Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica di Risk Analytics per la categoria UEBA

Supportato in:

Google secops SIEM

Questo documento fornisce una panoramica dei set di regole nella categoria Risk Analytics per UEBA, dei dati richiesti e della configurazione che puoi utilizzare per ottimizzare gli avvisi generati da ogni set di regole. Questi set di regole aiutano a identificare le minacce negli ambienti utilizzando i dati Google Cloud . Google Cloud

Descrizioni dei set di regole

I seguenti set di regole sono disponibili nella categoria Risk Analytics per UEBA e sono raggruppati in base al tipo di pattern rilevati:

Autenticazione

Nuovo accesso dell'utente al dispositivo: un utente ha eseguito l'accesso a un nuovo dispositivo.
Eventi di autenticazione anomali per utente: una singola entità utente ha avuto eventi di autenticazione anomali di recente, rispetto all'utilizzo storico.
Autenticazioni non riuscite per dispositivo: una singola entità dispositivo ha registrato molti tentativi di accesso non riusciti di recente, rispetto all'utilizzo storico.
Autenticazioni non riuscite per utente: una singola entità utente ha registrato molti tentativi di accesso non riusciti di recente, rispetto all'utilizzo storico.

Analisi del traffico di rete

Byte in entrata anomali per dispositivo: quantità significativa di dati caricati di recente in una singola entità dispositivo, rispetto all'utilizzo storico.
Byte in uscita anomali per dispositivo: quantità significativa di dati scaricati di recente da una singola entità dispositivo, rispetto all'utilizzo storico.
Byte totali anomali per dispositivo: un'entità dispositivo ha caricato e scaricato di recente una quantità significativa di dati rispetto all'utilizzo storico.
Byte in entrata anomali per utente: un'entità utente singolo ha scaricato di recente una quantità significativa di dati rispetto all'utilizzo storico.
Byte totali anomali per utente: un'entità utente ha caricato e scaricato di recente una quantità significativa di dati rispetto all'utilizzo storico.
Forza bruta e poi accesso riuscito da parte dell'utente: un'entità utente da un indirizzo IP ha effettuato diversi tentativi di autenticazione non riusciti a una determinata applicazione prima di accedere correttamente.

Rilevamenti basati su gruppi di aziende simili

Accessi anomali o eccessivi per un utente appena creato: attività di autenticazione anomala o eccessiva per un utente creato di recente. Utilizza l'ora di creazione dei dati di contesto dell'annuncio.
Azioni sospette anomale o eccessive per un utente appena creato: attività anomala o eccessiva (inclusi, a titolo esemplificativo, telemetria HTTP, esecuzione di processi e modifica di gruppi) per un utente creato di recente. Utilizza l'ora di creazione dei dati di contesto annuncio.

Azioni sospette

Creazione eccessiva di account per dispositivo: un'entità dispositivo ha creato diversi nuovi account utente.
Avvisi eccessivi per utente: un numero elevato di avvisi di sicurezza da un antivirus o da un dispositivo endpoint (ad esempio, connessione bloccata, malware rilevato) sono stati segnalati in merito a un'entità utente, un numero molto superiore ai pattern storici. Si tratta di eventi in cui il campo UDM security_result.action è impostato su BLOCK.

Rilevamenti basati sulla prevenzione della perdita di dati

Processi anomali o eccessivi con funzionalità di esfiltrazione dei dati: attività anomala o eccessiva per i processi associati a funzionalità di esfiltrazione di dati come keylogger, screenshot e accesso remoto. Utilizza l'arricchimento dei metadati dei file di VirusTotal.

Dati obbligatori necessari per l'analisi del rischio per la categoria UEBA

Questa sezione descrive in dettaglio i dati richiesti da ogni categoria di insieme di regole per un rendimento ottimale. Sebbene i rilevamenti UEBA siano progettati per funzionare con tutti i parser predefiniti supportati, l'utilizzo dei seguenti tipi di dati specifici ne massimizza i vantaggi. Per un elenco completo dei parser predefiniti supportati, vedi Tipi di log e parser predefiniti supportati.

Autenticazione

Per utilizzare uno di questi set di regole, raccogli i dati di log da Azure AD Directory Audit (AZURE_AD_AUDIT) o Windows Event (WINEVTLOG).

Analisi del traffico di rete

Per utilizzare uno di questi set di regole, raccogli i dati di log che acquisiscono l'attività di rete. Ad esempio, da dispositivi come FortiGate (FORTINET_FIREWALL), Check Point (CHECKPOINT_FIREWALL), Zscaler (ZSCALER_WEBPROXY), CrowdStrike Falcon (CS_EDR) o Carbon Black (CB_EDR).

Rilevamenti basati su gruppi di aziende simili

Per utilizzare uno di questi set di regole, raccogli i dati di log da Azure AD Directory Audit (AZURE_AD_AUDIT) o Windows Event (WINEVTLOG).

Azioni sospette

I set di regole in questo gruppo utilizzano ciascuno un tipo di dati diverso.

Set di regole per la creazione eccessiva di account da parte del dispositivo

Per utilizzare questo insieme di regole, raccogli i dati di log da Azure AD Directory Audit (AZURE_AD_AUDIT) o Windows Event (WINEVTLOG).

Set di regole Avvisi eccessivi per utente

Per utilizzare questo insieme di regole, raccogli i dati di log che acquisiscono le attività degli endpoint o i dati di audit, ad esempio quelli registrati da CrowdStrike Falcon (CS_EDR), Carbon Black (CB_EDR) o Azure AD Directory Audit (AZURE_AD_AUDIT).

Rilevamenti basati sulla prevenzione della perdita di dati

Per utilizzare uno di questi set di regole, raccogli i dati di log che acquisiscono le attività di processo e dei file, come quelli registrati da CrowdStrike Falcon (CS_EDR), Carbon Black (CB_EDR) o SentinelOne EDR (SENTINEL_EDR).

I set di regole in questa categoria dipendono da eventi con i seguenti valori di metadata.event_type: PROCESS_LAUNCH, PROCESS_OPEN, PROCESS_MODULE_LOAD.

Avvisi di ottimizzazione restituiti dalle serie di regole di questa categoria

Puoi ridurre il numero di rilevamenti generati da una regola o da un insieme di regole utilizzando le esclusioni delle regole.

Un'esclusione di regole definisce i criteri utilizzati per escludere un evento dalla valutazione da parte del set di regole o di regole specifiche nel set di regole. Crea una o più esclusioni di regole per ridurre il volume dei rilevamenti. Per informazioni su come eseguire questa operazione, consulta Configurare le esclusioni delle regole.

Esempio di regola per Risk Analytics per la categoria UEBA

Il seguente esempio mostra come creare una regola per generare rilevamenti su qualsiasi nome host di entità il cui punteggio di rischio sia maggiore di 100:

rule EntityRiskScore {
  meta:
  events:
    $e1.principal.hostname != ""
    $e1.principal.hostname = $hostname

    $e2.graph.entity.hostname = $hostname
    $e2.graph.risk_score.risk_window_size.seconds = 86400 // 24 hours
    $e2.graph.risk_score.risk_score >= 100

    // Run deduplication across the risk score.
    $rscore = $e2.graph.risk_score.risk_score

  match:
    // Dedup on hostname and risk score across a 4 hour window.
    $hostname, $rscore over 4h

  outcome:
    // Force these risk score based rules to have a risk score of zero to
    // prevent self feedback loops.
    $risk_score = 0

  condition:
    $e1 and $e2
}

Questa regola di esempio esegue anche una deduplicazione automatica utilizzando la sezione match. Se è possibile che venga attivato il rilevamento di una regola, ma l'hostname e il punteggio di rischio rimangono invariati entro un periodo di 4 ore, non vengono creati nuovi rilevamenti.

Le uniche finestre di rischio possibili per le regole del punteggio di rischio dell'entità sono 24 ore o 7 giorni (rispettivamente 86.400 o 604.800 secondi). Se non includi le dimensioni della finestra di rischio nella regola, quest'ultima restituisce risultati imprecisi.

I dati del punteggio di rischio dell'entità vengono archiviati separatamente dai dati del contesto dell'entità. Per utilizzarli entrambi in una regola, quest'ultima deve avere due eventi di entità separati, uno per il contesto dell'entità e uno per il punteggio di rischio dell'entità, come mostrato nel seguente esempio:

rule EntityContextAndRiskScore {
  meta:
  events:
    $log_in.metadata.event_type = "USER_LOGIN"
    $log_in.principal.hostname = $host

    $context.graph.entity.hostname = $host
    $context.graph.metadata.entity_type = "ASSET"

    $risk_score.graph.entity.hostname = $host
    $risk_score.graph.risk_score.risk_window_size.seconds = 604800

  match:
    $host over 2m

  outcome:
    $entity_risk_score = max($risk_score.graph.risk_score.normalized_risk_score)

  condition:
    $log_in and $context and $risk_score and $entity_risk_score > 100
}

Passaggi successivi

Esaminare il rischio utilizzando la dashboard Risk Analytics

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.