הסבר על לוח הבקרה 'כללים'

נתמך ב:

כדי לפתוח את מרכז הבקרה של הכללים ב-Google Security Operations, בסרגל הניווט בוחרים באפשרות Detections (זיהויים) > Rules & Detections (כללים וזיהויים) ומוודאים שהכרטיסייה Rules Dashboard (מרכז הבקרה של הכללים) נבחרה.

בכרטיסייה Rules Dashboard (מרכז השליטה של כללים) מוצגים הכללים של Google SecOps. אם המערכת שלכם משתמשת בבקרת גישה שמבוססת על תפקידים (RBAC) לנתונים, אתם יכולים לראות ולנהל רק כללים שקשורים להיקפי נתונים נגישים. פרטים נוספים זמינים במאמר ההשפעה של RBAC על נתונים על כללים.

סקירה כללית של לוח הבקרה של הכללים

בחלק העליון של הכרטיסייה מרכז הבקרה של הכללים מופיעים:

תכונה תיאור
קיבולת הכללים מראה את השימוש במכסת הכללים. כדי לראות פרטים על:
  • מכסת כללים של אירועים מרובים: מספר הכללים הפעילים של אירועים מרובים מתוך המכסה המותרת.
  • מכסת הכללים הכוללת: המספר הכולל של כללים פעילים מתוך המקסימום הכולל.
  • מידע על חישובי הקיבולת זמין במאמרים הסבר על מכסות של כללים והפניה לקיבולת של כללים.
הצגת מרכז השליטה של מצב הזיהויים אפשר לפתוח את מרכז הבקרה 'תקינות הזיהויים' כדי לעקוב אחרי הביצועים של הכללים, סטטוס ההרצה וההשפעה של הפעלות חוזרות של כללים ונתונים שמגיעים באיחור. לוח הבקרה הזה עוזר לכם לפתור בעיות שקשורות לעיכובים בזיהוי ולבצע אופטימיזציה של יעילות הכללים. איך עוקבים אחרי הביצועים של כללים

עמודות בטבלת הכללים

במרכז הבקרה מפורטים הכללים בעמודות הבאות:

עמודה תיאור
היום מספר הזיהויים שנוצרו על ידי הכלל היום.
שם הכלל השם המוצג של הכלל. לוחצים על השם כדי לפתוח את התצוגה של זיהויים לפי כלל.
הפעילות ב-4 השבועות האחרונים תרשים קו בלי צירים שמציג את מגמות הזיהוי של הכלל הזה במהלך ארבעת השבועות האחרונים. כדי לראות את המספר המדויק של הזיהויים בתאריך מסוים, מעבירים את העכבר מעל העמודה הרלוונטית.
זיהוי אחרון חותמת הזמן של הזיהוי האחרון שנוצר על ידי הכלל הזה.
מחבר המשתמש או הישות שיצרו את הכלל או שביצעו בו את השינוי האחרון.
היקף היקף הנתונים שמוגבל לכלל, שמגביל את הגישה לנתונים על סמך RBAC.
SEVERITY רמת החומרה שהוקצתה לכלל (לדוגמה, גבוהה, בינונית או נמוכה), כפי שהוגדרה במטא-נתונים שלו.
התראות מציין אם הכלל יוצר התראות ב-Google SecOps כשמתרחשים זיהויים. אפשר להפעיל או להשבית את האפשרות הזו. כשהיא מופעלת, המערכת מעלה את רמת החומרה של זיהויים להתראות ומפעילה התראות מוגדרות או מחזורי עבודה של SOAR. איך מנהלים כללים מאוחדים
RETROHUNT להריץ את הכלל על נתוני יומן היסטוריים כדי למצוא מקרים קודמים של איום. לוחצים על הסטטוס כדי לראות משימות קודמות של חיפוש רטרואקטיבי או כדי להריץ משימה חדשה. איך מריצים כלל על נתונים היסטוריים
סוג הכלל המבנה של הלוגיקה של הכלל:
  • SINGLE_EVENT: ניתוח של אירועים נפרדים ביומן בנפרד.
  • MULTI_EVENT: יוצרת קורלציה בין כמה אירועים בחלון זמן מוגדר.
  • הגדרות API מופיעות במאמר RuleType.
לוח זמנים של כלל תזמון ההרצה של הכלל. בכללים פעילים, ההפעלה יכולה להיות כמעט בזמן אמת או במרווחי זמן מוגדרים (לדוגמה, שעתי או יומי). התזמון משפיע ישירות על זמן האחזור של הזיהוי. מידע נוסף זמין במאמרים תזמון הפעלות של כללים והגדרת תזמונים מותאמים אישית לכללים.
סטטוס השידור החי מצוין אם הכלל עוקב באופן פעיל אחרי נתונים נכנסים. אפשר להפעיל (Enabled) או להשבית (Disabled) אותה. כללים מושבתים לא יוצרים גילויים חדשים. איך מחילים כלל על נתונים בזמן אמת

חיפוש וסינון של כללים

כדי לסנן ולמצוא כללים ספציפיים, משתמשים בשדה חיפוש כללים בחלק העליון של הכרטיסייה כללים:

סוג החיפוש תיאור
חיפוש באמצעות מילות מפתח מזינים מילות מפתח כדי לחפש בכל הטקסט של הכללים.
חיפוש מובנה כדי ליצור שאילתות מדויקות, אפשר להשתמש במסננים ובאופרטורים של שדות. השדות הנתמכים כוללים את display_name,‏ text,‏ tags,‏ rule_owner,‏ live_mode_enabled ו-alerting_enabled.

לדוגמה, אתם יכולים לחפש את המונחים:

  • display_name:"My Rule"
  • text:"malware"
  • rule_owner:"google" AND tags:"TA0001"
  • live_mode_enabled=true AND alerting_enabled=true

הסבר מפורט על תחביר החיפוש, השדות והאופרטורים הנתמכים זמין במאמר חיפוש ברשימת הכללים.

פעולות של כלל

מעבירים את העכבר מעל שורה של כלל ולוחצים על פעולות כדי לגשת לאפשרויות הבאות:

פעולה תיאור
כלל פעיל מעבירים את המתג מופעל כדי להעריך באופן רציף את נתוני היומן הנכנסים וליצור זיהויים בזמן אמת, או מעבירים את המתג מושבת כדי להפסיק את הפעלת הכלל. יכול להיות שהסטטוס של הכלל ישתנה אוטומטית ל'מוגבל' או ל'בהשהיה', בהתאם לביצועים. איך מחילים כלל על נתונים בזמן אמת
שליחת התראות מפעילים את המתג כדי לסמן את הזיהויים כהתראות של Google SecOps ולהפעיל התראות מוגדרות או מחזורי עבודה של SOAR. משביתים את המתג כדי לתעד את הגילויים בלי ליצור התראות. איך מנהלים כללים מאוחדים
תזמון הכלל מגדירים את תדירות ההפעלה של כללים מרובי-אירועים. התזמון משפיע ישירות על זמן האחזור של הזיהוי, וקובע איך נתונים שמגיעים באיחור יעברו עיבוד. מידע נוסף זמין במאמרים תזמון הפעלות של כללים והגדרת תזמונים מותאמים אישית לכללים.
YARA-L Retrohunt מריצים את הכלל על נתוני יומן היסטוריים בטווח זמן מוגדר כדי לחשוף איומים פוטנציאליים שהתרחשו לפני שהכלל הופעל. איך מריצים כלל על נתונים היסטוריים
עריכת כלל כדי לבצע שינויים, פותחים את הטקסט וההגדרות של הכלל בעורך הכללים.
צפייה בזיהויים של כלל פותחים את תצוגת הזיהויים של הכלל כדי לבדוק את הזיהויים שנוצרו על ידי הכלל הזה, את הגרפים של המגמות ואת פרטי האירועים הבסיסיים.
העברה לארכיון הסתרת הכלל והזיהויים שמשויכים אליו מתצוגת ברירת המחדל של לוח הבקרה. הארכיון שומר את נתוני הכלל בלי למחוק אותם, ואפשר לחלץ את הכלל בכל שלב. איך מנהלים כללים מאוחדים

אפשרויות רענון של מרכז השליטה

כדי לשלוט בתדירות שבה נתוני לוח הבקרה מתעדכנים, לוחצים על האינדיקטור הזמן האחרון שבו בוצע רענון מעל הטבלה:

אפשרות תיאור
רענון אחזור מיידי של הנתונים העדכניים ביותר עבור לוח הבקרה.
רענון אוטומטי הגדרת מרווח זמן לרענון אוטומטי של לוח הבקרה:
  • ללא (ברירת מחדל): מרכז הבקרה לא מתרענן אוטומטית. צריך ללחוץ ידנית על רענון.
  • 5 דקות: רענון אוטומטי של מרכז הבקרה כל 5 דקות.
  • 15 דקות: רענון אוטומטי של מרכז הבקרה כל 15 דקות.
  • שעה אחת: רענון אוטומטי של מרכז הבקרה כל שעה.

כדי לראות את סטטוסי הכללים ואת מדדי הזיהוי העדכניים ביותר בלי התערבות ידנית, אפשר להגדיר מרווח זמן לרענון אוטומטי.

התאמה אישית של עמודות בטבלה

כדי להתאים אישית את התצוגה של טבלת הכללים, לוחצים על כותרת של עמודה כלשהי כדי לגשת לאפשרויות האלה:

אפשרות תיאור
שינוי הסדר של העמודות גוררים את כותרות העמודות כדי לשנות את סדר התצוגה שלהן.
שינוי הגודל של העמודות כדי לשנות את רוחב העמודות, גוררים את הקו שמפריד בין כותרות העמודות.
מיון עמודות כדי למיין את השורות בטבלה בסדר עולה או יורד לפי עמודה מסוימת, לוחצים על כותרת העמודה.

הבעיה עדיין לא נפתרה? קבלת תשובות מחברי הקהילה וממומחי Google SecOps.