Benutzerdefinierte Zeitpläne für Regeln konfigurieren

Unterstützt in:

Dieses Dokument richtet sich an Plattformadministratoren und SOC-Analysten, die anpassbare Zeitpläne für Regeln mit mehreren Ereignissen konfigurieren und Fehler beheben möchten. Darin wird erläutert, wie Sie Verarbeitungszeitpläne festlegen und zusätzliche Prüfungen ausführen, um spät eingehende Daten einzubeziehen.

Wenn Sie den in diesem Dokument beschriebenen Prozess befolgen, haben Sie die volle Kontrolle über die Erkennungslatenz und die Datenintegrität. Wenn Sie die Schulung erfolgreich abschließen, werden Ihre Erkennungen rechtzeitig und genau durchgeführt. So werden Falsch-Negativ-Ergebnisse aufgrund von Verzögerungen bei der Aufnahme reduziert und konsistente Sicherheitsvorgänge gewährleistet.

Anpassbare Zeitpläne bieten Transparenz und Kontrolle darüber, wie Regeln mit mehreren Ereignissen in Google Security Operations ausgeführt werden. Für Regeln mit mehreren Ereignissen ist ein Pufferzeitraum erforderlich, um Daten genau zu aggregieren. Mit dieser Methode können Sie diesen Zeitraum definieren, anstatt sich auf Systemstandardeinstellungen zu verlassen.

Gängige Anwendungsfälle

Mit anpassbaren Zeitplänen können Sie die Erkennungsgeschwindigkeit an die Datenverfügbarkeit und ‑vollständigkeit anpassen.

Compliance-basierte Überwachung inaktiver Konten

Szenario: Sie suchen nach Konten, in denen sich seit 30 Tagen nicht angemeldet wurde, um eine Audit-Anforderung zu erfüllen.

  • Ziel: Priorisieren Sie die Vollständigkeit der Anreicherung.
  • Wert: Sorgt für maximale Datentreue, indem die Ein/Aus-Schaltfläche Vollständigkeit der Anreicherung sicherstellen aktiviert wird. Dadurch wird mit der endgültigen Auswertung gewartet, bis alle globalen Logs und Metadaten verarbeitet wurden.

Datentrennung für MSSPs mit mehreren Mandanten

Szenario: Als Managed Security Service Provider (MSSP) verwalten Sie Daten für mehrere Kunden mit unterschiedlichen Geschwindigkeiten für die Protokollaufnahme.

  • Ziel: Unterschiedliche Aufnahmegeschwindigkeiten in mehreren Kundenumgebungen verwalten.
  • Wert: Reduzieren Sie „falsch negativ“-Benachrichtigungen. Wenn das System 1 bis 2 Stunden auf den ersten Lauf wartet, wird die Anzahl der Erkennungen reduziert, die nur bei Abgleichsläufen auftreten. So wird eine konsistentere Umgebung für die SOC-Analysten geschaffen, die das Dashboard überwachen.

Schlüsselterminologie

  • Erster Lauf (𝑇 + Offset): Die erste Ausführung der Regellogik. Der Offset stellt die Verzögerung dar, die hinzugefügt wird, um verspätet eingehende Daten zu berücksichtigen.
  • Abstimmungsdurchlauf: Eine Hintergrundneubewertung desselben Zeitraums, um Logs oder Anreicherungsdaten zu erfassen, die nach dem ersten Durchlauf eingegangen sind.
  • Anreicherung: Externe Metadaten (z. B. Asset-Tags oder Nutzer-Aliasse), die Protokollen während der Verarbeitung hinzugefügt werden.

Hinweis

Bevor Sie versuchen, Ihre Regelzeitpläne zu ändern oder zu automatisieren, müssen Sie sicherstellen, dass Ihre Umgebung und Ihr Konto die erforderlichen Sicherheits- und Systemanforderungen erfüllen. Wenn Sie diese Voraussetzungen validieren, können Sie Bereitstellungsfehler vermeiden und dafür sorgen, dass Ihre Erkennungslogik den Richtlinien für Identity and Access Management Ihrer Organisation entspricht.

Berechtigungen

Erforderlich: Zum Ändern von Regelzeitplänen benötigen Sie eine IAM-Rolle, die die folgende Aktion ermöglicht:

detection:ModifyRuleSchedule

Vordefinierte Rollen:

  • roles/detectionEngine.admin

  • roles/detectionEngine.editor

Umgebungsprüfung

  • Regeltyp: Anpassbare Zeitpläne gelten nur für Regeln mit mehreren Ereignissen. Regeln für einzelne Ereignisse und kuratierte Regeln sind ausgeschlossen.
  • match-Zeitfenster: Regeln mit einem match-Zeitfenster von mehr als 48 Stunden können nur mit der Ausführungshäufigkeit Täglich ausgeführt werden.
  • Migration: Die Migration eines alten Zeitplans zu einem anpassbaren Zeitplan ist ein einmaliger Vorgang und kann nicht rückgängig gemacht werden.

Zeitplan für eine Regel mit mehreren Ereignissen konfigurieren

So konfigurieren Sie den Zeitplan für eine Regel mit mehreren Ereignissen:

  1. Rufen Sie in Google SecOps die Seite Erkennung > Regeln und Erkennungen auf.
  2. Klicken Sie auf Regel-Dashboard.
  3. Suchen Sie nach der Regel, klicken Sie auf das Dreipunkt-Menü more_vert und wählen Sie Zeitplan ausführen aus.
  4. Wählen Sie auf dem Tab Regelzeitplan einen Wert für das Feld Zeitplan für die erste Ausführung aus und legen Sie fest, wie oft die Regel ausgeführt werden soll.
  5. Aktivieren Sie den Schalter Ersten Lauf für spät eingehende Daten anpassen.
    • Erwarteter Fehler: Beim ersten Lauf fehlen möglicherweise noch Logs, wenn der Offset kürzer als die tatsächliche Aufnahmeverzögerung der Quelle ist.
    • Korrektiver Schritt: Erhöhen Sie den Offset oder verlassen Sie sich für die endgültige Validierung auf die True-up-Läufe.
  6. Aktivieren Sie die Ein/Aus-Schaltfläche Vervollständigung der Anreicherung sicherstellen.
    • Erwarteter Fehler: Benachrichtigungen werden möglicherweise deutlich später als der Zeitstempel des Ereignisses angezeigt.
    • Korrektiver Schritt: Verwenden Sie diese Option nur für nicht kritische Compliance-Regeln, bei denen die Genauigkeit wichtiger ist als die Geschwindigkeit.
  7. Sehen Sie sich die Vorschau des Regelzeitplans an, um den Zeitablauf des Vorgangs zu verstehen:
    • Erste Ausführung (𝑇 + Offset): Die Regellogik wird nach der von Ihnen angegebenen Verzögerung für spät eintreffende Daten ausgeführt.
    • Abgleichslauf 1 (𝑇 + 4 Stunden): Das System scannt das Zeitfenster 4 Stunden nach dem ersten Lauf noch einmal, um fehlende oder verspätete Daten zu erfassen. Wenn Sie die Ein/Aus-Schaltfläche Vervollständigung der Anreicherung sicherstellen aktivieren, wird bei diesem Lauf auch gewartet, bis alle zugehörigen Anreicherungsdaten verarbeitet wurden.
    • Abgleichslauf 2 (𝑇 + 30 Stunden): Dieser Lauf wird nur angezeigt, wenn Sie die Ein/Aus-Schaltfläche Vollständigkeit der Anreicherung sicherstellen aktivieren. Das System führt 30 Stunden nach dem ersten Lauf einen letzten Scan durch, um eine maximale Datentreue zu gewährleisten.
  8. Klicken Sie auf Speichern.

Vorschau des Zeitplans

In der Zeitplanvorschau werden die spezifischen Meilensteine für Ihre Erkennungslogik angezeigt. Verwenden Sie diese Hintergrundläufe, um die durchschnittliche Zeit bis zur Erkennung (Mean Time to Detection, MTTD) genau zu messen und die Integrität von Benachrichtigungen zu überprüfen.

Erster Lauf (𝑇 + Offset)

Beim ersten Lauf werden Bedrohungen so schnell wie möglich erkannt. Da einige Daten möglicherweise noch übertragen oder angereichert werden, können Erkennungen im ersten Lauf später als erwartet eintreffen.

Abstimmungsläufe

Bei True-up-Läufen wird das Zeitfenster proaktiv neu bewertet. Bei diesen Läufen werden folgende Daten erfasst:

  • Spät eintreffende Logs: Daten, die nach Abschluss des ersten Durchlaufs auf der Plattform eingegangen sind.
  • Anreicherungskontext: Metadaten wie Asset-Identitäten oder Nutzer-Aliasse, für die eine zusätzliche Hintergrundverarbeitung erforderlich war.

Fehlerbehebung

Untersuchen Sie Probleme mit der Planung, indem Sie den Zeitpunkt der Auswertung und die Regelkonfiguration prüfen. Die meisten Planungsaufgaben werden zwar von der Plattform automatisiert, aber bestimmte Einstellungen oder Datenverzögerungen können sich darauf auswirken, wann Erkennungen angezeigt werden.

Beschränkungen

  • Nur Regeln für mehrere Ereignisse: Diese Funktion ist für Regeln für einzelne Ereignisse nicht verfügbar.
  • Nur benutzerdefinierte Regeln: Für kuratierte Regeln werden feste Zeitpläne verwendet, die Sie nicht ändern können. Wenn Sie eine kuratierte Regel aufrufen, wird die Meldung Curated rules use a legacy schedule angezeigt.

Fehlerbehebung

Fehler Problem Korrigieren
Fehlende Optionen Der Tab „Regelzeitplan“ ist ausgegraut oder es fehlen Optionen. Prüfen Sie, ob es sich bei der Regel um eine benutzerdefinierte Regel mit mehreren Ereignissen handelt und das Abgleichszeitfenster weniger als 48 Stunden beträgt.
Verzögerte Benachrichtigungen Erkennungen gehen später als im geplanten Intervall ein. Prüfen Sie, ob der Schalter Vollständigkeit der Anreicherung sicherstellen aktiviert ist. Möglicherweise wartet das System auf die Verarbeitung von Metadaten.
Nur Abgleichsbenachrichtigungen Erkennungen werden nie beim ersten Ausführen (𝑇) angezeigt. Klicken Sie auf Ingestion Latency (Latenz bei der Aufnahme), um dies zu überprüfen. Wenn Logs 15 Minuten zu spät eintreffen, Ihr Offset aber 10 Minuten beträgt, erhöhen Sie den Offset für die erste Ausführung.

Erkennungen werden nur bei Abgleichsläufen angezeigt

Wenn eine Erkennung beim ersten Lauf (𝑇) nicht erfolgt, aber bei einem Abgleichslauf (𝑇+4$ oder 𝑇+30$), prüfen Sie Folgendes:

  • Aufnahmelatenz:Prüfen Sie, ob die Logquelle eine Verzögerung aufweist. Wenn Protokolle 15 Minuten nach dem Eintreten des Ereignisses eintreffen, werden sie bei einem 10-minütigen Zeitplan für die Erstausführung nicht berücksichtigt. Bei den Abgleichsläufen werden diese verspäteten Daten berücksichtigt.
  • Kontextanreicherung:Prüfen Sie, ob die Regel auf externen Metadaten wie Asset-Tags oder Nutzeraliasen basiert. Wenn der Anreicherungsprozess länger als das Fenster für die erste Ausführung dauert, wird die Erkennung erst angezeigt, nachdem das System die Anreicherung in einem späteren Lauf abgeschlossen hat.

Anpassbare Optionen fehlen

Wenn auf dem Tab Regelzeitplan keine Anpassungsoptionen angezeigt werden oder das Menü ausgegraut ist, gehen Sie so vor:

  • Regeltyp prüfen:Anpassbare Zeitpläne sind nur für Regeln mit mehreren Ereignissen verfügbar. Einzelereignisregeln verwenden die kontinuierliche (Echtzeit-)Engine und unterstützen keine benutzerdefinierten Zeitpläne.
  • match-Zeitraum prüfen:Regeln mit einem match-Zeitraum von mehr als 48 Stunden sind auf eine tägliche Ausführungshäufigkeit beschränkt und können nicht angepasst werden.
  • Vorgefertigte Regeln erkennen:Der Zeitplan für vorgefertigte Regeln kann nicht geändert werden. Suchen Sie nach der Meldung Curated rules uses a legacy schedule, um zu bestätigen, ob es sich bei der Regel um eine geschützte Systemregel handelt.

Unerwartete Verzögerung bei Benachrichtigungen bei der ersten Ausführung

Wenn eine Erkennung später als das geplante Intervall eintrifft:

  • Initialisierungszeitraum:Neue oder kürzlich geänderte Regeln erfordern einen Initialisierungszeitraum von einer Stunde. Erkennungen werden erst angezeigt, wenn die Plattform diese Ersteinrichtung abgeschlossen und den ersten geplanten Zyklus gestartet hat.
  • Wartezeiten für die Anreicherung:Wenn Sie die Ein/Aus-Schaltfläche Vollständigkeit der Anreicherung sicherstellen aktivieren, kann das System das Timing dynamisch anpassen, um auf den Abschluss der Datenanreicherungsprozesse zu warten. Dadurch werden zwar keine Erkennungen übersehen, die erste Erkennung kann aber später als der genaue 𝑇-Zeitstempel erfolgen.

MTTD-Messwerte scheinen hoch zu sein

Die MTTD-Messungen umfassen den Zeitraum für die Datenabstimmung, der für die Datenvollständigkeit erforderlich ist.

  • Puffer prüfen: Bei einem einstündigen Zeitplan werden Ereignisse ein bis zwei Stunden nach ihrem Eintreffen ausgewertet.
  • Für Geschwindigkeit optimieren: Wenn Sie eine geringere Latenz benötigen, stellen Sie die Regel auf einen Echtzeit-Zeitplan um. Hinweis: Dadurch kann sich die Anzahl der Erkennungen erhöhen, bei denen für die volle Genauigkeit True-up-Läufe erforderlich sind.

Erkennungsquellen identifizieren

In Google SecOps werden visuelle Indikatoren verwendet, um zwischen Ersterkennungen und Erkennungen zu unterscheiden, die bei Hintergrundwiederholungen angezeigt werden.

Erkennungsindikatoren

In der Spalte Erkennungstyp kennzeichnet Erkennungen aus Abgleichsläufen, Neuverarbeitungsläufen oder Retrohunts.

  • Wenn Sie dieses Symbol sehen, wurde die Erkennung während eines Abgleichslaufs (𝑇+4$ oder 𝑇+30$) und nicht beim ersten Lauf (𝑇) durchgeführt.
  • Erkennungen mit diesem Symbol weisen oft darauf hin, dass die Plattform die Bedrohung nach der ersten Aufnahme erkannt hat. Das liegt in der Regel an spät eintreffenden Protokollen oder Verzögerungen bei der Anreicherung.

Integrität von Benachrichtigungen auf der Seite „Benachrichtigungen“ prüfen

Das auf der Seite Benachrichtigungen gibt die Quelle einer Benachrichtigung an. Mit diesem Indikator können Sie die Quelle einer Benachrichtigung überprüfen, wenn Sie eine Zeitachse untersuchen.

  • Benachrichtigungen ohne Symbol stammen aus dem ersten Lauf (𝑇) oder der kontinuierlichen Engine.
  • Bei Benachrichtigungen mit wurde die Bedrohung vom System bei einem späteren Datenscan erkannt, um eine maximale Genauigkeit zu erzielen.

Validierung und Tests

So prüfen Sie, ob Ihr Zeitplan wie vorgesehen funktioniert:

  1. Rufen Sie das Regel-Dashboard auf.
  2. Wählen Sie Ihre Regel aus und rufen Sie den Tab Erkennungen auf.
  3. Filtern Sie nach , um zu sehen, ob bei Ihren True-up-Läufen Daten erfasst werden, die beim ersten Lauf nicht berücksichtigt wurden. Passen Sie dann Ihre Offsets entsprechend an.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten