Configura programas personalizados para las reglas

Compatible con:

Este documento está dirigido a los administradores de plataformas y los analistas del SOC que desean configurar y solucionar problemas de los programas personalizables para las reglas de varios eventos. Explica cómo establecer programas de procesamiento y ejecutar verificaciones adicionales para incluir datos que llegan tarde.

Si sigues el proceso que se describe en este documento, obtendrás un control preciso sobre la latencia de detección y la integridad de los datos. La finalización exitosa garantiza que tus detecciones sean oportunas y precisas, lo que reduce los falsos negativos causados por retrasos en la transferencia y garantiza operaciones de seguridad coherentes.

Los programas personalizables brindan transparencia y control sobre cómo se ejecutan las reglas de varios eventos en Google Security Operations. Es posible que algunas reglas de varios eventos requieran un período de búfer para agregar los datos con precisión. Este método te permite definir ese período en lugar de depender de los valores predeterminados del sistema.

Para complementar este documento, obtén información sobre cómo administrar tu programa de ejecución de reglas.

Terminología clave

  • Primera ejecución (T + desplazamiento): Es la ejecución inicial de la lógica de la regla. El desplazamiento representa la demora que se agrega para tener en cuenta los datos que llegan tarde.
  • Ejecución de ajuste: Es una reevaluación en segundo plano del mismo período para capturar registros o datos de enriquecimiento que llegaron después de la primera ejecución.
  • Enriquecimiento: Son los metadatos externos (como las etiquetas de recursos o los alias de usuarios) que se agregan a los registros durante el procesamiento.

Antes de comenzar

Antes de intentar modificar o automatizar los programas de tus reglas, asegúrate de que tu entorno y tu cuenta cumplan con los requisitos de seguridad y del sistema necesarios. Cuando validas estos requisitos previos, se evitan errores de implementación y te aseguras de que la lógica de detección se alinee con las políticas de Identity and Access Management de tu organización.

  • Permisos: Para modificar los programas de reglas, debes tener un rol de IAM que otorgue la acción detection:ModifyRuleSchedule:

    • roles/detectionEngine.admin

    • roles/detectionEngine.editor

  • Verificación del entorno:

    • Tipo de regla: Los programas personalizables solo se aplican a las reglas de varios eventos. Se excluyen las reglas de evento único y las reglas seleccionadas.
    • Ventana de match: Las reglas con una ventana de match superior a 48 horas se restringen a una frecuencia de ejecución Diaria.
    • Migración: La migración de una programación heredada a una personalizable es un proceso unidireccional y no se puede revertir.

Configura la programación de una regla de varios eventos

Para configurar la programación de una regla de varios eventos, sigue estos pasos:

  1. En Google SecOps, ve a Detección > Reglas y detecciones.
  2. Haz clic en Panel de reglas.
  3. Ubica tu regla, haz clic en Más more_vert y selecciona Ejecutar programa.
  4. En la pestaña Programación de la regla, selecciona un valor para el campo Programación de la primera ejecución y elige la frecuencia con la que se ejecutará la regla.
  5. Activa el botón de activación Ajustar la primera ejecución para los datos que llegan tarde.
    • Falla prevista: Es posible que la primera ejecución aún no incluya registros si el desplazamiento es más corto que la latencia de transferencia real de tu fuente.
    • Paso correctivo: Aumenta el desplazamiento o confía en las ejecuciones de True-up para la validación final.
  6. Activa el botón de activación Ensure enrichment completeness.
    • Falla anticipada: Es posible que las alertas aparezcan mucho después de la marca de tiempo del evento.
    • Paso correctivo: Solo usa este paso para reglas de cumplimiento no críticas en las que la precisión es más importante que la velocidad.
  7. Revisa la vista previa de la programación de la regla para comprender el cronograma de ejecución:
    • Primera ejecución (𝑇 + desplazamiento): El sistema ejecuta la lógica de la regla después de la demora que especificas para los datos que llegan tarde.
    • Ejecución de ajuste 1 (T + 4 horas): El sistema vuelve a analizar el período 4 horas después de la primera ejecución para capturar los datos que se omitieron o que llegaron tarde. Si activas el botón de activación Ensure enrichment completeness, esta ejecución también espera a que se procesen todos los datos de enriquecimiento asociados.
    • Ejecución de ajuste 2 (T + 30 horas): Esta ejecución solo aparece si activas el botón de activación Ensure enrichment completeness. El sistema realiza un análisis final 30 horas después de la primera ejecución para proporcionar la máxima fidelidad de los datos.
  8. Haz clic en Guardar.

Información sobre la vista previa de la programación

La vista previa del programa identifica los hitos específicos de tu lógica de detección. Usa estas ejecuciones en segundo plano para medir con precisión el tiempo promedio de detección (MTTD) y verificar la integridad de las alertas.

  • Primera ejecución (T + desplazamiento): Identifica las amenazas lo más rápido posible. Dado que es posible que algunos datos aún estén en tránsito o en proceso de enriquecimiento, las detecciones en la primera ejecución podrían llegar más tarde de lo esperado.

  • Ejecuciones de ajuste: Vuelve a evaluar de forma proactiva el período. Estas ejecuciones permiten que la plataforma capture lo siguiente:

    • Registros que llegan tarde: Son los datos que llegaron a la plataforma después de que se completó la primera ejecución.
    • Contexto de enriquecimiento: Son los metadatos, como las identidades de los activos o los alias de los usuarios, que requieren un procesamiento en segundo plano adicional.

Identifica las fuentes de detección

Google SecOps usa indicadores visuales para ayudarte a distinguir entre las detecciones iniciales y las que se muestran durante las repeticiones en segundo plano.

Indicadores de detección

En la columna Tipo de detección, el identifica las detecciones de las ejecuciones de ajuste, las ejecuciones de reprocesamiento o las búsquedas retroactivas.

  • Si ves este ícono, la detección se produjo durante una ejecución de corrección (𝑇+4$ o 𝑇+30$) en lugar de la ejecución inicial (𝑇).
  • Las detecciones con este ícono suelen indicar que la plataforma capturó la amenaza después de la transferencia inicial, por lo general, debido a retrasos en los registros o en el enriquecimiento.

Verifica la integridad de las alertas en la página de alertas

En la página Alertas, el ícono indica la fuente de la alerta. Usa este indicador para verificar la fuente de una alerta cuando investigues una línea de tiempo.

Soluciona problemas

Investiga los problemas de programación revisando el tiempo de evaluación y la configuración de las reglas. Si bien la plataforma automatiza la mayoría de las tareas de programación, ciertos parámetros de configuración o retrasos en los datos pueden afectar el momento en que aparecen las detecciones.

Las detecciones solo aparecen en las ejecuciones de conciliación.

Si no aparece una detección durante la primera ejecución (𝑇), pero sí en una ejecución de corrección (𝑇+4$ o 𝑇+30$), verifica lo siguiente:

  • Latencia de la transferencia: Verifica si la fuente de registros tiene una demora. Si los registros llegan 15 minutos después de que ocurre el evento, un programa de primera ejecución de 10 minutos no los incluirá. Las ejecuciones de ajuste capturan estas llegadas tardías.
  • Enriquecimiento del contexto: Confirma si la regla se basa en metadatos externos, como etiquetas de activos o alias de usuarios. Si el proceso de enriquecimiento tarda más que el período de la primera ejecución, la detección solo aparecerá después de que el sistema complete el enriquecimiento en una ejecución posterior.

Faltan opciones personalizables

Si la pestaña Programación de la regla no muestra opciones de personalización o el menú está inhabilitado, haz lo siguiente:

  • Verifica el tipo de regla: Los programas personalizables solo se aplican a las reglas de evento múltiple. Las reglas de un solo evento usan el motor continuo (en tiempo real) y no admiten programas personalizados.
  • Verifica el período de match: Las reglas con un período de match superior a 48 horas se restringen a una frecuencia de ejecución Diaria y no se pueden personalizar.
  • Identifica las reglas seleccionadas: No puedes modificar la programación de las reglas seleccionadas. Busca el mensaje Curated rules uses a legacy schedule para confirmar si la regla es una regla del sistema protegida.

Retraso inesperado en las alertas de ejecución inicial

Si una detección llega más tarde que el intervalo programado, sucede lo siguiente:

  • Período de inicialización: Las reglas nuevas o modificadas recientemente requieren un período de inicialización de una hora. Las detecciones no aparecen hasta que la plataforma completa esta configuración inicial y comienza el primer ciclo programado.
  • Tiempos de espera del enriquecimiento: Si activas el botón de activación Ensure enrichment completeness, es posible que el sistema ajuste la sincronización de forma dinámica para esperar a que finalicen los procesos de enriquecimiento de datos. Si bien este proceso evita que se pasen por alto detecciones, puede hacer que la detección inicial llegue más tarde que la marca de tiempo 𝑇 exacta.

Las mediciones del MTTD parecen altas

Las mediciones del MTTD incluyen el período de almacenamiento en búfer necesario para la integridad de los datos.

  • Revisa el búfer: En el caso de un programa de una hora, el sistema evalúa los eventos una o dos horas después de que llegan.
  • Optimiza la velocidad: Si necesitas una latencia más baja, cambia la regla a una programación en tiempo real. Nota: Esto puede aumentar la cantidad de detecciones que dependen de ejecuciones de ajuste para lograr una precisión total.

Limitaciones

  • Solo reglas de evento múltiple: Esta función no está disponible para las reglas de evento único.
  • Solo reglas personalizadas: Las reglas seleccionadas usan programas fijos que no puedes modificar. Si ves una regla seleccionada, el sistema mostrará el mensaje Curated rules use a legacy schedule.

Corrección de errores

Error Problema Corregir
Faltan opciones La pestaña de programación de reglas está inhabilitada o faltan opciones. Verifica que la regla sea personalizada y de varios eventos, y que el período de coincidencia sea inferior a 48 horas.
Alertas retrasadas Las detecciones llegan más tarde que el intervalo programado. Comprueba si el botón de activación Ensure enrichment completeness está activado. Es posible que el sistema esté esperando el procesamiento de metadatos.
Solo alertas de ajuste Las detecciones nunca aparecen en la primera ejecución (𝑇). Haz clic en Latencia de la transferencia para verificarla. Si los registros llegan con 15 minutos de retraso, pero tu desfase es de 10 minutos, aumenta el desfase de la primera ejecución.

Validación y prueba

Para verificar que la programación funcione según lo previsto, sigue estos pasos:

  1. Ve al Panel de reglas.
  2. Selecciona tu regla y consulta la pestaña Detecciones.
  3. Filtra por para ver si tus ejecuciones de Ajuste capturan datos que la primera ejecución no capturó y, luego, ajusta tus desfases según corresponda.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.