Configurare pianificazioni personalizzate per le regole

Supportato in:

Questo documento è rivolto agli amministratori della piattaforma e agli analisti SOC che vogliono configurare e risolvere i problemi relativi alle pianificazioni personalizzabili per le regole multi-evento. Spiega come impostare le pianificazioni di elaborazione ed eseguire controlli aggiuntivi per includere i dati in arrivo in ritardo.

Se segui la procedura descritta in questo documento, ottieni un controllo preciso sulla latenza di rilevamento e sull'integrità dei dati. Il completamento riuscito garantisce che i rilevamenti siano tempestivi e accurati, riducendo i falsi negativi causati da ritardi nell'importazione e garantendo operazioni di sicurezza coerenti.

Le pianificazioni personalizzabili offrono trasparenza e controllo sulla modalità di esecuzione delle regole multi-evento in Google Security Operations. Le regole multi-evento richiedono un periodo di buffer per aggregare i dati in modo accurato. Questo metodo ti consente di definire il periodo anziché fare affidamento ai valori predefiniti del sistema.

Casi d'uso comuni

Utilizza pianificazioni personalizzabili per allineare la velocità di rilevamento alla disponibilità e alla completezza dei dati.

Monitoraggio degli account inattivi basato sulla conformità

Scenario: monitori gli account che non hanno eseguito l'accesso per 30 giorni per soddisfare un requisito di controllo.

  • Obiettivo: dare la priorità alla completezza dell'arricchimento.
  • Valore: garantisce la massima fedeltà dei dati attivando il pulsante di attivazione/disattivazione Garantisci la completezza dell'arricchimento, che attende l'elaborazione di tutti i log e i metadati globali prima della valutazione finale.

Segregazione dei dati MSSP multitenant

Scenario: in qualità di fornitore di servizi di sicurezza gestiti (MSSP), gestisci i dati di più clienti con velocità di importazione dei log variabili.

  • Obiettivo: gestire velocità di importazione variabili in più ambienti cliente.
  • Valore: riduce gli avvisi di "falso negativo". Se attende 1-2 ore per la prima esecuzione, il sistema riduce il numero di rilevamenti che vengono visualizzati solo durante le esecuzioni di riconciliazione, offrendo un'esperienza più coerente per gli analisti del SOC che monitorano la dashboard.

Terminologia chiave

  • Prima esecuzione (𝑇 + offset): l'esecuzione iniziale della logica della regola. L'offset rappresenta il ritardo aggiunto per tenere conto dei dati in arrivo in ritardo.
  • Esecuzione di adeguamento: una rivalutazione in background della stessa finestra temporale per acquisire log o dati di arricchimento arrivati dopo la prima esecuzione.
  • Arricchimento: metadati esterni (come tag delle risorse o alias utente) aggiunti ai log durante l'elaborazione.

Prima di iniziare

Prima di tentare di modificare o automatizzare le pianificazioni delle regole, assicurati che il tuo ambiente e il tuo account soddisfino i requisiti di sistema e di sicurezza necessari. La convalida di questi prerequisiti consente di evitare errori di deployment e assicura che la logica di rilevamento sia in linea con le norme di Identity and Access Management della tua organizzazione.

Autorizzazioni

Obbligatorio: per modificare le pianificazioni delle regole, devi disporre di un ruolo IAM che conceda la seguente azione:

detection:ModifyRuleSchedule

Ruoli predefiniti:

  • roles/detectionEngine.admin

  • roles/detectionEngine.editor

Controllo dell'ambiente

  • Tipo di regola: le pianificazioni personalizzabili si applicano solo alle regole multi-evento. Le regole per un singolo evento e quelle curate sono escluse.
  • Finestra match: le regole con una finestra match superiore a 48 ore sono limitate a una frequenza di esecuzione giornaliera.
  • Migrazione: la migrazione di una pianificazione legacy a una pianificazione personalizzabile è un processo unidirezionale e non può essere annullato.

Configurare la pianificazione per una regola multi-evento

Per configurare la pianificazione di una regola multi-evento:

  1. In Google SecOps, vai a Rilevamento > Regole e rilevamenti.
  2. Fai clic su Dashboard delle regole.
  3. Individua la regola, fai clic su Altro more_vert e seleziona Esegui pianificazione.
  4. Nella scheda Pianificazione regola, seleziona un valore per il campo Pianificazione prima esecuzione e seleziona la frequenza con cui viene eseguita la regola.
  5. Attiva l'opzione Modifica la prima esecuzione per i dati in arrivo in ritardo.
    • Errore previsto: la prima esecuzione potrebbe comunque non registrare i log se l'offset è inferiore alla latenza di importazione effettiva dell'origine.
    • Azione correttiva: aumenta l'offset o fai affidamento alle esecuzioni di adeguamento per la convalida finale.
  6. Attiva l'opzione Garantisci la completezza dell'arricchimento.
    • Guasto previsto: gli avvisi potrebbero essere visualizzati molto tempo dopo il timestamp dell'evento.
    • Passaggio correttivo: utilizza questo passaggio solo per le regole di conformità non critiche in cui l'accuratezza è più importante della velocità.
  7. Esamina l'anteprima della pianificazione della regola per comprendere la sequenza temporale di esecuzione:
    • Prima esecuzione (𝑇 + offset): il sistema esegue la logica della regola dopo il ritardo specificato per i dati in arrivo in ritardo.
    • Esecuzione di aggiustamento 1 (T + 4 ore): il sistema esegue nuovamente la scansione della finestra 4 ore dopo la prima esecuzione per acquisire i dati mancanti o in ritardo. Se attivi il pulsante di attivazione/disattivazione Garantisci la completezza dell'arricchimento, questa esecuzione attende anche l'elaborazione di tutti i dati di arricchimento associati.
    • Esecuzione del conguaglio 2 (T + 30 ore): questa esecuzione viene visualizzata solo se attivi il pulsante di attivazione/disattivazione Garantisci il completamento dell'arricchimento. Il sistema esegue una scansione finale 30 ore dopo la prima esecuzione per garantire la massima fedeltà dei dati.
  8. Fai clic su Salva.

Informazioni sull'anteprima della pianificazione

L'anteprima della pianificazione identifica le tappe fondamentali specifiche per la logica di rilevamento. Utilizza queste esecuzioni in background per misurare con precisione il tempo medio di rilevamento (MTTD) e verificare l'integrità degli avvisi.

Prima esecuzione (𝑇 + offset)

La prima esecuzione identifica le minacce il più rapidamente possibile. Poiché alcuni dati potrebbero essere ancora in transito o in fase di arricchimento, i rilevamenti nella prima esecuzione potrebbero arrivare in ritardo rispetto al previsto.

Esecuzioni di adeguamento

I riallineamenti vengono eseguiti in modo proattivo per rivalutare la finestra temporale. Queste esecuzioni consentono alla piattaforma di acquisire quanto segue:

  • Log in arrivo in ritardo: dati che hanno raggiunto la piattaforma dopo il completamento della prima esecuzione.
  • Contesto dell'arricchimento: metadati, come identità delle risorse o alias utente, che richiedono un'elaborazione in background aggiuntiva.

Risoluzione dei problemi

Analizza i problemi di pianificazione esaminando la tempistica di valutazione e la configurazione delle regole. Sebbene la piattaforma automatizzi la maggior parte delle attività di pianificazione, determinati ritardi nelle impostazioni o nei dati possono influire sul momento in cui vengono visualizzati i rilevamenti.

Limitazioni

  • Solo regole per più eventi: questa funzionalità non è disponibile per le regole per un singolo evento.
  • Solo regole personalizzate: le regole curate utilizzano pianificazioni fisse che non puoi modificare. Se visualizzi una regola curata, il sistema mostra il messaggio: Curated rules use a legacy schedule.

Correzione degli errori

Errore Problema Correggi
Opzioni mancanti La scheda Programmazione regola è disattivata o mancano opzioni. Verifica che la regola sia una regola personalizzata multi-evento e che la finestra di corrispondenza sia inferiore a 48 ore.
Avvisi ritardati I rilevamenti arrivano più tardi dell'intervallo pianificato. Controlla se il pulsante di attivazione/disattivazione Assicurati che l'arricchimento sia completo è attivo. Il sistema potrebbe essere in attesa dell'elaborazione dei metadati.
Solo avvisi di conguaglio I rilevamenti non vengono mai visualizzati alla prima esecuzione (𝑇). Fai clic su Latenza di importazione per verificare. Se i log arrivano con 15 minuti di ritardo, ma l'offset è di 10 minuti, aumenta l'offset della prima esecuzione.

I rilevamenti vengono visualizzati solo nelle esecuzioni di adeguamento

Se un rilevamento non viene visualizzato durante la prima esecuzione (𝑇), ma viene visualizzato in un'esecuzione di aggiornamento (𝑇+4$ o 𝑇+30$), controlla quanto segue:

  • Latenza di importazione:controlla se l'origine log presenta un ritardo. Se i log arrivano 15 minuti dopo l'evento, una pianificazione della prima esecuzione di 10 minuti non li rileverà. Le esecuzioni di adeguamento acquisiscono questi arrivi in ritardo.
  • Arricchimento del contesto:verifica se la regola si basa su metadati esterni, come tag delle risorse o alias utente. Se il processo di arricchimento richiede più tempo della finestra della prima esecuzione, il rilevamento viene visualizzato solo dopo che il sistema completa l'arricchimento in un'esecuzione successiva.

Opzioni personalizzabili mancanti

Se la scheda Pianificazione regola non mostra le opzioni di personalizzazione o il menu è disattivato:

  • Controlla il tipo di regola:le pianificazioni personalizzabili si applicano solo alle regole multi-evento. Le regole a evento singolo utilizzano il motore continuo (in tempo reale) e non supportano pianificazioni personalizzate.
  • Verifica la finestra match:le regole con una finestra match superiore a 48 ore sono limitate a una frequenza di esecuzione giornaliera e non possono essere personalizzate.
  • Identificare le regole curate:non puoi modificare la pianificazione delle regole curate. Cerca il messaggio Curated rules uses a legacy schedule per verificare se la regola è una regola di sistema protetta.

Ritardo imprevisto negli avvisi di primo avvio

Se un rilevamento arriva in ritardo rispetto all'intervallo pianificato:

  • Periodo di inizializzazione:le regole nuove o modificate di recente richiedono un periodo di inizializzazione di un'ora. I rilevamenti non vengono visualizzati finché la piattaforma non completa la configurazione iniziale e non inizia il primo ciclo pianificato.
  • Tempi di attesa per l'arricchimento:se attivi il pulsante di attivazione/disattivazione Garantisci il completamento dell'arricchimento, il sistema potrebbe modificare dinamicamente la tempistica per attendere il completamento delle procedure di arricchimento dei dati. Sebbene questo processo impedisca i rilevamenti mancati, può far sì che il rilevamento iniziale arrivi in un momento successivo al timestamp esatto 𝑇.

Le misurazioni del tempo medio di rilevamento sembrano elevate

Le misurazioni del MTTD includono il periodo di assestamento necessario per la completezza dei dati.

  • Esamina il buffer: per una pianificazione di un'ora, il sistema valuta gli eventi da una a due ore dopo il loro arrivo.
  • Ottimizza per la velocità: se hai bisogno di una latenza inferiore, esegui la transizione della regola a una pianificazione in tempo reale. Nota: in questo modo può aumentare il numero di rilevamenti che si basano su esecuzioni di riconciliazione per una precisione completa.

Identificare le fonti di rilevamento

Google SecOps utilizza indicatori visivi per aiutarti a distinguere tra i rilevamenti iniziali e quelli visualizzati durante le riproduzioni in background.

Indicatori di rilevamento

Nella colonna Tipo di rilevamento, identifica i rilevamenti eseguiti durante le esecuzioni di adeguamento, rielaborazione o ricerca retroattiva.

  • Se vedi questa icona, il rilevamento è avvenuto durante un'esecuzione di adeguamento (𝑇+4$ o 𝑇+30$) anziché durante l'esecuzione iniziale (𝑇).
  • I rilevamenti con questa icona spesso indicano che la piattaforma ha acquisito la minaccia dopo l'importazione iniziale, in genere a causa di ritardi nell'arrivo dei log o nell'arricchimento.

Verificare l'integrità degli avvisi nella pagina Avvisi

Il simbolo nella pagina Avvisi indica l'origine di un avviso. Utilizza questo indicatore per verificare l'origine di un avviso durante l'analisi di una cronologia.

  • Gli avvisi senza icona provengono dalla prima esecuzione (𝑇) o dal motore continuo.
  • Gli avvisi con indicano che il sistema ha identificato la minaccia durante una scansione successiva dei dati per fornire la massima accuratezza.

Convalida e test

Per verificare che la pianificazione funzioni come previsto, segui questi passaggi:

  1. Vai alla dashboard delle regole.
  2. Seleziona la regola e visualizza la scheda Rilevamenti.
  3. Filtra per per vedere se le esecuzioni di True-up acquisiscono dati che la prima esecuzione non ha rilevato, quindi regola gli offset di conseguenza.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.