Métricas en la búsqueda de UDM con YARA-L 2.0

Las funciones de métricas en la Búsqueda te permiten analizar datos históricos de comportamiento agregados en tus resultados de la búsqueda. Puedes incluir estas funciones en la sección de resultados de la consulta de búsqueda de UDM.

Parámetros de las funciones

Las funciones de métricas pueden realizar análisis de comportamiento de entidades en tus búsquedas. Por ejemplo, puedes crear una búsqueda para determinar la cantidad máxima de bytes diarios que envió una dirección IP específica en el último mes. Para representar la dirección IP específica, puedes ingresar directamente el valor de IP en tu búsqueda en lugar de usar variables de marcador de posición.

Debido a la gran cantidad de argumentos que se usan en estas funciones, se utilizan parámetros con nombre, que se pueden especificar en cualquier orden. Los parámetros son los siguientes:

Período

Es el período durante el cual se combinan eventos de registro individuales en una sola observación. Los únicos valores permitidos son 1h y 1d.

Ventana

Es el período durante el cual las observaciones individuales se agregan en un solo valor, como el promedio y el máximo. Los valores permitidos para la ventana se basan en el período de la métrica. Las asignaciones válidas son las siguientes:

period:1h : window:today

period:1d : window:30d

Ejemplo: La siguiente consulta devuelve la primera y la última vez que un usuario accedió correctamente en un día determinado, durante los últimos 30 días.

  $u1.principal.asset.ip = $ip
    $ip = "10.138.0.4"
    $user = $u1.target.user.userid

  match:
    $ip, $user

  outcome:

    // First and last time a user logged in successfully

     $first_seen = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:first_seen,
        agg:min,
        target.user.userid:$user))


    $last_seen = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:last_seen,
        agg:max,
        target.user.userid:$user))

Métricas

En cada período, cada observación tiene una serie de métricas asociadas a ella. Se debe seleccionar una de estas opciones para la agregación durante toda la ventana. Los tipos de métricas admitidos son los siguientes:

• event_count_sum: Cantidad de eventos de registro únicos dentro de cada período.

• first_seen: Marca de tiempo de la primera vez que se vio un evento de registro coincidente dentro de cada período.

• last_seen: Marca de tiempo de la última vez que se vio un evento de registro coincidente dentro de cada período.

• value_sum: Suma de la cantidad de bytes en todos los eventos de registro combinados dentro del período. Solo puedes usar este valor para las funciones de métricas que tienen bytes en el nombre.

• num_unique_filter_values—Es una métrica que Google SecOps no calcula previamente, pero que se puede calcular durante la ejecución de la búsqueda. Consulta Cómo contar métricas únicas para obtener más detalles y requisitos.

Agregaciones

Las agregaciones se aplican durante toda la ventana (por ejemplo, el valor diario más alto de los últimos 30 días). Los valores permitidos son los siguientes:

• avg: Valor promedio por período. Es una media estadística que no incluye valores cero.

• max: Es el valor más alto por período.

• min: Es el valor más pequeño por período.

• num_metric_periods: Es la cantidad de períodos dentro del intervalo que tuvieron un valor de métrica distinto de cero.

• stddev: Es la desviación estándar del valor por período. Esta es una desviación estándar estadística que no incluye valores cero.

• sum: Suma de cada valor por período, en todo el período.

• earliest: Es la marca de tiempo del primer evento (el más antiguo) con resolución de microsegundos.

• latest: Es la marca de tiempo del último evento (el más reciente) con resolución de microsegundos.

Para ver ejemplos, consulta Estadísticas y agregaciones en la búsqueda de UDM con YARA-L 2.0.

Filtro

Los filtros permiten ordenar las métricas antes de la agregación con un valor en la métrica previamente procesada (consulta los valores en Metric). Los filtros pueden ser cualquier expresión de evento válida (una sola línea en la sección de eventos) que no contenga ningún campo de evento ni marcadores de posición. Las únicas variables que se pueden incluir en esta condición son los tipos de métricas.

Ejemplo: La siguiente sección de resultados de una búsqueda muestra la cantidad máxima de bytes diarios que una dirección IP específica envió en el último mes.

$ip = principal.asset.ip
match:
    $ip
outcome:
$max_bytes_per_day = max(metrics.network_bytes_outbound(
    period: 1d, window: 30d,
    metric: value_sum,
    agg:max,
    principal.asset.ip: $ip,
    filter:value_sum > 10 AND event_count_sum > 2))

Campos de UDM

Las métricas se filtran por uno, dos o tres campos de UDM, según la función. Para obtener información sobre las funciones, consulta Funciones.

Los siguientes tipos de campos de UDM se usan para las funciones de métricas:

• Dimensión (obligatorio): En esta página, se enumeran diferentes combinaciones. No puedes unir una métrica con un valor predeterminado ("" para la cadena y 0 para el número entero).
• Espacios de nombres (opcional): Solo puedes usar espacios de nombres para las entidades que especifiques en las dimensiones. Por ejemplo, si usas el filtro principal.asset.hostname, también puedes usar el filtro principal.namespace. Si no incluyes un filtro de espacio de nombres, los datos de todos los espacios de nombres se agregan. Puedes usar un valor predeterminado como filtro de espacio de nombres.

Cálculos de ventanas

Las Operaciones de seguridad de Google calculan las métricas con un período de métricas diario o por hora.

Períodos diarios

Todos los períodos diarios, como 30d, se determinan de la misma manera. Google SecOps utiliza los datos de métricas disponibles más recientes que se generaron y que no se superponen con el período de la búsqueda. El cálculo de las métricas diarias puede tardar hasta 6 horas en completarse y no comienza hasta el final del día en UTC. Los datos de métricas del día anterior están disponibles a las 6:00 a.m. (UTC) todos los días o antes.

Por ejemplo, para una búsqueda que se ejecuta sobre datos de eventos del 31/10/2023 a las 4:00 UTC al 31/10/2023 a las 7:00 UTC, es probable que se generen las métricas diarias del 30/10/2023, por lo que el cálculo de la métrica usa los datos del 1/10/2023 al 30/10/2023 (inclusive). En cambio, para una búsqueda que se ejecuta sobre datos de eventos del 31/10/2023 a la 1:00 (UTC) al 31/10/2023 a las 3:00 (UTC), es probable que no se generen las métricas diarias del 30/10/2023, por lo que el cálculo de la métrica utiliza los datos del 30/09/2023 al 29/10/2023 (inclusive).

Período de today horas

El período de la métrica por hora se calcula de manera diferente al de las métricas diarias. La ventana de métricas por hora de today no tiene un tamaño estático como la ventana de 30d para las métricas diarias. La ventana de métricas por hora today se completa con la mayor cantidad de datos posible entre el final de la ventana diaria y el inicio de la ventana de tiempo de la búsqueda.

Por ejemplo, para una búsqueda que se ejecuta sobre datos de eventos del 31/10/2023 a las 4:00:00 UTC al 31/10/2023 a las 7:00:00 UTC, el cálculo de la métrica diaria usa los datos del 1/10/2023 al 30/10/2023 (inclusive), y la ventana de la métrica por hora usa los datos del 31/10/2023 a las 00:00:00 UTC al 31/10/2023 a las 4:00:00 UTC.

Recuento de métricas únicas

Google SecOps no calcula previamente la métrica num_unique_filter_values. Se calcula cuando se ejecuta la búsqueda. Esto se hace agregando una dimensión existente en una métrica previamente calculada. Por ejemplo, la métrica "recuento diario total de países distintos en los que un usuario intentó autenticarse" se puede derivar de la métrica auth_attempts_total precalculada en las dimensiones target.user.userid y principal.ip_geo_artifact.location.country_or_region realizando una agregación de recuento único en la última dimensión.

Ejemplo:

$userid = target.user.userid
match:
    $userid
outcome:
$outcome_variable = max(metrics.auth_attempts_total(
    period: 1d,
    window: 30d,
    // This metric type indicates any filter with a wildcard value should be
    // aggregated over each day to produce a new metric dynamically
    metric: num_unique_filter_values,
    agg: max,
    target.user.userid: $userid,
    // Filter whose value should be counted over each day to produce the
    // num_unique_filter_values metric.
    principal.ip_geo_artifact.location.country_or_region: *
))

Limitación: El cálculo del recuento de métricas únicas solo se puede agregar en una sola dimensión de filtro. Esto se indica con el token de comodín * como valor del filtro.

Funciones

En esta sección, se incluye documentación sobre las funciones de métricas específicas que admite Google SecOps.

Eventos de alerta

metrics.alert_event_name_count precalcula los valores históricos de los eventos del UDM que generaron alertas de Carbon Black, CrowdStrike Falcon, las alertas de la API de Microsoft Graph o Microsoft Sentinel.

Intentos de autenticación

metrics.auth_attempts_total precalcula los valores históricos de los eventos del UDM con un USER_LOGIN event type.

metrics.auth_attempts_success requiere, además, que el evento haya tenido al menos un SecurityResult.Action de ALLOW.

En cambio, metrics.auth_attempts_fail requiere que ninguno de los SecurityResult.Actions haya sido ALLOW.

Bytes de DNS salientes

metrics.dns_bytes_outbound precalcula los valores históricos para los eventos del UDM en los que network.sent_bytes es mayor que 0 y el puerto de destino es 53/udp, 53/tcp o 3000/tcp. network.sent_bytes está disponible como value_sum.

Consultas de DNS

metrics.dns_queries_total precalcula los valores históricos para los eventos del UDM que tienen un valor en network.dns.id.

metrics.dns_queries_success requiere además que el network.dns.response_code era 0 (NoError).

metrics.dns_queries_fail solo considera los eventos con un network.dns.response_code mayor que 0

Ejecuciones de archivos

metrics.file_executions_total precalcula los valores históricos de los eventos del UDM con un PROCESS_LAUNCH event type.

metrics.file_executions_success requiere además que el evento haya tenido al menos un SecurityResult.Action de ALLOW.

En cambio, metrics.file_executions_fail requiere que ninguno de los SecurityResult.Actions haya sido ALLOW.

Consultas HTTP

metrics.http_queries_total precalcula los valores históricos para los eventos del UDM que tienen un valor en network.http.method.

Además, metrics.http_queries_success requiere que network.http.response_code es menor que 400.

metrics.http_queries_fail solo considera los eventos con un network.http.response_code es mayor o igual que 400.

Bytes de red

metrics.network_bytes_inbound precalcula los valores históricos de los eventos de UDM que tienen un valor distinto de cero para network.received_bytes y hace que ese campo esté disponible como value_sum.

metrics.network_bytes_outbound requiere un valor distinto de cero para network.sent_bytes y hace que ese campo esté disponible como value_sum.

metrics.network_bytes_total considera los eventos que tienen un valor distinto de cero para network.received_bytes o network.sent_bytes (o ambos) y hace que la suma de esos dos campos esté disponible como value_sum.

Creación de recursos

metrics.resource_creation_total precalcula los valores históricos de los eventos del UDM con un RESOURCE_CREATION event type o un USER_RESOURCE_CREATION event type.

Para obtener una lista de los tipos de eventos equivalentes, consulta Tipos de eventos de metadatos.

Además, metrics.resource_creation_success requiere que el evento tenga al menos un SecurityResult.Action de ALLOW.

Borrado de recursos

metrics.resource_deletion_success precalcula los valores históricos para los eventos del UDM con un RESOURCE_DELETION event type y, además, requiere que el evento tenga al menos un SecurityResult.Actions de ALLOW.

Lectura de recursos

metrics.resource_read_success precalcula los valores históricos para los eventos del UDM con un RESOURCE_READ event type y, además, requiere que el evento tenga al menos un SecurityResult.Action de ALLOW.

En cambio, metrics.resource_read_fail requiere que ninguno de los SecurityResult.Actions sea ALLOW.

Limitaciones

Cuando creas búsquedas de YARA-L con métricas, se aplican las siguientes limitaciones:

• No puedes unir una métrica con un valor predeterminado ("" para la cadena y 0 para el número entero).
  • Valores predeterminados:
    • Si no hay datos de métricas que correspondan a un evento, el valor que devuelve la función de métricas es 0.
    • Si hay un evento que no tiene datos de métricas, usar min para agregar la función podría devolver 0.
• Las funciones de métricas solo se pueden usar en la sección de resultados. Deben agregarse en las búsquedas con una sección de coincidencias.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.