Métricas na pesquisa da UDM com o YARA-L 2.0

As funções de métricas na Pesquisa permitem-lhe analisar dados comportamentais históricos agregados nos seus resultados da pesquisa. Pode incluir estas funções na secção de resultados da consulta de pesquisa da UDM.

Parâmetros de funções

As funções de métricas podem realizar estatísticas comportamentais de entidades nas suas pesquisas. Por exemplo, pode criar uma consulta de pesquisa para determinar o número máximo de bytes diários que um endereço IP específico enviou no último mês. Para representar o endereço IP específico, pode introduzir diretamente o valor do IP na sua consulta de pesquisa em vez de usar variáveis de marcadores de posição.

Devido ao grande número de argumentos usados nestas funções, usam parâmetros com nome, que podem ser especificados em qualquer ordem. Os parâmetros são os seguintes:

Período

O período durante o qual os eventos de registo individuais são combinados numa única observação. Os únicos valores permitidos são 1h e 1d.

Janela

O período durante o qual as observações individuais são agregadas num único valor, como a média e o máximo. Os valores permitidos para a janela baseiam-se no período da métrica. Os mapeamentos válidos são os seguintes:

period:1h : window:today

period:1d : window:30d

Exemplo: a consulta seguinte devolve a primeira e a última vez que um utilizador iniciou sessão com êxito num determinado dia, nos últimos 30 dias.

  $u1.principal.asset.ip = $ip
    $ip = "10.138.0.4"
    $user = $u1.target.user.userid

  match:
    $ip, $user

  outcome:

    // First and last time a user logged in successfully

     $first_seen = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:first_seen,
        agg:min,
        target.user.userid:$user))


    $last_seen = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:last_seen,
        agg:max,
        target.user.userid:$user))

Métrica

Em cada período, cada observação tem várias métricas associadas. Tem de selecionar uma destas opções para a agregação em toda a janela. Os tipos de métricas suportados são:

• event_count_sum—Número de eventos de registo únicos em cada período.

• first_seen—Data/hora da primeira visualização de um evento de registo correspondente em cada período.

• last_seen—Data/hora da última visualização de um evento de registo correspondente em cada período.

• value_sum—Soma do número de bytes em todos os eventos de registo combinados no período. Só pode usar este valor para funções de métricas com bytes no nome.

• num_unique_filter_values—Métrica que não é pré-calculada pelo Google SecOps, mas que pode ser calculada durante a execução da consulta de pesquisa. Consulte a secção Contagem de métricas únicas para ver mais detalhes e requisitos.

Agregações

As agregações são aplicadas ao longo de todo o período (por exemplo, o valor diário mais elevado nos últimos 30 dias). Os valores permitidos são:

• avg: valor médio por período. Esta é uma média estatística que não inclui valores zero.

• max: o valor mais elevado por período.

• min: o valor mais pequeno por período.

• num_metric_periods: Número de períodos na janela de tempo que tinham um valor de métrica diferente de zero.

• stddev—Desvio padrão do valor por período. Este é um desvio padrão estatístico que não inclui valores zero.

• sum—Soma de cada valor por período, ao longo de todo o intervalo.

• earliest—Data/hora do primeiro (mais antigo) evento com resolução de microssegundos.

• latest—Data/hora do último (mais recente) evento com resolução de microssegundos.

Para ver exemplos, consulte o artigo Estatísticas e agregações na pesquisa do UDM com o YARA-L 2.0.

Filtro

Os filtros permitem filtrar métricas antes da agregação por um valor na métrica pré-calculada (consulte os valores em Métrica). Os filtros podem ser qualquer expressão de evento válida (uma única linha na secção de eventos) que não contenha campos de eventos nem marcadores de posição. As únicas variáveis que podem ser incluídas nesta condição são tipos de métricas.

Exemplo: a seguinte secção de resultados de uma consulta devolve o número máximo de bytes diários que um endereço IP específico enviou no mês passado.

$ip = principal.asset.ip
match:
    $ip
outcome:
$max_bytes_per_day = max(metrics.network_bytes_outbound(
    period: 1d, window: 30d,
    metric: value_sum,
    agg:max,
    principal.asset.ip: $ip,
    filter:value_sum > 10 AND event_count_sum > 2))

Campos UDM

As métricas são filtradas por um, dois ou três campos de UDM, consoante a função. Para informações sobre funções, consulte o artigo Funções.

Os seguintes tipos de campos de UDM são usados para funções de métricas:

• Dimensão (obrigatório): nesta página, são apresentadas diferentes combinações. Não pode associar uma métrica a um valor predefinido ("" para string e 0 para int).
• Espaços de nomes (opcional): só pode usar espaços de nomes para entidades que especifica nas dimensões. Por exemplo, se usar o filtro principal.asset.hostname, também pode usar o filtro principal.namespace. Se não incluir um filtro de espaço de nomes, os dados de todos os espaços de nomes são agregados. Pode usar um valor predefinido como um filtro de espaço de nomes.

Cálculos de janelas

O Google SecOps calcula as métricas através de uma janela de métricas diária ou por hora.

Períodos diários

Todos os períodos diários, como 30d, são determinados da mesma forma. O Google SecOps usa os dados de métricas mais recentes disponíveis que foram gerados e que não se sobrepõem ao intervalo de tempo da consulta de pesquisa. O cálculo das métricas diárias pode demorar até 6 horas a ser concluído e só começa no final do dia em UTC. Os dados das métricas do dia anterior estão disponíveis às 06:00 UTC ou antes todos os dias.

Por exemplo, para uma consulta de pesquisa que está a ser executada sobre dados de eventos de 31/10/2023 às 04:00 UTC a 31/10/2023 às 07:00 UTC, é provável que as métricas diárias para 30/10/2023 sejam geradas, pelo que o cálculo das métricas usa os dados de 01/10/2023 a 30/10/2023 (inclusive). Por outro lado, para uma consulta de pesquisa que está a ser executada sobre dados de eventos de 31/10/2023 às 01:00 UTC a 31/10/2023 às 03:00 UTC, é provável que as métricas diárias de 30/10/2023 não sejam geradas, pelo que o cálculo das métricas usa os dados de 30/09/2023 a 29/10/2023 (inclusive).

Período de today horas

A janela de métricas por hora é calculada de forma diferente da janela de métricas diárias. O período de métricas por hora de today não é um tamanho estático como o período de 30d para métricas diárias. A janela de métricas por hora today preenche o máximo de dados possível entre o fim da janela diária e o início da janela de tempo da consulta de pesquisa.

Por exemplo, para uma consulta de pesquisa que está a ser executada sobre dados de eventos de 31/10/2023 às 04:00:00 UTC a 31/10/2023 às 07:00:00 UTC, o cálculo diário das métricas usa os dados de 01/10/2023 a 30/10/2023 (inclusive), e o período das métricas por hora usa os dados de 31/10/2023 às 00:00:00 UTC a 31/10/2023 às 04:00:00 UTC.

Contagem de métricas únicas

A métrica num_unique_filter_values não é pré-calculada pelo Google SecOps. É calculado quando a consulta de pesquisa é executada. Isto é feito através da agregação numa dimensão existente numa métrica pré-calculada. Por exemplo, a métrica "total diário de países distintos em que um utilizador tentou autenticar-se" pode ser derivada da métrica auth_attempts_total pré-calculada nas dimensões target.user.userid e principal.ip_geo_artifact.location.country_or_region através da realização de uma agregação única na última dimensão.

Exemplo:

$userid = target.user.userid
match:
    $userid
outcome:
$outcome_variable = max(metrics.auth_attempts_total(
    period: 1d,
    window: 30d,
    // This metric type indicates any filter with a wildcard value should be
    // aggregated over each day to produce a new metric dynamically
    metric: num_unique_filter_values,
    agg: max,
    target.user.userid: $userid,
    // Filter whose value should be counted over each day to produce the
    // num_unique_filter_values metric.
    principal.ip_geo_artifact.location.country_or_region: *
))

Limitação: a computação da contagem de métricas únicas só pode ser agregada numa única dimensão de filtro. Isto é indicado através da utilização do token de caráter universal * como o valor do filtro.

Funções

Esta secção inclui documentação sobre as funções de métricas específicas suportadas pelo Google SecOps.

Eventos de alerta

metrics.alert_event_name_count pré-calcula os valores do histórico para eventos UDM que geraram alertas do Carbon Black, CrowdStrike Falcon, Microsoft Graph API Alerts ou Microsoft Sentinel.

Tentativas de autenticação

metrics.auth_attempts_total pré-calcula os valores do histórico para eventos UDM com um USER_LOGIN event type.

metrics.auth_attempts_success requer ainda que o evento tenha tido, pelo menos, um SecurityResult.Action de ALLOW.

Em alternativa, a agência metrics.auth_attempts_fail requer que nenhum dos SecurityResult.Actions seja ALLOW.

Bytes de DNS de saída

metrics.dns_bytes_outbound pré-calcula os valores do histórico para eventos de UDM em que network.sent_bytes é superior a 0, e a porta de destino é 53/udp, 53/tcp ou 3000/tcp. network.sent_bytes está disponível como value_sum.

Consultas DNS

metrics.dns_queries_total pré-calcula os valores históricos dos eventos de UDM que têm um valor em network.dns.id.

Além disso, o metrics.dns_queries_success requer que o network.dns.response_code era 0 (NoError).

metrics.dns_queries_fail só considera eventos com um network.dns.response_code superior a 0.

Execuções de ficheiros

metrics.file_executions_total pré-calcula os valores históricos para eventos de UDM com um PROCESS_LAUNCH event type.

Além disso, metrics.file_executions_success requer que o evento tenha, pelo menos, SecurityResult.Action de ALLOW.

Em alternativa, metrics.file_executions_fail requer que nenhum dos SecurityResult.Actions seja ALLOW.

Consultas HTTP

metrics.http_queries_total pré-calcula os valores históricos dos eventos de UDM que têm um valor em network.http.method.

Além disso, o metrics.http_queries_success requer que network.http.response_code é inferior a 400.

metrics.http_queries_fail só considera eventos com um network.http.response_code é superior ou igual a 400.

Bytes de rede

metrics.network_bytes_inbound pré-calcula os valores históricos para eventos de UDM que tenham um valor diferente de zero para network.received_bytes e disponibiliza esse campo como value_sum.

metrics.network_bytes_outbound requer um valor diferente de zero para network.sent_bytes e torna esse campo disponível como value_sum.

metrics.network_bytes_total considera eventos que têm um valor diferente de zero para network.received_bytes ou network.sent_bytes (ou ambos) e disponibiliza a soma desses dois campos como value_sum.

Criação de recursos

metrics.resource_creation_total pré-calcula os valores históricos dos eventos UDM com um RESOURCE_CREATION event type ou um USER_RESOURCE_CREATION event type.

Para ver uma lista de tipos de eventos equivalentes, consulte Tipos de eventos de metadados

metrics.resource_creation_success requer ainda que o evento tenha, pelo menos, um SecurityResult.Action de ALLOW.

Eliminação de recursos

metrics.resource_deletion_success pré-calcula os valores históricos para eventos da UDM com um RESOURCE_DELETION event type e, além disso, requer que o evento tenha, pelo menos, um SecurityResult.Actions de ALLOW.

Resource Read

metrics.resource_read_success pré-calcula os valores históricos para eventos da UDM com um RESOURCE_READ event type e, além disso, requer que o evento tenha, pelo menos, um SecurityResult.Action de ALLOW.

Em alternativa, é necessário que nenhum dos SecurityResult.Actions seja ALLOW.metrics.resource_read_fail

Limitações

Quando cria consultas de pesquisa YARA-L com métricas, aplicam-se as seguintes limitações:

• Não pode associar uma métrica a um valor predefinido ("" para string e 0 para int).
  • Valores predefinidos:
    • Se não existirem dados de métricas correspondentes a um evento, o valor devolvido pela função de métricas é 0.
    • Se existir um evento que não tenha dados de métricas, a utilização de min para agregar a função pode devolver 0.
• As funções de métricas só podem ser usadas na secção de resultados. Têm de ser agregados em consultas de pesquisa com uma secção de correspondência.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.