Messwerte in der UDM-Suche mit YARA-L 2.0

Mit den Messwertfunktionen in Search können Sie aggregierte Verhaltensverlaufsdaten in Ihren Suchergebnissen analysieren. Sie können diese Funktionen in den Ergebnisbereich der UDM-Suchanfrage einfügen.

Funktionsparameter

Mit Messwertfunktionen können Sie Verhaltensanalysen für Entitäten in Ihren Suchvorgängen durchführen. Sie können beispielsweise eine Suchanfrage erstellen, um die maximale Anzahl der täglichen Bytes zu ermitteln, die eine bestimmte IP-Adresse im letzten Monat gesendet hat. Um die spezifische IP-Adresse darzustellen, können Sie den IP-Wert direkt in Ihre Suchanfrage eingeben, anstatt Platzhaltervariablen zu verwenden.

Aufgrund der großen Anzahl von Argumenten, die in diesen Funktionen verwendet werden, werden benannte Parameter verwendet, die in beliebiger Reihenfolge angegeben werden können. Die Parameter sind:

Zeitraum

Die Dauer, in der einzelne Log-Ereignisse in eine einzelne Beobachtung kombiniert werden. Die einzigen zulässigen Werte sind 1h und 1d.

Fenster

Die Dauer, in der einzelne Beobachtungen in einen einzigen Wert zusammengefasst werden, wie Durchschnitt und Maximum. Die zulässigen Werte für das Fenster basieren auf dem Zeitraum des Messwerts. Gültige Zuordnungen:

period:1h: window:today

period:1d: window:30d

Beispiel: Mit der folgenden Abfrage wird für die letzten 30 Tage der erste und letzte Zeitpunkt zurückgegeben, zu dem sich ein Nutzer an einem bestimmten Tag erfolgreich angemeldet hat.

  $u1.principal.asset.ip = $ip
    $ip = "10.138.0.4"
    $user = $u1.target.user.userid

  match:
    $ip, $user

  outcome:

    // First and last time a user logged in successfully

     $first_seen = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:first_seen,
        agg:min,
        target.user.userid:$user))


    $last_seen = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:last_seen,
        agg:max,
        target.user.userid:$user))

Messwerte

Innerhalb jedes Zeitraums hat jede Beobachtung eine Anzahl von Messwerten, die mit ihr verknüpft werden. Einer dieser Messwerte muss für die Zusammenfassung über das gesamte Fenster ausgewählt werden. Folgende Messwerttypen werden unterstützt:

• event_count_sum: Anzahl der eindeutigen Log-Ereignisse in jedem Zeitraum.

• first_seen: Zeitstempel des ersten passenden Log-Ereignisses im jeweiligen Zeitraum.

• last_seen: Zeitstempel des letzten passenden Log-Ereignisses im jeweiligen Zeitraum.

• value_sum: Summe der Anzahl der Byte in allen Logereignissen im Zeitraum. Sie können diesen Wert nur für Messwertfunktionen mit „Bytes“ im Namen verwenden.

• num_unique_filter_values: Messwert, der nicht von Google SecOps vorab berechnet wird, sondern während der Ausführung der Suchanfrage berechnet werden kann. Weitere Informationen und Anforderungen finden Sie unter Eindeutige Messwerte zählen.

Zusammenfassungen

Zusammenfassungen werden über das gesamte Fenster angewendet, z. B. der höchste Tageswert der letzten 30 Tage. Zulässige Werte:

• avg: Durchschnittswert pro Zeitraum. Dies ist ein statistischer Mittelwert, der keine Nullwerte enthält.

• max: Größter Wert pro Zeitraum.

• min: Kleinster Wert pro Zeitraum.

• num_metric_periods: Anzahl der Zeiträume im Zeitfenster mit einem Messwert ungleich null.

• stddev: Standardabweichung des Werts pro Zeitraum. Dies ist eine statistische Standardabweichung, die keine Nullwerte enthält.

• sum: Summe der einzelnen Werte pro Zeitraum über den gesamten Zeitraum.

• earliest: Zeitstempel des ersten (ältesten) Ereignisses mit Mikrosekundenauflösung.

• latest: Zeitstempel des letzten (aktuellsten) Ereignisses mit Mikrosekundenauflösung.

Beispiele finden Sie unter Statistiken und Aggregationen in der UDM-Suche mit YARA-L 2.0.

Filter

Mit Filtern können Messwerte vor der Zusammenfassung nach einem Wert im vorberechneten Messwert gefiltert werden (siehe Werte unter Messwert). Filter können beliebige gültige Ereignisausdrücke (eine einzelne Zeile im Ereignisbereich) sein, die keine Ereignisfelder oder Platzhalter enthalten. In dieser Bedingung können nur Messwerttypen enthalten sein.

Beispiel: Der folgende Ergebnisbereich einer Abfrage gibt die maximale Anzahl der täglichen Byte zurück, die eine bestimmte IP-Adresse im letzten Monat gesendet hat.

$ip = principal.asset.ip
match:
    $ip
outcome:
$max_bytes_per_day = max(metrics.network_bytes_outbound(
    period: 1d, window: 30d,
    metric: value_sum,
    agg:max,
    principal.asset.ip: $ip,
    filter:value_sum > 10 AND event_count_sum > 2))

UDM-Felder

Messwerte werden je nach Funktion nach einem, zwei oder drei UDM-Feldern gefiltert. Informationen zu Funktionen finden Sie unter Funktionen.

Die folgenden Arten von UDM-Feldern werden für Messwertfunktionen verwendet:

• Dimension (erforderlich): Auf dieser Seite sind verschiedene Kombinationen aufgeführt. Sie können keinen Messwert mit einem Standardwert ("" für String und 0 für Integer) verknüpfen.
• Namespaces (optional): Sie können Namespaces nur für Entitäten verwenden, die Sie in Dimensionen angeben. Wenn Sie beispielsweise den Filter principal.asset.hostname verwenden, können Sie auch einen principal.namespace-Filter verwenden. Wenn Sie keinen Namespace-Filter einfügen, werden die Daten aller Namespaces zusammen aggregiert. Sie können einen Standardwert als Namespace-Filter verwenden.

Berechnungen für Zeiträume

In Google SecOps werden Messwerte entweder mit einem täglichen oder stündlichen Messwertzeitraum berechnet.

Tägliche Fenster

Alle täglichen Zeiträume, z. B. 30d, werden auf dieselbe Weise bestimmt. Google SecOps verwendet die neuesten verfügbaren Messwertdaten, die generiert wurden und sich nicht mit dem Zeitraum der Suchanfrage überschneiden. Die Berechnung der täglichen Messwerte kann bis zu 6 Stunden dauern und beginnt erst am Ende des Tages in UTC. Messwertdaten für den Vortag sind täglich um 6:00 Uhr UTC oder früher verfügbar.

Wenn Sie beispielsweise eine Suchanfrage für Ereignisdaten vom 31.10.2023, 4:00 Uhr UTC bis zum 31.10.2023, 7:00 Uhr UTC ausführen, werden die täglichen Messwerte für den 30.10.2023 wahrscheinlich generiert. Für die Berechnung der Messwerte werden also die Daten vom 01.10.2023 bis zum 30.10.2023 (einschließlich) verwendet. Bei einer Suchanfrage, die über Ereignisdaten vom 31.10.2023, 1:00 Uhr UTC bis zum 31.10.2023, 3:00 Uhr UTC ausgeführt wird, werden die täglichen Messwerte für den 30.10.2023 wahrscheinlich nicht generiert. Die Messwertberechnung verwendet also die Daten vom 30.09.2023 bis zum 29.10.2023 (einschließlich).

Stündliches today-Fenster

Das Zeitfenster für stündliche Messwerte wird anders berechnet als das für tägliche Messwerte. Das stündliche Messwertfenster von today hat keine statische Größe wie das 30d-Fenster für tägliche Messwerte. Das stündliche Messwertfenster today füllt so viele Daten wie möglich zwischen dem Ende des täglichen Zeitfensters und dem Beginn des Zeitfensters für Suchanfragen ein.

Bei einer Suchanfrage, die Ereignisdaten vom 31.10.2023, 04:00:00 Uhr UTC bis zum 31.10.2023, 07:00:00 Uhr UTC umfasst, werden für die Berechnung der täglichen Messwerte die Daten vom 01.10.2023 bis zum 30.10.2023 (einschließlich) verwendet. Für das Fenster mit stündlichen Messwerten werden Daten vom 31.10.2023, 00:00:00 Uhr UTC bis zum 31.10.2023, 04:00:00 Uhr UTC verwendet.

Messwerte für eindeutige Nutzer zählen

Der Messwert num_unique_filter_values wird nicht von Google SecOps vorab berechnet. Sie wird berechnet, wenn die Suchanfrage ausgeführt wird. Dazu wird ein vorberechneter Messwert nach einer vorhandenen Dimension zusammengefasst. Der Messwert „Tägliche Gesamtzahl der eindeutigen Länder, in denen ein Nutzer versucht hat, sich zu authentifizieren“ kann beispielsweise aus dem vorab berechneten auth_attempts_total-Messwert für die Dimensionen target.user.userid und principal.ip_geo_artifact.location.country_or_region abgeleitet werden, indem eine „count unique“-Aggregation für die letztere Dimension durchgeführt wird.

Beispiel:

$userid = target.user.userid
match:
    $userid
outcome:
$outcome_variable = max(metrics.auth_attempts_total(
    period: 1d,
    window: 30d,
    // This metric type indicates any filter with a wildcard value should be
    // aggregated over each day to produce a new metric dynamically
    metric: num_unique_filter_values,
    agg: max,
    target.user.userid: $userid,
    // Filter whose value should be counted over each day to produce the
    // num_unique_filter_values metric.
    principal.ip_geo_artifact.location.country_or_region: *
))

Einschränkung: Die Berechnung der Anzahl eindeutiger Messwerte kann nur über eine einzelne Filterdimension aggregiert werden. Das wird durch die Verwendung des Platzhalter-Tokens * als Filterwert angegeben.

Funktionen

Dieser Abschnitt enthält Dokumentation zu den spezifischen Messwertfunktionen, die von Google SecOps unterstützt werden.

Benachrichtigungsereignisse

metrics.alert_event_name_count berechnet historische Werte für UDM-Ereignisse vor, für die Warnungen von Carbon Black, CrowdStrike Falcon, Microsoft Graph API Alerts oder Microsoft Sentinel generiert wurden.

Authentifizierungsversuche

metrics.auth_attempts_total berechnet historische Werte für UDM-Ereignisse mit einem USER_LOGIN event type vor.

metrics.auth_attempts_success setzt außerdem voraus, dass das Ereignis mindestens eine SecurityResult.Action von ALLOW hatte.

Für metrics.auth_attempts_fail darf keines der SecurityResult.Actions ALLOW sein.

Ausgehende DNS-Bytes

metrics.dns_bytes_outbound berechnet historische Werte für UDM-Ereignisse vor, bei denen network.sent_bytes größer als 0 ist und der Zielport 53/udp, 53/tcp oder 3000/tcp ist. network.sent_bytes ist als value_sum verfügbar.

DNS-Abfragen

metrics.dns_queries_total berechnet historische Werte für UDM-Ereignisse vor, die einen Wert in network haben.dns.id.

metrics.dns_queries_success erfordert außerdem, dass die network.dns.response_code war 0 (NoError).

Bei metrics.dns_queries_fail werden nur Ereignisse mit einem network berücksichtigt.dns.response_code größer als 0.

Dateiausführungen

metrics.file_executions_total berechnet historische Werte für UDM-Ereignisse mit einem PROCESS_LAUNCH event type vor.

Für metrics.file_executions_success ist außerdem erforderlich, dass das Ereignis mindestens eine SecurityResult.Action von ALLOW hatte.

Für metrics.file_executions_fail muss keines der SecurityResult.Actions ALLOW sein.

HTTP-Abfragen

metrics.http_queries_total berechnet historische Werte für UDM-Ereignisse vor, die einen Wert in network haben.http.method.

metrics.http_queries_success erfordert außerdem, dass network.http.response_code ist kleiner als 400.

Bei metrics.http_queries_fail werden nur Ereignisse mit einem network berücksichtigt.http.response_code ist größer als oder gleich 400.

Netzwerk-Byte

metrics.network_bytes_inbound berechnet im Voraus historische Werte für UDM-Ereignisse, die einen Wert ungleich null für network haben.received_bytes Das Feld ist dann als value_sum verfügbar.

metrics.network_bytes_outbound erfordert einen Wert ungleich null für networksent_bytes und macht dieses Feld als value_sum verfügbar.

Bei metrics.network_bytes_total werden Ereignisse berücksichtigt, die einen Wert ungleich null für network.received_bytes oder network.sent_bytes (oder beides) haben. Die Summe dieser beiden Felder ist als value_sum verfügbar.

Ressourcen erstellen

metrics.resource_creation_total berechnet historische Werte für UDM-Ereignisse mit einem RESOURCE_CREATION event type oder einem USER_RESOURCE_CREATION event type vor.

Eine Liste der entsprechenden Ereignistypen finden Sie unter Metadaten-Ereignistypen.

metrics.resource_creation_success erfordert außerdem, dass das Ereignis mindestens eine SecurityResult.Action von ALLOW hat.

Ressourcen löschen

metrics.resource_deletion_success berechnet historische Werte für UDM-Ereignisse mit einem RESOURCE_DELETION event type vor und erfordert außerdem, dass das Ereignis mindestens einen SecurityResult.Actions von ALLOW hat.

Ressource lesen

metrics.resource_read_success berechnet historische Werte für UDM-Ereignisse mit einem RESOURCE_READ event type vor und erfordert außerdem, dass das Ereignis mindestens einen SecurityResult.Action von ALLOW hat.

Für metrics.resource_read_fail darf keines der SecurityResult.Actions ALLOW sein.

Beschränkungen

Beim Erstellen von YARA-L-Suchanfragen mit Messwerten gelten die folgenden Einschränkungen:

• Sie können keinen Messwert mit einem Standardwert ("" für String und 0 für Integer) verknüpfen.
  • Standardwerte:
    • Wenn keine Messwertdaten für ein Ereignis vorhanden sind, ist der von der Messwertfunktion zurückgegebene Wert 0.
    • Wenn es ein Ereignis ohne Messwertdaten gibt, kann die Verwendung von min zum Aggregieren der Funktion 0 zurückgeben.
• Messwertfunktionen können nur im Ergebnisbereich verwendet werden. Sie müssen in Suchanfragen mit einem Abschnitt für Übereinstimmungen zusammengefasst werden.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten