Halaman ini diterjemahkan oleh Cloud Translation API.

Ringkasan kategori Analisis Risiko untuk UEBA

Didukung di:

Google secops SIEM

Dokumen ini memberikan ringkasan set aturan dalam kategori Analisis Risiko untuk UEBA, data yang diperlukan, dan konfigurasi yang dapat Anda gunakan untuk menyesuaikan pemberitahuan yang dihasilkan oleh setiap set aturan. Kumpulan aturan ini membantu mengidentifikasi ancaman di lingkungan Google Cloudmenggunakan data Google Cloud .

Deskripsi kumpulan aturan

Kumpulan aturan berikut tersedia dalam kategori Analisis Risiko untuk UEBA dan dikelompokkan menurut jenis pola yang terdeteksi:

Autentikasi

Login Baru oleh Pengguna ke Perangkat: pengguna login ke perangkat baru.
Peristiwa Autentikasi Anomali menurut Pengguna: satu entitas pengguna baru-baru ini mengalami peristiwa autentikasi anomali dibandingkan dengan penggunaan historis.
Autentikasi Gagal menurut Perangkat: entitas satu perangkat mengalami banyak upaya login yang gagal baru-baru ini, dibandingkan dengan penggunaan historis.
Autentikasi Gagal menurut Pengguna: entitas pengguna tunggal mengalami banyak upaya login yang gagal baru-baru ini, dibandingkan dengan penggunaan historis.

Analisis traffic jaringan

Byte Masuk Anomali menurut Perangkat: jumlah data yang signifikan baru-baru ini diupload ke entitas perangkat tunggal, dibandingkan dengan penggunaan historis.
Byte Keluar Anomali menurut Perangkat: sejumlah besar data baru-baru ini didownload dari satu entitas perangkat, dibandingkan dengan penggunaan historis.
Total Byte Anomali menurut Perangkat: entitas perangkat baru-baru ini mengupload dan mendownload sejumlah besar data, dibandingkan dengan penggunaan historis.
Byte Masuk Anomali menurut Pengguna: entitas pengguna tunggal baru-baru ini mendownload sejumlah besar data, dibandingkan dengan penggunaan historis.
Total Byte yang Tidak Normal menurut Pengguna: entitas pengguna baru-baru ini mengupload dan mendownload sejumlah besar data baru-baru ini, dibandingkan dengan penggunaan historis.
Brute Force lalu Login Berhasil oleh Pengguna: entitas pengguna tunggal dari satu alamat IP mengalami beberapa upaya autentikasi yang gagal ke aplikasi tertentu sebelum berhasil login.

Deteksi berbasis grup pembanding

Login yang Tidak Normal atau Berlebihan untuk Pengguna yang Baru Dibuat: aktivitas autentikasi yang tidak normal atau berlebihan untuk pengguna yang baru dibuat. Dimensi ini menggunakan waktu pembuatan dari data Konteks AD.
Tindakan Mencurigakan yang Berlebihan atau Anomali untuk Pengguna yang Baru Dibuat: aktivitas yang berlebihan atau anomali (termasuk, tetapi tidak terbatas pada, telemetri HTTP, eksekusi proses, dan modifikasi grup) untuk pengguna yang baru dibuat. Dimensi ini menggunakan waktu pembuatan dari data Konteks AD.

Tindakan mencurigakan

Pembuatan Akun yang Berlebihan oleh Perangkat: entitas perangkat membuat beberapa akun pengguna baru.
Pemberitahuan Berlebihan menurut Pengguna: sejumlah besar pemberitahuan keamanan dari antivirus atau perangkat endpoint (misalnya, koneksi diblokir, malware terdeteksi) dilaporkan tentang entitas pengguna, yang jauh lebih besar daripada pola historis. Ini adalah peristiwa saat kolom UDM security_result.action disetel ke BLOCK.

Deteksi berbasis pencegahan kebocoran data

Proses yang Tidak Normal atau Berlebihan dengan Kemampuan Pemindahan Data: aktivitas yang tidak normal atau berlebihan untuk proses yang terkait dengan kemampuan pemindahan data seperti keylogger, screenshot, dan akses jarak jauh. Fitur ini menggunakan pengayaan metadata file dari VirusTotal.

Data yang diperlukan oleh Analisis Risiko untuk kategori UEBA

Bagian ini menjelaskan data yang diperlukan oleh setiap kategori set aturan untuk performa yang optimal. Meskipun deteksi UEBA dirancang untuk bekerja dengan semua parser default yang didukung, penggunaan jenis data spesifik berikut akan memaksimalkan manfaatnya. Untuk mengetahui daftar lengkap parser default yang didukung, lihat Jenis log dan parser default yang didukung.

Autentikasi

Untuk menggunakan salah satu set aturan ini, kumpulkan data log dari Audit Direktori Azure AD (AZURE_AD_AUDIT) atau Peristiwa Windows (WINEVTLOG).

Analisis traffic jaringan

Untuk menggunakan salah satu set aturan ini, kumpulkan data log yang mencatat aktivitas jaringan. Misalnya, dari perangkat seperti FortiGate (FORTINET_FIREWALL), Check Point (CHECKPOINT_FIREWALL), Zscaler (ZSCALER_WEBPROXY), CrowdStrike Falcon (CS_EDR), atau Carbon Black (CB_EDR).

Deteksi berbasis grup pembanding

Untuk menggunakan salah satu set aturan ini, kumpulkan data log dari Audit Direktori Azure AD (AZURE_AD_AUDIT) atau Peristiwa Windows (WINEVTLOG).

Tindakan mencurigakan

Setiap set aturan dalam grup ini menggunakan jenis data yang berbeda.

Aturan yang ditetapkan untuk Pembuatan Akun Berlebihan oleh Perangkat

Untuk menggunakan set aturan ini, kumpulkan data log dari Audit Direktori Azure AD (AZURE_AD_AUDIT) atau Peristiwa Windows (WINEVTLOG).

Set aturan Pemberitahuan Berlebihan menurut Pengguna

Untuk menggunakan set aturan ini, kumpulkan data log yang mencatat aktivitas endpoint atau data audit, seperti yang dicatat oleh CrowdStrike Falcon (CS_EDR), Carbon Black (CB_EDR), atau Audit Direktori Azure AD (AZURE_AD_AUDIT).

Deteksi berbasis pencegahan kebocoran data

Untuk menggunakan salah satu set aturan ini, kumpulkan data log yang mencatat aktivitas proses dan file, seperti yang dicatat oleh CrowdStrike Falcon (CS_EDR), Carbon Black (CB_EDR), atau SentinelOne EDR (SENTINEL_EDR).

Set aturan dalam kategori ini bergantung pada peristiwa dengan nilai metadata.event_type berikut: PROCESS_LAUNCH, PROCESS_OPEN, PROCESS_MODULE_LOAD.

Menyesuaikan notifikasi yang ditampilkan oleh kumpulan aturan kategori ini

Anda dapat mengurangi jumlah deteksi yang dihasilkan oleh aturan atau kumpulan aturan menggunakan pengecualian aturan.

Pengecualian aturan menentukan kriteria yang digunakan untuk mengecualikan peristiwa agar tidak dievaluasi oleh set aturan, atau oleh aturan tertentu dalam set aturan. Buat satu atau beberapa pengecualian aturan untuk membantu mengurangi volume deteksi. Lihat Mengonfigurasi pengecualian aturan untuk mengetahui informasi tentang cara melakukannya.

Contoh aturan untuk Analisis Risiko untuk kategori UEBA

Contoh berikut menunjukkan cara membuat aturan untuk membuat deteksi pada nama host entity mana pun yang skor risikonya lebih besar dari 100:

rule EntityRiskScore {
  meta:
  events:
    $e1.principal.hostname != ""
    $e1.principal.hostname = $hostname

    $e2.graph.entity.hostname = $hostname
    $e2.graph.risk_score.risk_window_size.seconds = 86400 // 24 hours
    $e2.graph.risk_score.risk_score >= 100

    // Run deduplication across the risk score.
    $rscore = $e2.graph.risk_score.risk_score

  match:
    // Dedup on hostname and risk score across a 4 hour window.
    $hostname, $rscore over 4h

  outcome:
    // Force these risk score based rules to have a risk score of zero to
    // prevent self feedback loops.
    $risk_score = 0

  condition:
    $e1 and $e2
}

Contoh aturan ini juga melakukan penghapusan duplikat sendiri menggunakan bagian kecocokan. Jika deteksi aturan mungkin dipicu, tetapi nama host dan skor risiko tetap tidak berubah dalam jangka waktu 4 jam, tidak ada deteksi baru yang dibuat.

Satu-satunya periode risiko yang mungkin untuk aturan skor risiko entity adalah 24 jam atau 7 hari (masing-masing 86.400 atau 604.800 detik). Jika Anda tidak menyertakan ukuran jendela risiko dalam aturan, aturan akan menampilkan hasil yang tidak akurat.

Data skor risiko entitas disimpan secara terpisah dari data konteks entitas. Untuk menggunakan keduanya dalam aturan, aturan harus memiliki dua peristiwa entitas terpisah, satu untuk konteks entitas dan satu untuk skor risiko entitas, seperti yang ditunjukkan dalam contoh berikut:

rule EntityContextAndRiskScore {
  meta:
  events:
    $log_in.metadata.event_type = "USER_LOGIN"
    $log_in.principal.hostname = $host

    $context.graph.entity.hostname = $host
    $context.graph.metadata.entity_type = "ASSET"

    $risk_score.graph.entity.hostname = $host
    $risk_score.graph.risk_score.risk_window_size.seconds = 604800

  match:
    $host over 2m

  outcome:
    $entity_risk_score = max($risk_score.graph.risk_score.normalized_risk_score)

  condition:
    $log_in and $context and $risk_score and $entity_risk_score > 100
}

Langkah berikutnya

Menyelidiki risiko menggunakan dasbor Analisis Risiko

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.