Métricas na pesquisa do UDM usando a YARA-L 2.0

Com as funções de métricas na Pesquisa, você pode analisar dados comportamentais históricos agregados nos resultados da pesquisa. É possível incluir essas funções na seção de resultados da consulta de pesquisa UDM.

Parâmetros de função

As funções de métricas podem realizar análises comportamentais de entidades nas suas pesquisas. Por exemplo, você pode criar uma consulta de pesquisa para determinar o número máximo de bytes diários que um endereço IP específico enviou no último mês. Para representar o endereço IP específico, insira diretamente o valor do IP na consulta de pesquisa em vez de usar variáveis de marcador de posição.

Devido ao grande número de argumentos usados nessas funções, elas usam parâmetros nomeados, que podem ser especificados em qualquer ordem. Os parâmetros são os seguintes:

Período

O período em que os eventos de registro individuais são combinados em uma única observação. Os únicos valores permitidos são 1h e 1d.

Janela

O período de tempo durante o qual as observações individuais são agregadas em um único valor, como a média e o máximo. Os valores permitidos para a janela são baseados no período da métrica. Os mapeamentos válidos são os seguintes:

period:1h : window:today

period:1d : window:30d

Exemplo: a consulta a seguir retorna a primeira e a última vez que um usuário fez login com sucesso em um determinado dia, nos últimos 30 dias.

  $u1.principal.asset.ip = $ip
    $ip = "10.138.0.4"
    $user = $u1.target.user.userid

  match:
    $ip, $user

  outcome:

    // First and last time a user logged in successfully

     $first_seen = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:first_seen,
        agg:min,
        target.user.userid:$user))


    $last_seen = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:last_seen,
        agg:max,
        target.user.userid:$user))

Métricas

Dentro de cada período, cada observação tem uma série de métricas associadas a ela. Uma delas precisa ser selecionada para agregação em toda a janela. Os tipos de métricas compatíveis são:

• event_count_sum: número de eventos de registro exclusivos em cada período.

• first_seen: carimbo de data/hora da primeira vez que um evento de registro correspondente foi visto em cada período.

• last_seen: carimbo de data/hora da última vez em que um evento de registro correspondente foi visto em cada período.

• value_sum: soma do número de bytes em todos os eventos de registro combinados no período. Só é possível usar esse valor para funções de métricas com bytes no nome.

• num_unique_filter_values—Métrica que não é pré-calculada pelo Google SecOps, mas pode ser calculada durante a execução da consulta de pesquisa. Consulte Contar métricas exclusivas para mais detalhes e requisitos.

Agregações

As agregações são aplicadas em toda a janela (por exemplo, o maior valor diário nos últimos 30 dias). Os valores permitidos são:

• avg: valor médio por período. Essa é uma média estatística que não inclui valores zero.

• max: maior valor por período.

• min: menor valor por período.

• num_metric_periods: número de períodos na janela de tempo que tiveram um valor de métrica diferente de zero.

• stddev: desvio padrão do valor por período. É um desvio padrão estatístico que não inclui valores zero.

• sum: soma de cada valor por período em toda a janela.

• earliest: carimbo de data/hora do primeiro evento (mais antigo) com resolução de microssegundos.

• latest: carimbo de data/hora do último evento (mais recente) com resolução de microssegundos.

Para ver exemplos, consulte Estatísticas e agregações na pesquisa da UDM usando a YARA-L 2.0.

Filtro

Os filtros permitem filtrar métricas antes da agregação usando um valor na métrica pré-calculada. Consulte os valores em Métrica. Os filtros podem ser qualquer expressão de evento válida (uma única linha na seção de eventos) que não contenha campos ou marcadores de posição de evento. As únicas variáveis que podem ser incluídas nessa condição são tipos de métricas.

Exemplo: a seção de resultado a seguir de uma consulta retorna o número máximo de bytes diários que um endereço IP específico enviou no mês passado.

$ip = principal.asset.ip
match:
    $ip
outcome:
$max_bytes_per_day = max(metrics.network_bytes_outbound(
    period: 1d, window: 30d,
    metric: value_sum,
    agg:max,
    principal.asset.ip: $ip,
    filter:value_sum > 10 AND event_count_sum > 2))

Campos do UDM

As métricas são filtradas por um, dois ou três campos do UDM, dependendo da função. Para mais informações sobre funções, consulte Funções.

Os seguintes tipos de campos do UDM são usados para funções de métricas:

• Dimensão (obrigatório): diferentes combinações são listadas nesta página. Não é possível unir uma métrica com um valor padrão ("" para string e 0 para int).
• Namespaces (opcional): só é possível usar namespaces para entidades especificadas em dimensões. Por exemplo, se você usa o filtro principal.asset.hostname, também pode usar o filtro principal.namespace. Se você não incluir um filtro de namespace, os dados de todos os namespaces serão agregados. É possível usar um valor padrão como filtro de namespace.

Cálculos de janela

O Google SecOps calcula métricas usando uma janela de métricas diária ou por hora.

Janelas diárias

Todas as janelas diárias, como 30d, são determinadas da mesma forma. O Google SecOps usa os dados de métricas mais recentes disponíveis que foram gerados e não se sobrepõem ao período da consulta de pesquisa. O cálculo das métricas diárias pode levar até 6 horas para ser concluído e só começa no fim do dia em UTC. Os dados de métricas do dia anterior ficam disponíveis às 6h UTC ou antes todos os dias.

Por exemplo, para uma consulta de pesquisa que está sendo executada em dados de eventos de 31/10/2023 4:00 UTC a 31/10/2023 7:00 UTC, as métricas diárias de 30/10/2023 provavelmente serão geradas. Portanto, o cálculo da métrica usa os dados de 01/10/2023 a 30/10/2023 (inclusive). Já para uma consulta de pesquisa que está sendo executada em dados de eventos de 31/10/2023 1h UTC a 31/10/2023 3h UTC, é provável que as métricas diárias de 30/10/2023 não sejam geradas. Portanto, o cálculo da métrica usa os dados de 30/09/2023 a 29/10/2023 (inclusive).

Intervalo de today horas

A janela de métricas por hora é calculada de maneira diferente da janela para métricas diárias. A janela de métricas por hora de today não tem um tamanho estático como a janela 30d para métricas diárias. A janela de métricas por hora today preenche o máximo de dados possível entre o fim da janela diária e o início da janela de tempo da consulta de pesquisa.

Por exemplo, para uma consulta de pesquisa que está sendo executada em dados de eventos de 31/10/2023, às 4h00 UTC, a 31/10/2023, às 7h00 UTC, o cálculo da métrica diária usa os dados de 01/10/2023 a 30/10/2023 (inclusive), e a janela de métrica por hora usa dados de 31/10/2023, às 0h00 UTC, a 31/10/2023, às 4h00 UTC.

Contar métricas exclusivas

A métrica num_unique_filter_values não é pré-calculada pelo Google SecOps. Ele é calculado quando a consulta de pesquisa é executada. Isso é feito agregando uma dimensão em uma métrica pré-calculada. Por exemplo, a métrica "contagem diária total de países distintos em que um usuário tentou fazer autenticação" pode ser derivada da métrica auth_attempts_total pré-calculada nas dimensões target.user.userid e principal.ip_geo_artifact.location.country_or_region ao realizar uma agregação de contagem exclusiva na última dimensão.

Exemplo:

$userid = target.user.userid
match:
    $userid
outcome:
$outcome_variable = max(metrics.auth_attempts_total(
    period: 1d,
    window: 30d,
    // This metric type indicates any filter with a wildcard value should be
    // aggregated over each day to produce a new metric dynamically
    metric: num_unique_filter_values,
    agg: max,
    target.user.userid: $userid,
    // Filter whose value should be counted over each day to produce the
    // num_unique_filter_values metric.
    principal.ip_geo_artifact.location.country_or_region: *
))

Limitação: a computação da contagem de métricas exclusivas só pode ser agregada em uma única dimensão de filtro. Isso é indicado usando o token curinga * como o valor do filtro.

Funções

Esta seção inclui documentação sobre as funções de métricas específicas compatíveis com o Google SecOps.

Eventos de alerta

O metrics.alert_event_name_count pré-calcula valores históricos para eventos da UDM que geraram alertas do Carbon Black, do CrowdStrike Falcon, da API Microsoft Graph Alerts ou do Microsoft Sentinel.

Tentativas de autenticação

metrics.auth_attempts_total pré-calcula valores históricos para eventos da UDM com um USER_LOGIN event type.

metrics.auth_attempts_success também exige que o evento tenha pelo menos um SecurityResult.Action de ALLOW.

Em vez disso, metrics.auth_attempts_fail exige que nenhum dos SecurityResult.Actions seja ALLOW.

Bytes de DNS de saída

metrics.dns_bytes_outbound pré-calcula valores históricos para eventos da UDM em que network.sent_bytes é maior que 0, e a porta de destino é 53/udp, 53/tcp ou 3000/tcp. network.sent_bytes está disponível como value_sum.

Consultas DNS

metrics.dns_queries_total pré-calcula valores históricos para eventos da UDM que têm um valor em network.dns.id.

metrics.dns_queries_success também exige que o network.dns.response_code era 0 (NoError).

metrics.dns_queries_fail considera apenas eventos com um network.dns.response_code maior que 0.

Execuções de arquivos

metrics.file_executions_total pré-calcula valores históricos para eventos da UDM com um PROCESS_LAUNCH event type.

Além disso, metrics.file_executions_success exige que o evento tenha pelo menos um SecurityResult.Action de ALLOW.

metrics.file_executions_fail exige que nenhum dos SecurityResult.Actions seja ALLOW.

Consultas HTTP

metrics.http_queries_total pré-calcula valores históricos para eventos da UDM que têm um valor em network.http.method.

metrics.http_queries_success também exige que network.http.response_code é menor que 400.

metrics.http_queries_fail considera apenas eventos com um network.http.response_code é maior ou igual a 400.

Bytes da rede

metrics.network_bytes_inbound pré-calcula valores históricos para eventos da UDM que têm um valor diferente de zero para network.received_bytes, e disponibiliza esse campo como value_sum.

metrics.network_bytes_outbound exige um valor diferente de zero para network.sent_bytes e disponibiliza esse campo como value_sum.

metrics.network_bytes_total considera eventos que têm um valor diferente de zero para network.received_bytes ou network.sent_bytes (ou ambos) e disponibiliza a soma desses dois campos como value_sum.

Criação de recursos

metrics.resource_creation_total pré-calcula valores históricos para eventos da UDM com um RESOURCE_CREATION event type ou um USER_RESOURCE_CREATION event type.

Para conferir uma lista de tipos de eventos equivalentes, consulte Tipos de eventos de metadados.

Além disso, metrics.resource_creation_success exige que o evento tenha pelo menos um SecurityResult.Action de ALLOW.

Exclusão de recursos

metrics.resource_deletion_success pré-calcula valores históricos para eventos da UDM com um RESOURCE_DELETION event type e exige que o evento tenha pelo menos um SecurityResult.Actions de ALLOW.

Leitura de recursos

metrics.resource_read_success pré-calcula valores históricos para eventos da UDM com um RESOURCE_READ event type e exige que o evento tenha pelo menos um SecurityResult.Action de ALLOW.

metrics.resource_read_fail exige que nenhum dos SecurityResult.Actions seja ALLOW.

Limitações

Ao criar consultas de pesquisa em YARA-L com métricas, as seguintes limitações se aplicam:

• Não é possível unir uma métrica com um valor padrão ("" para string e 0 para int).
  • Valores padrão:
    • Se não houver dados de métricas correspondentes a um evento, o valor retornado da função de métricas será 0.
    • Se houver um evento sem dados de métrica, usar min para agregar a função poderá retornar 0.
• As funções de métricas só podem ser usadas na seção de resultado. Elas precisam ser agregadas em consultas de pesquisa com uma seção de correspondência.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.