Metriche nella ricerca UDM utilizzando YARA-L 2.0

Le funzioni delle metriche nella Ricerca ti consentono di analizzare i dati comportamentali storici aggregati nei risultati di ricerca. Puoi includere queste funzioni nella sezione dei risultati della query di ricerca UDM.

Parametri della funzione

Le funzioni delle metriche possono eseguire l'analisi comportamentale delle entità all'interno delle tue ricerche. Ad esempio, puoi creare una query di ricerca per determinare il numero massimo di byte giornalieri inviati da un indirizzo IP specifico nell'ultimo mese. Per rappresentare l'indirizzo IP specifico, puoi inserire direttamente il valore IP nella query di ricerca anziché utilizzare variabili segnaposto.

A causa del numero elevato di argomenti utilizzati in queste funzioni, vengono utilizzati parametri denominati, che possono essere specificati in qualsiasi ordine. I parametri sono i seguenti:

Periodo

Il periodo di tempo durante il quale i singoli eventi del log vengono combinati in un'unica osservazione. Gli unici valori consentiti sono 1h e 1d.

Finestra

Il periodo di tempo durante il quale le singole osservazioni vengono aggregate in un unico valore, come la media e il massimo. I valori consentiti per la finestra si basano sul periodo della metrica. Le mappature valide sono le seguenti:

period:1h: window:today

period:1d: window:30d

Esempio: la seguente query restituisce la prima e l'ultima volta che un utente ha eseguito l'accesso correttamente in un determinato giorno, negli ultimi 30 giorni.

  $u1.principal.asset.ip = $ip
    $ip = "10.138.0.4"
    $user = $u1.target.user.userid

  match:
    $ip, $user

  outcome:

    // First and last time a user logged in successfully

     $first_seen = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:first_seen,
        agg:min,
        target.user.userid:$user))


    $last_seen = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:last_seen,
        agg:max,
        target.user.userid:$user))

Metriche

All'interno di ciascun periodo, a ciascuna osservazione è associata una serie di metriche. Una di queste deve essere selezionata per l'aggregazione nell'intera finestra. I tipi di metriche supportati sono:

• event_count_sum: numero di eventi di log unici in ogni periodo.

• first_seen: timestamp della prima visualizzazione di un evento di log corrispondente all'interno di ogni periodo.

• last_seen: timestamp dell'ultima visualizzazione di un evento di log corrispondente in ogni periodo.

• value_sum: somma del numero di byte in tutti gli eventi di log combinati nel periodo. Puoi utilizzare questo valore solo per le funzioni delle metriche con byte nel nome.

• num_unique_filter_values: metrica non precalcolata da Google SecOps, ma che può essere calcolata durante l'esecuzione della query di ricerca. Per ulteriori dettagli e requisiti, consulta la sezione Conteggio delle metriche uniche.

Aggregazioni

Le aggregazioni vengono applicate all'intera finestra (ad esempio, il valore giornaliero più alto negli ultimi 30 giorni). I valori consentiti sono:

• avg: valore medio per periodo. Si tratta di una media statistica che non include valori pari a zero.

• max: il valore più alto per periodo.

• min: il valore più piccolo per periodo.

• num_metric_periods: numero di periodi all'interno dell'intervallo di tempo che avevano un valore della metrica diverso da zero.

• stddev: deviazione standard del valore per periodo. Si tratta di una deviazione standard statistica che non include valori pari a zero.

• sum: somma di ogni valore per periodo, nell'intera finestra.

• earliest: timestamp del primo evento (il meno recente) con risoluzione in microsecondi.

• latest: timestamp dell'ultimo evento (il più recente) con risoluzione in microsecondi.

Per esempi, vedi Statistiche e aggregazioni nella ricerca UDM utilizzando YARA-L 2.0.

Filtro

I filtri consentono di filtrare le metriche prima dell'aggregazione in base a un valore nella metrica precalcolata (vedi i valori in Metrica). I filtri possono essere qualsiasi espressione di evento valida (una singola riga nella sezione degli eventi) che non contenga campi o segnaposto evento. Le uniche variabili che possono essere incluse in questa condizione sono i tipi di metriche.

Esempio: la seguente sezione dei risultati di una query restituisce il numero massimo di byte giornalieri inviati da un indirizzo IP specifico nell'ultimo mese.

$ip = principal.asset.ip
match:
    $ip
outcome:
$max_bytes_per_day = max(metrics.network_bytes_outbound(
    period: 1d, window: 30d,
    metric: value_sum,
    agg:max,
    principal.asset.ip: $ip,
    filter:value_sum > 10 AND event_count_sum > 2))

Campi UDM

Le metriche vengono filtrate da uno, due o tre campi UDM, a seconda della funzione. Per informazioni sulle funzioni, consulta Funzioni.

Per le funzioni delle metriche vengono utilizzati i seguenti tipi di campi UDM:

• Dimensione (obbligatoria): in questa pagina sono elencate diverse combinazioni. Non puoi unire una metrica con un valore predefinito ("" per la stringa e 0 per l'intero).
• Spazi dei nomi (facoltativo): puoi utilizzare gli spazi dei nomi solo per le entità specificate nelle dimensioni. Ad esempio, se utilizzi il filtro principal.asset.hostname, puoi utilizzare anche un filtro principal.namespace. Se non includi un filtro dello spazio dei nomi, i dati di tutti gli spazi dei nomi vengono aggregati. Puoi utilizzare un valore predefinito come filtro dello spazio dei nomi.

Calcoli delle finestre

Google SecOps calcola le metriche utilizzando una finestra di metriche giornaliera o oraria.

Finestre giornaliere

Tutte le finestre giornaliere, ad esempio 30d, vengono determinate allo stesso modo. Google SecOps utilizza i dati delle metriche più recenti disponibili che sono stati generati e che non si sovrappongono all'intervallo di tempo della query di ricerca. Il calcolo delle metriche giornaliere può richiedere fino a 6 ore e non inizia prima della fine della giornata in UTC. I dati delle metriche del giorno precedente sono disponibili alle ore 6:00 UTC di ogni giorno o prima.

Ad esempio, per una query di ricerca eseguita sui dati degli eventi dal 31/10/2023 alle 04:00 UTC al 31/10/2023 alle 07:00 UTC, è probabile che vengano generate le metriche giornaliere per il 30/10/2023, quindi il calcolo delle metriche utilizza i dati dal 01/10/2023 al 30/10/2023 (incluso). Mentre per una query di ricerca eseguita sui dati degli eventi dal giorno 2023-10-31 1:00 UTC al giorno 2023-10-31 3:00 UTC, le metriche giornaliere per il giorno 2023-10-30 probabilmente non vengono generate, quindi il calcolo delle metriche utilizza i dati dal giorno 2023-09-30 al giorno 2023-10-29 (incluso).

Finestra oraria di today

La finestra delle metriche orarie viene calcolata in modo diverso rispetto a quella delle metriche giornaliere. La finestra delle metriche orarie di today non ha dimensioni statiche come la finestra 30d per le metriche giornaliere. La finestra oraria della metrica today viene compilata con il maggior numero possibile di dati tra la fine della finestra giornaliera e l'inizio della finestra temporale della query di ricerca.

Ad esempio, per una query di ricerca eseguita sui dati degli eventi dal 31/10/2023 alle 04:00:00 UTC al 31/10/2023 alle 07:00:00 UTC, il calcolo delle metriche giornaliere utilizza i dati dal 01/10/2023 al 30/10/2023 (inclusi) e la finestra delle metriche orarie utilizza i dati dal 31/10/2023 alle 00:00:00 UTC al 31/10/2023 alle 04:00:00 UTC.

Metriche di conteggio univoco

La metrica num_unique_filter_values non viene precalcolata da Google SecOps. Viene calcolato quando viene eseguita la query di ricerca. Questa operazione viene eseguita aggregando una dimensione esistente in una metrica precalcolata. Ad esempio, la metrica "Conteggio totale giornaliero dei paesi distinti in cui un utente ha tentato di autenticarsi" può essere derivata dalla metrica auth_attempts_total precalcolata nelle dimensioni target.user.userid e principal.ip_geo_artifact.location.country_or_region eseguendo un'aggregazione univoca su quest'ultima dimensione.

Esempio:

$userid = target.user.userid
match:
    $userid
outcome:
$outcome_variable = max(metrics.auth_attempts_total(
    period: 1d,
    window: 30d,
    // This metric type indicates any filter with a wildcard value should be
    // aggregated over each day to produce a new metric dynamically
    metric: num_unique_filter_values,
    agg: max,
    target.user.userid: $userid,
    // Filter whose value should be counted over each day to produce the
    // num_unique_filter_values metric.
    principal.ip_geo_artifact.location.country_or_region: *
))

Limitazione: il conteggio delle metriche uniche può essere aggregato solo in base a una singola dimensione filtro. Ciò è indicato dall'utilizzo del token jolly * come valore del filtro.

Funzioni

Questa sezione include la documentazione sulle funzioni di metrica specifiche supportate da Google SecOps.

Eventi di avviso

metrics.alert_event_name_count precalcola i valori storici per gli eventi UDM per i quali sono stati generati avvisi da Carbon Black, CrowdStrike Falcon, API Microsoft Graph Alerts o Microsoft Sentinel.

Tentativi di autenticazione

metrics.auth_attempts_total precalcola i valori storici per gli eventi UDM con un USER_LOGIN event type.

metrics.auth_attempts_success richiede inoltre che l'evento abbia avuto almeno un SecurityResult.Action di ALLOW.

metrics.auth_attempts_fail richiede invece che nessuno dei SecurityResult.Actions fosse ALLOW.

Byte in uscita DNS

metrics.dns_bytes_outbound precalcola i valori storici per gli eventi UDM in cui network.sent_bytes è maggiore di 0 e la porta di destinazione è 53/udp, 53/tcp o 3000/tcp. network.sent_bytes è disponibile come value_sum.

Query DNS

metrics.dns_queries_total precalcola i valori storici per gli eventi UDM che hanno un valore in network.dns.id.

metrics.dns_queries_success richiede inoltre che network.dns.response_code era 0 (NoError).

metrics.dns_queries_fail considera solo gli eventi con un network.dns.response_code maggiore di 0.

Esecuzioni di file

metrics.file_executions_total precalcola i valori storici per gli eventi UDM con un PROCESS_LAUNCH event type.

metrics.file_executions_success richiede inoltre che l'evento abbia avuto almeno un SecurityResult.Action di ALLOW.

metrics.file_executions_fail richiede invece che nessuno dei SecurityResult.Actions sia ALLOW.

Query HTTP

metrics.http_queries_total precalcola i valori storici per gli eventi UDM che hanno un valore in network.http.method.

metrics.http_queries_success richiede inoltre che network.http.response_code è inferiore a 400.

metrics.http_queries_fail considera solo gli eventi con un network.http.response_code è maggiore o uguale a 400.

Byte di rete

metrics.network_bytes_inbound precalcola i valori storici per gli eventi UDM che hanno un valore diverso da zero per network.received_bytes, e rende disponibile questo campo come value_sum.

metrics.network_bytes_outbound richiede un valore diverso da zero per network, sent_bytes e rende disponibile questo campo come value_sum.

metrics.network_bytes_total considera gli eventi che hanno un valore diverso da zero per network.received_bytes o network.sent_bytes (o entrambi) e rende disponibile la somma di questi due campi come value_sum.

Creazione di risorse

metrics.resource_creation_total precalcola i valori storici per gli eventi UDM con un RESOURCE_CREATION event type o un USER_RESOURCE_CREATION event type.

Per un elenco dei tipi di eventi equivalenti, vedi Tipi di eventi di metadati.

metrics.resource_creation_success richiede inoltre che l'evento abbia almeno un SecurityResult.Action di ALLOW.

Eliminazione delle risorse

metrics.resource_deletion_success precalcola i valori storici per gli eventi UDM con un RESOURCE_DELETION event type e richiede inoltre che l'evento abbia almeno un SecurityResult.Actions di ALLOW.

Lettura risorsa

metrics.resource_read_success precalcola i valori storici per gli eventi UDM con un RESOURCE_READ event type e richiede inoltre che l'evento abbia almeno un SecurityResult.Action di ALLOW.

metrics.resource_read_fail richiede invece che nessuno dei SecurityResult.Actions sia ALLOW.

Limitazioni

Quando crei query di ricerca YARA-L con metriche, si applicano le seguenti limitazioni:

• Non puoi unire una metrica con un valore predefinito ("" per la stringa e 0 per l'intero).
  • Valori predefiniti:
    • Se non sono presenti dati delle metriche corrispondenti a un evento, il valore restituito dalla funzione delle metriche è 0.
    • Se esiste un evento senza dati delle metriche, l'utilizzo di min per l'aggregazione nella funzione potrebbe restituire 0.
• Le funzioni metriche possono essere utilizzate solo nella sezione Risultato. Devono essere aggregati nelle query di ricerca con una sezione di corrispondenza.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.