Descripción general de Risk Analytics para la categoría de UEBA

En este documento, se proporciona una descripción general de los conjuntos de reglas en la categoría de Risk Analytics para UEBA, los datos requeridos y la configuración que puedes usar para ajustar las alertas que genera cada conjunto de reglas. Estos conjuntos de reglas ayudan a identificar amenazas en entornos de Google Cloudcon datos de Google Cloud .

Descripciones de los conjuntos de reglas

Los siguientes conjuntos de reglas están disponibles en la categoría Análisis de riesgo para UEBA y se agrupan según el tipo de patrones detectados:

Autenticación

• New Login by User to Device: Un usuario accedió a un dispositivo nuevo.
• Anomalous Authentication Events by User: Una sola entidad de usuario tuvo eventos de autenticación anómalos recientemente, en comparación con el uso histórico.
• Failed Authentications by Device: Una entidad de un solo dispositivo tuvo muchos intentos de acceso fallidos recientemente, en comparación con el uso histórico.
• Failed Authentications by User: Una entidad de un solo usuario tuvo muchos intentos de acceso fallidos recientemente, en comparación con el uso histórico.

Análisis del tráfico de red

• Bytes entrantes anómalos por dispositivo: Se subió una cantidad significativa de datos recientemente a una sola entidad de dispositivo, en comparación con el uso histórico.
• Anomalous Outbound Bytes by Device: Se descargó una cantidad significativa de datos recientemente desde una sola entidad de dispositivo, en comparación con el uso histórico.
• Total de bytes anómalos por dispositivo: Una entidad de dispositivo subió y descargó recientemente una cantidad significativa de datos en comparación con el uso histórico.
• Anomalous Inbound Bytes by User: Una entidad de un solo usuario descargó recientemente una cantidad significativa de datos en comparación con el uso histórico.
• Anomalous Total Bytes by User: Una entidad de usuario subió y descargó recientemente una cantidad significativa de datos en comparación con el uso histórico.
• Fuerza bruta y, luego, acceso exitoso del usuario: Una entidad de un solo usuario de una dirección IP tuvo varios intentos fallidos de autenticación en una aplicación determinada antes de acceder correctamente.

Detecciones basadas en grupos de empresas similares

• Anomalous or Excessive Logins for a Newly Created User: Actividad de autenticación anómala o excesiva para un usuario creado recientemente. Esto usa la hora de creación de los datos del contexto del anuncio.

• Acciones sospechosas anómalas o excesivas para un usuario recién creado: Actividad anómala o excesiva (incluida, sin limitaciones, la telemetría HTTP, la ejecución de procesos y la modificación de grupos) para un usuario creado recientemente. Esto usa la hora de creación de los datos de contexto de AD.

Acciones sospechosas

• Creación excesiva de cuentas por dispositivo: Una entidad de dispositivo creó varias cuentas de usuario nuevas.
• Alertas excesivas por usuario: Se informó una gran cantidad de alertas de seguridad de un antivirus o un dispositivo de extremo (por ejemplo, se bloqueó la conexión, se detectó software malicioso) sobre una entidad de usuario, que fue mucho mayor que los patrones históricos. Son eventos en los que el campo security_result.action del UDM está establecido en BLOCK.

Detecciones basadas en la prevención de pérdida de datos

• Procesos anómalos o excesivos con capacidades de robo de datos: Actividad anómala o excesiva para procesos asociados con capacidades de robo de datos, como registradores de pulsaciones, capturas de pantalla y acceso remoto. Esto usa el enriquecimiento de metadatos de archivos de VirusTotal.

Datos obligatorios que necesita el análisis de riesgos para la categoría de UEBA

En esta sección, se detallan los datos que requiere cada categoría de conjunto de reglas para un rendimiento óptimo. Si bien las detecciones de UEBA están diseñadas para funcionar con todos los analizadores predeterminados compatibles, el uso de los siguientes tipos de datos específicos maximiza sus beneficios. Para obtener una lista completa de los analizadores predeterminados admitidos, consulta Tipos de registros y analizadores predeterminados admitidos.

Autenticación

Para usar cualquiera de estos conjuntos de reglas, recopila datos de registro del registro de auditoría de directorio de Azure AD (AZURE_AD_AUDIT) o del registro de eventos de Windows (WINEVTLOG).

Análisis del tráfico de red

Para usar cualquiera de estos conjuntos de reglas, recopila datos de registro que capturen la actividad de la red. Por ejemplo, de dispositivos como FortiGate (FORTINET_FIREWALL), Check Point (CHECKPOINT_FIREWALL), Zscaler (ZSCALER_WEBPROXY), CrowdStrike Falcon (CS_EDR) o Carbon Black (CB_EDR).

Detecciones basadas en grupos de empresas similares

Para usar cualquiera de estos conjuntos de reglas, recopila datos de registro del registro de auditoría de directorio de Azure AD (AZURE_AD_AUDIT) o del registro de eventos de Windows (WINEVTLOG).

Acciones sospechosas

Cada conjunto de reglas de este grupo usa un tipo de datos diferente.

Conjunto de reglas de creación excesiva de cuentas por dispositivo

Para usar este conjunto de reglas, recopila datos de registro del registro de auditoría de directorio de Azure AD (AZURE_AD_AUDIT) o del registro de eventos de Windows (WINEVTLOG).

Conjunto de reglas de Alertas excesivas por usuario

Para usar este conjunto de reglas, recopila datos de registro que capturen las actividades de los extremos o los datos de auditoría, como los que registran CrowdStrike Falcon (CS_EDR), Carbon Black (CB_EDR) o Azure AD Directory Audit (AZURE_AD_AUDIT).

Detecciones basadas en la prevención de pérdida de datos

Para usar cualquiera de estos conjuntos de reglas, recopila datos de registro que capturen las actividades de procesos y archivos, como los que registran CrowdStrike Falcon (CS_EDR), Carbon Black (CB_EDR) o SentinelOne EDR (SENTINEL_EDR).

Los conjuntos de reglas de esta categoría dependen de eventos con los siguientes valores de metadata.event_type: PROCESS_LAUNCH, PROCESS_OPEN y PROCESS_MODULE_LOAD.

Ajusta las alertas que devuelven los conjuntos de reglas de esta categoría

Puedes reducir la cantidad de detecciones que genera una regla o un conjunto de reglas con las exclusiones de reglas.

Una exclusión de regla define los criterios que se utilizan para excluir un evento de la evaluación del conjunto de reglas o de reglas específicas del conjunto. Crea una o más exclusiones de reglas para reducir la cantidad de detecciones. Consulta Cómo configurar exclusiones de reglas para obtener información sobre cómo hacerlo.

Ejemplo de una regla para el análisis de riesgos de la categoría de UEBA

En el siguiente ejemplo, se muestra cómo crear una regla para generar detecciones en cualquier nombre de host de entidad cuyo puntaje de riesgo sea superior a 100:

rule EntityRiskScore {
  meta:
  events:
    $e1.principal.hostname != ""
    $e1.principal.hostname = $hostname

    $e2.graph.entity.hostname = $hostname
    $e2.graph.risk_score.risk_window_size.seconds = 86400 // 24 hours
    $e2.graph.risk_score.risk_score >= 100

    // Run deduplication across the risk score.
    $rscore = $e2.graph.risk_score.risk_score

  match:
    // Dedup on hostname and risk score across a 4 hour window.
    $hostname, $rscore over 4h

  outcome:
    // Force these risk score based rules to have a risk score of zero to
    // prevent self feedback loops.
    $risk_score = 0

  condition:
    $e1 and $e2
}

Esta regla de ejemplo también realiza una deduplicación automática con la sección de coincidencias. Si es posible que se active una detección de regla, pero el nombre de host y la puntuación de riesgo permanecen sin cambios en un período de 4 horas, no se crearán nuevas detecciones.

Los únicos períodos de riesgo posibles para las reglas de puntuación de riesgo de la entidad son de 24 horas o 7 días (86,400 o 604,800 segundos, respectivamente). Si no incluyes el tamaño del período de riesgo en la regla, esta devolverá resultados inexactos.

Los datos de la puntuación de riesgo de la entidad se almacenan por separado de los datos de contexto de la entidad. Para usar ambos en una regla, esta debe tener dos eventos de entidad separados, uno para el contexto de la entidad y otro para la puntuación de riesgo de la entidad, como se muestra en el siguiente ejemplo:

rule EntityContextAndRiskScore {
  meta:
  events:
    $log_in.metadata.event_type = "USER_LOGIN"
    $log_in.principal.hostname = $host

    $context.graph.entity.hostname = $host
    $context.graph.metadata.entity_type = "ASSET"

    $risk_score.graph.entity.hostname = $host
    $risk_score.graph.risk_score.risk_window_size.seconds = 604800

  match:
    $host over 2m

  outcome:
    $entity_risk_score = max($risk_score.graph.risk_score.normalized_risk_score)

  condition:
    $log_in and $context and $risk_score and $entity_risk_score > 100
}

¿Qué sigue?

• Investiga el riesgo con el panel de estadísticas de riesgo

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.