Métriques dans la recherche UDM à l'aide de YARA-L 2.0

Les fonctions de métriques dans la recherche vous permettent d'analyser les données comportementales historiques agrégées dans vos résultats de recherche. Vous pouvez inclure ces fonctions dans la section "Résultat" de la requête de recherche UDM.

Paramètres de fonction

Les fonctions de métriques peuvent effectuer des analyses comportementales d'entités dans vos recherches. Par exemple, vous pouvez créer une requête de recherche pour déterminer le nombre maximal d'octets quotidiens qu'une adresse IP spécifique a envoyés au cours du mois dernier. Pour représenter l'adresse IP spécifique, vous pouvez saisir directement la valeur de l'adresse IP dans votre requête de recherche au lieu d'utiliser des variables d'espace réservé.

En raison du grand nombre d'arguments utilisés dans ces fonctions, elles utilisent des paramètres nommés, qui peuvent être spécifiés dans n'importe quel ordre. Les paramètres sont les suivants :

Période

Durée pendant laquelle les événements de journaux individuels sont combinés dans une même observation. Les seules valeurs autorisées sont 1h et 1d.

Window

Durée pendant laquelle les observations individuelles sont agrégées dans une même valeur, par exemple la moyenne et le maximum. Les valeurs autorisées pour la fenêtre sont basées sur la période de la métrique. Voici les mappages valides :

period:1h : window:today

period:1d : window:30d

Exemple : La requête suivante renvoie la première et la dernière fois qu'un utilisateur s'est connecté avec succès au cours d'un jour donné, au cours des 30 derniers jours.

  $u1.principal.asset.ip = $ip
    $ip = "10.138.0.4"
    $user = $u1.target.user.userid

  match:
    $ip, $user

  outcome:

    // First and last time a user logged in successfully

     $first_seen = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:first_seen,
        agg:min,
        target.user.userid:$user))


    $last_seen = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:last_seen,
        agg:max,
        target.user.userid:$user))

Métriques

Dans chaque période, chaque observation possède un certain nombre de métriques qui lui est associé. Vous devez en sélectionner une pour l'agrégation sur l'intégralité de la fenêtre. Voici les types de métriques acceptés :

• event_count_sum : nombre d'événements de journaux uniques au cours de chaque période.

• first_seen : code temporel de la première occurrence d'un événement de journal correspondant dans chaque période.

• last_seen : code temporel de la dernière occurrence d'un événement de journal correspondant dans chaque période.

• value_sum : somme du nombre d'octets de tous les événements de journaux combinés au cours de la période. Vous ne pouvez utiliser cette valeur que pour les fonctions de métriques dont le nom contient "bytes".

• num_unique_filter_values : métrique qui n'est pas précalculée par Google SecOps, mais qui peut l'être lors de l'exécution de la requête de recherche. Pour en savoir plus et connaître les exigences, consultez Métriques "Nombre unique".

Agrégations

Les agrégations sont appliquées sur l'intégralité de la fenêtre (par exemple, la valeur quotidienne la plus élevée au cours des 30 derniers jours). Les valeurs autorisées sont les suivantes :

• avg : valeur moyenne par période. Il s'agit d'une moyenne statistique qui n'inclut pas les valeurs nulles.

• max : valeur la plus élevée par période.

• min : la plus petite valeur par période.

• num_metric_periods : nombre de périodes au cours de la période où la valeur de la métrique était non nulle.

• stddev : écart type de la valeur par période. Il s'agit d'un écart-type statistique qui n'inclut pas les valeurs nulles.

• sum : somme de chaque valeur par période, sur l'ensemble de la période.

• earliest : code temporel du premier événement (le plus ancien) avec une résolution en microsecondes.

• latest : code temporel du dernier événement (le plus récent) avec une résolution en microsecondes.

Pour obtenir des exemples, consultez Statistiques et agrégations dans la recherche UDM avec YARA-L 2.0.

Filtre

Les filtres permettent de filtrer les métriques avant l'agrégation en fonction d'une valeur dans la métrique précalculée (voir les valeurs dans Métrique). Les filtres peuvent être n'importe quelle expression d'événement valide (une seule ligne dans la section "Événement") qui ne contient aucun champ ni espace réservé d'événement. Les seuls types de variables pouvant être inclus dans cette condition sont les types de métriques.

Exemple : La section "Résultat" suivante d'une requête renvoie le nombre maximal d'octets quotidiens qu'une adresse IP spécifique a envoyés au cours du mois dernier.

$ip = principal.asset.ip
match:
    $ip
outcome:
$max_bytes_per_day = max(metrics.network_bytes_outbound(
    period: 1d, window: 30d,
    metric: value_sum,
    agg:max,
    principal.asset.ip: $ip,
    filter:value_sum > 10 AND event_count_sum > 2))

Champs UDM

Les métriques sont filtrées par un, deux ou trois champs UDM selon la fonction. Pour en savoir plus sur les fonctions, consultez Fonctions.

Les types de champs UDM suivants sont utilisés pour les fonctions de métriques :

• Dimension (obligatoire) : différentes combinaisons sont listées sur cette page. Vous ne pouvez pas joindre une métrique avec une valeur par défaut ("" pour une chaîne et 0 pour un entier).
• Espaces de noms (facultatif) : vous ne pouvez utiliser des espaces de noms que pour les entités que vous spécifiez dans les dimensions. Par exemple, si vous utilisez le filtre principal.asset.hostname, vous pouvez également utiliser le filtre principal.namespace. Si vous n'incluez pas de filtre d'espace de noms, les données de tous les espaces de noms sont agrégées. Vous pouvez utiliser une valeur par défaut comme filtre d'espace de noms.

Calculs de fenêtres

Google SecOps calcule les métriques à l'aide d'une fenêtre de métriques quotidienne ou horaire.

Périodes quotidiennes

Toutes les fenêtres quotidiennes, comme 30d, sont déterminées de la même manière. Google SecOps utilise les dernières données de métriques disponibles qui ont été générées et qui ne chevauchent pas la plage de dates de la requête de recherche. Le calcul des métriques quotidiennes peut prendre jusqu'à six heures et ne commence qu'à la fin de la journée en UTC. Les données de métriques de la veille sont disponibles à 6h00 UTC ou avant chaque jour.

Par exemple, pour une requête de recherche exécutée sur des données d'événement du 31/10/2023 à 4h00 UTC au 31/10/2023 à 7h00 UTC, les métriques quotidiennes du 30/10/2023 sont probablement générées. Le calcul des métriques utilise donc les données du 01/10/2023 au 30/10/2023 (inclus). En revanche, pour une requête de recherche exécutée sur des données d'événement du 31/10/2023 à 1h00 UTC au 31/10/2023 à 3h00 UTC, les métriques quotidiennes pour le 30/10/2023 ne sont probablement pas générées. Le calcul des métriques utilise donc les données du 30/09/2023 au 29/10/2023 (inclus).

Période de today heures

La période de la métrique horaire est calculée différemment de celle des métriques quotidiennes. La période de métrique horaire de today n'est pas une taille statique comme la période 30d pour les métriques quotidiennes. La fenêtre de métriques horaires today remplit autant de données que possible entre la fin de la fenêtre quotidienne et le début de la fenêtre de requête de recherche.

Par exemple, pour une requête de recherche exécutée sur des données d'événement du 31/10/2023 4:00:00 UTC au 31/10/2023 7:00:00 UTC, le calcul des métriques quotidiennes utilise les données du 01/10/2023 au 30/10/2023 (inclus), et la fenêtre de métriques horaires utilise les données du 31/10/2023 00:00:00 UTC au 31/10/2023 4:00:00 UTC.

Métriques de nombre unique

La métrique num_unique_filter_values n'est pas précalculée par Google SecOps. Elle est calculée lorsque la requête de recherche est exécutée. Pour ce faire, il faut agréger une dimension existante dans une métrique précalculée. Par exemple, la métrique "Nombre total quotidien de pays distincts dans lesquels un utilisateur a tenté de s'authentifier" peut être dérivée de la métrique auth_attempts_total précalculée sur les dimensions target.user.userid et principal.ip_geo_artifact.location.country_or_region en effectuant une agrégation "count unique" sur la dernière dimension.

Exemple :

$userid = target.user.userid
match:
    $userid
outcome:
$outcome_variable = max(metrics.auth_attempts_total(
    period: 1d,
    window: 30d,
    // This metric type indicates any filter with a wildcard value should be
    // aggregated over each day to produce a new metric dynamically
    metric: num_unique_filter_values,
    agg: max,
    target.user.userid: $userid,
    // Filter whose value should be counted over each day to produce the
    // num_unique_filter_values metric.
    principal.ip_geo_artifact.location.country_or_region: *
))

Limitation : Le calcul du nombre de métriques uniques ne peut être agrégé que sur une seule dimension de filtre. Pour ce faire, utilisez le jeton générique * comme valeur de filtre.

Fonctions

Cette section inclut la documentation sur les fonctions de métriques spécifiques compatibles avec Google SecOps.

Événements d'alerte

metrics.alert_event_name_count précalcule les valeurs historiques des événements UDM pour lesquels des alertes ont été générées par Carbon Black, CrowdStrike Falcon, les alertes de l'API Microsoft Graph ou Microsoft Sentinel.

Tentatives d'authentification

metrics.auth_attempts_total précalcule les valeurs historiques des événements UDM avec un USER_LOGIN event type.

metrics.auth_attempts_success exige également que l'événement ait au moins un SecurityResult.Action de ALLOW.

metrics.auth_attempts_fail exige plutôt qu'aucun des SecurityResult.Actions n'ait été ALLOW.

Octets DNS sortants

metrics.dns_bytes_outbound précalcule les valeurs historiques pour les événements UDM où network.sent_bytes est supérieur à 0 et où le port cible est 53/udp, 53/tcp ou 3000/tcp. network.sent_bytes est disponible en tant que value_sum.

Requêtes DNS

metrics.dns_queries_total précalcule les valeurs historiques des événements UDM qui ont une valeur dans network.dns.id.

metrics.dns_queries_success exige également que network.dns.response_code était 0 (NoError).

metrics.dns_queries_fail ne prend en compte que les événements avec un network.dns.response_code supérieur à 0.

Exécutions de fichiers

metrics.file_executions_total précalcule les valeurs historiques des événements UDM avec un PROCESS_LAUNCH event type.

metrics.file_executions_success exige également que l'événement ait au moins un SecurityResult.Action de ALLOW.

metrics.file_executions_fail exige qu'aucun des SecurityResult.Actions n'ait été ALLOW.

Requêtes HTTP

metrics.http_queries_total précalcule les valeurs historiques des événements UDM qui ont une valeur dans network.http.method.

metrics.http_queries_success exige également que network.http.response_code est inférieur à 400.

metrics.http_queries_fail ne prend en compte que les événements avec un network.http.response_code est supérieur ou égal à 400.

Octets réseau

metrics.network_bytes_inbound précalcule les valeurs historiques des événements UDM dont la valeur network est non nulle.received_bytes, et rend ce champ disponible sous la forme value_sum.

metrics.network_bytes_outbound nécessite une valeur non nulle pour network.sent_bytes et rend ce champ disponible sous la forme value_sum.

metrics.network_bytes_total prend en compte les événements dont la valeur est non nulle pour network.received_bytes ou network.sent_bytes (ou les deux), et met la somme de ces deux champs à disposition sous la forme value_sum.

Création de ressources

metrics.resource_creation_total précalcule les valeurs historiques des événements UDM avec une RESOURCE_CREATION event type ou une USER_RESOURCE_CREATION event type.

Pour obtenir la liste des types d'événements équivalents, consultez Types d'événements de métadonnées.

metrics.resource_creation_success exige également que l'événement comporte au moins un SecurityResult.Action de ALLOW.

Suppression de ressources

metrics.resource_deletion_success précalcule les valeurs historiques des événements UDM avec un RESOURCE_DELETION event type et exige en outre que l'événement comporte au moins un SecurityResult.Actions de ALLOW.

Lecture de ressources

metrics.resource_read_success précalcule les valeurs historiques des événements UDM avec un RESOURCE_READ event type et exige en outre que l'événement comporte au moins un SecurityResult.Action de ALLOW.

metrics.resource_read_fail exige qu'aucun des SecurityResult.Actions ne soit ALLOW.

Limites

Lorsque vous créez des requêtes de recherche YARA-L avec des métriques, les limites suivantes s'appliquent :

• Vous ne pouvez pas joindre une métrique avec une valeur par défaut ("" pour une chaîne et 0 pour un entier).
  • Valeurs par défaut :
    • Si aucune donnée de métrique ne correspond à un événement, la valeur renvoyée par la fonction de métriques est 0.
    • Si un événement ne comporte aucune donnée de métrique, l'utilisation de min pour agréger la fonction peut renvoyer 0.
• Les fonctions de métriques ne peuvent être utilisées que dans la section "Résultat". Elles doivent être agrégées dans les requêtes de recherche avec une section de correspondance.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.