Esta página foi traduzida pela API Cloud Translation.

Visão geral da análise de risco para a categoria UEBA

Compatível com:

Google SecOps SIEM

Este documento fornece uma visão geral dos conjuntos de regras na categoria "Análise de risco para UEBA", os dados necessários e a configuração que você pode usar para ajustar os alertas gerados por cada conjunto de regras. Esses conjuntos de regras ajudam a identificar ameaças em ambientes do Google Cloud usando dados do Google Cloud.

Descrições do conjunto de regras

Os conjuntos de regras a seguir estão disponíveis na categoria "Análise de risco para UEBA" e são agrupados pelo tipo de padrões detectados:

Autenticação

Novo login do usuário no dispositivo: um usuário fez login em um novo dispositivo.
Eventos de autenticação anômalos por usuário: uma única entidade de usuário teve erros eventos de autenticação recentes, em comparação com o uso histórico.
Autenticação com falha por dispositivo: uma única entidade de dispositivo teve várias tentativas de login malsucedidas recentemente, em comparação com o uso histórico.
Falhas de autenticação por usuário: uma única entidade de usuário teve muitas tentativas de login malsucedidas recentemente, em comparação com o uso anterior.

Análise de tráfego de rede

Bytes de entrada anômalos por dispositivo: quantidade significativa de dados recentemente enviado para uma única entidade de dispositivo, em comparação com o uso histórico.
Bytes de saída anômalos por dispositivo: quantidade significativa de dados recentemente transferidos por download de uma única entidade de dispositivo, em comparação com o uso histórico.
Total de bytes anômalos por dispositivo: uma entidade de dispositivo fez upload e download de uma quantidade significativa de dados recentemente, em comparação com o uso histórico.
Bytes de entrada anormais por usuário: uma única entidade de usuário fez o download de uma quantidade significativa de dados recentemente, em comparação com o uso histórico.
Bytes totais anormais por usuário: uma entidade do usuário fez upload e download de uma quantidade significativa de dados recentemente, em comparação com o uso histórico.
Força bruta e login bem-sucedido do usuário: uma única entidade de usuário de um endereço IP teve várias tentativas de autenticação com falha em um determinado aplicativo antes de fazer login.

Detecções baseadas em grupo de apps semelhantes

Login de um país nunca antes visto para um grupo de usuários: a primeira autenticação bem-sucedida de um país para um grupo de usuários. Ele usa o nome de exibição do grupo, informações do departamento do usuário e do gerenciador de usuários dos dados de contexto do AD.
Fazer login em um aplicativo nunca antes visto para um grupo de usuários: a primeira autenticação bem-sucedida em um aplicativo para um grupo de usuários. Isso usa o título do usuário, gerenciador de usuários e nome de exibição do grupo com base nos dados do contexto do AD.
Logins anômalos ou em excesso para um usuário recém-criado: anômalo ou excessivo atividade de autenticação de um usuário recém-criado. Isso usa o horário de criação dos dados do contexto do AD.
Ações suspeitas anormais ou excessivas de um usuário recém-criado: atividade anormal ou excessiva (incluindo, mas não se limitando a, a telemetria HTTP, a execução de processos e a modificação de grupos) de um usuário recém-criado. Usa o horário de criação dos dados de contexto do AD.

Ações suspeitas

Criação excessiva de contas por dispositivo: uma entidade de dispositivo criou várias contas de usuário novas.
Alertas excessivos do usuário: um grande número de alertas de segurança de um antivírus. ou dispositivo de endpoint (por exemplo, a conexão foi bloqueada, um malware foi detectado) foram relatados sobre uma entidade usuário, o que foi muito maior do que os padrões históricos. São eventos em que o campo UDM security_result.action está definido como BLOCK.

Detecções baseadas na Prevenção contra perda de dados

Processos anômalos ou excessivos com recursos de exfiltração de dados: anômalos ou atividade excessiva de processos associados a capacidades de exfiltração de dados como keyloggers, capturas de tela e acesso remoto. Ele usa o enriquecimento de metadados de arquivos do VirusTotal.

Dados obrigatórios necessários para a categoria de Análise de risco da UEBA

A seção a seguir descreve os dados necessários para conjuntos de regras em cada categoria para obter o maior benefício. Para uma lista de todos os analisadores padrão aceitos, consulte Tipos de registro e analisadores padrão compatíveis.

Autenticação

Para usar qualquer um desses conjuntos de regras, colete dados de registro Auditoria de diretório do Azure AD (AZURE_AD_AUDIT) ou evento do Windows (WINEVTLOG).

Análise de tráfego de rede

Para usar qualquer um desses conjuntos de regras, colete dados de registro que capturem a atividade de rede. Por exemplo, de dispositivos como FortiGate (FORTINET_FIREWALL), Check Point (CHECKPOINT_FIREWALL), Zscaler (ZSCALER_WEBPROXY), CrowdStrike Falcon (CS_EDR) ou Carbon Black (CB_EDR).

Detecções baseadas em grupos de apps semelhantes

Para usar qualquer um desses conjuntos de regras, colete dados de registro da auditoria de diretório do Azure AD (AZURE_AD_AUDIT) ou do evento do Windows (WINEVTLOG).

Ações suspeitas

Os conjuntos de regras neste grupo usam tipos diferentes de dados.

Conjunto de regras de criação excessiva de contas por dispositivo

Para usar esse conjunto de regras, colete dados de registro Auditoria de diretório do Azure AD (AZURE_AD_AUDIT) ou evento do Windows (WINEVTLOG).

Alertas excessivos por conjunto de regras do usuário

Para usar esse conjunto de regras, colete dados de registro que capturem atividades do endpoint ou dados de auditoria, como os registrados pelo CrowdStrike Falcon (CS_EDR), Carbon Black (CB_EDR) ou Azure AD Directory Audit (AZURE_AD_AUDIT).

Detecções baseadas na prevenção contra perda de dados

Para usar qualquer um desses conjuntos de regras, colete dados de registro que capturam atividades de processos e arquivos, como a gravada por CrowdStrike Falcon (CS_EDR), Carbon Black (CB_EDR), ou SentinelOne EDR (SENTINEL_EDR).

Os conjuntos de regras nesta categoria dependem de eventos com os seguintes metadata.event_type valores: PROCESS_LAUNCH, PROCESS_OPEN, PROCESS_MODULE_LOAD.

Ajustar os alertas retornados pela regra define essa categoria

É possível reduzir o número de detecções geradas por uma regra ou um conjunto de regras usando o exclusões de regras.

Uma exclusão de regra define os critérios usados para impedir que um evento seja avaliado pela pelo grupo de regras ou por regras específicas do grupo de regras. Crie uma ou mais exclusões de regras para reduzir o volume de detecções. Consulte Configurar exclusões de regras para saber como fazer isso.

A seguir

Investigar o risco usando o painel "Análise de risco"