Benutzerdefinierte Zeitpläne für Regeln konfigurieren

Unterstützt in:

Dieses Dokument richtet sich an Plattformadministratoren und SOC-Analysten, die anpassbare Zeitpläne für Regeln mit mehreren Ereignissen konfigurieren und Fehler beheben möchten. Darin wird erläutert, wie Sie Verarbeitungszeitpläne festlegen und zusätzliche Prüfungen ausführen, um spät eingehende Daten einzubeziehen.

Wenn Sie den in diesem Dokument beschriebenen Prozess befolgen, haben Sie die volle Kontrolle über die Erkennungslatenz und die Datenintegrität. Wenn Sie die Schulung erfolgreich abschließen, sind Ihre Erkennungen sowohl zeitnah als auch genau. So werden falsch negative Ergebnisse aufgrund von Verzögerungen bei der Aufnahme reduziert und konsistente Sicherheitsvorgänge gewährleistet.

Anpassbare Zeitpläne bieten Transparenz und Kontrolle darüber, wie Regeln für mehrere Ereignisse in Google Security Operations ausgeführt werden. Für einige Regeln mit mehreren Ereignissen ist möglicherweise ein Pufferzeitraum erforderlich, um Daten genau zu aggregieren. Mit dieser Methode können Sie diesen Zeitraum definieren, anstatt sich auf Systemstandardeinstellungen zu verlassen.

Weitere Informationen zum Verwalten des Zeitplans für die Regelausführung

Schlüsselterminologie

  • Erster Lauf (𝑇 + Offset): Die erste Ausführung der Regellogik. Der Offset stellt die Verzögerung dar, die hinzugefügt wird, um verspätet eingehende Daten zu berücksichtigen.
  • Abstimmungsdurchlauf: Eine Hintergrundneubewertung desselben Zeitraums, um Logs oder Anreicherungsdaten zu erfassen, die nach dem ersten Durchlauf eingegangen sind.
  • Anreicherung: Externe Metadaten (z. B. Asset-Tags oder Nutzer-Aliasse), die Protokollen während der Verarbeitung hinzugefügt werden.

Hinweis

Bevor Sie versuchen, Ihre Regelzeitpläne zu ändern oder zu automatisieren, müssen Sie sicherstellen, dass Ihre Umgebung und Ihr Konto die erforderlichen Sicherheits- und Systemanforderungen erfüllen. Wenn Sie diese Voraussetzungen validieren, können Sie Bereitstellungsfehler vermeiden und dafür sorgen, dass Ihre Erkennungslogik den Richtlinien für Identity and Access Management Ihrer Organisation entspricht.

  • Berechtigungen: Zum Ändern von Regelzeitplänen benötigen Sie eine IAM-Rolle, die die Aktion detection:ModifyRuleSchedule gewährt:

    • roles/detectionEngine.admin

    • roles/detectionEngine.editor

  • Umgebungsprüfung:

    • Regeltyp: Anpassbare Zeitpläne gelten nur für Regeln mit mehreren Ereignissen. Regeln für einzelne Ereignisse und kuratierte Regeln sind ausgeschlossen.
    • match-Zeitfenster: Regeln mit einem match-Zeitfenster von mehr als 48 Stunden sind auf die Ausführungshäufigkeit Täglich beschränkt.
    • Migration: Die Migration eines alten Zeitplans zu einem anpassbaren Zeitplan ist ein einmaliger Vorgang und kann nicht rückgängig gemacht werden.

Zeitplan für eine Regel mit mehreren Ereignissen konfigurieren

So konfigurieren Sie den Zeitplan für eine Regel mit mehreren Ereignissen:

  1. Rufen Sie in Google SecOps die Seite Erkennung > Regeln und Erkennungen auf.
  2. Klicken Sie auf Regel-Dashboard.
  3. Suchen Sie nach der Regel, klicken Sie auf das Dreipunkt-Menü more_vert und wählen Sie Zeitplan ausführen aus.
  4. Wählen Sie auf dem Tab Regelzeitplan einen Wert für das Feld Zeitplan für die erste Ausführung aus und legen Sie fest, wie oft die Regel ausgeführt werden soll.
  5. Aktivieren Sie den Schalter Ersten Lauf für spät eingehende Daten anpassen.
    • Erwarteter Fehler: Beim ersten Lauf fehlen möglicherweise noch Logs, wenn der Offset kürzer als die tatsächliche Aufnahmeverzögerung der Quelle ist.
    • Korrektiver Schritt: Erhöhen Sie den Offset oder verlassen Sie sich für die endgültige Validierung auf die True-up-Läufe.
  6. Aktivieren Sie die Ein/Aus-Schaltfläche Vervollständigung der Anreicherung sicherstellen.
    • Erwarteter Fehler: Benachrichtigungen werden möglicherweise deutlich später als der Zeitstempel des Ereignisses angezeigt.
    • Korrektiver Schritt: Verwenden Sie diese Option nur für nicht kritische Compliance-Regeln, bei denen die Genauigkeit wichtiger ist als die Geschwindigkeit.
  7. Sehen Sie sich die Vorschau des Regelzeitplans an, um den Zeitablauf des Vorgangs zu verstehen:
    • Erste Ausführung (𝑇 + Offset): Die Regellogik wird nach der von Ihnen angegebenen Verzögerung für spät eintreffende Daten ausgeführt.
    • Abgleichslauf 1 (𝑇 + 4 Stunden): Das System scannt das Zeitfenster 4 Stunden nach dem ersten Lauf noch einmal, um fehlende oder verspätete Daten zu erfassen. Wenn Sie den Schalter Vollständigkeit der Anreicherung sicherstellen aktivieren, wird bei diesem Lauf auch gewartet, bis alle zugehörigen Anreicherungsdaten verarbeitet wurden.
    • Abstimmungsdurchlauf 2 (𝑇 + 30 Stunden): Dieser Durchlauf wird nur angezeigt, wenn Sie den Ein/Aus-Schalter Vollständigkeit der Anreicherung sicherstellen aktivieren. 30 Stunden nach der ersten Ausführung wird ein letzter Scan durchgeführt, um eine maximale Datentreue zu gewährleisten.
  8. Klicken Sie auf Speichern.

Vorschau des Zeitplans

In der Zeitplanvorschau werden die spezifischen Meilensteine für Ihre Erkennungslogik angezeigt. Verwenden Sie diese Hintergrundläufe, um die durchschnittliche Zeit bis zur Erkennung (Mean Time to Detection, MTTD) genau zu messen und die Integrität von Benachrichtigungen zu überprüfen.

  • Erster Lauf (𝑇 + Offset): Bedrohungen werden so schnell wie möglich erkannt. Da einige Daten möglicherweise noch übertragen oder angereichert werden, können Erkennungen im ersten Lauf später als erwartet eintreffen.

  • Abstimmungsdurchläufe: Das Zeitfenster wird proaktiv neu bewertet. Bei diesen Läufen werden folgende Daten erfasst:

    • Spät eintreffende Logs: Daten, die nach Abschluss des ersten Durchlaufs auf der Plattform eingegangen sind.
    • Anreicherungskontext: Metadaten wie Asset-Identitäten oder Nutzer-Aliasse, für die eine zusätzliche Hintergrundverarbeitung erforderlich war.

Erkennungsquellen identifizieren

In Google SecOps werden visuelle Indikatoren verwendet, um zwischen Ersterkennungen und Erkennungen zu unterscheiden, die bei Hintergrundwiederholungen angezeigt werden.

Erkennungsindikatoren

In der Spalte Erkennungstyp kennzeichnet Erkennungen aus Abgleichsläufen, Neuverarbeitungsläufen oder Retrohunts.

  • Wenn Sie dieses Symbol sehen, wurde die Erkennung während eines Abgleichslaufs (𝑇+4$ oder 𝑇+30$) und nicht während des ersten Laufs (𝑇) durchgeführt.
  • Erkennungen mit diesem Symbol weisen oft darauf hin, dass die Plattform die Bedrohung nach der ersten Aufnahme erkannt hat, in der Regel aufgrund von spät eintreffenden Protokollen oder Verzögerungen bei der Anreicherung.

Benachrichtigungsintegrität auf der Seite „Benachrichtigungen“ prüfen

Auf der Seite Benachrichtigungen gibt die Quelle der Benachrichtigung an. Mit diesem Indikator können Sie die Quelle einer Benachrichtigung überprüfen, wenn Sie eine Zeitachse untersuchen.

Fehlerbehebung

Untersuchen Sie Probleme mit der Planung, indem Sie den Zeitpunkt der Auswertung und die Regelkonfiguration prüfen. Die meisten Planungsaufgaben werden zwar von der Plattform automatisiert, aber bestimmte Einstellungen oder Datenverzögerungen können sich darauf auswirken, wann Erkennungen angezeigt werden.

Erkennungen werden nur bei Abgleichsläufen angezeigt

Wenn eine Erkennung beim ersten Lauf (𝑇) nicht erfolgt, aber bei einem Abgleichslauf (𝑇+4$ oder 𝑇+30$), prüfen Sie Folgendes:

  • Aufnahmelatenz:Prüfen Sie, ob die Protokollquelle eine Verzögerung aufweist. Wenn Protokolle 15 Minuten nach dem Eintreten des Ereignisses eintreffen, werden sie bei einem 10-minütigen Zeitplan für die erste Ausführung nicht berücksichtigt. Bei den Abgleichsläufen werden diese verspäteten Daten berücksichtigt.
  • Kontextanreicherung:Prüfen Sie, ob die Regel auf externen Metadaten wie Asset-Tags oder Nutzeraliasen basiert. Wenn die Anreicherung länger als der Zeitraum für den ersten Lauf dauert, wird die Erkennung erst angezeigt, nachdem das System die Anreicherung in einem späteren Lauf abgeschlossen hat.

Anpassbare Optionen fehlen

Wenn auf dem Tab Regelzeitplan keine Anpassungsoptionen angezeigt werden oder das Menü ausgegraut ist, gehen Sie so vor:

  • Regeltyp prüfen:Anpassbare Zeitpläne sind nur für Regeln mit mehreren Ereignissen verfügbar. Einzelereignisregeln verwenden die kontinuierliche (Echtzeit-)Engine und unterstützen keine benutzerdefinierten Zeitpläne.
  • match-Zeitraum prüfen:Regeln mit einem match-Zeitraum von mehr als 48 Stunden sind auf eine tägliche Ausführungshäufigkeit beschränkt und können nicht angepasst werden.
  • Vorgefertigte Regeln erkennen:Der Zeitplan für vorgefertigte Regeln kann nicht geändert werden. Suchen Sie nach der Meldung Curated rules uses a legacy schedule, um zu bestätigen, ob es sich bei der Regel um eine geschützte Systemregel handelt.

Unerwartete Verzögerung bei Benachrichtigungen bei der ersten Ausführung

Wenn eine Erkennung später als das geplante Intervall eintrifft:

  • Initialisierungszeitraum:Neue oder kürzlich geänderte Regeln erfordern einen Initialisierungszeitraum von einer Stunde. Erkennungen werden erst angezeigt, wenn die Plattform diese Ersteinrichtung abgeschlossen und den ersten geplanten Zyklus gestartet hat.
  • Wartezeiten für die Anreicherung:Wenn Sie die Ein/Aus-Schaltfläche Vollständigkeit der Anreicherung sicherstellen aktivieren, kann das System das Timing dynamisch anpassen, um auf den Abschluss der Datenanreicherungsprozesse zu warten. Dadurch werden zwar keine Erkennungen übersehen, die erste Erkennung kann aber später als der genaue 𝑇-Zeitstempel erfolgen.

MTTD-Messwerte scheinen hoch zu sein

Die MTTD-Messungen umfassen den Pufferzeitraum, der für die Datenvollständigkeit erforderlich ist.

  • Puffer prüfen: Bei einem einstündigen Zeitplan werden Ereignisse ein bis zwei Stunden nach ihrem Eintreffen ausgewertet.
  • Für Geschwindigkeit optimieren: Wenn Sie eine geringere Latenz benötigen, stellen Sie die Regel auf einen Echtzeitzeitplan um. Hinweis: Dadurch kann sich die Anzahl der Erkennungen erhöhen, bei denen für die volle Genauigkeit True-up-Läufe erforderlich sind.

Beschränkungen

  • Nur Regeln mit mehreren Ereignissen: Diese Funktion ist für Regeln mit einzelnen Ereignissen nicht verfügbar.
  • Nur benutzerdefinierte Regeln: Für kuratierte Regeln werden feste Zeitpläne verwendet, die Sie nicht ändern können. Wenn Sie eine kuratierte Regel aufrufen, wird die Meldung Curated rules use a legacy schedule angezeigt.

Fehlerbehebung

Fehler Problem Korrigieren
Fehlende Optionen Der Tab „Regelzeitplan“ ist ausgegraut oder es fehlen Optionen. Prüfen Sie, ob es sich bei der Regel um eine benutzerdefinierte Regel für mehrere Ereignisse handelt und das Abgleichszeitfenster weniger als 48 Stunden beträgt.
Verzögerte Benachrichtigungen Erkennungen gehen später als im geplanten Intervall ein. Prüfen Sie, ob der Schalter Vollständigkeit der Anreicherung sicherstellen aktiviert ist. Möglicherweise wartet das System auf die Verarbeitung von Metadaten.
Nur Abgleichsbenachrichtigungen Erkennungen werden nie im ersten Lauf (𝑇) angezeigt. Klicken Sie auf Ingestion Latency (Latenz bei der Aufnahme), um dies zu überprüfen. Wenn Logs 15 Minuten zu spät eintreffen, Ihr Offset aber 10 Minuten beträgt, erhöhen Sie den Offset für die erste Ausführung.

Validierung und Tests

So prüfen Sie, ob Ihr Zeitplan wie vorgesehen funktioniert:

  1. Rufen Sie das Regel-Dashboard auf.
  2. Wählen Sie Ihre Regel aus und rufen Sie den Tab Erkennungen auf.
  3. Filtern Sie nach , um zu sehen, ob bei Ihren True-up-Läufen Daten erfasst werden, die beim ersten Lauf nicht berücksichtigt wurden. Passen Sie dann Ihre Offsets entsprechend an.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten