Mengonfigurasi jadwal yang disesuaikan untuk aturan

Didukung di:

Dokumen ini ditujukan untuk Admin Platform dan Analis SOC yang ingin mengonfigurasi dan memecahkan masalah jadwal yang dapat disesuaikan untuk aturan multiperistiwa. Bagian ini menjelaskan cara menetapkan jadwal pemrosesan dan menjalankan pemeriksaan tambahan untuk menyertakan data yang terlambat tiba.

Dengan mengikuti proses yang dijelaskan dalam dokumen ini, Anda akan mendapatkan kontrol yang akurat atas latensi deteksi dan integritas data. Penyelesaian yang berhasil memastikan deteksi Anda tepat waktu dan akurat, sehingga mengurangi negatif palsu yang disebabkan oleh penundaan penyerapan dan memastikan operasi keamanan yang konsisten.

Jadwal yang dapat disesuaikan memberikan transparansi dan kontrol atas cara aturan multi-peristiwa dijalankan di Google Security Operations. Aturan multi-peristiwa memerlukan periode buffer untuk menggabungkan data secara akurat; metode ini memungkinkan Anda menentukan periode tersebut, bukan mengandalkan default sistem.

Kasus penggunaan umum

Gunakan jadwal yang dapat disesuaikan untuk menyelaraskan kecepatan deteksi dengan ketersediaan dan kelengkapan data.

Pemantauan akun tidak aktif berbasis kepatuhan

Skenario: Anda memantau akun yang belum login selama 30 hari untuk memenuhi persyaratan audit.

  • Tujuan: Memprioritaskan kelengkapan pengayaan.
  • Nilai: Memastikan kesetiaan data maksimum dengan mengaktifkan tombol Pastikan kelengkapan pengayaan, yang menunggu semua log dan metadata global diproses sebelum evaluasi akhir.

Pemisahan data MSSP multi-tenant

Skenario: Sebagai Penyedia Layanan Keamanan Terkelola (MSSP), Anda mengelola data untuk beberapa pelanggan dengan kecepatan penyerapan log yang bervariasi.

  • Tujuan: Mengelola berbagai kecepatan penyerapan di beberapa lingkungan pelanggan.
  • Nilai: Mengurangi notifikasi "negatif palsu". Dengan menunggu 1 hingga 2 jam untuk menjalankan yang pertama, sistem mengurangi jumlah deteksi yang hanya muncul selama menjalankan penyelarasan, sehingga memberikan pengalaman yang lebih konsisten bagi analis SOC yang memantau dasbor.

Terminologi utama

  • Run pertama (𝑇 + offset): Eksekusi awal logika aturan. Offset menunjukkan penundaan yang ditambahkan untuk memperhitungkan data yang terlambat tiba.
  • Jalankan penyesuaian: Evaluasi ulang di latar belakang untuk rentang waktu yang sama guna mengambil log atau data pengayaan yang tiba setelah menjalankan pertama kali.
  • Pengayaan: Metadata eksternal (seperti tag aset atau alias pengguna) yang ditambahkan ke log selama pemrosesan.

Sebelum memulai

Sebelum Anda mencoba mengubah atau mengotomatiskan jadwal aturan, pastikan lingkungan dan akun Anda memenuhi persyaratan keamanan dan sistem yang diperlukan. Saat Anda memvalidasi prasyarat ini, hal ini akan membantu mencegah error deployment dan memastikan bahwa logika deteksi Anda selaras dengan kebijakan Identity and Access Management organisasi Anda.

Izin

Wajib: Untuk mengubah jadwal aturan, Anda harus memiliki peran IAM yang memberikan tindakan berikut:

detection:ModifyRuleSchedule

Peran bawaan:

  • roles/detectionEngine.admin

  • roles/detectionEngine.editor

Pemeriksaan lingkungan

  • Jenis aturan: Jadwal yang dapat disesuaikan hanya berlaku untuk aturan multi-peristiwa. Aturan peristiwa tunggal dan kurasi dikecualikan.
  • Periode match: Aturan dengan periode match lebih dari 48 jam dibatasi untuk frekuensi eksekusi Harian.
  • Migrasi: Memigrasikan jadwal lama ke jadwal yang dapat disesuaikan adalah proses satu arah dan tidak dapat dikembalikan.

Mengonfigurasi jadwal untuk aturan multi-peristiwa

Untuk mengonfigurasi jadwal aturan multi-peristiwa, ikuti langkah-langkah berikut:

  1. Di Google SecOps, buka Deteksi > Aturan & Deteksi.
  2. Klik Dasbor Aturan.
  3. Temukan aturan Anda, klik Lainnya more_vert, lalu pilih Jalankan jadwal.
  4. Di tab Jadwal aturan, pilih nilai untuk kolom Jadwal pertama kali dijalankan, lalu pilih seberapa sering aturan dijalankan.
  5. Aktifkan tombol Sesuaikan proses pertama kali untuk data yang terlambat tiba.
    • Antisipasi kegagalan: Run pertama mungkin masih kehilangan log jika offset lebih pendek daripada latensi penyerapan aktual sumber Anda.
    • Langkah korektif: Tingkatkan offset atau andalkan eksekusi Penyesuaian untuk validasi akhir.
  6. Aktifkan tombol Pastikan kelengkapan pengayaan.
    • Kegagalan yang diantisipasi: Pemberitahuan mungkin muncul jauh setelah stempel waktu peristiwa.
    • Langkah korektif: Hanya gunakan ini untuk aturan kepatuhan tidak penting yang akurasinya lebih penting daripada kecepatan.
  7. Tinjau Pratinjau jadwal aturan untuk memahami linimasa proses:
    • Jalankan pertama kali (𝑇 + offset): Sistem menjalankan logika aturan setelah penundaan yang Anda tentukan untuk data yang terlambat tiba.
    • Penyesuaian berjalan 1 (𝑇 + 4 jam): Sistem memindai ulang periode 4 jam setelah proses pertama untuk mengambil data yang terlewat atau terlambat. Jika Anda mengaktifkan tombol Pastikan kelengkapan pengayaan, proses ini juga akan menunggu semua data pengayaan terkait diproses.
    • Penyesuaian berjalan 2 (𝑇 + 30 jam): Penyesuaian ini hanya muncul jika Anda mengaktifkan tombol Pastikan kelengkapan pengayaan. Sistem melakukan pemindaian akhir 30 jam setelah pemindaian pertama untuk memberikan akurasi data maksimum.
  8. Klik Simpan.

Memahami pratinjau jadwal

Pratinjau jadwal mengidentifikasi tonggak pencapaian tertentu untuk logika deteksi Anda. Gunakan eksekusi di latar belakang ini untuk mengukur Waktu Rata-Rata untuk Mendeteksi (MTTD) secara akurat dan memverifikasi integritas pemberitahuan.

Jalankan pertama kali (𝑇 + offset)

Run pertama mengidentifikasi ancaman secepat mungkin. Karena beberapa data mungkin masih dalam proses transfer atau sedang mengalami pengayaan, deteksi pada proses pertama mungkin tiba lebih lambat dari yang diharapkan.

Menjalankan penyesuaian

Penyelarasan berjalan secara proaktif untuk mengevaluasi ulang jangka waktu. Eksekusi ini memungkinkan platform merekam hal berikut:

  • Log yang terlambat tiba: Data yang mencapai platform setelah proses pertama selesai.
  • Konteks pengayaan: Metadata, seperti identitas aset atau alias pengguna, yang memerlukan pemrosesan latar belakang tambahan.

Pemecahan masalah

Selidiki masalah penjadwalan dengan meninjau waktu evaluasi dan konfigurasi aturan. Meskipun platform mengotomatiskan sebagian besar tugas penjadwalan, setelan atau penundaan data tertentu dapat memengaruhi waktu munculnya deteksi.

Batasan

  • Hanya aturan multi-peristiwa: Fitur ini tidak tersedia untuk aturan peristiwa tunggal.
  • Hanya aturan kustom: Aturan pilihan menggunakan jadwal tetap yang tidak dapat Anda ubah. Jika Anda melihat aturan pilihan, sistem akan menampilkan pesan: Curated rules use a legacy schedule.

Perbaikan error

Error Masalah Perbaiki
Opsi tidak ada Tab jadwal aturan berwarna abu-abu atau opsi tidak ada. Pastikan aturan adalah aturan kustom multi-peristiwa dan periode pencocokan kurang dari 48 jam.
Peringatan tertunda Deteksi tiba lebih lambat dari interval yang dijadwalkan. Periksa apakah tombol Pastikan kelengkapan pengayaan aktif; sistem mungkin sedang menunggu pemrosesan metadata.
Hanya peringatan penyesuaian Deteksi tidak pernah muncul pada proses pertama (𝑇). Klik Latensi Penyerapan untuk memverifikasi. Jika log terlambat 15 menit, tetapi offset Anda adalah 10 menit, tingkatkan offset run pertama.

Deteksi hanya muncul dalam proses penyesuaian

Jika deteksi tidak muncul selama proses pertama (𝑇), tetapi muncul dalam proses penyesuaian (𝑇+4$ atau 𝑇+30$), periksa hal berikut:

  • Latensi penyerapan: Periksa apakah sumber log mengalami penundaan. Jika log tiba 15 menit setelah peristiwa terjadi, jadwal run pertama selama 10 menit tidak akan mencatatnya. Proses penyesuaian akan mencatat kedatangan yang terlambat ini.
  • Pengayaan konteks: Konfirmasi apakah aturan mengandalkan metadata eksternal, seperti tag aset atau alias pengguna. Jika proses pengayaan memerlukan waktu lebih lama daripada jendela proses pertama, deteksi hanya muncul setelah sistem menyelesaikan pengayaan pada proses berikutnya.

Opsi yang dapat disesuaikan tidak ada

Jika tab Jadwal aturan tidak menampilkan opsi penyesuaian atau menu berwarna abu-abu:

  • Periksa jenis aturan: Jadwal yang dapat disesuaikan hanya berlaku untuk aturan multi-peristiwa. Aturan peristiwa tunggal menggunakan mesin berkelanjutan (real-time) dan tidak mendukung jadwal kustom.
  • Verifikasi periode match: Aturan dengan periode match lebih dari 48 jam dibatasi untuk frekuensi eksekusi Harian dan tidak dapat disesuaikan.
  • Mengidentifikasi aturan pilihan: Anda tidak dapat mengubah jadwal untuk aturan pilihan. Cari pesan Curated rules uses a legacy schedule untuk mengonfirmasi apakah aturan tersebut adalah aturan sistem yang dilindungi.

Penundaan yang tidak terduga dalam peringatan saat pertama kali dijalankan

Jika deteksi tiba lebih lambat dari interval terjadwal:

  • Periode inisialisasi: Aturan baru atau yang baru diubah memerlukan periode inisialisasi selama satu jam. Deteksi tidak akan muncul hingga platform menyelesaikan penyiapan awal ini dan memulai siklus terjadwal pertama.
  • Waktu tunggu pengayaan: Jika Anda mengaktifkan tombol Pastikan pengayaan selesai, sistem dapat menyesuaikan waktu secara dinamis untuk menunggu proses pengayaan data selesai. Meskipun proses ini mencegah deteksi yang terlewat, deteksi awal dapat tiba lebih lambat daripada stempel waktu 𝑇 yang tepat.

Pengukuran MTTD tampak tinggi

Pengukuran MTTD mencakup periode penyesuaian yang diperlukan untuk kelengkapan data.

  • Tinjau buffer: Untuk jadwal satu jam, sistem mengevaluasi peristiwa satu hingga dua jam setelah peristiwa tersebut tiba.
  • Mengoptimalkan kecepatan: Jika Anda memerlukan latensi yang lebih rendah, ubah aturan ke jadwal realtime. Catatan: Hal ini dapat meningkatkan jumlah deteksi yang mengandalkan proses sinkronisasi untuk akurasi penuh.

Mengidentifikasi sumber deteksi

Google SecOps menggunakan indikator visual untuk membantu Anda membedakan antara deteksi awal dan deteksi yang muncul selama penayangan ulang di latar belakang.

Indikator deteksi

Di kolom Jenis deteksi, mengidentifikasi deteksi dari proses penyamaan data, pemrosesan ulang, atau perburuan retro.

  • Jika Anda melihat ikon ini, deteksi terjadi selama proses penyesuaian (𝑇+4$ atau 𝑇+30$), bukan proses awal (𝑇).
  • Deteksi dengan ikon ini sering menunjukkan bahwa platform menangkap ancaman setelah penyerapan awal, biasanya karena log yang terlambat tiba atau penundaan pengayaan.

Memverifikasi integritas notifikasi di halaman notifikasi

di halaman Pemberitahuan menunjukkan sumber pemberitahuan. Gunakan indikator ini untuk memverifikasi sumber pemberitahuan saat menyelidiki linimasa.

  • Notifikasi tanpa ikon berasal dari run pertama (𝑇) atau mesin berkelanjutan.
  • Pemberitahuan dengan sinyal menunjukkan bahwa sistem mengidentifikasi ancaman selama pemindaian data berikutnya untuk memberikan akurasi maksimum.

Validasi dan pengujian

Untuk memverifikasi bahwa jadwal Anda berfungsi sebagaimana mestinya, ikuti langkah-langkah berikut:

  1. Buka Dasbor Aturan.
  2. Pilih aturan Anda dan lihat tab Deteksi.
  3. Filter menurut untuk melihat apakah Penyelarasan berjalan menangkap data yang terlewat pada proses pertama, lalu sesuaikan offset Anda.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.