Configurare pianificazioni personalizzate per le regole

Supportato in:

Questo documento è rivolto agli amministratori della piattaforma e agli analisti del SOC che vogliono configurare e risolvere i problemi relativi alle pianificazioni personalizzabili per le regole multi-evento. Spiega come impostare le pianificazioni di elaborazione ed eseguire controlli aggiuntivi per includere i dati in arrivo in ritardo.

Seguendo la procedura descritta in questo documento, puoi controllare con precisione la latenza di rilevamento e l'integrità dei dati. Il completamento corretto garantisce che i rilevamenti siano tempestivi e accurati, riducendo i falsi negativi causati da ritardi nell'acquisizione e garantendo operazioni di sicurezza coerenti.

Le pianificazioni personalizzabili offrono trasparenza e controllo sulla modalità di esecuzione delle regole multi-evento in Google Security Operations. Le regole multi-evento richiedono un periodo di buffer per aggregare i dati in modo accurato; questo metodo ti consente di definire questo periodo anziché affidarti alle impostazioni predefinite del sistema.

Per accompagnare questo documento, scopri come gestire la pianificazione di esecuzione delle regole.

Casi d'uso comuni

Utilizza le pianificazioni personalizzabili per allineare la velocità di rilevamento alla disponibilità e alla completezza dei dati.

Monitoraggio degli account inattivi basato sulla conformità

Scenario: monitori gli account che non hanno eseguito l'accesso da 30 giorni per soddisfare un requisito di audit.

  • Obiettivo: dare la priorità alla completezza dell'arricchimento.
  • Valore: garantisce la massima fedeltà dei dati attivando l'opzione Garantisci la completezza dell'arricchimento, che attende l'elaborazione di tutti i log e i metadati globali prima della valutazione finale.

Separazione dei dati MSSP multi-tenant

Scenario: in qualità di provider di servizi di sicurezza gestiti (MSSP), gestisci i dati di più clienti con velocità di acquisizione dei log variabili.

  • Obiettivo: gestire le diverse velocità di importazione in più ambienti cliente.
  • Valore: ridurre gli avvisi di "falso negativo". Se il sistema attende 1-2 ore per la prima esecuzione, riduce il numero di rilevamenti che vengono visualizzati solo durante le esecuzioni di allineamento, offrendo un'esperienza più coerente per gli analisti del SOC che monitorano la dashboard.

Terminologia chiave

  • Prima esecuzione (𝑇 + offset): l'esecuzione iniziale della logica della regola. L'offset rappresenta il ritardo aggiunto per tenere conto dei dati in arrivo in ritardo.
  • Esecuzione di allineamento: una rivalutazione in background della stessa finestra temporale per acquisire i log o i dati di arricchimento arrivati dopo la prima esecuzione.
  • Arricchimento: metadati esterni (come tag delle risorse o alias utente) aggiunti ai log durante l'elaborazione.

Prima di iniziare

Prima di tentare di modificare o automatizzare le pianificazioni delle regole, assicurati che l'ambiente e l'account soddisfino i requisiti di sicurezza e di sistema necessari. La convalida di questi prerequisiti aiuta a prevenire gli errori di deployment e garantisce che la logica di rilevamento sia in linea con le policy di Identity and Access Management della tua organizzazione.

  • Autorizzazioni: per modificare le pianificazioni delle regole, devi disporre di un ruolo IAM che conceda l'azione detection:ModifyRuleSchedule:

    • roles/detectionEngine.admin

    • roles/detectionEngine.editor

  • Controllo dell'ambiente:

    • Tipo di regola: le pianificazioni personalizzabili si applicano solo alle regole multi-evento. Le regole a evento singolo e selezionate sono escluse.
    • Finestra match: le regole con una finestra match superiore a 48 ore sono limitate a una frequenza di esecuzione Giornaliera.
    • Migrazione: la migrazione di una pianificazione legacy a una pianificazione personalizzabile è un processo unidirezionale e non può essere annullato.

Configurare la pianificazione per una regola multi-evento

Per configurare la pianificazione per una regola multi-evento:

  1. In Google SecOps, vai a Rilevamento > Regole e rilevamenti.
  2. Fai clic su Dashboard delle regole.
  3. Individua la regola, fai clic su Altro more_vert e seleziona Pianificazione di esecuzione.
  4. Nella scheda Pianificazione delle regole , seleziona un valore per il campo Pianificazione della prima esecuzione e seleziona la frequenza di esecuzione della regola.
  5. Attiva l'opzione Modifica la prima esecuzione per i dati in arrivo in ritardo.
    • Errore previsto: la prima esecuzione potrebbe comunque non includere i log se l'offset è inferiore alla latenza di acquisizione effettiva dell'origine.
    • Passaggio correttivo: aumenta l'offset o affidati alle esecuzioni di allineamento per la convalida finale.
  6. Attiva l'opzione Garantisci la completezza dell'arricchimento.
    • Errore previsto: gli avvisi potrebbero essere visualizzati molto più tardi rispetto al timestamp dell'evento.
    • Passaggio correttivo: utilizza questa opzione solo per le regole di conformità non critiche in cui l'accuratezza è più importante della velocità.
  7. Esamina l'anteprima della pianificazione delle regole per comprendere la sequenza temporale di esecuzione:
    • Prima esecuzione (𝑇 + offset) : il sistema esegue la logica della regola dopo il ritardo specificato per i dati in arrivo in ritardo.
    • Esecuzione di allineamento 1 (𝑇 + 4 ore) : il sistema esegue una nuova scansione della finestra 4 ore dopo la prima esecuzione per acquisire i dati mancanti o in ritardo. Se attivi l'opzione Garantisci la completezza dell'arricchimento, questa esecuzione attende anche l'elaborazione di tutti i dati di arricchimento associati.
    • Esecuzione di allineamento 2 (𝑇 + 30 ore) : questa esecuzione viene visualizzata solo se attivi l'opzione Garantisci la completezza dell'arricchimento. Il sistema esegue una scansione finale 30 ore dopo la prima esecuzione per garantire la massima fedeltà dei dati.
  8. Fai clic su Salva.

Comprendere l'anteprima della pianificazione

L'anteprima della pianificazione identifica le tappe specifiche per la logica di rilevamento. Utilizza queste esecuzioni in background per misurare con precisione il tempo medio di rilevamento (MTTD) e verificare l'integrità degli avvisi.

  • Prima esecuzione (𝑇 + offset): identifica le minacce il più rapidamente possibile. Poiché alcuni dati potrebbero essere ancora in transito o in fase di arricchimento, i rilevamenti nella prima esecuzione potrebbero arrivare più tardi del previsto.

  • Esecuzioni di allineamento: rivalutano in modo proattivo la finestra temporale. Queste esecuzioni consentono alla piattaforma di acquisire quanto segue:

    • Log in arrivo in ritardo: dati che hanno raggiunto la piattaforma dopo il completamento della prima esecuzione.
    • Contesto di arricchimento: metadati, come identità delle risorse o alias utente, che richiedono un'elaborazione in background aggiuntiva.

Identificare le origini di rilevamento

Google SecOps utilizza indicatori visivi per aiutarti a distinguere tra i rilevamenti iniziali e quelli visualizzati durante le riesecuzioni in background.

Indicatori di rilevamento

Nella colonna Tipo di rilevamento, il identifica i rilevamenti provenienti da esecuzioni di allineamento, esecuzioni di rielaborazione o retrocaccia.

  • Se vedi questa icona, il rilevamento si è verificato durante un'esecuzione di allineamento (𝑇+4$ o 𝑇+30$) anziché durante l'esecuzione iniziale (𝑇).
  • I rilevamenti con questa icona spesso indicano che la piattaforma ha acquisito la minaccia dopo l'importazione iniziale, in genere a causa di log in arrivo in ritardo o ritardi nell'arricchimento.

Verificare l'integrità degli avvisi nella pagina Avvisi

Nella pagina Avvisi, la indica l'origine dell'avviso. Utilizza questo indicatore per verificare l'origine di un avviso quando esamini una sequenza temporale.

Risoluzione dei problemi

Esamina i problemi di pianificazione rivedendo la tempistica di valutazione e la configurazione delle regole. Sebbene la piattaforma automatizzi la maggior parte delle attività di pianificazione, alcune impostazioni o ritardi dei dati possono influire sul momento in cui vengono visualizzati i rilevamenti.

I rilevamenti vengono visualizzati solo nelle esecuzioni di allineamento

Se un rilevamento non viene visualizzato durante la prima esecuzione (𝑇), ma viene visualizzato in un'esecuzione di allineamento (𝑇+4$ o 𝑇+30$), controlla quanto segue:

  • Latenza di acquisizione:verifica se la sorgente log presenta un ritardo. Se i log arrivano 15 minuti dopo l'evento, una pianificazione della prima esecuzione di 10 minuti non li includerà. Le esecuzioni di allineamento acquisiscono questi arrivi in ritardo.
  • Arricchimento del contesto:verifica se la regola si basa su metadati esterni, come tag delle risorse o alias utente. Se il processo di arricchimento richiede più tempo della finestra della prima esecuzione, il rilevamento viene visualizzato solo dopo che il sistema ha completato l'arricchimento in un'esecuzione successiva.

Opzioni personalizzabili mancanti

Se la scheda Pianificazione delle regole non mostra le opzioni di personalizzazione o il menu è disattivato:

  • Controlla il tipo di regola:le pianificazioni personalizzabili si applicano solo alle regole multi-evento. Le regole a evento singolo utilizzano il motore continuo (in tempo reale) e non supportano le pianificazioni personalizzate.
  • Verifica la finestra match: le regole con una finestra match superiore a 48 ore sono limitate a una frequenza di esecuzione Giornaliera e non possono essere personalizzate.
  • Identifica le regole selezionate:non puoi modificare la pianificazione delle regole selezionate. Cerca il messaggio Curated rules uses a legacy schedule per verificare se la regola è una regola di sistema protetta.

Ritardo imprevisto negli avvisi della prima esecuzione

Se un rilevamento arriva più tardi dell'intervallo pianificato:

  • Periodo di inizializzazione:le regole nuove o modificate di recente richiedono un periodo di inizializzazione di un'ora. I rilevamenti non vengono visualizzati finché la piattaforma non completa la configurazione iniziale e non inizia il primo ciclo pianificato.
  • Tempi di attesa per l'arricchimento:se attivi l'opzione Garantisci la completezza dell'arricchimento, il sistema potrebbe modificare dinamicamente la tempistica per attendere il completamento dei processi di arricchimento dei dati. Sebbene questo processo impedisca di perdere i rilevamenti, può far sì che il rilevamento iniziale arrivi più tardi rispetto al timestamp 𝑇 esatto.

Le misurazioni MTTD sembrano elevate

Le misurazioni MTTD includono il periodo di buffering necessario per la completezza dei dati.

  • Esamina il buffer: per una pianificazione di un'ora, il sistema valuta gli eventi da una a due ore dopo il loro arrivo.
  • Ottimizza per la velocità: se hai bisogno di una latenza inferiore, esegui la transizione della regola a una pianificazione in tempo reale. Nota: in questo modo puoi aumentare il numero di rilevamenti che si basano sulle esecuzioni di allineamento per la massima accuratezza.

Limitazioni

  • Solo regole multi-evento: questa funzionalità non è disponibile per le regole a evento singolo.
  • Solo regole personalizzate: le regole selezionate utilizzano pianificazioni fisse che non puoi modificare. Se visualizzi una regola selezionata, il sistema mostra il messaggio: Curated rules use a legacy schedule.

Correzione degli errori

Errore Problema Correggi
Opzioni mancanti La scheda Pianificazione delle regole è disattivata o mancano le opzioni. Verifica che la regola sia una regola personalizzata multi-evento e che la finestra di corrispondenza sia inferiore a 48 ore.
Avvisi ritardati I rilevamenti arrivano più tardi dell'intervallo pianificato. Verifica se l'opzione Garantisci la completezza dell'arricchimento è attiva; il sistema potrebbe essere in attesa dell'elaborazione dei metadati.
Solo avvisi di allineamento I rilevamenti non vengono mai visualizzati nella prima esecuzione (𝑇). Fai clic su Latenza di acquisizione per verificare. Se i log arrivano con 15 minuti di ritardo, ma l'offset è di 10 minuti, aumenta l'offset della prima esecuzione.

Convalida e test

Per verificare che la pianificazione funzioni come previsto:

  1. Vai alla Dashboard delle regole.
  2. Seleziona la regola e visualizza la scheda Rilevamenti.
  3. Filtra per per verificare se le esecuzioni di allineamento acquisiscono i dati mancanti nella prima esecuzione, quindi modifica gli offset di conseguenza.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.