了解如何将规则应用于实时数据

创建规则时，它最初不会根据 Google Security Operations 账号中收到的事件实时搜索检测。但是，通过将实时规则切换开关设置为启用，您可以将规则设置为实时搜索检测。

如果规则配置为实时搜索检测，则会优先处理实时数据，以便立即检测威胁。

如需将规则设置为实时，请完成以下步骤：

1. 依次点击检测 > 规则和检测。

2. 点击规则信息中心标签页。

3. 点击规则的 more_vert 规则选项图标，然后将实时规则切换为启用。

   

   实时规则

4. 选择查看规则检测，以查看实时规则的检测结果。

显示规则配额

在“规则”信息中心右上角，点击规则容量以显示可启用为实时的规则数量限制。

Google SecOps 实施以下规则限制：

• 多事件规则配额：显示已启用为实时规则的多事件规则的当前数量以及允许的最大数量。详细了解单一事件规则和多个事件规则之间的区别。
• 总规则配额：显示所有类型中启用为“实时”的当前规则总数，以及允许的上限。

规则执行

针对给定事件时间段的实时规则执行会以递减的频率触发。系统会运行一次最终清理，之后不会再开始执行。

每次执行都会针对规则中使用的最新版本的参考列表以及最新的事件和实体数据扩充运行。

如果某些检测仅在后续执行中检测到，则可以追溯生成这些检测。例如，上次执行可能使用了最新版本的参考列表，该列表现在可以检测到更多事件，并且由于新的丰富功能，事件和实体数据可以重新处理。

重复信息删除

Google SecOps 会自动识别并移除规则中的重复检测结果。此流程仅适用于具有匹配变量的规则，因为这些规则依赖于基于时间的窗口。如果检测的匹配变量值相同，且位于相邻的时间窗口内，则会被视为重复检测并遭到抑制。这可能包括检测窗口紧前和紧后的匹配窗口。

Google SecOps 会将每个规则版本视为不同的新逻辑。因此，当规则更新时，可能会根据过去的事件触发重复检测。即使这些检测结果看起来是重复的，也不会被移除。

检测延迟时间

实时规则生成检测所需的时间取决于多种因素。如需了解详情，请参阅了解规则检测延迟。

规则状态

实时规则可以处于以下状态之一：

• 已启用：规则处于有效状态，可作为实时规则正常运行。

• 已停用：规则已停用。

• 受限：如果实时规则显示资源使用量异常高，则可以将其设置为此状态。受限规则与其他实时规则隔离，以维持 Google SecOps 的稳定性。

  对于有限实时规则，不一定能成功执行规则。 不过，如果规则执行成功，系统会保留检测结果，供您查看。受限的实时规则始终会生成一条错误消息，其中包含有关如何提升规则效果的建议。

  如果受限规则的效果在 3 天内没有改善，其状态会更改为已暂停。

  注意：如果此规则最近没有发生任何变化，则这些错误可能是间歇性的，并且可能会自动解决。

• 已暂停：如果实时规则处于受限状态的时间达到 3 天，但效果没有任何改善，就会进入此状态。此规则的执行已暂停，系统会返回错误消息，其中包含有关如何提高规则效果的建议。

如需将任何实时规则恢复为已启用状态，请遵循 YARA-L 最佳实践来优化规则的性能，然后保存更改。保存规则后，该规则会重置为已启用状态，并且至少需要一个小时才能再次达到受限状态。

您可以通过配置规则以降低其运行频率，从而潜在地解决性能问题。例如，您可以将规则的运行频率从每 10 分钟一次重新配置为每小时一次或每 24 小时一次。不过，更改规则的执行频率不会将其状态改回已启用。如果您对规则进行小幅修改并保存，则可以自动将其状态重置为已启用。

规则状态会显示在规则信息中心内，也可通过检测引擎 API 进行访问。使用 ListErrors API 方法可获取处于受限或已暂停状态的规则生成的错误。 此错误表示规则处于受限或已暂停状态，并提供指向相关文档的链接，以便您了解如何解决此问题。

需要更多帮助？获得社区成员和 Google SecOps 专业人士的解答。