為規則設定自訂時間表

支援的國家/地區:

本文適用於想設定多事件規則自訂時間表並進行疑難排解的平台管理員和 SOC 分析師。本文說明如何設定處理時間表,以及執行額外檢查來納入延遲抵達的資料。

按照本文所述程序操作,即可精確控制偵測延遲時間和資料完整性。成功完成這項作業可確保偵測結果及時且準確,減少因擷取延遲而導致的誤判,並確保安全作業一致性。

自訂時間表可讓您清楚瞭解並控管 Google Security Operations 中多事件規則的執行方式。多事件規則需要緩衝期才能準確彙整資料,因此您可以自行定義這段時間,不必依賴系統預設值。

如要搭配本文使用,請瞭解如何管理規則執行排程

常見用途

您可以自訂時間表,根據資料的可用性和完整性調整偵測速度。

根據法規監控閒置帳戶

情境:您監控帳戶,找出 30 天內未登入的帳戶,以滿足稽核要求。

  • 目標:優先確保資料完整。
  • 價值:開啟「確保擴充完整性」切換鈕,等待所有全域記錄和中繼資料處理完畢後再進行最終評估,確保資料準確度達到最高。

多租戶 MSSP 資料隔離

情境:您是代管安全服務供應商 (MSSP),負責管理多位客戶的資料,而這些客戶的記錄檔擷取速度不一。

  • 目標:管理多個客戶環境中不同的擷取速度。
  • 價值:減少「偽陰性」警報。等待 1 到 2 小時後再執行第一次掃描,系統就能減少僅在校正掃描期間出現的偵測結果,為監控資訊主頁的 SOC 分析師提供更一致的體驗。

重要術語

  • 首次執行 (𝑇 + 偏移):首次執行規則邏輯。這個偏移量代表為考量延遲抵達的資料而新增的延遲時間。
  • 補償執行:在背景重新評估相同時間範圍,擷取首次執行後收到的記錄或擴充資料。
  • 擴充:在處理期間新增至記錄的外部中繼資料 (例如資產標記或使用者別名)。

事前準備

嘗試修改或自動執行規則時間表之前,請先確認您的環境和帳戶符合必要的安全性與系統需求。驗證這些必要條件有助於避免部署錯誤,並確保偵測邏輯符合貴機構的身分與存取權管理政策。

  • 權限:如要修改規則排程,您必須具備可授予 detection:ModifyRuleSchedule 動作的 IAM 角色:

    • roles/detectionEngine.admin

    • roles/detectionEngine.editor

  • 環境檢查

    • 規則類型:自訂時間表僅適用於多重事件規則。不包括單一事件和精選規則。
    • match 視窗:如果規則的 match 視窗超過 48 小時,執行頻率會限制為「每日」
    • 遷移:將舊版時間表遷移至可自訂時間表是單向程序,無法復原。

設定多事件規則的排程

如要設定多事件規則的排程,請按照下列步驟操作:

  1. Google SecOps 中,依序前往「偵測」>「規則與偵測項目」
  2. 按一下「規則資訊主頁」
  3. 找出規則,然後依序點選「更多」more_vert 和「執行排程」
  4. 在「規則排程」分頁中,選取「首次執行排程」欄位的值,並選取規則的執行頻率。
  5. 開啟「針對延遲抵達的資料調整首次執行」切換鈕。
    • 預期會失敗:如果偏移量短於來源的實際擷取延遲時間,第一次執行作業可能仍會遺漏記錄。
    • 修正步驟:增加偏移量,或依賴 True-up 執行來進行最終驗證。
  6. 開啟「確保資料完整性」切換鈕。
    • 預期失敗:警報可能會在事件時間戳記後很久才顯示。
    • 修正步驟:僅適用於非重大法規遵循規則,且準確度比速度更重要。
  7. 查看「規則時間表預覽」,瞭解執行時間表:
    • 首次執行 (𝑇 + 偏移):系統會在您為延遲抵達的資料指定延遲時間後,執行規則邏輯。
    • 第一次補償執行 (T + 4 小時):系統會在第一次執行後 4 小時重新掃描時間範圍,擷取遺漏或延遲的資料。如果開啟「確保擴充完整性」切換鈕,系統也會等待處理所有相關聯的擴充資料。
    • 第 2 次補償執行 (T + 30 小時):只有在開啟「確保資料豐富度完整」切換按鈕時,系統才會顯示這項執行作業。系統會在第一次執行後 30 小時進行最終掃描,以提供最高資料保真度。
  8. 按一下 [儲存]

瞭解時間表預覽畫面

時間表預覽畫面會顯示偵測邏輯的特定里程碑。您可以使用這些背景執行作業,準確評估偵測平均時間 (MTTD) 並驗證快訊完整性。

  • 首次執行 (𝑇 + 偏移):盡快找出威脅。由於部分資料可能仍在傳輸中或進行擴充,第一次執行的偵測結果可能會比預期晚到。

  • 補償執行:主動重新評估時間範圍。平台可透過這些執行作業擷取下列資訊:

    • 延遲抵達的記錄:在第一次執行完成後抵達平台的資料。
    • 擴充內容:需要額外背景處理的中繼資料,例如資產 ID 或使用者別名。

找出偵測來源

Google SecOps 會使用視覺指標,協助您區分初始偵測結果和在背景重新執行時顯示的結果。

偵測指標

在「偵測類型」欄中, 代表偵測結果來自補償執行、重新處理執行或回溯搜尋。

  • 如果看到這個圖示,表示偵測是在修正執行 (𝑇+4$𝑇+30$) 期間發生,而非在初始執行 (𝑇) 期間。
  • 如果偵測結果顯示這個圖示,通常表示平台在初始擷取作業後才偵測到威脅,通常是因為記錄檔延遲抵達或擴充作業延遲。

在快訊頁面驗證快訊完整性

在「快訊」頁面上, 會指出快訊來源。調查時間軸時,請使用這個指標驗證快訊來源。

疑難排解

請檢查評估時間和規則設定,調查排程問題。平台會自動執行大部分的排程工作,但某些設定或資料延遲可能會影響偵測結果的顯示時間。

偵測結果只會顯示在結算執行中

如果第一次執行 (𝑇) 時未偵測到任何內容,但在修正執行 (𝑇+4$𝑇+30$) 時偵測到,請檢查下列事項:

  • 擷取延遲時間:檢查記錄來源是否延遲。如果記錄在事件發生後 15 分鐘才送達,10 分鐘的首次執行排程就會錯過這些記錄。補償性執行作業會擷取這些延遲抵達的資料。
  • 情境擴充:確認規則是否依據外部中繼資料 (例如資產標記或使用者別名)。如果擴充程序耗時超過首次執行視窗,系統會在後續執行擴充程序後,才顯示偵測結果。

缺少可自訂的選項

如果「規則時間表」分頁未顯示自訂選項,或選單顯示為灰色,請按照下列步驟操作:

  • 檢查規則類型:自訂時間表僅適用於多重事件規則。單一事件規則會使用持續 (即時) 引擎,且不支援自訂時間表。
  • 確認 match 視窗:如果規則的 match 視窗超過 48 小時,執行頻率會限制為「每日」,且無法自訂。
  • 找出精選規則:您無法修改精選規則的發布時程。查看 Curated rules uses a legacy schedule 訊息,確認規則是否為受保護的系統規則。

首次執行警報延遲

如果偵測結果在排定的間隔時間後才送達:

  • 初始化期間:新規則或最近修改的規則需要一小時的初始化期間。平台完成初始設定並開始第一個排定的週期後,才會顯示偵測結果。
  • 擴充等待時間:如果開啟「確保擴充完整性」切換鈕,系統可能會動態調整時間,等待資料擴充程序完成。雖然這個程序可避免遺漏偵測結果,但可能會導致初始偵測結果的抵達時間晚於確切的 𝑇 時間戳記。

MTTD 測量結果似乎偏高

MTTD 測量結果包含資料完整性所需的緩衝期。

  • 檢查緩衝區:如果是 1 小時的行程表,系統會在活動開始後 1 到 2 小時評估活動。
  • 提高速度:如需縮短延遲時間,請將規則改為即時排程。注意:這可能會增加偵測次數,但需要執行完整校正作業才能確保準確度。

限制

  • 僅限多重事件規則:這項功能不適用於單一事件規則。
  • 僅限自訂規則:精選規則使用固定時間表,無法修改。如果查看精選規則,系統會顯示「Curated rules use a legacy schedule」訊息。

錯誤修正

錯誤 問題 修正
缺少選項 「規則時間表」分頁顯示為灰色,或缺少選項。 確認規則是多事件自訂規則,且比對時間範圍在 48 小時內。
延遲快訊 偵測結果晚於排定的時間間隔送達。 檢查「確保擴充完整性」切換鈕是否開啟,系統可能正在等待處理中繼資料。
僅限調整快訊 偵測結果不會在第一次執行 (𝑇) 時顯示。 按一下「擷取延遲時間」進行驗證。如果記錄延遲 15 分鐘抵達,但你的偏移時間為 10 分鐘,請增加首次執行偏移時間。

驗證和測試

如要確認排程是否正常運作,請按照下列步驟操作:

  1. 前往「規則資訊主頁」
  2. 選取規則,然後查看「偵測結果」分頁標籤。
  3. 使用 篩選,查看補償執行是否擷取到首次執行時遺漏的資料,然後據此調整偏移。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。