为规则配置自定义时间表

支持的服务:

本文档适用于希望为多事件规则配置和排查可自定义时间表的平台管理员和 SOC 分析师。它介绍了如何设置处理时间表以及运行额外检查以纳入迟到数据。

按照本文档中介绍的过程操作,您可以精确控制检测延迟时间和数据完整性。成功完成此过程可确保您的检测既及时又准确,从而减少因提取延迟而导致的误报,并确保安全运维的一致性。

借助可自定义的时间表,您可以透明地了解和控制多事件规则在 Google Security Operations 中的运行方式。某些多事件规则可能需要缓冲期才能准确汇总数据;此方法可让您定义该缓冲期,而不是依赖于系统默认值。

如需了解与本文档相关的信息,请参阅如何管理规则运行时间表

主要术语

  • 首次运行 (𝑇 + 偏移量):规则逻辑的初始执行。偏移量表示为考虑迟到数据而添加的延迟。
  • 调整运行:对同一时间窗口进行后台重新评估,以捕获在首次运行后到达的日志或丰富化数据。
  • 丰富化:在处理期间添加到日志的外部元数据(例如资产标记或用户别名)。

准备工作

在尝试修改规则时间表或使其自动化之前,请确保您的环境和账号满足必要的安全和系统要求。验证这些前提条件有助于防止部署错误,并确保您的检测逻辑与贵组织的 Identity and Access Management 政策保持一致。

  • 权限:如需修改规则时间表,您必须拥有以下 IAM 权限:

    • chronicle.ruleDeployments.update,用于通过 API 更新单个时间表。

    • chronicle.rules.modifyRules,用于通过批量 API 更新和界面更新。

  • 环境检查:

    • 规则类型:可自定义的时间表仅适用于多事件规则。单事件规则和精选规则除外。
    • match 窗口match 窗口超过 48 小时的规则的运行频率仅限每日
    • 迁移:将旧版时间表迁移到可自定义的时间表是单向过程,无法撤消。

为多事件规则配置时间表

如需为多事件规则配置时间表,请按以下步骤操作:

  1. Google SecOps 中,依次前往 检测 > 规则和检测
  2. 点击规则信息中心
  3. 找到您的规则,依次点击 More more_vert运行时间表
  4. 规则时间表 标签页上,为首次运行时间表 字段选择一个值,然后选择规则的运行频率。
  5. 开启针对迟到数据调整首次运行时间 开关。
    • 预期失败:如果偏移量短于来源的实际提取延迟时间,首次运行可能仍会遗漏日志。
    • 纠正步骤:增加偏移量或依赖于调整运行进行最终验证。
  6. 开启确保数据丰富化的完整性 开关。
    • 预期失败:提醒可能会比事件时间戳晚很多。
    • 纠正步骤:仅将此功能用于非关键合规性规则,在这些规则中,准确性比速度更重要。
  7. 查看规则时间表预览 ,了解运行时间轴:
    • 首次运行 (𝑇 + 偏移量): 系统会在您为迟到数据指定的延迟时间过后执行规则逻辑。
    • 调整运行 1 (𝑇 + 4 小时): 系统会在首次运行 4 小时后重新扫描窗口,以捕获遗漏或延迟的数据。如果您开启了确保数据丰富化的完整性 开关,此运行还会等待所有关联的丰富化数据处理完毕。
    • 调整运行 2 (𝑇 + 30 小时): 此运行仅在您开启了确保数据丰富化的完整性 开关时显示。系统会在首次运行 30 小时后执行最终扫描,以提供最高的数据保真度。
  8. 点击保存

了解时间表预览

时间表预览会标识检测逻辑的特定里程碑。使用这些后台运行来准确衡量平均检测时间 (MTTD) 并验证提醒完整性。

  • 首次运行 (𝑇 + 偏移量):尽快识别威胁。由于某些数据可能仍在传输中或正在进行丰富化,因此首次运行中的检测结果可能会比预期晚到达。
  • 调整运行:主动重新评估时间窗口。这些运行可让平台捕获以下内容:

    • 迟到日志:在首次运行完成后到达平台的数据。
    • 丰富化上下文:需要额外后台处理的元数据,例如资产身份或用户别名。

识别检测来源

Google SecOps 使用视觉指示器来帮助您区分初始检测和在后台重新运行期间显示的检测。

检测指示器

检测类型 列中, 表示来自调整运行、重新处理运行或追溯搜索的检测。

  • 如果您看到此图标,则表示检测发生在调整运行 (𝑇+4$𝑇+30$) 期间,而不是在首次运行 (𝑇) 期间。
  • 带有此图标的检测通常表示平台在初始提取后捕获了威胁,通常是因为日志迟到或丰富化延迟。

在“提醒”页面上验证提醒完整性

提醒 页面上, 表示提醒来源。在调查时间轴时,您可以使用此指示器来验证提醒的来源。

问题排查

通过查看评估时间和规则配置来调查时间安排问题。虽然平台会自动执行大多数时间安排任务,但某些设置或数据延迟可能会影响检测结果的显示时间。

检测结果仅在调整运行中显示

如果检测结果未在首次运行 (𝑇) 期间显示,但在调整运行 (𝑇+4$𝑇+30$) 中显示,请检查以下内容:

  • 日志提取延迟: 检查日志源是否存在延迟。如果日志在事件发生 15 分钟后到达,则 10 分钟的首次运行时间表会遗漏这些日志。调整运行会捕获这些迟到日志。
  • 上下文丰富化: 确认规则是否依赖于外部元数据,例如资产标记或用户别名。如果丰富化过程花费的时间超过首次运行窗口,则检测结果仅在系统在稍后的运行中完成丰富化后才会显示。

缺少可自定义的选项

如果规则时间表 标签页未显示自定义选项或菜单呈灰显状态:

  • 检查规则类型: 可自定义的时间表仅适用于多事件规则。单事件规则使用持续(实时)引擎,不支持自定义时间表。
  • 验证 match 窗口: `match` 窗口超过 48 小时的规则的运行频率仅限每日 ,并且无法自定义。match
  • 识别精选规则: 您无法修改精选规则的时间表。查找 Curated rules uses a legacy schedule 消息,以确认规则是否为受保护的系统规则。

首次运行提醒出现意外延迟

如果检测结果比计划的时间间隔晚到达:

  • 初始化时间段: 新规则或最近修改的规则需要 1 小时的初始化时间段。在平台完成此初始设置并开始第一个计划周期之前,检测结果不会显示。
  • 丰富化等待时间: 如果您开启了确保数据丰富化的完整性 开关,系统可能会动态调整时间,以等待数据丰富化过程完成。虽然此过程可以防止遗漏检测结果,但可能会导致初始检测结果比确切的 𝑇 时间戳晚到达。

MTTD 测量值似乎偏高

MTTD 测量值包括确保数据完整性所需的缓冲期。

  • 查看缓冲期:对于 1 小时的时间表,系统会在事件到达后 1 到 2 小时内评估事件。
  • 针对速度进行优化:如果您需要更低的延迟时间,请将规则转换为实时时间表。注意:这可能会增加依赖于调整运行以获得完整准确性的检测结果的数量。

限制

  • 仅限多事件规则:此功能不适用于单事件规则。
  • 仅限自定义规则:精选规则使用固定的时间表,您无法修改。如果您查看精选规则,系统会显示消息:Curated rules use a legacy schedule

错误修复

错误 问题 修复
缺少选项 “规则时间表”标签页呈灰显状态或缺少选项。 验证规则是否为多事件自定义规则,以及匹配窗口是否小于 48 小时。
提醒延迟 检测结果比计划的时间间隔晚到达。 检查确保数据丰富化的完整性 开关是否已开启;系统可能正在等待元数据处理。
仅显示调整运行提醒 检测结果从不在首次运行 (𝑇) 中显示。 点击提取延迟时间 进行验证。如果日志延迟 15 分钟到达,但您的偏移量为 10 分钟,请增加首次运行偏移量。

验证和测试

如需验证时间表是否按预期运行,请按以下步骤操作:

  1. 前往规则信息中心
  2. 选择您的规则,然后查看检测 标签页。
  3. 进行过滤,查看 调整运行 是否捕获了首次运行遗漏的数据,然后相应地调整偏移量。

需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。