Esta página foi traduzida pela API Cloud Translation.

Vista geral das estatísticas de risco para a categoria UEBA

Compatível com:

Google secops SIEM

Este documento fornece uma vista geral dos conjuntos de regras na categoria Risk Analytics para UEBA, os dados necessários e a configuração que pode usar para otimizar os alertas gerados por cada conjunto de regras. Estes conjuntos de regras ajudam a identificar ameaças em ambientes que usam dados. Google CloudGoogle Cloud

Descrições do conjunto de regras

Os seguintes conjuntos de regras estão disponíveis na categoria Risk Analytics para UEBA e estão agrupados pelo tipo de padrões detetados:

Autenticação

Novo início de sessão do utilizador no dispositivo: um utilizador iniciou sessão num novo dispositivo.
Eventos de autenticação anómalos por utilizador: uma única entidade de utilizador teve eventos de autenticação anómalos recentemente, em comparação com a utilização histórica.
Autenticações falhadas por dispositivo: uma entidade de dispositivo único teve muitas tentativas de início de sessão falhadas recentemente, em comparação com a utilização histórica.
Autenticações falhadas por utilizador: uma entidade de utilizador único teve muitas tentativas de início de sessão falhadas recentemente, em comparação com o histórico de utilização.

Análise de tráfego de rede

Bytes recebidos anómalos por dispositivo: quantidade significativa de dados carregados recentemente para uma única entidade de dispositivo, em comparação com a utilização do histórico.
Bytes de saída anómalos por dispositivo: quantidade significativa de dados transferidos recentemente de uma única entidade de dispositivo, em comparação com a utilização histórica.
Total de bytes anómalos por dispositivo: uma entidade de dispositivo carregou e transferiu recentemente uma quantidade significativa de dados, em comparação com a utilização histórica.
Bytes recebidos anómalos por utilizador: uma entidade de utilizador único transferiu recentemente uma quantidade significativa de dados, em comparação com a utilização do histórico.
Total de bytes anómalo por utilizador: uma entidade de utilizador carregou e transferiu recentemente uma quantidade significativa de dados, em comparação com a utilização histórica.
Força bruta e, em seguida, início de sessão bem-sucedido pelo utilizador: uma entidade de utilizador único de um endereço IP teve várias tentativas de autenticação falhadas numa determinada aplicação antes de iniciar sessão com êxito.

Deteções baseadas em grupos de pares

Inícios de sessão anómalos ou excessivos para um utilizador criado recentemente: atividade de autenticação anómala ou excessiva para um utilizador criado recentemente. Isto usa a hora de criação dos dados do contexto do anúncio.
Ações suspeitas anómalas ou excessivas para um utilizador criado recentemente: atividade anómala ou excessiva (incluindo, entre outros, telemetria HTTP, execução de processos e modificação de grupos) para um utilizador criado recentemente. Isto usa a hora de criação dos dados do contexto de anúncios.

Ações suspeitas

Criação excessiva de contas por dispositivo: uma entidade de dispositivo criou várias novas contas de utilizador.
Alertas excessivos por utilizador: foi comunicado um grande número de alertas de segurança de um antivírus ou de um dispositivo de ponto final (por exemplo, a ligação foi bloqueada, foi detetado software malicioso) acerca de uma entidade de utilizador, que foi muito superior aos padrões históricos. Estes são eventos em que o campo security_result.actionUDM está definido como BLOCK.

Deteções baseadas na prevenção contra a perda de dados

Processos anómalos ou excessivos com capacidades de exfiltração de dados: atividade anómala ou excessiva para processos associados a capacidades de exfiltração de dados, como keyloggers, capturas de ecrã e acesso remoto. Esta funcionalidade usa o enriquecimento de metadados de ficheiros do VirusTotal.

Dados obrigatórios necessários pelo Risk Analytics para a categoria UEBA

Esta secção detalha os dados necessários por cada categoria de conjunto de regras para um desempenho ideal. Embora as deteções de UEBA sejam concebidas para funcionar com todos os analisadores predefinidos suportados, a utilização dos seguintes tipos de dados específicos maximiza as respetivas vantagens. Para ver uma lista completa dos analisadores predefinidos suportados, consulte o artigo Tipos de registos e analisadores predefinidos suportados.

Autenticação

Para usar qualquer um destes conjuntos de regras, recolha dados de registo do Azure AD Directory Audit (AZURE_AD_AUDIT) ou do Windows Event (WINEVTLOG).

Análise de tráfego de rede

Para usar qualquer um destes conjuntos de regras, recolha dados de registo que capturem a atividade de rede. Por exemplo, a partir de dispositivos como o FortiGate (FORTINET_FIREWALL), o Check Point (CHECKPOINT_FIREWALL), o Zscaler (ZSCALER_WEBPROXY), o CrowdStrike Falcon (CS_EDR) ou o Carbon Black (CB_EDR).

Deteções baseadas em grupos de pares

Para usar qualquer um destes conjuntos de regras, recolha dados de registo do Azure AD Directory Audit (AZURE_AD_AUDIT) ou do Windows Event (WINEVTLOG).

Ações suspeitas

Os conjuntos de regras neste grupo usam cada um um tipo de dados diferente.

Conjunto de regras de criação excessiva de contas por dispositivo

Para usar este conjunto de regras, recolha dados de registo do Azure AD Directory Audit (AZURE_AD_AUDIT) ou do Windows Event (WINEVTLOG).

Conjunto de regras de alertas excessivos por utilizador

Para usar este conjunto de regras, recolha dados de registo que capturem atividades de pontos finais ou dados de auditoria, como os registados pelo CrowdStrike Falcon (CS_EDR), Carbon Black (CB_EDR) ou Azure AD Directory Audit (AZURE_AD_AUDIT).

Deteções baseadas na prevenção contra a perda de dados

Para usar qualquer um destes conjuntos de regras, recolha dados de registo que capturem atividades de processos e ficheiros, como os registados pelo CrowdStrike Falcon (CS_EDR), Carbon Black (CB_EDR) ou SentinelOne EDR (SENTINEL_EDR).

Os conjuntos de regras nesta categoria dependem de eventos com os seguintes valores: metadata.event_type PROCESS_LAUNCH, PROCESS_OPEN, PROCESS_MODULE_LOAD.

Ajustar os alertas devolvidos por conjuntos de regras desta categoria

Pode reduzir o número de deteções que uma regra ou um conjunto de regras gera através de exclusões de regras.

Uma exclusão de regra define os critérios usados para excluir um evento da avaliação pelo conjunto de regras ou por regras específicas no conjunto de regras. Crie uma ou mais exclusões de regras para ajudar a reduzir o volume de deteções. Consulte o artigo Configure exclusões de regras para saber como o fazer.

Exemplo de uma regra para a análise de risco da categoria UEBA

O exemplo seguinte mostra como criar uma regra para gerar deteções em qualquer nome de anfitrião de entidade cuja pontuação de risco seja superior a 100:

rule EntityRiskScore {
  meta:
  events:
    $e1.principal.hostname != ""
    $e1.principal.hostname = $hostname

    $e2.graph.entity.hostname = $hostname
    $e2.graph.risk_score.risk_window_size.seconds = 86400 // 24 hours
    $e2.graph.risk_score.risk_score >= 100

    // Run deduplication across the risk score.
    $rscore = $e2.graph.risk_score.risk_score

  match:
    // Dedup on hostname and risk score across a 4 hour window.
    $hostname, $rscore over 4h

  outcome:
    // Force these risk score based rules to have a risk score of zero to
    // prevent self feedback loops.
    $risk_score = 0

  condition:
    $e1 and $e2
}

Esta regra de exemplo também executa uma desduplicação automática através da secção de correspondência. Se uma deteção de regras puder ser acionada, mas o nome do anfitrião e a pontuação de risco permanecerem inalterados num período de 4 horas, não são criadas novas deteções.

Os únicos períodos de risco possíveis para as regras de pontuação de risco de entidades são de 24 horas ou 7 dias (86 400 ou 604 800 segundos, respetivamente). Se não incluir o tamanho do período de risco na regra, esta devolve resultados imprecisos.

Os dados da pontuação de risco da entidade são armazenados separadamente dos dados do contexto da entidade. Para usar ambos num regra, a regra tem de ter dois eventos de entidade separados, um para o contexto da entidade e outro para a pontuação de risco da entidade, conforme mostrado no exemplo seguinte:

rule EntityContextAndRiskScore {
  meta:
  events:
    $log_in.metadata.event_type = "USER_LOGIN"
    $log_in.principal.hostname = $host

    $context.graph.entity.hostname = $host
    $context.graph.metadata.entity_type = "ASSET"

    $risk_score.graph.entity.hostname = $host
    $risk_score.graph.risk_score.risk_window_size.seconds = 604800

  match:
    $host over 2m

  outcome:
    $entity_risk_score = max($risk_score.graph.risk_score.normalized_risk_score)

  condition:
    $log_in and $context and $risk_score and $entity_risk_score > 100
}

O que se segue?

Investigue o risco através do painel de controlo do Risk Analytics

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.