Esta página se ha traducido con Cloud Translation API.

Descripción general de Analíticas de riesgos de la categoría UEBA

Disponible en:

SecOps de Google SIEM

En este documento se ofrece una descripción general de los conjuntos de reglas de la categoría Analíticas de riesgos para UEBA, los datos necesarios y la configuración que puede usar para ajustar las alertas generadas por cada conjunto de reglas. Estos conjuntos de reglas ayudan a identificar amenazas en entornos que usan datos de Google CloudGoogle Cloud .

Descripciones de conjuntos de reglas

Los siguientes conjuntos de reglas están disponibles en la categoría Analíticas de riesgos de UEBA y se agrupan por el tipo de patrones detectados:

Autenticación

Nuevo inicio de sesión de un usuario en un dispositivo: un usuario ha iniciado sesión en un dispositivo nuevo.
Eventos de autenticación anómalos por usuario: una sola entidad de usuario ha tenido eventos de autenticación anómalos recientemente, en comparación con el uso histórico.
Autenticaciones fallidas por dispositivo: una sola entidad de dispositivo ha tenido muchos intentos de inicio de sesión fallidos recientemente, en comparación con el uso histórico.
Autenticaciones fallidas por usuario: una entidad de un solo usuario ha tenido muchos intentos de inicio de sesión fallidos recientemente, en comparación con el uso histórico.

Análisis del tráfico de red

Bytes de entrada anómalos por dispositivo: cantidad significativa de datos subidos recientemente a una sola entidad de dispositivo en comparación con el uso histórico.
Bytes salientes anómalos por dispositivo: cantidad significativa de datos descargados recientemente de una sola entidad de dispositivo en comparación con el uso histórico.
Bytes totales anómalos por dispositivo: una entidad de dispositivo ha subido y descargado recientemente una cantidad significativa de datos en comparación con el uso histórico.
Bytes de entrada anómalos por usuario: una entidad de un solo usuario ha descargado recientemente una cantidad significativa de datos en comparación con el uso histórico.
Bytes totales anómalos por usuario: una entidad de usuario ha subido y descargado recientemente una cantidad significativa de datos en comparación con el uso histórico.
Fuerza bruta y, a continuación, inicio de sesión correcto por parte del usuario: una entidad de un solo usuario de una dirección IP ha intentado autenticarse varias veces en una aplicación determinada sin éxito antes de iniciar sesión correctamente.

Detecciones basadas en grupos de empresas similares

Inicios de sesión anómalos o excesivos de un usuario recién creado: actividad de autenticación anómala o excesiva de un usuario creado recientemente. Usa la hora de creación de los datos de contexto de AD.
Acciones sospechosas anómalas o excesivas de un usuario recién creado: actividad anómala o excesiva (incluida, entre otras, la telemetría HTTP, la ejecución de procesos y la modificación de grupos) de un usuario creado recientemente. Usa la hora de creación de los datos de contexto de AD.

Acciones sospechosas

Creación excesiva de cuentas por dispositivo: una entidad de dispositivo ha creado varias cuentas de usuario nuevas.
Alertas excesivas por usuario: se ha informado de un gran número de alertas de seguridad de un antivirus o un dispositivo de endpoint (por ejemplo, se ha bloqueado la conexión o se ha detectado malware) sobre una entidad de usuario, que era mucho mayor que los patrones históricos. Se trata de eventos en los que el campo security_result.action de UDM tiene el valor BLOCK.

Detecciones basadas en la prevención de la pérdida de datos

Procesos anómalos o excesivos con funciones de filtración de datos: actividad anómala o excesiva de procesos asociados a funciones de filtración de datos, como registradores de pulsaciones de teclas, capturas de pantalla y acceso remoto. Esto usa el enriquecimiento de metadatos de archivos de VirusTotal.

Datos necesarios para la categoría UEBA de Risk Analytics

En esta sección se detallan los datos que necesita cada categoría de conjunto de reglas para ofrecer un rendimiento óptimo. Aunque las detecciones de UEBA están diseñadas para funcionar con todos los analizadores predeterminados admitidos, el uso de los siguientes tipos de datos específicos maximiza sus ventajas. Para ver una lista completa de los analizadores predeterminados admitidos, consulta Tipos de registros y analizadores predeterminados admitidos.

Autenticación

Para usar cualquiera de estos conjuntos de reglas, recoge datos de registro de Azure AD Directory Audit (AZURE_AD_AUDIT) o de Eventos de Windows (WINEVTLOG).

Análisis del tráfico de red

Para usar cualquiera de estos conjuntos de reglas, recoge datos de registro que capturen la actividad de la red. Por ejemplo, desde dispositivos como FortiGate (FORTINET_FIREWALL), Check Point (CHECKPOINT_FIREWALL), Zscaler (ZSCALER_WEBPROXY), CrowdStrike Falcon (CS_EDR) o Carbon Black (CB_EDR).

Detecciones basadas en grupos de empresas similares

Para usar cualquiera de estos conjuntos de reglas, recoge datos de registro de Azure AD Directory Audit (AZURE_AD_AUDIT) o de Eventos de Windows (WINEVTLOG).

Acciones sospechosas

Cada conjunto de reglas de este grupo usa un tipo de datos diferente.

Regla de creación excesiva de cuentas por dispositivo

Para usar este conjunto de reglas, recopila datos de registro de Azure AD Directory Audit (AZURE_AD_AUDIT) o de eventos de Windows (WINEVTLOG).

Conjunto de reglas de alertas excesivas por usuario

Para usar este conjunto de reglas, recopila datos de registro que capturen actividades de endpoints o datos de auditoría, como los registrados por CrowdStrike Falcon (CS_EDR), Carbon Black (CB_EDR) o Auditoría de directorio de Azure AD (AZURE_AD_AUDIT).

Detecciones basadas en la prevención de la pérdida de datos

Para usar cualquiera de estos conjuntos de reglas, recoge datos de registro que capturen actividades de procesos y archivos, como los registrados por CrowdStrike Falcon (CS_EDR), Carbon Black (CB_EDR) o SentinelOne EDR (SENTINEL_EDR).

Los conjuntos de reglas de esta categoría dependen de eventos con los siguientes valores de metadata.event_type: PROCESS_LAUNCH, PROCESS_OPEN y PROCESS_MODULE_LOAD.

Ajustar las alertas devueltas por los conjuntos de reglas de esta categoría

Puedes reducir el número de detecciones que genera una regla o un conjunto de reglas mediante exclusiones de reglas.

Una exclusión de regla define los criterios que se utilizan para excluir un evento de la evaluación del conjunto de reglas o de reglas específicas del conjunto de reglas. Crea una o varias exclusiones de reglas para reducir el volumen de detecciones. Consulta Configurar exclusiones de reglas para obtener información sobre cómo hacerlo.

Ejemplo de una regla de analíticas de riesgos para la categoría UEBA

En el siguiente ejemplo se muestra cómo crear una regla para generar detecciones en cualquier nombre de host de entidad cuya puntuación de riesgo sea superior a 100:

rule EntityRiskScore {
  meta:
  events:
    $e1.principal.hostname != ""
    $e1.principal.hostname = $hostname

    $e2.graph.entity.hostname = $hostname
    $e2.graph.risk_score.risk_window_size.seconds = 86400 // 24 hours
    $e2.graph.risk_score.risk_score >= 100

    // Run deduplication across the risk score.
    $rscore = $e2.graph.risk_score.risk_score

  match:
    // Dedup on hostname and risk score across a 4 hour window.
    $hostname, $rscore over 4h

  outcome:
    // Force these risk score based rules to have a risk score of zero to
    // prevent self feedback loops.
    $risk_score = 0

  condition:
    $e1 and $e2
}

Esta regla de ejemplo también realiza una deduplicación automática mediante la sección match. Si se puede activar una detección de reglas, pero el nombre de host y la puntuación de riesgo no cambian en un periodo de 4 horas, no se crearán nuevas detecciones.

Los únicos periodos de riesgo posibles para las reglas de puntuación de riesgo de entidades son 24 horas o 7 días (86.400 o 604.800 segundos, respectivamente). Si no incluye el tamaño de la ventana de riesgo en la regla, esta devolverá resultados imprecisos.

Los datos de puntuación de riesgo de la entidad se almacenan por separado de los datos de contexto de la entidad. Para usar ambos en una regla, esta debe tener dos eventos de entidad independientes, uno para el contexto de la entidad y otro para la puntuación de riesgo de la entidad, como se muestra en el siguiente ejemplo:

rule EntityContextAndRiskScore {
  meta:
  events:
    $log_in.metadata.event_type = "USER_LOGIN"
    $log_in.principal.hostname = $host

    $context.graph.entity.hostname = $host
    $context.graph.metadata.entity_type = "ASSET"

    $risk_score.graph.entity.hostname = $host
    $risk_score.graph.risk_score.risk_window_size.seconds = 604800

  match:
    $host over 2m

  outcome:
    $entity_risk_score = max($risk_score.graph.risk_score.normalized_risk_score)

  condition:
    $log_in and $context and $risk_score and $entity_risk_score > 100
}

Siguientes pasos

Investigar los riesgos con el panel de control de analíticas de riesgos

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.