Usa los datos de la Protección de datos sensibles en el análisis contextual
En este documento, se muestra cómo usar los datos de contexto de entidades de Sensitive Data Protection y fuentes de registros adicionales para agregar comprensión contextual sobre el impacto y el alcance de una amenaza potencial cuando se realiza una investigación.
El caso de uso que se describe en este documento detecta la ejecución de un archivo malicioso por parte de un usuario (técnica T1204.002 de MITRE ATT&CK) y si ese usuario también tiene acceso a datos sensibles en otras partes de la red.
En este ejemplo, se requiere que los siguientes datos se hayan transferido y normalizado en Google Security Operations:
- Datos de actividad del usuario a través de registros de red y de EDR
- Relaciones de recursos de fuentes de datos como Google Cloud IAM Analysis
- Registros de la Protección de datos sensibles que contienen etiquetas sobre el tipo y la sensibilidad de los datos almacenados.
Las Operaciones de seguridad de Google deben poder analizar los datos sin procesar en registros de eventos y entidades del modelo de datos unificado (UDM).
Para obtener información sobre cómo transferir datos de la Protección de datos sensibles a Google SecOps, consulta Cómo exportar datos de la Protección de datos sensibles a Google SecOps.
Google Cloud Datos de análisis de IAM
Los datos de registro de Google Cloud IAM Analysis en este ejemplo identifican a los usuarios de la organización y registran las relaciones que cada usuario tiene con otros sistemas de la red. A continuación, se muestra un fragmento de un registro de análisis de IAM almacenado como un registro de entidad de UDM. Almacena información sobre el usuario, mikeross, que administra una tabla de BigQuery llamada analytics:claim.patients.
metadata.vendor_name: "Google Cloud Platform"
metadata.product_name: "GCP IAM Analysis"
metadata.entity_type: "USER"
entity.user.userid: "mikeross"
relations[2].entity.resource.name: "analytics:claim.patients"
relations[2].entity.resource.resource_type: "TABLE"
relations[2].entity_type: "RESOURCE"
relations[2].relationship: "ADMINISTERS"
Datos de Sensitive Data Protection
En este ejemplo, los datos de registro de la Protección de datos sensibles almacenan información sobre una tabla de BigQuery. A continuación, se muestra un fragmento de un registro de Sensitive Data Protection almacenado como un registro de entidad de UDM. Representa la tabla de BigQuery llamada analytics:claim.patients con la etiqueta Predicted InfoType US_SOCIAL_SECURITY_NUMBER, lo que indica que la tabla almacena números de seguridad social de Estados Unidos.
metadata.vendor_name: "Google Cloud Platform"
metadata.product_name: "GCP DLP CONTEXT"
metadata.entity_type: "RESOURCE"
metadata.description: "RISK_HIGH"
entity.resource.resource_type: "TABLE"
entity.resource.resource_subtype: "BigQuery Table"
entity.resource.attribute.cloud.environment"GOOGLE_CLOUD_PLATFORM"
entity.resource.attribute.labels[0].key: "Sensitivity Score"
entity.resource.attribute.labels[0].value: "SENSITIVITY_HIGH"
entity.resource.attribute.labels[1].key: "Predicted InfoType"
entity.resource.attribute.labels[1].value: "US_SOCIAL_SECURITY_NUMBER"
entity.resource.product_object_id: "analytics:claim.patients"
Eventos de proxy web
El evento de proxy web de este ejemplo captura la actividad de la red. El siguiente fragmento es de un registro de proxy web de Zscaler almacenado como un registro de eventos de UDM. Captura un evento de descarga de red de un archivo ejecutable por parte del usuario con el valor userid mikeross, en el que el valor received_bytes es 514605.
metadata.log_type = "ZSCALER_WEBPROXY"
metadata.product_name = "NSS"
metadata.vendor_name = "Zscaler"
metadata.event_type = "NETWORK_HTTP"
network.http.response_code = 200
network.received_bytes = 514605
principal.user.userid = "mikeross"
target.url = "http://manygoodnews.com/dow/Client%20Update.exe"
Eventos de EDR
El evento de EDR en este ejemplo captura la actividad en un dispositivo de extremo. El siguiente fragmento es de un registro de EDR de CrowdStrike Falcon almacenado como un registro de evento de UDM. Captura un evento de red que involucra la aplicación de Microsoft Excel y un usuario con el valor userid mikeross.
metadata.log_type = "CS_EDR"
metadata.product_name = "Falcon"
metadata.vendor_name = "Crowdstrike"
metadata.event_type = "NETWORK_HTTP"
target.process.file.full_path = "\\Device\\HarddiskVolume1\\Program Files\\C:\\Program Files\\Microsoft Office\\Office16\\EXCEL.exe"
target.url = "http://manygoodnews.com/dow/Client%20Update.exe"
target.user.userid = "mikeross"
Observa que hay información común en todos estos registros, tanto el identificador del usuario mikeross como el nombre de la tabla analytics:claim.patients. En la siguiente sección de este documento, se muestra cómo se usan estos valores en la regla para unir los registros.
Regla del motor de detección en este ejemplo
Esta regla de ejemplo detecta la ejecución de un archivo malicioso por parte de un usuario (técnica T1204.002 de MITRE ATT&CK).
La regla asigna una puntuación de riesgo más alta a una detección cuando el usuario también tiene acceso a datos sensibles en otras partes de la red. La regla correlaciona la siguiente información:
- Actividad del usuario, como la descarga o el inicio de un archivo ejecutable
- Es la relación entre los recursos, por ejemplo, la relación del usuario con una tabla de BigQuery.
- Presencia de información sensible en el recurso al que tiene acceso un usuario, por ejemplo, el tipo de datos almacenados en la tabla de BigQuery
A continuación, se incluye una descripción de cada sección de la regla de ejemplo.
La sección
eventsespecifica el patrón de datos que busca la regla y contiene lo siguiente:- Los grupos 1 y 2 identifican eventos de red y de EDR que registran la descarga de una gran cantidad de datos o de un archivo ejecutable que también está relacionado con la actividad en la aplicación de Excel.
- El grupo 3 identifica los registros en los que el usuario identificado en los eventos de red y EDR también tiene permiso para acceder a una tabla de BigQuery.
- El grupo 4 identifica los registros de la Protección de datos sensibles para la tabla de BigQuery a la que tiene acceso el usuario.
Cada grupo de expresiones usa la variable
$table_nameo la variable$userpara unir registros relacionados con el mismo usuario y la misma tabla de base de datos.En la sección
outcome, la regla crea una variable$risk_scorey establece un valor según la sensibilidad de los datos de la tabla. En este caso, verifica si los datos están etiquetados con el infotipo de Sensitive Data ProtectionUS_SOCIAL_SECURITY_NUMBER.La sección
outcometambién establece variables adicionales, como$principalHostnamey$entity_resource_name. Estas variables se devuelven y almacenan con la detección, de modo que, cuando la veas en Google SecOps, también puedas mostrar los valores de las variables como columnas.La sección
conditionindica que el patrón busca todos los registros de UDM especificados en la secciónevents.
rule high_risk_user_download_executable_from_macro {
meta:
author = "Google Cloud Security Demos"
description = "Executable downloaded by Microsoft Excel from High Risk User"
severity = "High"
technique = "T1204.002"
events:
//Group 1. identify a proxy event with suspected executable download
$proxy_event.principal.user.userid = $user
$proxy_event.target.url = /.*\.exe$/ or
$proxy_event.network.received_bytes > 102400
//Group 2. correlate with an EDR event indicating Excel activity
$edr_event.target.user.userid = $user
$edr_event.target.process.file.full_path = /excel/ nocase
$edr_event.metadata.event_type = "NETWORK_HTTP"
//Group 3. Use the entity to find the permissions
$user_entity.graph.entity.user.userid = $user
$user_entity.graph.relations.entity.resource.name = $table_name
//Group 4. the entity is from Cloud DLP data
$table_context.graph.entity.resource.product_object_id = $table_name
$table_context.graph.metadata.product_name = "GCP DLP CONTEXT"
match:
$user over 5m
outcome:
//calculate risk score
$risk_score = max(
if( $table_context.graph.entity.resource.attribute.labels.value = "US_SOCIAL_SECURITY_NUMBER", 80)
)
$technique = array_distinct("T1204.002")
$principalHostname = array_distinct($proxy_event.principal.hostname)
$principalIp = array_distinct($proxy_event.principal.ip)
$principalMac = array_distinct($proxy_event.principal.mac)
$targetHostname = array_distinct($proxy_event.target.hostname)
$target_url = array_distinct($proxy_event.target.url)
$targetIp = array_distinct($proxy_event.target.ip)
$principalUserUserid = array_distinct($proxy_event.principal.user.userid)
$entity_resource_name = array_distinct($table_context.graph.entity.resource.name)
condition:
$proxy_event and $edr_event and $user_entity and $table_context
}
Acerca de la detección
Si pruebas la regla con datos existentes y esta identifica el patrón de actividad especificado en la definición, se genera una detección. En el panel Detección, se muestra la detección generada después de probar la regla. En el panel Detección, también se muestran los registros de eventos y entidades que hicieron que la regla creara una detección. En este ejemplo, se muestran los siguientes registros:
- Google Cloud Entidad de UDM de análisis de IAM
- Entidad de UDM de Sensitive Data Protection
- Evento del UDM del proxy web de Zscaler
- Evento de UDM del EDR de CrowdStrike Falcon
En el panel Detección, selecciona cualquier registro de evento o entidad para ver los detalles.
La detección también almacena las variables definidas en la sección outcome de la regla. Para mostrar las variables en el panel Detección, selecciona Columnas y, luego, uno o más nombres de variables en el menú Columnas. Las columnas seleccionadas aparecen en el panel Detección.
¿Qué sigue?
Para escribir reglas personalizadas, consulta la descripción general del lenguaje YARA-L 2.0.
Para crear estadísticas personalizadas que tengan en cuenta el contexto, consulta Cómo crear estadísticas que tengan en cuenta el contexto.
Para usar las estadísticas de amenazas predefinidas, consulta Cómo usar las detecciones seleccionadas de Google SecOps.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.