瞭解如何將規則套用至即時資料

建立規則時，系統不會根據 Google Security Operations 帳戶中即時收到的事件，搜尋偵測結果。不過，只要將「即時規則」切換鈕設為啟用，即可設定規則，即時搜尋偵測結果。

如果規則設定為即時搜尋偵測結果，系統會優先處理即時資料，以便立即偵測威脅。

如要將規則設為有效，請完成下列步驟：

1. 依序點選「偵測」>「規則與偵測項目」。

2. 按一下「規則資訊主頁」分頁標籤。

3. 按一下規則的「更多」 more_vert 選項圖示，然後將「有效規則」切換為啟用。

   

   即時規則

4. 選取「查看規則偵測項目」，即可查看即時規則的偵測結果。

顯示規則配額

在規則資訊主頁的右上角，按一下「規則容量」，即可查看可啟用為即時的規則數量上限。

Google SecOps 的規則限制如下：

• 多重事件規則配額：顯示目前已啟用多重事件規則的數量，以及允許的最大數量。進一步瞭解單一事件和多重事件規則的差異。
• 規則總配額：顯示目前所有類型已啟用為「有效」的規則總數，以及允許的上限。

規則執行

系統會以遞減的頻率，觸發特定事件時間值區的即時規則執行作業。最後會執行一次清理作業，之後就不會再啟動任何執行作業。

每次執行作業時，系統都會使用規則中最新版本的參照清單，並根據最新的事件和實體資料擴充功能執行作業。

如果偵測結果只在後續執行時偵測到，系統可能會追溯產生部分偵測結果。舉例來說，上次執行作業時可能使用最新版本的參照清單，因此現在偵測到更多事件，且事件和實體資料可能會因新擴充功能而重新處理。

簡化

Google SecOps 會自動找出並移除規則中的重複偵測結果。這項程序僅適用於含有相符變數的規則，因為這類規則會依據時間範圍運作。如果偵測到的相符變數值相同，且位於相鄰的時間範圍內，系統會將其視為重複項目並加以抑制。這可能包括偵測時間範圍前後的相符視窗。

Google SecOps 會將每個規則版本視為不同的新邏輯。因此，更新規則時，系統可能會根據過去的事件重複觸發偵測。即使偵測結果看似重複，也不會遭到移除。

偵測延遲

即時規則生成偵測結果所需的時間取決於多項因素，詳情請參閱「瞭解規則偵測延遲」。

規則狀態

即時規則可能處於下列其中一種狀態：

• 已啟用：規則處於啟用狀態，且運作正常，可做為即時規則。

• 已停用：規則已停用。

• 受限：如果即時規則的資源用量異常偏高，系統可能會將規則設為這個狀態。有限規則會與系統中的其他即時規則隔離，以維持 Google SecOps 的穩定性。

  對於有限直播規則，系統不一定能成功執行規則。 不過，如果規則執行成功，系統會保留偵測結果，供您查看。受限的即時規則一律會產生錯誤訊息， 其中包含改善規則成效的建議。

  如果「受限」規則的成效在 3 天內沒有改善，狀態就會變更為「已暫停」。

  注意：如果這項規則最近沒有變更，錯誤可能只是暫時性，或許會自動解決。

• 已暫停：如果有效規則處於「受限」狀態達 3 天，且成效未有任何改善，就會進入這個狀態。這項規則的執行作業已暫停，系統會傳回錯誤訊息，並提供改善規則成效的建議。

如要將任何有效規則恢復為「已啟用」狀態，請按照 YARA-L 最佳做法操作，提升規則效能並儲存變更。儲存規則後，規則會重設為「已啟用」狀態，至少要過一小時才會再次達到「受限」狀態。

您可以設定規則的執行頻率，減少效能問題。舉例來說，您可以將規則重新設定為每小時或每 24 小時執行一次，而非每 10 分鐘執行一次。不過，變更規則的執行頻率不會將規則狀態改回「已啟用」。如果對規則進行小幅修改並儲存，系統會自動將規則狀態重設為「已啟用」。

規則狀態會顯示在規則資訊主頁中，也可以透過 Detection Engine API 存取。如要查看「受限」或「已暫停」狀態的規則所產生的錯誤，請使用 ListErrors API 方法。這項錯誤表示規則處於「受限」或「已暫停」狀態， 並提供說明文件連結，協助您解決問題。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。