Crea analisi sensibili al contesto
Google Security Operations consente di visualizzare la telemetria, il contesto delle entità, le relazioni e le vulnerabilità come un unico rilevamento all'interno del tuo account Google Security Operations. Fornisce la contestualizzazione delle entità per consentirti di comprendere sia i modelli comportamentali in telemetria che il contesto delle entità colpite da questi pattern.
Esempi:
- Mostrare le autorizzazioni per un account a cui si sta tentando di accedere tramite attacchi di forza bruta.
- L'importanza dei dati ospitati da un asset che è anche l'origine dell'attività di rete in uscita.
I clienti possono utilizzare questa contestualizzazione per il filtro del rilevamento, la prioritizzazione degli avvisi euristici, la classificazione e l'indagine.
Gli analisti della sicurezza e i tecnici del rilevamento in genere lavorano per creare un rilevamento sulla base di un modello base di telemetria degli eventi (una connessione di rete in uscita), creando numerosi rilevamenti che i loro analisti devono valutare. Gli analisti cercano di mettere insieme una comprensione di ciò che è accaduto per attivare l'avviso e di quanto sia significativa la minaccia.
L'analisi sensibile al contesto incorpora funzionalità di arricchimento avanzate nelle prime fasi del flusso di lavoro di creazione ed esecuzione del rilevamento, permettendoti di fornire le seguenti funzionalità aggiuntive:
- Rendere il contesto pertinente disponibile per il punteggio del rischio contestuale basato euristico dei rilevamenti al momento dell'esecuzione del rilevamento piuttosto che nella fase di valutazione umana.
- Ridurre il tempo impiegato per il triage e unire manualmente le informazioni provenienti da diversi sistemi di sicurezza IT (console EDR, log firewall/proxy, contesto CMDB e IAM, risultati dell’analisi delle vulnerabilità)
- Consente agli analisti e ai tecnici del rilevamento di filtrare interi gruppi di minacce che si possono verificare o rappresentare un pericolo minimo o nullo per l’azienda (test di malware in un ambiente sandbox, vulnerabilità e attività anomale in una rete di sviluppo senza dati o accesso sensibili, e altro ancora).
Scrittura di regole per l'analisi sensibile al contesto
Puoi utilizzare le regole di Detection Engine per cercare dati relativi al contesto delle entità nel tuo account Google Security Operations.
Per cercare i dati relativi al contesto dell'entità, completa quanto segue:
Specifica un'origine utilizzando udm o entità.
$eventname.[<source>].field1.field2Per un contesto di entità, <source> è "graph". Per un evento UDM, <source> è "udm". Se omesso, il valore predefinito di <source> sarà udm.Specifica i dati dell'entità:
$e1.graph.entity.hostname = "my-hostname"$e1.graph.entity.relations.relationship = "OWNS"Specifica i dati sugli eventi UDM. Le seguenti dichiarazioni sono equivalenti.
$e1.udm.principal.asset_id = "my_asset_id"$e1.principal.asset_id = "my_asset_id"
Puoi creare molti degli stessi tipi di regole per i contesti delle entità che faresti per gli eventi UDM, tra cui:
Regole per più eventi
Confronto dei contesti di entità con altri contesti di entità
Confronto dei contesti di entità con gli eventi UDM
Campi ripetuti in contesti di entità
Finestre scorrevoli
Calcolo di un punteggio di rischio per i rilevamenti
A differenza di un evento UDM, un contesto dell'entità non ha un timestamp specifico. Ogni record di contesto dell'entità ha un intervallo di tempo, entity.metadata.interval, nel quale il contesto dell'entità è valido. Questo intervallo di tempo non può essere un giorno limite e può essere qualsiasi durata.
Un evento UDM verrà correlato con un record di contesto dell'entità solo quando il timestamp dell'evento UDM rientra nell'intervallo di tempo del record di contesto dell'entità. Se questa condizione non viene soddisfatta, l'UDM e l'entità non vengono valutate per i rilevamenti. Il motore di rilevamento applica implicitamente questa impostazione e non è necessario specificarla come condizione in una regola.
- Quando confronti gli eventi UDM con un contesto di entità con windowing, il contesto dell'entità rappresenta un valore costante in una finestra specificata.
- Se ci sono bucket giorni adiacenti in cui il contesto dell'entità cambia il proprio valore, Google Security Operations cerca di trovare una corrispondenza con tutti i valori del contesto dell'entità e restituisce tutte le corrispondenze trovate.
Regole di esempio
Ricerca di entità con contesto amministratore
La seguente regola cerca le entità associate anche ai privilegi di amministratore. Cerca le volte in cui qualcuno con privilegi di amministratore tenta di accedere o disconnettersi dal sistema.
rule LoginLogout {
meta:
events:
($log_inout.metadata.event_type = "USER_LOGIN" or $log_inout.metadata.event_type = "USER_LOGOUT")
$log_inout.principal.user.user_display_name = $user
$context.graph.entity.user.user_display_name = $user
$context.graph.entity.resource.attribute.roles.type = "ADMINISTRATOR"
match:
$user over 2m
condition:
$log_inout and $context
}
Esempio di finestra scorrevole
Il seguente esempio di finestre scorrevoli è valido.
rule Detection {
meta:
events:
$e1.graph.entity.hostname = $host
$e2.udm.principal.hostname = $host
match:
// Using e2 (a UDM event) as a pivot.
$host over 3h after $e2
condition:
$e1 and $e2
}
Esempio di finestra scorrevole non valido
Il seguente esempio di finestra scorrevole non è valido. Il contesto dell'entità non può essere utilizzato come pivot per una finestra scorrevole.
rule Detection {
meta:
events:
$e1.graph.entity.hostname = $host
$e2.udm.principal.hostname = $host
match:
// Attempting to use $e1 (an entity context) as a pivot. Invalid.
$host over 3h after $e1
condition:
$e1 and $e2
}
Esempio di accesso con la sezione dei risultati
L'esempio seguente utilizza la sezione outcome per calcolare un punteggio di rischio per il rilevamento.
rule Detection {
meta:
events:
$auth.metadata.event_type = "USER_LOGIN"
$auth.metadata.vendor_name = "Acme"
$auth.metadata.product_name = "Acme SSO"
$auth.target.user.userid = $user
$auth.target.user.termination_date.seconds > 0
$auth.metadata.event_timestamp.seconds >
$context.graph.entity.user.termination_date.seconds
$context.graph.metadata.vendor_name = "Microsoft"
$context.graph.metadata.product_name = "Azure Active Directory"
$context.graph.metadata.entity_type = "USER"
$context.graph.entity.user.userid = $user
$context.graph.entity.user.termination_date.seconds > 0
match:
$user over 15m
outcome:
$risk_score = max(
if ( $auth.metadata.event_type = "USER_LOGIN", 50) +
if (
$context.graph.entity.user.title = "Remote" nocase or
$context.graph.entity.user.title = "Temp" nocase or
$context.graph.entity.user.title = "Vendor" nocase, 40) +
if ( $context.graph.entity.user.title = "Legal" nocase, 10)
)
condition:
$auth and $context
}
Esempio di avvio di un processo sospetto
L'esempio seguente valuta i dati di processo degli eventi UDM rispetto ai dati di contesto IOC archiviati come contesto di entità.
rule ProcessLaunch {
meta:
events:
$ioc.graph.metadata.vendor_name = "ACME"
$ioc.graph.metadata.product_name = "IOCs"
$ioc.graph.metadata.entity_type = "FILE"
$ioc.graph.entity.file.sha256 = $hash
$process.metadata.event_type = "PROCESS_LAUNCH"
$process.principal.hostname = $hostname
(
not $process.target.process.file.sha256 = "" and
$process.target.process.file.sha256 = $hash
)
match:
$hash over 15m
condition:
$ioc and $process
}
Qualificatori aggiuntivi per il contesto dell'entità
Per creare una variabile evento che utilizza un contesto di entità, devi fornire una <source> dopo il nome dell'evento. Il valore <source> deve essere graph.
Il seguente pattern si riferisce al contesto di un'entità:
$e.graph.entity.hostname
Tieni presente che esistono due metodi equivalenti per fare riferimento a un evento UDM:
$u.udm.principal.asset_id$u.principal.asset_id
Puoi combinare tutti questi qualificatori nel testo delle regole. Puoi anche utilizzare qualificatori diversi per lo stesso evento.
Sezione Risultato
Il motore di rilevamento supporta una sezione outcome che consente di ricavare maggiori
informazioni da una regola. La logica definita nella sezione outcome viene valutata
in base a ogni rilevamento. Se una regola genera N rilevamenti, ciascuno dei N rilevamenti può generare un insieme diverso di risultati.
Puoi trovare una regola di esempio che utilizza la sezione outcome qui.
L'utilizzo dettagliato e la sintassi di una sezione outcome sono disponibili in questa sezione.
Sezione dei risultati e deduplicazione / raggruppamento del rilevamento del rilevamento
Per le regole con una sezione di corrispondenza, ricorda che i rilevamenti sono "raggruppati per" le variabili di corrispondenza. Questo fa sì che i rilevamenti vengano deduplicati, in modo che venga restituita una riga per ogni set univoco di variabili di corrispondenza e finestra temporale.
Le variabili di risultato vengono ignorate quando si esegue questa deduplicazione. Pertanto, se esistono due rilevamenti diversi con gli stessi valori per le variabili di corrispondenza e la finestra temporale, ma con valori diversi per le variabili di risultato, questi verranno deduplicati e vedrai solo un rilevamento. Questo può accadere quando è stato creato un rilevamento a causa di dati arrivati in ritardo, ad esempio. Ecco un esempio che illustra questo caso.
rule ExampleOutcomeRule {
...
match:
$hostname over <some window>
outcome:
$risk_score = <some logic here>
...
}
Questa regola genera le seguenti corrispondenze:
Rilevamento 1: nome host: nome host di test finestra temporale: [t1, t2] risk_score: 10
Rilevamento 2: nome host: nome host di test finestra temporale: [t1, t2] risk_score: 73
Poiché le variabili di corrispondenza e la finestra temporale sono le stesse per Rilevamento 1 e Rilevamento 2, queste vengono deduplicate e vedrai solo un rilevamento, anche se la variabile di risultato, risk_score, è diversa.
Passaggi successivi
Per informazioni su come Google Security Operations importa i dati contestuali e arricchisce le entità, consulta In che modo Google Security Operations arricchisce i dati di eventi ed entità.