默认检测规则

支持的语言:

YARA-L 规则语言

YARA-L 是 Google 开发的一种检测规则语言。YARA-L 的目的是将检测从单纯的数据查询转变为实际的事件驱动型调查。YARA-L 派生自恶意软件分析中常用的 YARA 语言。L 表示日志。借助 YARA-L,您可以充分利用检测中的多个来源的所有信息,并将这些事件关联到可据以采取行动的提醒。如需了解详情,请参阅 YARA-L 2.0 语言概览

Google Security Operations 检测规则示例

为了帮助您更快地采用 Google SecOps 检测引擎,我们提供了一个包含规则示例的 GitHub 代码库。此代码库包含多种不同类别的检测规则,包括以下规则:

  • Google Cloud CloudAudit
  • Google Workspace
  • 信息类警告
  • 恶意软件
  • MITRE ATT&CK
  • SOC Prime 规则
  • 可疑事件

每个类别在查看数据源方面都采用特定的方法,并指定要使用的事件和匹配语句。

规则和调整示例

以下规则创建了一个用于跟踪事件类型的事件变量 $e1。事件变量可以是对于所评估数据有意义的任何值。此事件中要评估的 UDM 字段是 metadata.eventype,因此将其简称为 e1 是合理的。接下来的几行代码会在 e1 中搜索正则表达式匹配项的特定出现情况。在 Google SecOps 中触发检测的条件是事件 $e1 发生时的任何时间。出于调整目的,提供了一个 not 条件,用于排除命令行实参的某些非恶意路径。如果您发现其他已知文件路径经常出现误报,可以向此规则添加更多 not 条件。

rule suspicious_unusual_location_svchost_execution

{
 meta:
   author = "Google Cloud Security"
   description = "Windows 'svchost' executed from an unusual location"
   yara_version = "YL2.0"
   rule_version = "1.0"

 events:
   $e1.metadata.event_type = "PROCESS_LAUNCH"
   re.regex($e1.principal.process.command_line, `\bsvchost(\.exe)?\b`) nocase
   not re.regex($e1.principal.process.command_line, `\\Windows\\System32\\`) nocase

condition:
   $e1
}

指定多个事件变量

借助 YARA-L,您可以在一条规则中使用多个事件变量。在以下示例中,规则具有事件 $e1$e2。条件用于说明触发检测的逻辑条件。

rule ExcludeZeroValues {
  meta:
    author = "noone@google.com"

  events:
    $e1.metadata.event_type = "NETWORK_DNS"
    $e1.principal.hostname = $hostname

    // $e1.principal.user.userid may be empty string.
    $e1.principal.user.userid != "Guest"

    $e2.metadata.event_type = "NETWORK_HTTP"
    $e2.principal.hostname = $hostname

    // $e2.target.asset_id cannot be empty string as explicitly specified.
    $e2.target.asset_id != ""

  match:
    // $hostname cannot be empty string.
    $hostname over 1h

  condition:
    $e1 and $e2
}

规则结果部分

使用结果部分在规则检测中设置保持变量,以便为下游使用提供丰富信息。例如,您可以添加严重程度评分信息,该信息依赖于正在分析的事件中的数据。以下检测会检查两个事件,以归因 $hostname 值。如果值 $hostnames 在 5 分钟内匹配,则应用严重程度得分。使用时间段时,Google SecOps 检测引擎只会检查您指定的离散时间块。

rule OutcomeRuleMultiEvent {
    meta:
      author = "noone@google.com"
    events:
      $u.udm.principal.hostname = $hostname
      $asset_context.graph.entity.hostname = $hostname

      $severity = $asset_context.graph.entity.asset.vulnerabilities.severity

    match:
      $hostname over 5m

    outcome:
      $risk_score =
        max(
            100
          +   if($hostname = "my-hostname", 100, 50)
          +   if($severity = "HIGH", 10)
          +   if($severity = "MEDIUM", 5)
          +   if($severity = "LOW", 1)
        )

      $asset_id_list =
        array(
          if($u.principal.asset_id = "",
             "Empty asset id",
             $u.principal.asset_id
          )
        )

      $asset_id_distinct_list = array_distinct($u.principal.asset_id)

      $asset_id_count = count($u.principal.asset_id)

      $asset_id_distinct_count = count_distinct($u.principal.asset_id)

    condition:
      $u and $asset_context and $risk_score > 50 and not arrays.contains($asset_id_list, "id_1234")
}

总结

YARA-L 是一种灵活的检测语言,可用于检查安全事件,而不仅仅是返回数据查询。事件变量用于跟踪规则的条件部分中正在使用的字段值。您可以使用单个事件、一段时间内的多个事件,关联单个值的来源(例如来自不同数据源的 $hostname),甚至可以使用正则表达式等工具来提供匹配项。请务必根据您自己的环境调整规则,这可以通过在逻辑中指定排除项来实现。您还可以使用参考列表将商品归为一组,然后在规则中引用该列表。请注意,Google SecOps 不需要针对每次检测都发出提醒。您可以出于多种目的跟踪检测结果,并仅针对您认为在您的环境中最为严重的问题发出提醒。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。