Messwertfunktionen für Risk Analytics-Regeln

In diesem Dokument werden die wichtigsten Elemente der neuen YARA-L-Syntaxfunktionen für Risk Analytics beschrieben. Weitere Informationen zu YARA-L finden Sie unter YARA-L 2.0-Sprachsyntax.

YARA-L-Messwertfunktionen

Google Security Operations unterstützt eine Reihe von Messwertfunktionen, mit denen große Mengen an Verlaufsdaten zusammengefasst werden können.

Die Messwertfunktion kann nur im Ergebnisbereich verwendet werden. Bei allen Beispielen für Funktionsaufrufe wird davon ausgegangen, dass sie in einer Regel mit mehreren Ereignissen verwendet werden.

Alle Regeln, für die die Messwertfunktion verwendet wird, werden automatisch als Regeln mit mehreren Ereignissen kategorisiert, auch wenn sie keinen Abgleichabschnitt haben und nur eine Ereignisvariable verwenden. Sie werden also auf das Kontingent für Regeln mit mehreren Ereignissen angerechnet.

Parameter von Messwertfunktionen

Die Messwertfunktionen können für Regeln verwendet werden, mit denen das Verhalten von Einheiten analysiert wird.

Die folgende Regel gibt beispielsweise die maximale Anzahl der täglichen Byte an, die eine bestimmte IP-Adresse im letzten Monat gesendet hat. Die spezifische IP-Adresse wird durch eine Platzhaltervariable dargestellt, in diesem Beispiel $ip. Weitere Informationen zu Platzhaltervariablen finden Sie unter Variablendeklarationen.

$max_bytes_per_day = max(metrics.network_bytes_outbound(
    period:1d, window:30d,
    metric:value_sum,
    agg:max,
    principal.asset.ip:$ip
))

Aufgrund der großen Anzahl von Argumenten, die in diesen Funktionen verwendet werden, werden benannte Parameter verwendet, die in beliebiger Reihenfolge angegeben werden können. Die Parameter sind:

Zeitraum

Die Dauer, in der einzelne Log-Ereignisse in eine einzelne Beobachtung kombiniert werden. Die einzigen zulässigen Werte sind 1h und 1d.

Fenster

Die Dauer, in der einzelne Beobachtungen in einen einzigen Wert zusammengefasst werden, wie Durchschnitt und Maximum. Die zulässigen Werte für window basieren auf dem Zeitraum des Messwerts. Die gültige Zuordnung sieht so aus:

period:1h: window:today

period:1d: window:30d

Die folgende Regel gibt beispielsweise die höchste Anzahl fehlgeschlagener Authentifizierungsversuche an, die für einen bestimmten Nutzer (Alice) an einem bestimmten Tag in den letzten 30 Tagen beobachtet wurden:

$user = "alice"
$max_fail = max(metrics.auth_attempts_fail(
    period:1d, window:30d,
        metric:event_count_sum,
        agg:max,
        target.user.userid:$user
))

Für first-seen-Erkennungstypen kann eine Kombination aus einem stündlichen und einem täglichen Messwert verwendet werden. Die folgende Regel gibt beispielsweise an, ob sich ein Nutzer zum ersten Mal in dieser Anwendung angemeldet hat:

events:
    $e.metadata.event_type = "USER_LOGIN"
    $e.security_result.action = "ALLOW"
    $userid = $e.target.user.userid
    $app = $e.target.application
match:
    // find events from now - 4h ago, which is the recommended look-back period
    $userid, $app over 4h
outcome:
    // check hourly analytics until daily analytics are available
    $first_seen_today = max(metrics.auth_attempts_success(
        period:1h, window:today, metric:first_seen, agg:max,
        target.user.userid:$userid, target.application:$app))
    $first_seen_monthly = max(metrics.auth_attempts_success(
        period:1d, window:30d, metric:first_seen, agg:max,
        target.user.userid:$userid, target.application:$app))
condition:
    $e and ($first_seen_today = 0) and ($first_seen_monthly = 0)

Messwert

Innerhalb jedes Zeitraums hat jede Beobachtung eine Anzahl von Messwerten, die mit ihr verknüpft werden. Einer dieser Messwerte muss für die Zusammenfassung über das gesamte Fenster ausgewählt werden. Fünf metric-Typen werden unterstützt:

event_count_sum: Anzahl der eindeutigen Log-Ereignisse in jedem Zeitraum.

first_seen: Zeitstempel des ersten passenden Log-Ereignisses im jeweiligen Zeitraum.

last_seen: Zeitstempel des letzten passenden Log-Ereignisses im jeweiligen Zeitraum.

value_sum: Summe der Anzahl der Byte in allen Logereignissen im Zeitraum. Sie können diesen Wert nur für eine Messwertfunktion mit bytes im Namen verwenden.

num_unique_filter_values: Messwert, der nicht von Google SecOps vorab berechnet wird, sondern während der Regelausführung berechnet werden kann. Weitere Informationen und Anforderungen finden Sie unter Messwerte vom Typ „Eindeutige Anzahl“.

Agg

Welche Aggregation auf den Messwert angewendet wird. Zusammenfassungen werden über das gesamte Fenster angewendet, z.B. der höchste Tageswert in den letzten 30 Tagen. Zulässige Werte:

avg: Durchschnittswert pro Zeitraum. Dies ist ein statistischer Mittelwert, der keine Werte von null enthält.

max: Größter Wert pro Zeitraum.

min: Kleinster Wert pro Zeitraum.

num_metric_periods: Anzahl der Zeiträume im Zeitfenster mit einem Messwert ungleich null.

stddev: Standardabweichung des Werts pro Zeitraum. Dies ist eine statistische Standardabweichung, die keine Nullwerte enthält.

sum: Summe der einzelnen Werte pro Zeitraum über den gesamten Zeitraum.

Die folgende Regel gibt beispielsweise die durchschnittliche Anzahl fehlgeschlagener Authentifizierungsversuche für einen bestimmten Nutzer (Alice) an einem beliebigen Tag in den letzten 30 Tagen an:

$user = "alice"
$avg_fail = max(metrics.auth_attempts_fail(
        period:1d, window:30d,
        metric:event_count_sum,
        agg:avg,
        target.user.userid:$user
))

Die folgende Regel gibt an, wie viele erfolgreiche Authentifizierungen ein bestimmter Nutzer in den letzten 30 Tagen hatte:

$total_success = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:event_count_sum,
        agg:sum,
        target.user.userid:$user
))

Die folgende Regel gibt an, ob sich ein bestimmter Nutzer in den letzten 30 Tagen mindestens einmal erfolgreich angemeldet hat:

$days_success = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:event_count_sum,
        agg:num_metric_periods,
        target.user.userid:$user
))

Die folgende Regel gibt an, wann sich ein bestimmter Nutzer zum ersten oder letzten Mal erfolgreich angemeldet hat:

$first_seen = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:first_seen,
        agg:min,
        target.user.userid:$user
))
$last_seen = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:last_seen,
        agg:max,
        target.user.userid:$user
))

Die folgende Regel gibt die maximale Anzahl von Byte an, die ein Nutzer an einem beliebigen Tag in den letzten 30 Tagen gesendet hat:

$max_daily_bytes = max(metrics.network_bytes_outbound(
        period:1d, window:30d,
        metric:value_sum,
        agg:max,
        target.user.userid:$user
))

Filter

Mit Filtern können Messwerte vor der Zusammenfassung nach einem Wert im vorberechneten Messwert gefiltert werden (siehe Werte unter Messwert). Filter können beliebige gültige Ereignisausdrücke (eine einzelne Zeile im Ereignisbereich) sein, die keine Ereignisfelder oder Platzhalter enthalten. In dieser Bedingung können nur Messwerttypen enthalten sein.

Die folgende Regel enthält nur Messwerte, für die value_sum > 10 AND event_count_sum > 2 gilt:

$max_bytes_per_day = max(metrics.network_bytes_outbound(
    period:1d, window:30d,
    metric:value_sum,
    agg:max,
    principal.asset.ip:$ip
    filter:value_sum > 10 AND event_count_sum > 2
))

Gültige Beispiele für Filter

filter:value_sum > 10 AND event_count_sum != 5
filter:event_count_sum = 100 OR event_count_sum > 1000
filter:timestamp.get_day_of_week(first_seen) = 3

Beispiele für ungültige Filter

// No placeholders in filter expressions.
filter:value_sum > $ph

// No event fields in filter expressions.
filter:event_count_sum + $e.field > 10

// No event fields in filter expressions.
filter:timestamp.subtract(first_seen, $e.metadata.timestamp)

UDM-Felder

Ein Messwert wird je nach Funktion nach 1, 2 oder 3 UDM-Feldern gefiltert. Weitere Informationen finden Sie unter Funktionen.

Die folgenden Arten von UDM-Feldern werden für Messwertfunktionen verwendet:

• Dimensionen: (Erforderlich) In dieser Dokumentation sind verschiedene Kombinationen aufgeführt. Sie können keinen Messwert mit einem Standardwert ("" für String und 0 für Int) verknüpfen.
• Namespaces: Optional. Sie können Namespaces nur für Entitäten verwenden, die Sie in Dimensionen angeben. Wenn Sie beispielsweise principal.asset.hostname filter verwenden, können Sie auch principal.namespace filter verwenden. Wenn Sie keinen Namespace-Filter einfügen, werden die Daten aus allen Namespaces zusammengefasst. Sie können einen Standardwert als Namespace-Filter verwenden.

Berechnungen für Zeiträume

Google Security Operations berechnet Messwerte entweder mit einem täglichen oder stündlichen Messwertzeitraum.

Tägliche Fenster

Alle täglichen Zeiträume, z. B. 30d, werden auf dieselbe Weise bestimmt. Google Security Operations verwendet die neuesten verfügbaren Messwertdaten, die generiert wurden und sich nicht mit dem Zeitbereich der Regel überschneiden. Die Berechnung der täglichen Messwerte kann bis zu 6 Stunden dauern und beginnt erst am Ende des Tages in UTC. Messwertdaten für den Vortag sind täglich um 6:00 Uhr UTC oder früher verfügbar.

Wenn eine Regel beispielsweise für Ereignisdaten vom 31.10.2023, 4:00 Uhr UTC bis zum 31.10.2023, 7:00 Uhr UTC ausgeführt wird, sind die täglichen Messwerte für den 31.10.2023 wahrscheinlich bereits generiert. Für die Messwertberechnung werden dann die Daten vom 01.10.2023 bis zum 30.10.2023 (einschließlich) verwendet. Bei einer Regel, die für Ereignisdaten vom 31.10.2023, 1:00 Uhr UTC bis zum 31.10.2023, 3:00 Uhr UTC ausgeführt wird, sind die täglichen Messwerte für den 30.10.2023 wahrscheinlich noch nicht generiert. Für die Messwertberechnung werden daher die Daten vom 30.09.2023 bis zum 29.10.2023 (einschließlich) verwendet.

Stündliches today-Fenster

Das Zeitfenster für stündliche Messwerte wird anders berechnet als das für tägliche Messwerte. Das stündliche Messwertfenster von today hat keine statische Größe wie das 30d-Fenster für tägliche Messwerte. Das stündliche Messwertfenster today füllt so viele Daten wie möglich zwischen dem Ende des täglichen Fensters und dem Beginn des Zeitfensters der Regel ein.

Bei einer Regel, die für Ereignisdaten vom 31.10.2023, 04:00:00 Uhr UTC bis zum 31.10.2023, 07:00:00 Uhr UTC ausgeführt wird, werden für die Berechnung der täglichen Messwerte die Daten vom 01.10.2023 bis zum 30.10.2023 (einschließlich) verwendet. Für das Fenster mit stündlichen Messwerten werden die Daten vom 31.10.2023, 00:00:00 Uhr UTC bis zum 31.10.2023, 04:00:00 Uhr UTC verwendet.

Messwerte für eindeutige Nutzer zählen

Es gibt einen speziellen Messwerttyp num_unique_filter_values, der nicht von Google SecOps vorab berechnet, sondern während der Ausführung einer Regel berechnet wird. Dazu wird ein vorberechneter Messwert nach einer vorhandenen Dimension zusammengefasst. Der Messwert daily total count of distinct countries that a user attempted to authenticate kann beispielsweise aus dem vorberechneten Messwert auth_attempts_total für die Dimensionen target.user.userid und principal.ip_geo_artifact.location.country_or_region abgeleitet werden, indem eine „count unique“-Zusammenfassung für die letztere Dimension durchgeführt wird.

Mit der folgenden Beispielregel werden eindeutige Messwerte gezählt:

$outcome_variable = max(metrics.auth_attempts_total(
    period: 1d,
    window: 30d,
    // This metric type indicates any filter with a wildcard value should be
    // aggregated over each day to produce a new metric on-the-fly.
    metric: num_unique_filter_values,
    agg: max,
    target.user.userid: $userid,
    // Filter whose value should be counted over each day to produce the
    // num_unique_filter_values metric.
    principal.ip_geo_artifact.location.country_or_region: *
))

Diese Funktion weist die folgende Einschränkung auf:

• Die Anzahl der eindeutigen Messwerte kann nur über eine Filterdimension aggregiert werden. Dies wird durch die Verwendung des Platzhalter-Tokens * als Filterwert angegeben.

Funktionen

Dieser Abschnitt enthält Dokumentation zu den spezifischen Messwertfunktionen, die von Google Security Operations unterstützt werden.

Benachrichtigungsereignisse

metrics.alert_event_name_count berechnet historische Werte für UDM-Ereignisse vor, für die Warnungen von Carbon Black, CrowdStrike Falcon, Microsoft Graph API Alerts oder Microsoft Sentinel generiert wurden.

Authentifizierungsversuche

metrics.auth_attempts_total berechnet historische Werte für UDM-Ereignisse mit einem USER_LOGIN event type vor.

metrics.auth_attempts_success setzt außerdem voraus, dass das Ereignis mindestens eine SecurityResult.Action von ALLOW hatte.

Für metrics.auth_attempts_fail darf keines der SecurityResult.Actions ALLOW sein.

Ausgehende DNS-Bytes

metrics.dns_bytes_outbound berechnet historische Werte für UDM-Ereignisse vor, bei denen network.sent_bytes größer als 0 ist und der Zielport 53/udp, 53/tcp oder 3000/tcp ist. network.sent_bytes ist als value_sum verfügbar.

DNS-Abfragen

metrics.dns_queries_total berechnet historische Werte für UDM-Ereignisse vor, die einen Wert in network haben.dns.id.

metrics.dns_queries_success erfordert außerdem, dass die network.dns.response_code war 0 (NoError).

Bei metrics.dns_queries_fail werden nur Ereignisse mit einem network berücksichtigt.dns.response_code größer als 0.

Dateiausführungen

metrics.file_executions_total berechnet historische Werte für UDM-Ereignisse mit einem PROCESS_LAUNCH event type vor.

Für metrics.file_executions_success ist außerdem erforderlich, dass das Ereignis mindestens eine SecurityResult.Action von ALLOW hatte.

Für metrics.file_executions_fail muss keines der SecurityResult.Actions ALLOW sein.

HTTP-Abfragen

metrics.http_queries_total berechnet historische Werte für UDM-Ereignisse vor, die einen Wert in network haben.http.method.

metrics.http_queries_success erfordert außerdem, dass network.http.response_code ist kleiner als 400.

Bei metrics.http_queries_fail werden nur Ereignisse mit einem network berücksichtigt.http.response_code ist größer als oder gleich 400.

Netzwerk-Byte

metrics.network_bytes_inbound berechnet im Voraus historische Werte für UDM-Ereignisse, die einen Wert ungleich null für network haben.received_bytes Das Feld ist dann als value_sum verfügbar.

metrics.network_bytes_outbound erfordert einen Wert ungleich null für networksent_bytes und macht dieses Feld als value_sum verfügbar.

Bei metrics.network_bytes_total werden Ereignisse berücksichtigt, die einen Wert ungleich null für network.received_bytes oder network.sent_bytes (oder beides) haben. Die Summe dieser beiden Felder ist als value_sum verfügbar.

Ressourcen erstellen

metrics.resource_creation_total berechnet historische Werte für UDM-Ereignisse mit einem RESOURCE_CREATION event type oder einem USER_RESOURCE_CREATION event type vor.

Eine Liste der entsprechenden Ereignistypen finden Sie unter Metadaten-Ereignistypen.

metrics.resource_creation_success erfordert außerdem, dass das Ereignis mindestens eine SecurityResult.Action von ALLOW hat.

Ressourcen löschen

metrics.resource_deletion_success berechnet historische Werte für UDM-Ereignisse mit einem RESOURCE_DELETION event type vor und erfordert außerdem, dass das Ereignis mindestens einen SecurityResult.Actions von ALLOW hat.

Ressource lesen

metrics.resource_read_success berechnet historische Werte für UDM-Ereignisse mit einem RESOURCE_READ event type vor und erfordert außerdem, dass das Ereignis mindestens einen SecurityResult.Action von ALLOW hat.

Für metrics.resource_read_fail darf keines der SecurityResult.Actions ALLOW sein.

Beschränkungen

Beachten Sie beim Erstellen von YARA-L-Regeln mit Messwerten die folgenden Einschränkungen:

• Sie können keinen Messwert mit einem Standardwert ("" für String und 0 für Integer) verknüpfen.
• Standardwerte:
  • Wenn keine Messwertdaten für ein Ereignis vorhanden sind, ist der zurückgegebene Wert der Messwertfunktion 0.
  • Wenn in der Erkennung ein Ereignis ohne Messwertdaten vorhanden ist, kann die Aggregation über die Funktion mit min den Wert 0 zurückgeben.
  • Wenn Sie prüfen möchten, ob Daten für ein Ereignis vorhanden sind, können Sie die num_metric_periods-Aggregation für dieses Ereignis mit denselben Filtern verwenden.
• Messwertfunktionen können nur im Ergebnisabschnitt verwendet werden.
• Da Messwertfunktionen nur im Ergebnisabschnitt verwendet werden, müssen sie wie alle anderen Werte in Regeln mit einem Abgleichsabschnitt aggregiert werden.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten