Configura programaciones personalizadas para las reglas

Compatible con:

Este documento está dirigido a administradores de plataformas y analistas de SOC que desean configurar y solucionar problemas de programaciones personalizables para reglas de varios eventos. En él, se explica cómo establecer programaciones de procesamiento y ejecutar verificaciones adicionales para incluir datos que llegan tarde.

Si sigues el proceso que se describe en este documento, obtendrás un control preciso sobre la latencia de detección y la integridad de los datos. Si se completa correctamente, se garantiza que tus detecciones sean oportunas y precisas, lo que reduce los falsos negativos causados por retrasos en la ingesta y garantiza operaciones de seguridad coherentes.

Las programaciones personalizables proporcionan transparencia y control sobre cómo se ejecutan las reglas de varios eventos en Google Security Operations. Las reglas de varios eventos requieren un período de búfer para agregar datos con precisión. Este método te permite definir ese período en lugar de depender de los valores predeterminados del sistema.

Para complementar este documento, obtén información sobre cómo administrar la programación de ejecución de tus reglas.

Casos de uso habituales

Usa programaciones personalizables para alinear la velocidad de detección con la disponibilidad y la integridad de los datos.

Supervisión de cuentas inactivas basada en el cumplimiento

Situación: Supervisas las cuentas que no se registraron durante 30 días para satisfacer un requisito de auditoría.

  • Objetivo: Priorizar la integridad del enriquecimiento.
  • Valor: Garantiza la máxima fidelidad de los datos activando el botón de activación Ensure enrichment completeness, que espera a que se procesen todos los registros y metadatos globales antes de la evaluación final.

Segregación de datos de MSSP de varios usuarios

Situación: Como proveedor de servicios de seguridad administrados (MSSP), administras datos para varios clientes con diferentes velocidades de ingesta de registros.

  • Objetivo: Administrar diferentes velocidades de ingesta en varios entornos de clientes.
  • Valor: Reducir las alertas de "falso negativo". Si esperas de 1 a 2 horas para la primera ejecución, el sistema reduce la cantidad de detecciones que solo aparecen durante las ejecuciones de conciliación, lo que proporciona una experiencia más coherente para los analistas de SOC que supervisan el panel.

Terminología clave

  • Primera ejecución (𝑇 + desplazamiento): Es la ejecución inicial de la lógica de la regla. El desplazamiento representa el retraso que se agrega para tener en cuenta los datos que llegan tarde.
  • Ejecución de conciliación: Es una reevaluación en segundo plano del mismo período para capturar registros o datos de enriquecimiento que llegaron después de la primera ejecución.
  • Enriquecimiento: Son metadatos externos (como etiquetas de recursos o alias de usuario) que se agregan a los registros durante el procesamiento.

Antes de comenzar

Antes de intentar modificar o automatizar las programaciones de tus reglas, asegúrate de que tu entorno y tu cuenta cumplan con los requisitos de seguridad y del sistema necesarios. Cuando validas estos requisitos previos, se ayuda a evitar errores de implementación y se garantiza que la lógica de detección se alinee con las políticas de Identity and Access Management de tu organización.

  • Permisos: Para modificar las programaciones de reglas, debes tener un rol de IAM que otorgue la acción detection:ModifyRuleSchedule:

    • roles/detectionEngine.admin

    • roles/detectionEngine.editor

  • Verificación del entorno:

    • Tipo de regla: Las programaciones personalizables solo se aplican a las reglas de varios eventos. Se excluyen las reglas de evento único y seleccionadas.
    • Ventana match: Las reglas con una ventana match superior a 48 horas están restringidas a una frecuencia de ejecución diaria.
    • Migración: La migración de una programación heredada a una personalizable es un proceso unidireccional y no se puede revertir.

Configura la programación para una regla de varios eventos

Para configurar la programación de una regla de varios eventos, sigue estos pasos:

  1. En Google SecOps, ve a Detection > Rules & Detections.
  2. Haz clic en Rules Dashboard.
  3. Ubica tu regla, haz clic en Más more_vert y selecciona Run schedule.
  4. En la pestaña Rule schedule , selecciona un valor para el campo First run schedule y elige la frecuencia con la que se ejecuta la regla.
  5. Activa el botón de activación Adjust first run for late-arriving data.
    • Falla prevista: Es posible que la primera ejecución aún no incluya registros si el desplazamiento es más corto que la latencia de ingesta real de tu fuente.
    • Paso correctivo: Aumenta el desplazamiento o confía en las ejecuciones de conciliación para la validación final.
  6. Activa el botón de activación Ensure enrichment completeness.
    • Falla prevista: Es posible que las alertas aparezcan mucho más tarde que la marca de tiempo del evento.
    • Paso correctivo: Solo usa esta opción para las reglas de cumplimiento no críticas en las que la precisión es más importante que la velocidad.
  7. Revisa la Rule schedule preview para comprender el cronograma de ejecución:
    • Primera ejecución (𝑇 + desplazamiento): El sistema ejecuta la lógica de la regla después del retraso que especificas para los datos que llegan tarde.
    • Ejecución de conciliación 1 (𝑇 + 4 horas): El sistema vuelve a analizar la ventana 4 horas después de la primera ejecución para capturar los datos perdidos o tardíos. Si activas el botón de activación Ensure enrichment completeness, esta ejecución también espera a que se procesen todos los datos de enriquecimiento asociados.
    • Ejecución de conciliación 2 (𝑇 + 30 horas): Esta ejecución solo aparece si activas el botón de activación Ensure enrichment completeness. El sistema realiza un análisis final 30 horas después de la primera ejecución para proporcionar la máxima fidelidad de los datos.
  8. Haz clic en Guardar.

Comprende la vista previa de la programación

La vista previa de la programación identifica los hitos específicos de tu lógica de detección. Usa estas ejecuciones en segundo plano para medir con precisión el tiempo medio de detección (MTTD) y verificar la integridad de las alertas.

  • Primera ejecución (𝑇 + desplazamiento): Identifica las amenazas lo más rápido posible. Debido a que es posible que algunos datos aún estén en tránsito o en proceso de enriquecimiento, las detecciones en la primera ejecución podrían llegar más tarde de lo previsto.

  • Ejecuciones de conciliación: Vuelven a evaluar de forma proactiva el período. Estas ejecuciones permiten que la plataforma capture lo siguiente:

    • Registros que llegan tarde: Datos que llegaron a la plataforma después de que se completó la primera ejecución.
    • Contexto de enriquecimiento: Metadatos, como identidades de recursos o alias de usuario, que requerían procesamiento adicional en segundo plano.

Identifica las fuentes de detección

Google SecOps usa indicadores visuales para ayudarte a distinguir entre las detecciones iniciales y las que aparecen durante las nuevas ejecuciones en segundo plano.

Indicadores de detección

En la columna Detection type, el identifica las detecciones de las ejecuciones de conciliación, las ejecuciones de reprocesamiento o las búsquedas retroactivas.

  • Si ves este ícono, la detección se produjo durante una ejecución de conciliación (𝑇+4$ o 𝑇+30$) en lugar de la ejecución inicial (𝑇).
  • Las detecciones con este ícono suelen indicar que la plataforma capturó la amenaza después de la ingesta inicial, por lo general, debido a registros que llegaron tarde o retrasos en el enriquecimiento.

Verifica la integridad de las alertas en la página de alertas

En la página Alerts, el indica la fuente de la alerta. Usa este indicador para verificar la fuente de una alerta cuando investigues un cronograma.

Soluciona problemas

Investiga los problemas de programación revisando el tiempo de evaluación y la configuración de reglas. Si bien la plataforma automatiza la mayoría de las tareas de programación, ciertos parámetros de configuración o retrasos en los datos pueden afectar el momento en que aparecen las detecciones.

Las detecciones solo aparecen en las ejecuciones de conciliación

Si una detección no aparece durante la primera ejecución (𝑇), pero sí en una ejecución de conciliación (𝑇+4$ o 𝑇+30$), verifica lo siguiente:

  • Latencia de ingesta: Verifica si la fuente de registro tiene un retraso. Si los registros llegan 15 minutos después de que se produce el evento, una programación de primera ejecución de 10 minutos no los incluirá. Las ejecuciones de conciliación capturan estas llegadas tardías.
  • Enriquecimiento de contexto: Confirma si la regla depende de metadatos externos, como etiquetas de recursos o alias de usuario. Si el proceso de enriquecimiento tarda más que la ventana de la primera ejecución, la detección solo aparece después de que el sistema completa el enriquecimiento en una ejecución posterior.

Faltan opciones personalizables

Si la pestaña Rule schedule no muestra opciones de personalización o el menú aparece atenuado, haz lo siguiente:

  • Verifica el tipo de regla: Las programaciones personalizables solo se aplican a las reglas de varios eventos. Las reglas de evento único usan el motor continuo (en tiempo real) y no admiten programaciones personalizadas.
  • Verifica la ventana match: Las reglas con una ventana match superior a 48 horas están restringidas a una frecuencia de ejecución diaria y no se pueden personalizar.
  • Identifica las reglas seleccionadas: No puedes modificar la programación de las reglas seleccionadas. Busca el mensaje Curated rules uses a legacy schedule para confirmar si la regla es una regla del sistema protegida.

Retraso inesperado en las alertas de la primera ejecución

Si una detección llega más tarde que el intervalo programado, haz lo siguiente:

  • Período de inicialización: Las reglas nuevas o modificadas recientemente requieren un período de inicialización de una hora. Las detecciones no aparecen hasta que la plataforma completa esta configuración inicial y comienza el primer ciclo programado.
  • Tiempos de espera de enriquecimiento: Si activas el botón de activación Ensure enrichment completeness, es posible que el sistema ajuste el tiempo de forma dinámica para esperar a que finalicen los procesos de enriquecimiento de datos. Si bien este proceso evita las detecciones perdidas, puede hacer que la detección inicial llegue más tarde que la marca de tiempo 𝑇 exacta.

Las mediciones de MTTD parecen altas

Las mediciones de MTTD incluyen el período de almacenamiento en búfer necesario para la integridad de los datos.

  • Revisa el búfer: Para una programación de una hora, el sistema evalúa los eventos de una a dos horas después de que llegan.
  • Optimiza la velocidad: Si necesitas una latencia más baja, haz la transición de la regla a una programación en tiempo real. Nota: Esto puede aumentar la cantidad de detecciones que dependen de las ejecuciones de conciliación para obtener una precisión total.

Limitaciones

  • Solo reglas de varios eventos: Esta función no está disponible para las reglas de evento único.
  • Solo reglas personalizadas: Las reglas seleccionadas usan programaciones fijas que no puedes modificar. Si ves una regla seleccionada, el sistema muestra el mensaje: Curated rules use a legacy schedule.

Corrección de errores

Error Problema Corregir
Faltan opciones La pestaña de programación de reglas aparece atenuada o faltan opciones. Verifica que la regla sea una regla personalizada de varios eventos y que la ventana de coincidencia sea inferior a 48 horas.
Alertas retrasadas Las detecciones llegan más tarde que el intervalo programado. Verifica si el botón de activación Ensure enrichment completeness está activado. Es posible que el sistema esté esperando el procesamiento de metadatos.
Solo alertas de conciliación Las detecciones nunca aparecen en la primera ejecución (𝑇). Haz clic en Ingestion Latency para verificar. Si los registros llegan 15 minutos tarde, pero tu desplazamiento es de 10 minutos, aumenta el desplazamiento de la primera ejecución.

Validación y prueba

Para verificar que tu programación funcione según lo previsto, sigue estos pasos:

  1. Ve al Panel de reglas.
  2. Selecciona tu regla y consulta la pestaña Detections.
  3. Filtra por para ver si tus ejecuciones de conciliación capturan los datos que se perdieron en la primera ejecución y, luego, ajusta los desplazamientos según corresponda.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.