使用 YARA-L 2.0 進行 UDM 搜尋時的指標

您可以使用 Google 搜尋中的指標函式，分析搜尋結果中匯總的歷史行為資料。您可以在 UDM 搜尋查詢的結果部分中加入這些函式。

函式參數

指標函式可在搜尋中執行實體行為分析。舉例來說，您可以建構搜尋查詢，判斷特定 IP 位址在過去一個月內傳送的每日位元組數上限。如要代表特定 IP 位址，可以直接在搜尋查詢中輸入 IP 值，不必使用預留位置變數。

由於這些函式使用的引數數量龐大，因此會使用具名參數，且可按照任意順序指定。參數如下：

期間

個別記錄檔事件合併為一項觀察所需的時間長度。只能輸入 1h 和 1d。

視窗

個別觀察匯總為一個值 (例如平均值和最大值) 所需的時間長度。視窗的有效值取決於指標週期。有效對應如下：

period:1h：window:today

period:1d：window:30d

範例：下列查詢會傳回過去 30 天內，使用者在特定日期成功登入的時間 (首次和最後一次)。

  $u1.principal.asset.ip = $ip
    $ip = "10.138.0.4"
    $user = $u1.target.user.userid

  match:
    $ip, $user

  outcome:

    // First and last time a user logged in successfully

     $first_seen = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:first_seen,
        agg:min,
        target.user.userid:$user))


    $last_seen = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:last_seen,
        agg:max,
        target.user.userid:$user))

指標

在每段時長，各項觀察都有多項相關聯的指標。您必須選取其中一個選項，才能在整個期間內匯總資料。支援的指標類型如下：

• event_count_sum—每個時間範圍內的不重複記錄事件數。

• first_seen：每個週期內相符記錄事件首次出現的時間戳記。

• last_seen：每個週期內相符記錄事件的上次查看時間戳記。

• value_sum：這段期間內所有記錄事件的位元組總數。您只能將這個值用於名稱中含有位元組的指標函式。

• num_unique_filter_values—Google SecOps 未預先計算的指標，但可在執行搜尋查詢時計算。如需更多詳細資料和規定，請參閱「計算不重複指標」。

匯總資料

並在整個期間內發揮作用 (例如過去 30 天的最高每日值)。允許的值如下：

• avg：每個週期的平均值。這是統計平均值，不含零值。

• max：每個週期的最大值。

• min：每個週期的最小值。

• num_metric_periods：時間範圍內指標值不為零的週期數。

• stddev：每個週期的值標準差。這是統計標準差，不含零值。

• sum：整個時間範圍內，每個週期的值總和。

• earliest：第一個 (最舊) 事件的時間戳記，解析度為微秒。

• latest：最後 (最近) 一個事件的時間戳記，解析度為微秒。

如需範例，請參閱「使用 YARA-L 2.0 進行 UDM 搜尋時的統計資料和匯總資料」。

篩選器

篩選器可以在匯總指標之前，依據一個值篩選尚未計算的指標 (請參閱「指標」中的值)。篩選條件可以是任何有效的事件運算式 (事件區段中的單行)，不得包含任何事件欄位或預留位置。這項條件只能納入指標類型。

示例：下列查詢結果部分會傳回特定 IP 位址在過去一個月內傳送的每日位元組數上限。

$ip = principal.asset.ip
match:
    $ip
outcome:
$max_bytes_per_day = max(metrics.network_bytes_outbound(
    period: 1d, window: 30d,
    metric: value_sum,
    agg:max,
    principal.asset.ip: $ip,
    filter:value_sum > 10 AND event_count_sum > 2))

UDM 欄位

視函式而定，指標會依據一、二或三個 UDM 欄位篩選。如要瞭解函式，請參閱「函式」。

指標函式會使用下列類型的 UDM 欄位：

• 尺寸 (必要)：本頁面列出不同組合。您無法將指標與預設值 (字串為 ""，整數為 0) 聯結。
• 命名空間 (選用)：您只能為維度中指定的實體使用命名空間。舉例來說，如果您使用 principal.asset.hostname 篩選器，也可以使用 principal.namespace 篩選器。如未加入命名空間篩選器，系統會匯總所有命名空間的資料。您可以將預設值做為命名空間篩選器。

視窗計算

Google SecOps 會使用每日或每小時的指標時間範圍計算指標。

每日時段

所有每日時間範圍 (例如 30d) 的判斷方式都相同。 Google SecOps 會使用最新產生的可用指標資料，且這些資料不會與搜尋查詢時間範圍重疊。計算每日指標最多可能需要 6 小時，且必須等到世界標準時間當日結束後才會開始。前一天的指標資料會在每天世界標準時間 6:00 之前提供。

舉例來說，如果搜尋查詢是針對 2023 年 10 月 31 日世界標準時間 4:00 至 2023 年 10 月 31 日世界標準時間 7:00 的事件資料執行，系統可能會產生 2023 年 10 月 30 日的每日指標，因此指標計算會使用 2023 年 10 月 1 日至 2023 年 10 月 30 日 (含) 的資料。如果查詢在 2023 年 10 月 31 日世界標準時間 1:00 至 3:00 之間執行，且查詢的是事件資料，系統可能不會產生 2023 年 10 月 30 日的每日指標，因此指標計算會使用 2023 年 9 月 30 日至 2023 年 10 月 29 日 (含) 的資料。

每小時 today 視窗

每小時指標的計算時間範圍與每日指標不同。today 的每小時指標時間範圍並非固定大小，不像每日指標的 30d 時間範圍。在每日時間範圍結束和搜尋查詢時間範圍開始之間，每小時指標時間範圍 today 會盡可能填入資料。

舉例來說，如果搜尋查詢在 2023 年 10 月 31 日 4:00:00 (世界標準時間) 至 2023 年 10 月 31 日 7:00:00 (世界標準時間) 期間執行，每日指標計算會使用 2023 年 10 月 1 日至 2023 年 10 月 30 日 (含) 的資料，每小時指標時間範圍則會使用 2023 年 10 月 31 日 00:00:00 (世界標準時間) 至 2023 年 10 月 31 日 4:00:00 (世界標準時間) 的資料。

計算不重複指標

Google SecOps 不會預先計算 num_unique_filter_values 指標。 系統會在執行搜尋查詢時計算這項指標。方法是匯總預先計算的指標中現有的維度。舉例來說，您可以從維度 target.user.userid 和 principal.ip_geo_artifact.location.country_or_region 的預先計算 auth_attempts_total 指標，對後者執行計數不重複的匯總作業，得出「使用者嘗試驗證身分的國家/地區每日總數」指標。

範例：

$userid = target.user.userid
match:
    $userid
outcome:
$outcome_variable = max(metrics.auth_attempts_total(
    period: 1d,
    window: 30d,
    // This metric type indicates any filter with a wildcard value should be
    // aggregated over each day to produce a new metric dynamically
    metric: num_unique_filter_values,
    agg: max,
    target.user.userid: $userid,
    // Filter whose value should be counted over each day to produce the
    // num_unique_filter_values metric.
    principal.ip_geo_artifact.location.country_or_region: *
))

限制：計算不重複指標數時，只能針對單一篩選維度匯總。使用萬用字元權杖 * 做為篩選值，即可表示這點。

函式

本節包含 Google SecOps 支援的特定指標函式說明文件。

快訊事件

metrics.alert_event_name_count預先計算 UDM 事件的歷史值，這些事件是由 Carbon Black、CrowdStrike Falcon、Microsoft Graph API 警報或 Microsoft Sentinel 產生警報。

驗證嘗試

metrics.auth_attempts_total會預先計算 UDM 事件的歷來值，並使用 USER_LOGIN event type。

metrics.auth_attempts_success 進一步要求事件至少要有一個 SecurityResult.Action ALLOW。

metrics.auth_attempts_fail 則要求所有 SecurityResult.Actions 皆未 ALLOW。

DNS 輸出位元組

metrics.dns_bytes_outbound 會預先計算 UDM 事件的歷史值，其中 network.sent_bytes 大於 0，且目標通訊埠為 53/udp、53/tcp 或 3000/tcp。network.sent_bytes 可做為 value_sum 使用。

DNS 查詢

metrics.dns_queries_total 會預先計算 network.dns.id 中有值的 UDM 事件歷史值。

metrics.dns_queries_success 進一步要求 network。dns.response_code 為 0 (NoError)。

metrics.dns_queries_fail 只會考量具有 network 的事件。dns.response_code 大於 0。

檔案執行作業

metrics.file_executions_total預先計算 UDM 事件的歷來值，並使用 PROCESS_LAUNCH event type。

metrics.file_executions_success 進一步要求事件至少要有一個 SecurityResult.Action ALLOW。

metrics.file_executions_fail 則要求所有 SecurityResult.Actions 都不得為 ALLOW。

HTTP 查詢

metrics.http_queries_total 會預先計算 network.http.method 中有值的 UDM 事件歷史值。

metrics.http_queries_success 進一步要求 network。http.response_code 小於 400。

metrics.http_queries_fail 只會考量具有 network 的事件。http.response_code 大於或等於 400。

網路位元組數

metrics.network_bytes_inbound 會預先計算 network 值不為零的 UDM 事件歷史值。received_bytes，並將該欄位設為 value_sum。

metrics.network_bytes_outbound 需要 network 的非零值。sent_bytes，並將該欄位設為 value_sum。

metrics.network_bytes_total 會考量 network.received_bytes 或 network.sent_bytes (或兩者) 的值不為零的事件，並將這兩個欄位的總和做為 value_sum。

建立資源

metrics.resource_creation_total 會預先計算 UDM 事件的歷來值，並使用 RESOURCE_CREATION event type 或 USER_RESOURCE_CREATION event type。

如需對等事件類型的清單，請參閱「中繼資料事件類型」

metrics.resource_creation_success 進一步要求事件至少要有一個 SecurityResult.Action ALLOW。

刪除資源

metrics.resource_deletion_success 預先計算 UDM 事件的歷史值，並使用 RESOURCE_DELETION event type，且事件必須至少有一個 SecurityResult.Actions ALLOW。

資源讀取

metrics.resource_read_success 預先計算 UDM 事件的歷史值，並使用 RESOURCE_READ event type，且事件必須至少有一個 SecurityResult.Action ALLOW。

metrics.resource_read_fail 則要求所有 SecurityResult.Actions 都不得為 ALLOW。

限制

使用指標建立 YARA-L 搜尋查詢時，請注意下列限制：

• 您無法將指標與預設值 (字串為 ""，整數為 0) 聯結。
  • 預設值：
    • 如果沒有與事件相應的指標資料，指標函式傳回的值為 0。
    • 如果某個事件沒有指標資料，使用 min 匯總函式可能會傳回 0。
• 指標函式只能用於結果部分。必須在搜尋查詢中與相符部分彙整。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。