Saiba como aplicar uma regra a dados ativos

Compatível com:

Quando você cria uma regra, ela não pesquisa detecções com base em eventos recebidos na sua conta do Google Security Operations em tempo real. No entanto, é possível definir a regra para pesquisar detecções em tempo real ativando a opção Regra ativa.

Quando uma regra é configurada para pesquisar detecções em tempo real, ela prioriza dados ativos para detecção imediata de ameaças.

Para ativar uma regra, siga estas etapas:

  1. Clique em Detecção > Regras e detecções.

  2. Clique na guia Painel de regras.

  3. Clique no ícone de opções more_vert Regras de uma regra e ative a Regra ativa.

    Regra ativa

    Regra ativa

  4. Selecione Ver detecções de regras para conferir as detecções de uma regra ativa.

Cota de regras de exibição

Na parte de cima à direita do painel "Regras", clique em Capacidade de regras para mostrar os limites do número de regras que podem ser ativadas como ativas.

O Google SecOps impõe os seguintes limites de regras:

  • Cota de regras de vários eventos: mostra a contagem atual de regras de vários eventos ativadas e o máximo permitido. Saiba mais sobre a diferença entre as regras de evento único e vários eventos.
  • Cota total de regras: mostra a contagem total atual de regras ativadas como "ativas" em todos os tipos, em comparação com o limite máximo permitido.

Execuções de regras

As execuções de regras ativas para um determinado período de evento são acionadas com frequência decrescente. Uma execução de limpeza final é realizada, e depois disso, nenhuma outra execução é iniciada.

Cada execução é feita nas versões mais recentes das listas de referência usadas nas regras e no enriquecimento de dados de eventos e entidades mais recente.

Algumas detecções podem ser geradas retrospectivamente se forem detectadas apenas por execuções posteriores. Por exemplo, a última execução pode usar a versão mais recente da lista de referência, que agora detecta mais eventos, e os dados de eventos e entidades podem ser reprocessados devido a novos enriquecimentos.

Eliminação de duplicação

O Google SecOps identifica e remove automaticamente detecções duplicadas das regras. Esse processo se aplica apenas a regras com variáveis de correspondência, já que elas dependem de janelas baseadas em tempo. As detecções com valores de variáveis de correspondência idênticos, em períodos adjacentes, são suprimidas como duplicadas. Isso pode incluir as janelas de correspondência imediatamente antes e depois da janela de uma detecção.

O Google SecOps trata cada versão de regra como uma lógica nova e distinta. Como resultado, quando uma regra é atualizada, ela pode acionar detecções repetidas com base em eventos passados. Essas detecções não são removidas, mesmo que pareçam duplicadas.

Latências de detecção

O tempo necessário para uma regra ativa gerar uma detecção depende de vários fatores. Para mais detalhes, consulte Entender os atrasos na detecção de regras.

Status da regra

As regras ativas podem ter um dos seguintes status:

  • Ativada:a regra está ativa e funcionando normalmente como uma regra ativa.

  • Desativada:a regra está desativada.

  • Limitado:as regras ativas podem ser definidas como "Limitado" quando mostram um uso de recursos muito alto. As regras limitadas são isoladas das outras regras ativas no sistema para manter a estabilidade do Google SecOps.

    Para regras ativas limitadas, nem sempre é possível executar a regra. No entanto, se a execução da regra for bem-sucedida, as detecções serão retidas e ficarão disponíveis para revisão. As regras ativas limitadas sempre geram uma mensagem de erro, que inclui recomendações sobre como melhorar o desempenho da regra.

    Se a performance de uma regra Limitada não melhorar em três dias, o status dela será alterado para Pausada.

    Observação: se não houver mudanças recentes nessa regra, os erros podem ser intermitentes e podem ser resolvidos automaticamente.

  • Pausada:as regras ativas entram nesse status quando estão no status Limitado por três dias e não mostram nenhuma melhoria de performance. As execuções dessa regra foram pausadas, e mensagens de erro com sugestões de como melhorar a performance dela foram retornadas.

Para retornar uma regra ativa ao status Ativada, siga as práticas recomendadas da YARA-L para otimizar a performance da regra e salve as mudanças. Depois que a regra é salva, ela é redefinida para o estado Ativada e leva pelo menos uma hora para atingir o status Limitada novamente.

É possível resolver problemas de performance com uma regra configurando-a para ser executada com menos frequência. Por exemplo, é possível reconfigurar uma regra para que ela seja executada uma vez por hora ou a cada 24 horas, em vez de a cada 10 minutos. No entanto, mudar a frequência de execução de uma regra não muda o status dela de volta para Ativada. Se você fizer uma pequena modificação na regra e salvá-la, poderá redefinir automaticamente o status dela para Ativada.

Os status das regras são mostrados no painel de regras e também podem ser acessados pela API Detection Engine. Os erros gerados por regras no status Limitado ou Em pausa estão disponíveis usando o método da API ListErrors. O erro indica que a regra está no status Limitada ou Pausada e fornece um link para a documentação sobre como resolver o problema.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.