consulte o artigo Compreenda os atrasos na deteção de regras.

Estado da regra

As regras ativas podem ter um dos seguintes estados:

  • Ativada: a regra está ativa e a funcionar normalmente como uma regra em direto.

  • Desativada: a regra está desativada.

  • Limitado: as regras dinâmicas podem ser definidas para este estado quando apresentam uma utilização de recursos invulgarmente elevada. As regras limitadas estão isoladas das outras regras ativas no sistema para manter a estabilidade do Google SecOps.

    Para regras em direto limitadas, nem sempre é possível executar as regras com êxito. No entanto, se a execução da regra for bem-sucedida, as deteções são retidas e ficam disponíveis para revisão. As regras em direto limitadas geram sempre uma mensagem de erro, que inclui recomendações sobre como melhorar o desempenho da regra.

    Se o desempenho de uma regra Limitada não melhorar no prazo de 3 dias, o respetivo estado é alterado para Em pausa.

    Nota: se não tiverem sido feitas alterações recentes a esta regra, os erros podem ser intermitentes e podem ser resolvidos automaticamente.

  • Pausada: as regras ativas entram neste estado quando estão no estado Limitado durante 3 dias e não apresentam qualquer melhoria no desempenho. As execuções desta regra foram pausadas e são devolvidas mensagens de erro com sugestões sobre como melhorar o desempenho da regra.

Para repor qualquer regra ativa para o estado Ativada, siga as práticas recomendadas da YARA-L para otimizar o desempenho da regra e guardar as alterações. Depois de guardar a regra, a regra é reposta para o estado Ativada e demora, pelo menos, uma hora até atingir novamente o estado Com limitações.

Pode resolver potencialmente problemas de desempenho com uma regra configurando-a para ser executada com menos frequência. Por exemplo, pode reconfigurar uma regra para ser executada a cada 10 minutos, uma vez por hora ou uma vez a cada 24 horas. No entanto, se alterar a frequência de execução de uma regra, o respetivo estado não volta a ser Ativado. Se fizer uma pequena modificação à regra e a guardar, pode repor automaticamente o respetivo estado para Ativado.

Os estados das regras são apresentados no painel de controlo de regras e também estão acessíveis através da API Detection Engine. Os erros gerados por regras no estado Limitado ou Em pausa estão disponíveis através do método da API ListErrors. O erro indica que a regra está no estado Limitada ou Pausada e fornece um link para a documentação sobre como resolver o problema.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.