Fungsi metrik untuk aturan Analisis Risiko

Dokumen ini menjelaskan elemen utama fitur sintaksis YARA-L baru untuk Analisis Risiko. Untuk mengetahui informasi selengkapnya tentang YARA-L, lihat Sintaksis Bahasa YARA-L 2.0.

Fungsi metrik YARA-L

Google Security Operations mendukung sejumlah fungsi metrik, yang dapat menggabungkan data historis dalam jumlah besar.

Fungsi metrik hanya dapat digunakan di bagian hasil. Semua panggilan fungsi contoh mengasumsikan penggunaan dalam aturan multi-peristiwa.

Semua aturan yang menggunakan fungsi metrik otomatis dikategorikan sebagai aturan multi-peristiwa, meskipun tidak memiliki bagian kecocokan dan hanya menggunakan satu variabel peristiwa. Artinya, aturan ini akan dihitung dalam kuota aturan multi-peristiwa.

Parameter fungsi metrik

Fungsi metrik dapat digunakan untuk aturan yang melakukan analisis perilaku entitas.

Misalnya, aturan berikut memberi tahu Anda jumlah maksimum byte harian yang telah dikirim oleh alamat IP tertentu dalam sebulan terakhir. Alamat IP tertentu diwakili oleh variabel placeholder, $ip dalam contoh ini. Untuk mengetahui informasi selengkapnya tentang variabel placeholder, lihat Deklarasi variabel.

$max_bytes_per_day = max(metrics.network_bytes_outbound(
    period:1d, window:30d,
    metric:value_sum,
    agg:max,
    principal.asset.ip:$ip
))

Karena banyaknya argumen yang digunakan dalam fungsi ini, fungsi tersebut menggunakan parameter bernama, yang dapat ditentukan dalam urutan apa pun. Parameternya adalah sebagai berikut:

Periode

Durasi waktu untuk sekali pengamatan pada gabungan setiap peristiwa log. Satu-satunya nilai yang diizinkan adalah 1h dan 1d.

Jendela

Durasi waktu untuk masing-masing pengamatan digabungkan menjadi satu nilai, seperti rata-rata dan maksimum. Nilai yang diizinkan untuk window didasarkan pada periode metrik. Pemetaan yang valid adalah sebagai berikut:

period:1h : window:today

period:1d : window:30d

Misalnya, aturan berikut memberi tahu Anda jumlah upaya autentikasi gagal terbesar yang terlihat untuk pengguna tertentu (Alice) dalam satu hari tertentu, selama 30 hari terakhir:

$user = "alice"
$max_fail = max(metrics.auth_attempts_fail(
    period:1d, window:30d,
        metric:event_count_sum,
        agg:max,
        target.user.userid:$user
))

Kombinasi metrik per jam dan harian dapat digunakan untuk first-seen jenis deteksi. Misalnya, aturan berikut memberi tahu Anda apakah ini pertama kalinya pengguna login ke aplikasi ini:

events:
    $e.metadata.event_type = "USER_LOGIN"
    $e.security_result.action = "ALLOW"
    $userid = $e.target.user.userid
    $app = $e.target.application
match:
    // find events from now - 4h ago, which is the recommended look-back period
    $userid, $app over 4h
outcome:
    // check hourly analytics until daily analytics are available
    $first_seen_today = max(metrics.auth_attempts_success(
        period:1h, window:today, metric:first_seen, agg:max,
        target.user.userid:$userid, target.application:$app))
    $first_seen_monthly = max(metrics.auth_attempts_success(
        period:1d, window:30d, metric:first_seen, agg:max,
        target.user.userid:$userid, target.application:$app))
condition:
    $e and ($first_seen_today = 0) and ($first_seen_monthly = 0)

Metrik

Dalam setiap periode, setiap pengamatan memiliki sejumlah metrik terkait. Salah satu metrik ini harus dipilih untuk diagregasikan selama satu periode penuh. Lima jenis metric yang didukung:

event_count_sum—Jumlah peristiwa log unik dalam setiap periode.

first_seen—Stempel waktu pertama kali terlihat dari peristiwa log yang cocok dalam setiap periode.

last_seen—Stempel waktu terakhir terlihat dari peristiwa log yang cocok dalam setiap periode.

value_sum—Mewakili jumlah byte dalam semua peristiwa log yang digabungkan dalam jangka waktu tersebut. Anda hanya dapat menggunakan nilai ini untuk fungsi metrik dengan bytes dalam namanya.

num_unique_filter_values—Metrik yang tidak dihitung sebelumnya oleh Google SecOps, tetapi dapat dihitung selama eksekusi aturan. Lihat Metrik hitung unik untuk mengetahui detail dan persyaratan selengkapnya.

Agg

Agregasi mana yang diterapkan ke metrik. Agregasi diterapkan ke seluruh periode (misalnya, nilai harian tertinggi selama 30 hari terakhir). Nilai yang diizinkan adalah:

avg—Nilai rata-rata per periode. Ini adalah rata-rata statistik, yang tidak mencakup nilai nol.

max—Nilai terbesar per periode.

min—Nilai terkecil per periode.

num_metric_periods—Jumlah periode dalam jangka waktu yang memiliki nilai metrik bukan nol.

stddev—Simpangan baku nilai per periode. Ini adalah standar deviasi statistik yang tidak menyertakan nilai nol.

sum—Jumlah setiap nilai per periode, selama seluruh jendela.

Misalnya, aturan berikut memberi tahu Anda jumlah rata-rata upaya autentikasi yang gagal yang terlihat untuk pengguna tertentu (Alice) pada hari tertentu selama 30 hari terakhir:

$user = "alice"
$avg_fail = max(metrics.auth_attempts_fail(
        period:1d, window:30d,
        metric:event_count_sum,
        agg:avg,
        target.user.userid:$user
))

Aturan berikut memberi tahu Anda jumlah autentikasi berhasil yang dilakukan pengguna tertentu selama 30 hari terakhir:

$total_success = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:event_count_sum,
        agg:sum,
        target.user.userid:$user
))

Aturan berikut memberi tahu Anda apakah pengguna tertentu berhasil login setidaknya sekali selama 30 hari terakhir:

$days_success = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:event_count_sum,
        agg:num_metric_periods,
        target.user.userid:$user
))

Aturan berikut memberi tahu Anda kapan pertama kali atau terakhir kali pengguna tertentu berhasil login:

$first_seen = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:first_seen,
        agg:min,
        target.user.userid:$user
))
$last_seen = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:last_seen,
        agg:max,
        target.user.userid:$user
))

Aturan berikut memberi tahu Anda jumlah maksimum byte yang dikirim oleh pengguna dalam satu hari tertentu selama 30 hari terakhir:

$max_daily_bytes = max(metrics.network_bytes_outbound(
        period:1d, window:30d,
        metric:value_sum,
        agg:max,
        target.user.userid:$user
))

Filter

Filter memungkinkan metrik untuk difilter sebelum agregasi berdasarkan nilai di metrik yang sudah dikomputasi sebelumnya (lihat nilai di Metrik). Filter dapat berupa ekspresi peristiwa valid (satu baris di bagian peristiwa) yang tidak berisi kolom atau placeholder peristiwa. Satu-satunya variabel yang dapat disertakan dalam kondisi ini adalah jenis metrik.

Aturan berikut hanya menyertakan metrik dengan value_sum > 10 AND event_count_sum > 2:

$max_bytes_per_day = max(metrics.network_bytes_outbound(
    period:1d, window:30d,
    metric:value_sum,
    agg:max,
    principal.asset.ip:$ip
    filter:value_sum > 10 AND event_count_sum > 2
))

Contoh filter yang valid

filter:value_sum > 10 AND event_count_sum != 5
filter:event_count_sum = 100 OR event_count_sum > 1000
filter:timestamp.get_day_of_week(first_seen) = 3

Contoh filter yang tidak valid

// No placeholders in filter expressions.
filter:value_sum > $ph

// No event fields in filter expressions.
filter:event_count_sum + $e.field > 10

// No event fields in filter expressions.
filter:timestamp.subtract(first_seen, $e.metadata.timestamp)

Kolom UDM

Metrik difilter berdasarkan 1, 2, atau 3 kolom UDM, bergantung pada fungsinya. Untuk mengetahui informasi selengkapnya, lihat Fungsi.

Jenis kolom UDM berikut digunakan untuk fungsi metrik:

• Dimensi—(Wajib) Kombinasi yang berbeda tercantum dalam dokumentasi ini. Anda tidak dapat menggabungkan metrik dengan nilai default ("" untuk string dan 0 untuk int).
• Namespace—(Opsional) Anda hanya dapat menggunakan namespace untuk entitas yang Anda tentukan dalam dimensi. Misalnya, jika Anda menggunakan principal.asset.hostname filter, Anda juga dapat menggunakan principal.namespace filter. Jika Anda tidak menyertakan filter namespace, data di semua namespace akan diagregasikan bersama. Anda dapat menggunakan nilai default sebagai filter namespace.

Penghitungan jendela

Google Security Operations menghitung metrik menggunakan jendela metrik harian atau per jam.

Periode harian

Semua jendela harian, seperti 30d, ditentukan dengan cara yang sama. Google Security Operations menggunakan data metrik terbaru yang tersedia yang telah dibuat dan tidak tumpang-tindih dengan rentang waktu aturan. Penghitungan metrik harian dapat memerlukan waktu hingga 6 jam dan tidak akan dimulai hingga akhir hari dalam UTC. Data metrik untuk hari sebelumnya akan tersedia pada atau sebelum pukul 06.00 UTC setiap hari.

Misalnya, untuk aturan yang berjalan di atas data peristiwa dari 31-10-2023 4.00 UTC hingga 31-10-2023 7.00 UTC, metrik harian untuk 31-10-2023 kemungkinan telah dibuat, sehingga penghitungan metrik akan menggunakan data dari 01-10-2023 hingga 30-10-2023 (inklusif). Sedangkan untuk aturan yang berjalan pada data peristiwa dari 31-10-2023 01.00 UTC hingga 31-10-2023 03.00 UTC, metrik harian untuk 30-10-2023 kemungkinan belum dibuat, sehingga penghitungan metrik akan menggunakan data dari 30-09-2023 hingga 29-10-2023 (inklusif).

Periode today jam

Jendela metrik per jam dihitung secara berbeda dari jendela untuk metrik harian. Periode metrik per jam today bukan ukuran statis seperti periode 30d untuk metrik harian. Rentang waktu metrik per jam today diisi dengan data sebanyak mungkin antara akhir rentang waktu harian dan awal rentang waktu aturan.

Misalnya, untuk aturan yang berjalan di data peristiwa dari 31-10-2023 4.00.00 UTC hingga 31-10-2023 7.00.00 UTC, penghitungan metrik harian akan menggunakan data dari 01-10-2023 hingga 30-10-2023 (inklusif) dan jendela metrik per jam akan menggunakan data dari 31-10-2023 00.00.00 UTC hingga 31-10-2023 4.00.00 UTC.

Metrik Jumlah Unik

Ada jenis metrik khusus num_unique_filter_values yang tidak dihitung sebelumnya oleh Google SecOps dan dihitung selama eksekusi aturan. Hal ini dilakukan dengan menggabungkan dimensi yang ada dalam metrik yang sudah dikomputasi sebelumnya. Misalnya, metrik daily total count of distinct countries that a user attempted to authenticate di dapat diperoleh dari metrik auth_attempts_total yang telah dikomputasi sebelumnya pada dimensi target.user.userid dan principal.ip_geo_artifact.location.country_or_region dengan melakukan agregasi jumlah unik pada dimensi terakhir.

Contoh aturan berikut menghitung metrik unik:

$outcome_variable = max(metrics.auth_attempts_total(
    period: 1d,
    window: 30d,
    // This metric type indicates any filter with a wildcard value should be
    // aggregated over each day to produce a new metric on-the-fly.
    metric: num_unique_filter_values,
    agg: max,
    target.user.userid: $userid,
    // Filter whose value should be counted over each day to produce the
    // num_unique_filter_values metric.
    principal.ip_geo_artifact.location.country_or_region: *
))

Fitur ini memiliki batasan berikut:

• Penghitungan jumlah metrik unik hanya dapat diagregasi melalui dimensi 1 filter. Hal ini ditunjukkan dengan menggunakan token karakter pengganti * sebagai nilai filter.

Functions

Bagian ini mencakup dokumentasi tentang fungsi metrik spesifik yang didukung oleh Google Security Operations.

Peristiwa Pemberitahuan

metrics.alert_event_name_count melakukan pra-komputasi nilai historis untuk peristiwa UDM yang telah menghasilkan pemberitahuan dari Carbon Black, CrowdStrike Falcon, Microsoft Graph API Alerts, atau Microsoft Sentinel.

Upaya Autentikasi

metrics.auth_attempts_total melakukan prakomputasi nilai historis untuk peristiwa UDM dengan USER_LOGIN event type.

metrics.auth_attempts_success lebih lanjut mewajibkan peristiwa memiliki setidaknya satu SecurityResult.Action dari ALLOW.

metrics.auth_attempts_fail justru mengharuskan tidak ada satu pun SecurityResult.Actions yang ALLOW.

DNS Bytes Outbound

metrics.dns_bytes_outbound melakukan pra-komputasi nilai historis untuk peristiwa UDM dengan network.sent_bytes lebih besar dari 0, dan port target adalah 53/udp, 53/tcp, atau 3000/tcp. network.sent_bytes tersedia sebagai value_sum.

Kueri DNS

metrics.dns_queries_total melakukan pra-penghitungan nilai historis untuk peristiwa UDM yang memiliki nilai di network.dns.id.

metrics.dns_queries_success selanjutnya mengharuskan network.dns.response_code adalah 0 (NoError).

metrics.dns_queries_fail hanya mempertimbangkan peristiwa dengan network.dns.response_code lebih besar dari 0.

Eksekusi File

metrics.file_executions_total melakukan pra-komputasi nilai historis untuk peristiwa UDM dengan PROCESS_LAUNCH event type.

metrics.file_executions_success selanjutnya mewajibkan agar acara memiliki setidaknya satu SecurityResult.Action dari ALLOW.

metrics.file_executions_fail justru mengharuskan tidak ada satu pun SecurityResult.Actions yang ALLOW.

Kueri HTTP

metrics.http_queries_total melakukan pra-penghitungan nilai historis untuk peristiwa UDM yang memiliki nilai di network.http.method.

metrics.http_queries_success selanjutnya mewajibkan network.http.response_code kurang dari 400.

metrics.http_queries_fail hanya mempertimbangkan peristiwa dengan network.http.response_code lebih besar dari atau sama dengan 400.

Byte Jaringan

metrics.network_bytes_inbound melakukan pra-komputasi nilai historis untuk peristiwa UDM yang memiliki nilai bukan nol untuk network.received_bytes, dan membuat kolom tersebut tersedia sebagai value_sum.

metrics.network_bytes_outbound memerlukan nilai bukan nol untuk network.sent_bytes, dan membuat kolom tersebut tersedia sebagai value_sum.

metrics.network_bytes_total mempertimbangkan peristiwa yang memiliki nilai selain nol untuk network.received_bytes atau network.sent_bytes (atau keduanya), dan membuat jumlah kedua kolom tersebut tersedia sebagai value_sum.

Pembuatan Resource

metrics.resource_creation_total melakukan pra-penghitungan nilai historis untuk peristiwa UDM dengan event type RESOURCE_CREATION atau event type USER_RESOURCE_CREATION.

Untuk daftar jenis peristiwa yang setara, lihat Jenis Peristiwa Metadata

metrics.resource_creation_success selanjutnya mengharuskan peristiwa memiliki setidaknya satu SecurityResult.Action dari ALLOW.

Penghapusan Resource

metrics.resource_deletion_success melakukan pra-penghitungan nilai historis untuk peristiwa UDM dengan RESOURCE_DELETION event type dan selanjutnya mensyaratkan bahwa peristiwa memiliki setidaknya satu SecurityResult.Actions dari ALLOW.

Membaca Resource

metrics.resource_read_success melakukan pra-penghitungan nilai historis untuk peristiwa UDM dengan RESOURCE_READ event type dan selanjutnya mensyaratkan bahwa peristiwa memiliki setidaknya satu SecurityResult.Action dari ALLOW.

metrics.resource_read_fail justru mengharuskan tidak ada satu pun SecurityResult.Actions yang ALLOW.

Batasan

Saat membuat aturan YARA-L dengan metrik, perhatikan batasan berikut:

• Anda tidak dapat menggabungkan metrik dengan nilai default ("" untuk string dan 0 untuk int).
• Nilai default:
  • Jika tidak ada data metrik yang sesuai dengan peristiwa, nilai yang ditampilkan dari fungsi metrik adalah 0.
  • Jika ada peristiwa dalam deteksi yang tidak memiliki data metrik, penggunaan min untuk menggabungkan fungsi dapat menampilkan 0.
  • Untuk memeriksa apakah ada data untuk suatu peristiwa, Anda dapat menggunakan agregasi metrik num_metric_periods pada peristiwa yang sama dengan filter yang sama.
• Fungsi metrik hanya dapat digunakan di bagian hasil.
• Karena fungsi metrik hanya digunakan di bagian hasil, fungsi tersebut harus digabungkan seperti nilai lainnya dalam aturan dengan bagian kecocokan.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.