使用 YARA-L 2.0 在 UDM 搜索中添加指标

借助 Google 搜索中的指标函数，您可以分析搜索结果中的汇总历史行为数据。您可以将这些函数纳入 UDM 搜索查询的结果部分。

函数参数

指标函数可以在搜索中执行实体行为分析。例如，您可以构建一个搜索查询，以确定特定 IP 地址在过去一个月内每天发送的最大字节数。如需表示特定 IP 地址，您可以直接在搜索查询中输入 IP 值，而不是使用占位变量。

由于这些函数中使用的实参数量较多，因此它们使用具名形参，这些形参可按任意顺序指定。具体参数如下所示：

时段

将各个日志事件合并为一个观测结果的时长。仅允许使用 1h 和 1d 这两个值。

窗口

将各个观测结果聚合为一个值（例如平均值和最大值）的时长。窗口的允许值取决于指标周期。有效的映射如下：

period:1h:window:today

period:1d:window:30d

示例：以下查询会返回用户在过去 30 天内每天成功登录的首次时间和最后一次时间。

  $u1.principal.asset.ip = $ip
    $ip = "10.138.0.4"
    $user = $u1.target.user.userid

  match:
    $ip, $user

  outcome:

    // First and last time a user logged in successfully

     $first_seen = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:first_seen,
        agg:min,
        target.user.userid:$user))


    $last_seen = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:last_seen,
        agg:max,
        target.user.userid:$user))

指标

在每个周期内，每个观测结果都有许多与之相关的指标。必须选择其中一个指标才能聚合整个窗口期内的数据。支持的指标类型包括：

• event_count_sum - 每个时间段内不重复的日志事件数。

• first_seen - 每个时间段内匹配的日志事件的首次发现时间戳。

• last_seen - 每个周期内匹配的日志事件的上次查看时间戳。

• value_sum - 相应时间段内所有日志事件的总字节数。此值只能用于名称中包含“bytes”的指标函数。

• num_unique_filter_values - Google SecOps 未预先计算的指标，但可在执行搜索查询期间计算。如需了解详情和要求，请参阅统计唯一身份指标。

数据汇总

聚合应用于整个窗口期（例如，过去 30 天内的最高每日值）。允许使用的值包括：

• avg - 每个周期的平均值。这是一种不包含零值的统计平均值。

• max - 每个时间段的最大值。

• min - 每个周期的最小值。

• num_metric_periods - 时间窗口内具有非零指标值的周期数。

• stddev - 每个周期的价值的标准差。这是不包含零值的统计标准差。

• sum - 每个时间段内各个值的总和，涵盖整个窗口。

• earliest - 第一个（最旧）事件的时间戳，以微秒为单位。

• latest - 上次（最近一次）事件的时间戳，精确到微秒。

如需查看示例，请参阅使用 YARA-L 2.0 在 UDM 搜索中进行统计和汇总。

过滤

过滤条件允许在聚合之前按预先计算的指标中的值过滤指标（请参阅指标中的值）。过滤条件可以是任何有效的事件表达式（事件部分中的单行），但不能包含任何事件字段或占位符。此条件中只能包含指标类型的变量。

示例：以下查询的结果部分会返回特定 IP 地址在过去一个月内每天发送的最大字节数。

$ip = principal.asset.ip
match:
    $ip
outcome:
$max_bytes_per_day = max(metrics.network_bytes_outbound(
    period: 1d, window: 30d,
    metric: value_sum,
    agg:max,
    principal.asset.ip: $ip,
    filter:value_sum > 10 AND event_count_sum > 2))

UDM 字段

指标按 1 个、2 个或 3 个 UDM 字段进行过滤，具体取决于相应函数。如需了解函数，请参阅函数。

以下类型的 UDM 字段用于指标函数：

• 维度（必需）：此页面上列出了不同的组合。您无法联接具有默认值（字符串为 ""，整数为 0）的指标。
• 命名空间（可选）：您只能为在维度中指定的实体使用命名空间。例如，如果您使用 principal.asset.hostname 过滤条件，也可以使用 principal.namespace 过滤条件。如果不添加命名空间过滤条件，系统会将所有命名空间中的数据汇总在一起。您可以使用默认值作为命名空间过滤条件。

窗口计算

Google SecOps 使用每日或每小时指标窗口计算指标。

每日窗口期

所有每日窗口（例如 30d）都以相同的方式确定。 Google SecOps 会使用生成的最新可用指标数据，这些数据不会与搜索查询时间范围重叠。每日指标的计算最多可能需要 6 小时才能完成，并且只有在世界协调时间 (UTC) 的一天结束时才会开始。前一天的指标数据会在每天 6:00（世界协调时间）之前或当天 6:00 提供。

例如，如果搜索查询针对的是 2023 年 10 月 31 日 4:00 UTC 至 2023 年 10 月 31 日 7:00 UTC 期间的事件数据，那么系统很可能会生成 2023 年 10 月 30 日的每日指标，因此指标计算会使用 2023 年 10 月 1 日至 2023 年 10 月 30 日（含）的数据。而对于在 2023-10-31 1:00 UTC 至 2023-10-31 3:00 UTC 期间运行的搜索查询，2023-10-30 的每日指标可能未生成，因此指标计算会使用 2023-09-30 至 2023-10-29（含）的数据。

每小时 today 时段

小时级指标的时间窗口与日级指标的时间窗口的计算方式不同。每小时指标的 today 小时指标窗口大小不是固定的，不像每日指标的 30d 天指标窗口那样。小时级指标窗口 today 会尽可能填充每日窗口结束时间与搜索查询时间窗口开始时间之间的数据。

例如，对于从 2023-10-31 4:00:00 UTC 到 2023-10-31 7:00:00 UTC 运行的搜索查询，每日指标计算会使用 2023-10-01 到 2023-10-30（含）的数据，而每小时指标窗口会使用 2023-10-31 00:00:00 UTC 到 2023-10-31 4:00:00 UTC 的数据。

统计唯一指标

指标 num_unique_filter_values 不会由 Google SecOps 预先计算。 它是在运行搜索查询时计算的。为此，您需要对预先计算的指标中的现有维度进行汇总。例如，“用户尝试进行身份验证的不同国家/地区的每日总数”指标可以从维度 target.user.userid 和 principal.ip_geo_artifact.location.country_or_region 上预先计算的 auth_attempts_total 指标中派生出来，方法是对后一个维度执行“统计唯一身份”汇总。

示例：

$userid = target.user.userid
match:
    $userid
outcome:
$outcome_variable = max(metrics.auth_attempts_total(
    period: 1d,
    window: 30d,
    // This metric type indicates any filter with a wildcard value should be
    // aggregated over each day to produce a new metric dynamically
    metric: num_unique_filter_values,
    agg: max,
    target.user.userid: $userid,
    // Filter whose value should be counted over each day to produce the
    // num_unique_filter_values metric.
    principal.ip_geo_artifact.location.country_or_region: *
))

限制：计算唯一指标数量只能针对单个过滤维度进行汇总。使用通配符令牌 * 作为过滤条件值即可表明这一点。

函数

本部分包含有关 Google SecOps 支持的特定指标函数的文档。

提醒事件

metrics.alert_event_name_count 会预先计算由 Carbon Black、CrowdStrike Falcon、Microsoft Graph API 警报或 Microsoft Sentinel 生成了警报的 UDM 事件的历史值。

身份验证尝试次数

metrics.auth_attempts_total 预先计算具有 USER_LOGIN event type 的 UDM 事件的历史值。

metrics.auth_attempts_success 还要求事件至少有一个 SecurityResult.Action 的 ALLOW。

metrics.auth_attempts_fail 要求所有 SecurityResult.Actions 都不是 ALLOW。

DNS 出站字节数

metrics.dns_bytes_outbound 会预先计算 network.sent_bytes 大于 0 且目标端口为 53/udp、53/tcp 或 3000/tcp 的 UDM 事件的历史值。network.sent_bytes 可作为 value_sum 使用。

DNS 查询

metrics.dns_queries_total 会预先计算 network 中有值的 UDM 事件的历史值。dns.id。

metrics.dns_queries_success 还要求 network。dns.response_code 为 0 (NoError)。

metrics.dns_queries_fail 仅考虑具有 network 的事件。dns.response_code 大于 0。

文件执行

metrics.file_executions_total 预先计算具有 PROCESS_LAUNCH event type 的 UDM 事件的历史值。

metrics.file_executions_success 还要求相应事件至少有一个 ALLOW 的 SecurityResult.Action。

metrics.file_executions_fail 则要求所有 SecurityResult.Actions 都不是 ALLOW。

HTTP 查询

metrics.http_queries_total 会预先计算 network 中有值的 UDM 事件的历史值。http.method。

metrics.http_queries_success 进一步要求 network。http.response_code 小于 400。

metrics.http_queries_fail 仅考虑具有 network 的事件。http.response_code 大于或等于 400。

网络字节数

metrics.network_bytes_inbound 会预先计算 network 值不为零的 UDM 事件的历史值。received_bytes，并将该字段作为 value_sum 提供。

metrics.network_bytes_outbound 要求 network.sent_bytes 具有非零值，并使该字段可作为 value_sum 使用。

metrics.network_bytes_total 会考虑 network.received_bytes 或 network.sent_bytes（或两者）的值不为零的事件，并将这两个字段的总和作为 value_sum 提供。

资源创建

metrics.resource_creation_total 会预先计算 RESOURCE_CREATION event type 或 USER_RESOURCE_CREATION event type 的 UDM 事件的历史值。

如需查看等效事件类型的列表，请参阅元数据事件类型

metrics.resource_creation_success 进一步要求事件至少有一个 ALLOW 的 SecurityResult.Action。

资源删除

metrics.resource_deletion_success 预先计算具有 RESOURCE_DELETION event type 的 UDM 事件的历史值，并进一步要求事件至少具有一个 ALLOW 的 SecurityResult.Actions。

资源读取

metrics.resource_read_success 预先计算具有 RESOURCE_READ event type 的 UDM 事件的历史值，并进一步要求事件至少具有一个 ALLOW 的 SecurityResult.Action。

而 metrics.resource_read_fail 要求所有 SecurityResult.Actions 都不能为 ALLOW。

限制

使用指标创建 YARA-L 搜索查询时，需要遵循以下限制：

• 您无法将指标与默认值（字符串为 ""，整数为 0）联接。
  • 默认值：
    • 如果没有与事件对应的指标数据，指标函数返回的值为 0。
    • 如果某个事件没有指标数据，使用 min 对该函数进行汇总可能会返回 0。
• 指标函数只能在结果部分中使用。它们必须在包含匹配部分的搜索查询中进行汇总。

需要更多帮助？从社区成员和 Google SecOps 专业人士那里获得解答。