Configurare pianificazioni personalizzate per le regole
Questo documento è rivolto agli amministratori della piattaforma e agli analisti del SOC che vogliono configurare e risolvere i problemi relativi alle pianificazioni personalizzabili per le regole multi-evento. Spiega come impostare le pianificazioni di elaborazione ed eseguire controlli aggiuntivi per includere i dati in arrivo in ritardo.
Seguendo la procedura descritta in questo documento, puoi controllare con precisione la latenza di rilevamento e l'integrità dei dati. Il completamento corretto garantisce che i rilevamenti siano tempestivi e accurati, riducendo i falsi negativi causati da ritardi nell'acquisizione e garantendo operazioni di sicurezza coerenti.
Le pianificazioni personalizzabili offrono trasparenza e controllo sulla modalità di esecuzione delle regole multi-evento in Google Security Operations. Alcune regole multi-evento potrebbero richiedere un periodo di buffer per aggregare i dati in modo accurato; questo metodo ti consente di definire questo periodo anziché affidarti alle impostazioni predefinite del sistema.
Per accompagnare questo documento, scopri come gestire la pianificazione di esecuzione delle regole.
Terminologia chiave
- Prima esecuzione (𝑇 + offset): l'esecuzione iniziale della logica della regola. L'offset rappresenta il ritardo aggiunto per tenere conto dei dati in arrivo in ritardo.
- Esecuzione di allineamento: una rivalutazione in background della stessa finestra temporale per acquisire i log o i dati di arricchimento arrivati dopo la prima esecuzione.
- Arricchimento: metadati esterni (come tag delle risorse o alias utente) aggiunti ai log durante l'elaborazione.
Prima di iniziare
Prima di tentare di modificare o automatizzare le pianificazioni delle regole, assicurati che l'ambiente e l'account soddisfino i requisiti di sicurezza e di sistema necessari. La convalida di questi prerequisiti aiuta a prevenire gli errori di deployment e garantisce che la logica di rilevamento sia in linea con le policy di Identity and Access Management della tua organizzazione.
Autorizzazioni: per modificare le pianificazioni delle regole, devi disporre delle seguenti autorizzazioni IAM:
chronicle.ruleDeployments.updateper l'utilizzo dell'API per gli aggiornamenti delle singole pianificazioni.chronicle.rules.modifyRulesper gli aggiornamenti dell'API batch e l'utilizzo dell'interfaccia utente.
Controllo dell'ambiente:
- Tipo di regola: le pianificazioni personalizzabili si applicano solo alle regole multi-evento. Le regole per eventi singoli e selezionate sono escluse.
- Finestra
match: le regole con una finestramatchsuperiore a 48 ore sono limitate a una frequenza di esecuzione giornaliera. - Migrazione: la migrazione di una pianificazione legacy a una pianificazione personalizzabile è un processo unidirezionale e non può essere annullato.
Configurare la pianificazione per una regola multi-evento
Per configurare la pianificazione per una regola multi-evento:
- In Google SecOps, vai a Rilevamento > Regole e rilevamenti.
- Fai clic su Dashboard delle regole.
- Individua la regola, fai clic su Altro more_vert e seleziona Pianificazione di esecuzione.
- Nella scheda Pianificazione delle regole , seleziona un valore per il campo Pianificazione della prima esecuzione e seleziona la frequenza di esecuzione della regola.
- Attiva/disattiva l'opzione Regola la prima esecuzione per i dati in arrivo in ritardo.
- Errore previsto: la prima esecuzione potrebbe comunque non rilevare i log se l'offset è inferiore alla latenza di acquisizione effettiva dell'origine.
- Passaggio correttivo: aumenta l'offset o affidati alle esecuzioni di allineamento per la convalida finale.
- Attiva/disattiva l'opzione Assicurati che l'arricchimento sia completo.
- Errore previsto: gli avvisi potrebbero essere visualizzati molto più tardi rispetto al timestamp dell'evento.
- Passaggio correttivo: utilizza questa opzione solo per le regole di conformità non critiche in cui l'accuratezza è più importante della velocità.
- Esamina l'anteprima della pianificazione delle regole per comprendere la sequenza temporale di esecuzione:
- Prima esecuzione (𝑇 + offset) : il sistema esegue la logica della regola dopo il ritardo specificato per i dati in arrivo in ritardo.
- Esecuzione di allineamento 1 (𝑇 + 4 ore) : il sistema esegue una nuova scansione della finestra 4 ore dopo la prima esecuzione per acquisire i dati mancanti o in ritardo. Se attivi/disattivi l'opzione Assicurati che l'arricchimento sia completo, questa esecuzione attende anche l'elaborazione di tutti i dati di arricchimento associati.
- Esecuzione di allineamento 2 (𝑇 + 30 ore) : questa esecuzione viene visualizzata solo se attivi/disattivi l'opzione Assicurati che l'arricchimento sia completo. Il sistema esegue una scansione finale 30 ore dopo la prima esecuzione per garantire la massima fedeltà dei dati.
- Fai clic su Salva.
Informazioni sull'anteprima della pianificazione
L'anteprima della pianificazione identifica le tappe specifiche della logica di rilevamento. Utilizza queste esecuzioni in background per misurare con precisione il tempo medio di rilevamento (MTTD) e verificare l'integrità degli avvisi.
- Prima esecuzione (𝑇 + offset): identifica le minacce il più rapidamente possibile. Poiché alcuni dati potrebbero essere ancora in transito o in fase di arricchimento, i rilevamenti nella prima esecuzione potrebbero arrivare in ritardo rispetto al previsto.
Esecuzioni di allineamento: rivalutano in modo proattivo la finestra temporale. Queste esecuzioni consentono alla piattaforma di acquisire quanto segue:
- Log in arrivo in ritardo: dati che hanno raggiunto la piattaforma dopo il completamento della prima esecuzione.
- Contesto di arricchimento: metadati, come identità delle risorse o alias utente, che richiedono un'elaborazione in background aggiuntiva.
Identificare le fonti di rilevamento
Google SecOps utilizza indicatori visivi per aiutarti a distinguere tra i rilevamenti iniziali e quelli visualizzati durante le riesecuzioni in background.
Indicatori di rilevamento
Nella colonna Tipo di rilevamento , la identifica i rilevamenti dalle esecuzioni di allineamento, dalle esecuzioni di rielaborazione o dalle RetroHunt.
- Se vedi questa icona, il rilevamento si è verificato durante un'esecuzione di allineamento (
𝑇+4$o𝑇+30$) anziché durante l'esecuzione iniziale (𝑇). - I rilevamenti con questa icona spesso indicano che la piattaforma ha acquisito la minaccia dopo l'acquisizione iniziale, in genere a causa di log in arrivo in ritardo o ritardi nell'arricchimento.
Verificare l'integrità degli avvisi nella pagina Avvisi
Nella pagina Avvisi, la indica l'origine dell'avviso. Utilizza questo indicatore per verificare l'origine di un avviso quando esamini una sequenza temporale.
Risoluzione dei problemi
Esamina i problemi di pianificazione rivedendo la tempistica di valutazione e la configurazione delle regole. Sebbene la piattaforma automatizzi la maggior parte delle attività di pianificazione, alcune impostazioni o ritardi dei dati possono influire sul momento in cui vengono visualizzati i rilevamenti.
I rilevamenti vengono visualizzati solo nelle esecuzioni di allineamento
Se un rilevamento non viene visualizzato durante la prima esecuzione (𝑇), ma viene visualizzato in un'esecuzione di allineamento (𝑇+4$ o 𝑇+30$), controlla quanto segue:
- Latenza di acquisizione:verifica se la sorgente log ha un ritardo. Se i log arrivano 15 minuti dopo l'evento, una pianificazione della prima esecuzione di 10 minuti non li rileverà. Le esecuzioni di allineamento acquisiscono questi arrivi in ritardo.
- Arricchimento del contesto:verifica se la regola si basa su metadati esterni, come tag delle risorse o alias utente. Se il processo di arricchimento richiede più tempo della finestra della prima esecuzione, il rilevamento viene visualizzato solo dopo che il sistema ha completato l'arricchimento in un'esecuzione successiva.
Le opzioni personalizzabili non sono presenti
Se la scheda Pianificazione delle regole non mostra le opzioni di personalizzazione o il menu è disattivato:
- Controlla il tipo di regola:le pianificazioni personalizzabili si applicano solo alle regole multi-evento. Le regole per eventi singoli utilizzano il motore continuo (in tempo reale) e non supportano le pianificazioni personalizzate.
- Verifica la finestra
match: le regole con una finestramatchsuperiore a 48 ore sono limitate a una frequenza di esecuzione giornaliera e non possono essere personalizzate. - Identifica le regole selezionate:non puoi modificare la pianificazione delle regole selezionate. Cerca il messaggio
Curated rules uses a legacy scheduleper verificare se la regola è una regola di sistema protetta.
Ritardo imprevisto negli avvisi della prima esecuzione
Se un rilevamento arriva in ritardo rispetto all'intervallo pianificato:
- Periodo di inizializzazione:le regole nuove o modificate di recente richiedono un periodo di inizializzazione di un'ora. I rilevamenti non vengono visualizzati finché la piattaforma non completa la configurazione iniziale e non inizia il primo ciclo pianificato.
- Tempi di attesa per l'arricchimento:se attivi/disattivi l'opzione Assicurati che l'arricchimento sia completo, il sistema potrebbe regolare dinamicamente la tempistica per attendere il completamento dei processi di arricchimento dei dati. Sebbene questo processo impedisca di perdere i rilevamenti, può far sì che il rilevamento iniziale arrivi in ritardo rispetto al timestamp
𝑇esatto.
Le misurazioni MTTD sembrano elevate
Le misurazioni MTTD includono il periodo di buffering necessario per la completezza dei dati.
- Esamina il buffer: per una pianificazione di un'ora, il sistema valuta gli eventi da una a due ore dopo il loro arrivo.
- Ottimizza per la velocità: se hai bisogno di una latenza inferiore, esegui la transizione della regola a una pianificazione in tempo reale. Nota: in questo modo è possibile aumentare il numero di rilevamenti che si basano sulle esecuzioni di allineamento per la massima accuratezza.
Limitazioni
- Solo regole multi-evento: questa funzionalità non è disponibile per le regole per eventi singoli.
- Solo regole personalizzate: le regole selezionate utilizzano pianificazioni fisse che non puoi modificare. Se visualizzi una regola selezionata, il sistema mostra il messaggio:
Curated rules use a legacy schedule.
Correzione degli errori
| Errore | Problema | Correggi |
|---|---|---|
| Opzioni mancanti | La scheda Pianificazione delle regole è disattivata o mancano le opzioni. | Verifica che la regola sia una regola personalizzata multi-evento e che la finestra di corrispondenza sia inferiore a 48 ore. |
| Avvisi in ritardo | I rilevamenti arrivano in ritardo rispetto all'intervallo pianificato. | Verifica se l'opzione Assicurati che l'arricchimento sia completo è attiva; il sistema potrebbe essere in attesa dell'elaborazione dei metadati. |
| Solo avvisi di allineamento | I rilevamenti non vengono mai visualizzati nella prima esecuzione (𝑇). |
Fai clic su Latenza di acquisizione per verificare. Se i log arrivano con 15 minuti di ritardo, ma l'offset è di 10 minuti, aumenta l'offset della prima esecuzione. |
Convalida e test
Per verificare che la pianificazione funzioni come previsto:
- Vai alla Dashboard delle regole.
- Seleziona la regola e visualizza la scheda Rilevamenti.
- Filtra per per verificare se le esecuzioni di allineamento rilevano i dati mancanti nella prima esecuzione, quindi regola gli offset di conseguenza.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.