为规则配置自定义时间表

支持的服务:

本文档适用于希望为多事件规则配置和排查可自定义时间表的平台管理员和 SOC 分析师。它介绍了如何设置处理时间表以及运行额外检查以纳入延迟到达的数据。

按照本文档中介绍的过程操作,您可以精确控制检测延迟时间和数据完整性。成功完成此过程可确保您的检测既及时又准确,从而减少因提取延迟而导致的误报,并确保安全运维的一致性。

借助可自定义的时间表,您可以透明地了解和控制多事件规则在 Google Security Operations 中的运行方式。某些多事件规则可能需要缓冲期才能准确汇总数据;此方法可让您定义该缓冲期,而不是依赖于系统默认值。

如需了解与本文档相关的信息,请参阅如何管理规则运行时间表

主要术语

  • 首次运行 (𝑇 + 偏移量):规则逻辑的初始执行。偏移量表示为考虑延迟到达的数据而添加的延迟。
  • 补全运行:对同一时间窗口进行后台重新评估,以捕获在首次运行后到达的日志或扩充数据。
  • 扩充:在处理期间添加到日志的外部元数据(例如资产标记或用户别名)。

准备工作

在尝试修改或自动执行规则时间表之前,请确保您的环境和账号满足必要的安全和系统要求。验证这些前提条件有助于防止部署错误,并确保您的检测逻辑与组织的 Identity and Access Management 政策保持一致。

  • 权限:如需修改规则时间表,您必须拥有授予 detection:ModifyRuleSchedule 操作的 IAM 角色:

    • roles/detectionEngine.admin

    • roles/detectionEngine.editor

  • 环境检查:

    • 规则类型:可自定义的时间表仅适用于多事件规则。单事件规则和精选规则除外。
    • match 窗口match 窗口超过 48 小时的规则的运行频率仅限每日
    • 迁移:将旧版时间表迁移到可自定义时间表是单向过程,无法撤消。

为多事件规则配置时间表

如需为多事件规则配置时间表,请按以下步骤操作:

  1. Google SecOps 中,依次前往 检测 > 规则和检测
  2. 点击规则信息中心
  3. 找到您的规则,依次点击 More more_vert运行时间表
  4. 规则时间表 标签页上,为首次运行时间表 字段选择一个值,然后选择规则的运行频率。
  5. 开启针对延迟到达的数据调整首次运行 开关。
    • 预期失败:如果偏移量短于来源的实际提取延迟时间,首次运行可能仍会遗漏日志。
    • 纠正步骤:增加偏移量或依赖于补全运行进行最终验证。
  6. 开启确保扩充完整性 开关。
    • 预期失败:提醒的显示时间可能比事件时间戳晚得多。
    • 纠正步骤:仅将此功能用于非关键合规性规则,在这些规则中,准确性比速度更重要。
  7. 查看规则时间表预览 ,了解运行时间轴:
    • 首次运行 (𝑇 + 偏移量): 系统会在您为延迟到达的数据指定的延迟时间过后执行规则逻辑。
    • 补全运行 1 (𝑇 + 4 小时): 系统会在首次运行 4 小时后重新扫描窗口,以捕获遗漏或延迟的数据。如果您开启了确保扩充完整性 开关,此运行还会等待所有关联的扩充数据处理完毕。
    • 补全运行 2 (𝑇 + 30 小时): 此运行仅在您开启确保扩充完整性 开关后显示。系统会在首次运行 30 小时后执行最终扫描,以提供最高的数据保真度。
  8. 点击保存

了解时间表预览

时间表预览会标识检测逻辑的特定里程碑。使用这些后台运行可以准确衡量平均检测时间 (MTTD) 并验证提醒完整性。

  • 首次运行 (𝑇 + 偏移量):尽可能快速地识别威胁。由于某些数据可能仍在传输或正在扩充,因此首次运行中的检测结果可能会比预期晚到达。

  • 补全运行:主动重新评估时间窗口。借助这些运行,平台可以捕获以下内容:

    • 延迟到达的日志:在首次运行完成后到达平台的数据。
    • 扩充上下文:需要额外后台处理的元数据,例如资产身份或用户别名。

识别检测来源

Google SecOps 使用视觉指示器来帮助您区分初始检测和在后台重新运行期间显示的检测。

检测指示器

检测类型 列中, 表示来自补全运行、重新处理运行或追溯搜索的检测。

  • 如果您看到此图标,则表示检测发生在补全运行 (𝑇+4$𝑇+30$) 期间,而不是在初始运行 (𝑇) 期间。
  • 带有此图标的检测通常表示平台在初始提取后捕获了威胁,通常是因为日志延迟到达或扩充延迟。

在“提醒”页面上验证提醒完整性

提醒 页面上, 表示提醒来源。在调查时间轴时,您可以使用此指示器来验证提醒的来源。

问题排查

通过查看评估时间和规则配置来调查时间表问题。虽然平台会自动执行大多数时间表任务,但某些设置或数据延迟可能会影响检测结果的显示时间。

检测结果仅在补全运行中显示

如果检测结果未在首次运行 (𝑇) 期间显示,但在补全运行 (𝑇+4$𝑇+30$) 中显示,请检查以下内容:

  • 日志提取延迟: 检查日志源是否存在延迟。如果日志在事件发生 15 分钟后到达,则 10 分钟的首次运行时间表会遗漏这些日志。补全运行会捕获这些延迟到达的日志。
  • 上下文扩充: 确认规则是否依赖于外部元数据,例如资产标记或用户别名。如果扩充过程花费的时间超过首次运行窗口,则检测结果仅在系统在稍后的运行中完成扩充后才会显示。

缺少可自定义的选项

如果规则时间表 标签页未显示自定义选项或菜单呈灰显状态:

  • 检查规则类型: 可自定义的时间表仅适用于多事件规则。单事件规则使用持续(实时)引擎,不支持自定义时间表。
  • 验证 match 窗口: `match` 窗口超过 48 小时的规则的运行频率仅限 每日 ,并且无法自定义。match
  • 识别精选规则: 您无法修改精选规则的时间表。查找 Curated rules uses a legacy schedule 消息,以确认规则是否为受保护的系统规则。

首次运行提醒出现意外延迟

如果检测结果的到达时间晚于计划的时间间隔:

  • 初始化时间段: 新规则或最近修改的规则需要一小时的初始化时间段。在平台完成此初始设置并开始第一个计划周期之前,检测结果不会显示。
  • 数据丰富化等待时间: 如果您开启了确保数据丰富化完整性 切换开关,系统可能会动态调整时间,以等待数据丰富化过程完成。虽然此过程可以防止遗漏检测结果,但可能会导致初始检测结果的到达时间晚于确切的 𝑇 时间戳。

MTTD 测量结果似乎偏高

MTTD 测量结果包括确保数据完整性所需的缓冲期。

  • 查看缓冲区:对于一小时的时间表,系统会在事件到达后一到两小时内评估事件。
  • 针对速度进行优化:如果您需要更低的延迟时间,请将规则转换为实时时间表。注意:这可能会增加依赖于补全运行以确保完全准确性的检测结果的数量。

限制

  • 仅限多事件规则:此功能不适用于单事件规则。
  • 仅限自定义规则:精选规则使用固定时间表,您无法修改。如果您查看精选规则,系统会显示消息:Curated rules use a legacy schedule

错误修复

错误 问题 修复
缺少选项 “规则时间表”标签页呈灰显状态或缺少选项。 验证规则是否为多事件自定义规则,以及匹配窗口是否小于 48 小时。
提醒延迟 检测结果的到达时间晚于计划的时间间隔。 检查确保扩充完整性 开关是否已开启;系统可能正在等待元数据处理。
仅补全提醒 检测结果从不在首次运行 (𝑇) 中显示。 点击提取延迟时间 进行验证。如果日志延迟 15 分钟到达,但您的偏移量为 10 分钟,请增加首次运行偏移量。

验证和测试

如需验证时间表是否按预期运行,请按以下步骤操作:

  1. 前往规则信息中心
  2. 选择您的规则,然后查看检测 标签页。
  3. 进行过滤,查看 补全 运行是否捕获了首次运行遗漏的数据,然后相应地调整偏移量。

需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。