Metrik dalam penelusuran UDM menggunakan YARA-L 2.0

Fungsi metrik di Penelusuran memungkinkan Anda menganalisis data perilaku historis gabungan di hasil penelusuran Anda. Anda dapat menyertakan fungsi ini di bagian hasil kueri penelusuran UDM.

Parameter fungsi

Fungsi metrik dapat melakukan analisis perilaku entitas dalam penelusuran Anda. Misalnya, Anda dapat membuat kueri penelusuran untuk menentukan jumlah maksimum byte harian yang telah dikirim oleh alamat IP tertentu dalam sebulan terakhir. Untuk merepresentasikan alamat IP tertentu, Anda dapat langsung memasukkan nilai IP dalam kueri penelusuran, bukan menggunakan variabel placeholder.

Karena banyaknya argumen yang digunakan dalam fungsi ini, fungsi tersebut menggunakan parameter bernama, yang dapat ditentukan dalam urutan apa pun. Parameternya adalah sebagai berikut:

Periode

Durasi waktu untuk sekali pengamatan pada gabungan setiap peristiwa log. Satu-satunya nilai yang diizinkan adalah 1h dan 1d.

Jendela

Durasi waktu untuk masing-masing pengamatan digabungkan menjadi satu nilai, seperti rata-rata dan maksimum. Nilai yang diizinkan untuk jendela didasarkan pada periode metrik. Pemetaan yang valid adalah sebagai berikut:

period:1h : window:today

period:1d : window:30d

Contoh: Kueri berikut menampilkan waktu pertama dan terakhir kali pengguna berhasil login pada hari tertentu, selama 30 hari terakhir.

  $u1.principal.asset.ip = $ip
    $ip = "10.138.0.4"
    $user = $u1.target.user.userid

  match:
    $ip, $user

  outcome:

    // First and last time a user logged in successfully

     $first_seen = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:first_seen,
        agg:min,
        target.user.userid:$user))


    $last_seen = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:last_seen,
        agg:max,
        target.user.userid:$user))

Metrik

Dalam setiap periode, setiap pengamatan memiliki sejumlah metrik terkait. Salah satu metrik ini harus dipilih untuk diagregasikan selama satu periode penuh. Jenis metrik yang didukung adalah:

• event_count_sum—Jumlah peristiwa log unik dalam setiap periode.

• first_seen—Stempel waktu pertama kali terlihat dari peristiwa log yang cocok dalam setiap periode.

• last_seen—Stempel waktu terakhir terlihat dari peristiwa log yang cocok dalam setiap periode.

• value_sum—Jumlah byte dalam semua peristiwa log yang digabungkan dalam periode tersebut. Anda hanya dapat menggunakan nilai ini untuk fungsi metrik dengan byte dalam namanya.

• num_unique_filter_values—Metrik yang tidak dihitung sebelumnya oleh Google SecOps, tetapi dapat dihitung selama eksekusi kueri penelusuran. Lihat Menghitung metrik unik untuk mengetahui detail dan persyaratan selengkapnya.

Agregasi

Agregasi diterapkan ke seluruh periode (misalnya, nilai harian tertinggi selama 30 hari terakhir). Nilai yang diizinkan adalah:

• avg—Nilai rata-rata per periode. Ini adalah rata-rata statistik yang tidak menyertakan nilai nol.

• max—Nilai terbesar per periode.

• min—Nilai terkecil per periode.

• num_metric_periods—Jumlah periode dalam jangka waktu yang memiliki nilai metrik bukan nol.

• stddev—Simpangan baku nilai per periode. Ini adalah simpangan baku statistik yang tidak menyertakan nilai nol.

• sum—Jumlah setiap nilai per periode, selama seluruh jendela.

• earliest—Stempel waktu peristiwa pertama (terlama) dengan resolusi mikrodetik.

• latest—Stempel waktu peristiwa terakhir (terbaru) dengan resolusi mikrodetik.

Untuk contohnya, lihat Statistik dan agregasi dalam penelusuran UDM menggunakan YARA-L 2.0.

Filter

Filter memungkinkan metrik untuk difilter sebelum agregasi berdasarkan nilai di metrik yang sudah dikomputasi sebelumnya (lihat nilai di Metrik). Filter dapat berupa ekspresi peristiwa yang valid (satu baris di bagian peristiwa) yang tidak berisi kolom atau placeholder peristiwa. Satu-satunya variabel yang dapat disertakan dalam kondisi ini adalah jenis metrik.

Contoh: Bagian hasil kueri berikut menampilkan jumlah maksimum byte harian yang telah dikirim oleh alamat IP tertentu dalam sebulan terakhir.

$ip = principal.asset.ip
match:
    $ip
outcome:
$max_bytes_per_day = max(metrics.network_bytes_outbound(
    period: 1d, window: 30d,
    metric: value_sum,
    agg:max,
    principal.asset.ip: $ip,
    filter:value_sum > 10 AND event_count_sum > 2))

Kolom UDM

Metrik difilter berdasarkan satu, dua, atau tiga kolom UDM, bergantung pada fungsinya. Untuk mengetahui informasi tentang fungsi, lihat Fungsi.

Jenis kolom UDM berikut digunakan untuk fungsi metrik:

• Dimensi (Wajib): Berbagai kombinasi tercantum di halaman ini. Anda tidak dapat menggabungkan metrik dengan nilai default ("" untuk string dan 0 untuk int).
• Namespace (Opsional): Anda hanya dapat menggunakan namespace untuk entitas yang Anda tentukan dalam dimensi. Misalnya, jika Anda menggunakan filter principal.asset.hostname, Anda juga dapat menggunakan filter principal.namespace. Jika Anda tidak menyertakan filter namespace, data di semua namespace akan digabungkan. Anda dapat menggunakan nilai default sebagai filter namespace.

Penghitungan jendela

Google SecOps menghitung metrik menggunakan jendela metrik harian atau per jam.

Periode harian

Semua jendela harian, seperti 30d, ditentukan dengan cara yang sama. Google SecOps menggunakan data metrik terbaru yang tersedia yang telah dibuat dan tidak tumpang-tindih dengan rentang waktu kueri penelusuran. Penghitungan metrik harian dapat memerlukan waktu hingga 6 jam dan tidak akan dimulai hingga akhir hari dalam UTC. Data metrik untuk hari sebelumnya tersedia pada atau sebelum pukul 06.00 UTC setiap hari.

Misalnya, untuk kueri penelusuran yang berjalan di data peristiwa dari 31-10-2023 04.00 UTC hingga 31-10-2023 07.00 UTC, metrik harian untuk 30-10-2023 kemungkinan dibuat, sehingga penghitungan metrik menggunakan data dari 01-10-2023 hingga 30-10-2023 (inklusif). Sedangkan untuk kueri penelusuran yang berjalan di data peristiwa dari 31-10-2023 01.00 UTC hingga 31-10-2023 03.00 UTC, metrik harian untuk 30-10-2023 kemungkinan tidak dibuat, sehingga penghitungan metrik menggunakan data dari 30-09-2023 hingga 29-10-2023 (inklusif).

Periode today jam

Jendela metrik per jam dihitung secara berbeda dari jendela untuk metrik harian. Periode metrik per jam today bukan ukuran statis seperti periode 30d untuk metrik harian. Rentang waktu metrik per jam today diisi dengan data sebanyak mungkin antara akhir rentang waktu harian dan awal rentang waktu kueri penelusuran.

Misalnya, untuk kueri penelusuran yang berjalan di data peristiwa dari 31-10-2023 4.00.00 UTC hingga 31-10-2023 7.00.00 UTC, penghitungan metrik harian menggunakan data dari 01-10-2023 hingga 30-10-2023 (inklusif) dan jendela metrik per jam menggunakan data dari 31-10-2023 00.00.00 UTC hingga 31-10-2023 4.00.00 UTC.

Menghitung metrik unik

Metrik num_unique_filter_values tidak dihitung sebelumnya oleh Google SecOps. Nilai ini dihitung saat kueri penelusuran dijalankan. Hal ini dilakukan dengan menggabungkan dimensi yang ada dalam metrik yang sudah dikomputasi sebelumnya. Misalnya, metrik "jumlah total harian negara unik yang dicoba diautentikasi oleh pengguna" dapat diperoleh dari metrik auth_attempts_total yang telah dihitung sebelumnya pada dimensi target.user.userid dan principal.ip_geo_artifact.location.country_or_region dengan melakukan agregasi unik jumlah pada dimensi terakhir.

Contoh:

$userid = target.user.userid
match:
    $userid
outcome:
$outcome_variable = max(metrics.auth_attempts_total(
    period: 1d,
    window: 30d,
    // This metric type indicates any filter with a wildcard value should be
    // aggregated over each day to produce a new metric dynamically
    metric: num_unique_filter_values,
    agg: max,
    target.user.userid: $userid,
    // Filter whose value should be counted over each day to produce the
    // num_unique_filter_values metric.
    principal.ip_geo_artifact.location.country_or_region: *
))

Batasan: Penghitungan jumlah metrik unik hanya dapat diagregasi melalui satu dimensi filter. Hal ini ditunjukkan dengan menggunakan token karakter pengganti * sebagai nilai filter.

Functions

Bagian ini mencakup dokumentasi tentang fungsi metrik spesifik yang didukung oleh Google SecOps.

Peristiwa Pemberitahuan

metrics.alert_event_name_count melakukan pra-komputasi nilai historis untuk peristiwa UDM yang telah menghasilkan pemberitahuan dari Carbon Black, CrowdStrike Falcon, Microsoft Graph API Alerts, atau Microsoft Sentinel.

Upaya Autentikasi

metrics.auth_attempts_total melakukan prakomputasi nilai historis untuk peristiwa UDM dengan USER_LOGIN event type.

metrics.auth_attempts_success lebih lanjut mewajibkan peristiwa memiliki setidaknya satu SecurityResult.Action dari ALLOW.

metrics.auth_attempts_fail justru mengharuskan tidak ada satu pun SecurityResult.Actions yang ALLOW.

DNS Bytes Outbound

metrics.dns_bytes_outbound melakukan pra-komputasi nilai historis untuk peristiwa UDM dengan network.sent_bytes lebih besar dari 0, dan port target adalah 53/udp, 53/tcp, atau 3000/tcp. network.sent_bytes tersedia sebagai value_sum.

Kueri DNS

metrics.dns_queries_total melakukan pra-penghitungan nilai historis untuk peristiwa UDM yang memiliki nilai di network.dns.id.

metrics.dns_queries_success selanjutnya mengharuskan network.dns.response_code adalah 0 (NoError).

metrics.dns_queries_fail hanya mempertimbangkan peristiwa dengan network.dns.response_code lebih besar dari 0.

Eksekusi File

metrics.file_executions_total melakukan pra-komputasi nilai historis untuk peristiwa UDM dengan PROCESS_LAUNCH event type.

metrics.file_executions_success selanjutnya mewajibkan agar acara memiliki setidaknya satu SecurityResult.Action dari ALLOW.

metrics.file_executions_fail justru mengharuskan tidak ada satu pun SecurityResult.Actions yang ALLOW.

Kueri HTTP

metrics.http_queries_total melakukan pra-penghitungan nilai historis untuk peristiwa UDM yang memiliki nilai di network.http.method.

metrics.http_queries_success selanjutnya mewajibkan network.http.response_code kurang dari 400.

metrics.http_queries_fail hanya mempertimbangkan peristiwa dengan network.http.response_code lebih besar dari atau sama dengan 400.

Byte Jaringan

metrics.network_bytes_inbound melakukan pra-komputasi nilai historis untuk peristiwa UDM yang memiliki nilai bukan nol untuk network.received_bytes, dan membuat kolom tersebut tersedia sebagai value_sum.

metrics.network_bytes_outbound memerlukan nilai bukan nol untuk network.sent_bytes, dan membuat kolom tersebut tersedia sebagai value_sum.

metrics.network_bytes_total mempertimbangkan peristiwa yang memiliki nilai selain nol untuk network.received_bytes atau network.sent_bytes (atau keduanya), dan membuat jumlah kedua kolom tersebut tersedia sebagai value_sum.

Pembuatan Resource

metrics.resource_creation_total melakukan pra-penghitungan nilai historis untuk peristiwa UDM dengan event type RESOURCE_CREATION atau event type USER_RESOURCE_CREATION.

Untuk daftar jenis peristiwa yang setara, lihat Jenis Peristiwa Metadata

metrics.resource_creation_success selanjutnya mengharuskan peristiwa memiliki setidaknya satu SecurityResult.Action dari ALLOW.

Penghapusan Resource

metrics.resource_deletion_success melakukan pra-penghitungan nilai historis untuk peristiwa UDM dengan RESOURCE_DELETION event type dan selanjutnya mensyaratkan bahwa peristiwa memiliki setidaknya satu SecurityResult.Actions dari ALLOW.

Membaca Resource

metrics.resource_read_success melakukan pra-penghitungan nilai historis untuk peristiwa UDM dengan RESOURCE_READ event type dan selanjutnya mensyaratkan bahwa peristiwa memiliki setidaknya satu SecurityResult.Action dari ALLOW.

metrics.resource_read_fail justru mengharuskan tidak ada satu pun SecurityResult.Actions yang ALLOW.

Batasan

Saat membuat kueri penelusuran YARA-L dengan metrik, batasan berikut berlaku:

• Anda tidak dapat menggabungkan metrik dengan nilai default ("" untuk string dan 0 untuk int).
  • Nilai default:
    • Jika tidak ada data metrik yang sesuai dengan peristiwa, nilai yang ditampilkan dari fungsi metrik adalah 0.
    • Jika ada peristiwa yang tidak memiliki data metrik, penggunaan min untuk menggabungkan fungsi dapat menampilkan 0.
• Fungsi metrik hanya dapat digunakan di bagian hasil. Data ini harus digabungkan dalam kueri penelusuran dengan bagian kecocokan.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.