Regeln für die Risikoanalyse erstellen

In diesem Dokument werden die wichtigsten Elemente der neuen YARA-L-Syntaxfunktionen für das Risikoanalysetool beschrieben. Weitere Informationen zu YARA-L finden Sie unter YARA-L 2.0-Sprachsyntax.

YARA-L-Messwertfunktionen

Google Security Operations unterstützt eine Reihe von Messwertfunktionen, mit denen große Mengen an Verlaufsdaten zusammengefasst werden können.

Die Messwertfunktion kann nur im Abschnitt „Ergebnis“ verwendet werden. Bei allen Beispielen für Funktionsaufrufe wird davon ausgegangen, dass sie in einer Regel mit mehreren Ereignissen verwendet werden.

Alle Regeln, in denen die Messwertfunktion verwendet wird, werden automatisch als Regeln für mehrere Ereignisse kategorisiert, auch wenn sie keinen Abgleichsbereich haben und nur eine Ereignisvariable verwenden. Das bedeutet, dass sie auf das Kontingent für Regeln mit mehreren Ereignissen angerechnet werden.

Funktionsparameter

Die Messwertfunktionen können für Regeln verwendet werden, bei denen Verhaltensanalysen für Entitäten durchgeführt werden.

Die folgende Regel gibt beispielsweise die maximale Anzahl der täglichen Bytes an, die eine bestimmte IP-Adresse im letzten Monat gesendet hat. Die IP-Adresse wird durch eine Platzhaltervariable dargestellt, in diesem Beispiel $ip. Weitere Informationen zu Platzhaltervariablen finden Sie unter Variablendeklarationen.

$max_bytes_per_day = max(metrics.network_bytes_outbound(
    period:1d, window:30d,
    metric:value_sum,
    agg:max,
    principal.asset.ip:$ip
))

Aufgrund der großen Anzahl von Argumenten, die in diesen Funktionen verwendet werden, werden benannte Parameter verwendet, die in beliebiger Reihenfolge angegeben werden können. Die Parameter sind:

Zeitraum

Die Dauer, in der einzelne Log-Ereignisse in eine einzelne Beobachtung kombiniert werden. Die einzigen zulässigen Werte sind 1h und 1d.

Window

Die Dauer, in der einzelne Beobachtungen in einen einzigen Wert zusammengefasst werden, wie Durchschnitt und Maximum. Die zulässigen Werte für window richten sich nach dem Zeitraum des Messwerts. Die gültige Zuordnung sieht so aus:

period:1h: window:today

period:1d: window:30d

Die folgende Regel gibt beispielsweise Aufschluss über die höchste Anzahl fehlgeschlagener Authentifizierungsversuche für einen bestimmten Nutzer (Alice) an einem bestimmten Tag in den letzten 30 Tagen:

$user = "alice"
$max_fail = max(metrics.auth_attempts_fail(
    period:1d, window:30d,
        metric:event_count_sum,
        agg:max,
        target.user.userid:$user
))

Für first-seen Arten von Erkennungen kann eine Kombination aus stündlichen und täglichen Messwerten verwendet werden. Mit der folgenden Regel können Sie beispielsweise ermitteln, ob sich ein Nutzer zum ersten Mal in dieser Anwendung angemeldet hat:

events:
    $e.metadata.event_type = "USER_LOGIN"
    $e.security_result.action = "ALLOW"
    $userid = $e.target.user.userid
    $app = $e.target.application
match:
    // find events from now - 4h ago, which is the recommended look-back period
    $userid, $app over 4h
outcome:
    // check hourly analytics until daily analytics are available
    $first_seen_today = max(metrics.auth_attempts_success(
        period:1h, window:today, metric:first_seen, agg:max,
        target.user.userid:$userid, target.application:$app))
    $first_seen_monthly = max(metrics.auth_attempts_success(
        period:1d, window:30d, metric:first_seen, agg:max,
        target.user.userid:$userid, target.application:$app))
condition:
    $e and ($first_seen_today = 0) and ($first_seen_monthly = 0)

Messwert

Innerhalb jedes Zeitraums hat jede Beobachtung eine Anzahl von Messwerten, die mit ihr verknüpft werden. Einer dieser Messwerte muss für die Zusammenfassung über das gesamte Fenster ausgewählt werden. Es werden fünf metric-Typen unterstützt:

event_count_sum: Anzahl der einzelnen Protokollereignisse innerhalb jedes Zeitraums.

first_seen: Zeitstempel des ersten Auftretens eines übereinstimmenden Protokollereignisses innerhalb des jeweiligen Zeitraums.

last_seen: Zeitstempel des letzten Auftretens eines übereinstimmenden Protokollereignisses innerhalb des jeweiligen Zeitraums.

value_sum: Stellt die Summe der Anzahl der Bytes in allen Protokollereignissen im angegebenen Zeitraum dar. Sie können diesen Wert nur für Messwertfunktionen mit bytes im Namen verwenden.

num_unique_filter_values: Messwert, der nicht von Google Security Operations vorab berechnet wird, sondern während der Regelausführung berechnet werden kann. Weitere Informationen und Anforderungen finden Sie unter Eindeutige Messwerte zählen.

Agg

Die Aggregation, die auf den Messwert angewendet wird. Zusammenfassungen werden über das gesamte Fenster angewendet (z.B. der höchste Tageswert der letzten 30 Tage). Zulässige Werte:

avg: Durchschnittlicher Wert pro Zeitraum. Dies ist ein statistischer Mittelwert, der keine Nullwerte enthält.

max: Höchster Wert pro Zeitraum.

min: Kleinster Wert pro Zeitraum.

num_metric_periods: Anzahl der Zeiträume innerhalb des Zeitfensters, für die ein Messwert ungleich 0 war.

stddev: Standardabweichung des Werts pro Zeitraum. Dies ist eine statistische Standardabweichung, die keine Nullwerte enthält.

sum: Summe der einzelnen Werte pro Zeitraum über das gesamte Fenster.

Die folgende Regel gibt beispielsweise Aufschluss über die durchschnittliche Anzahl der fehlgeschlagenen Authentifizierungsversuche für einen bestimmten Nutzer (Alice) an einem bestimmten Tag in den letzten 30 Tagen:

$user = "alice"
$avg_fail = max(metrics.auth_attempts_fail(
        period:1d, window:30d,
        metric:event_count_sum,
        agg:avg,
        target.user.userid:$user
))

Die folgende Regel gibt Aufschluss darüber, wie viele erfolgreiche Authentifizierungen ein bestimmter Nutzer in den letzten 30 Tagen durchgeführt hat:

$total_success = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:event_count_sum,
        agg:sum,
        target.user.userid:$user
))

Mit der folgenden Regel können Sie prüfen, ob sich ein bestimmter Nutzer in den letzten 30 Tagen mindestens einmal erfolgreich angemeldet hat:

$days_success = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:event_count_sum,
        agg:num_metric_periods,
        target.user.userid:$user
))

Mit der folgenden Regel sehen Sie, wann sich ein bestimmter Nutzer zum ersten oder letzten Mal erfolgreich angemeldet hat:

$first_seen = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:first_seen,
        agg:min,
        target.user.userid:$user
))
$last_seen = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:last_seen,
        agg:max,
        target.user.userid:$user
))

Die folgende Regel gibt die maximale Anzahl von Byte an, die von einem Nutzer an einem bestimmten Tag in den letzten 30 Tagen gesendet wurden:

$max_daily_bytes = max(metrics.network_bytes_outbound(
        period:1d, window:30d,
        metric:value_sum,
        agg:max,
        target.user.userid:$user
))

Filter

Mit Filtern können Messwerte vor der Zusammenfassung nach einem Wert im vorberechneten Messwert gefiltert werden (siehe Werte unter Messwert). Filter können beliebige gültige Ereignisausdrücke sein (eine einzelne Zeile im Ereignisabschnitt), die keine Ereignisfelder oder Platzhalter enthalten. Die einzigen Variablen, die in diese Bedingung aufgenommen werden können, sind Messwerttypen.

Die folgende Regel enthält nur Messwerte, bei denen value_sum > 10 AND event_count_sum > 2:

$max_bytes_per_day = max(metrics.network_bytes_outbound(
    period:1d, window:30d,
    metric:value_sum,
    agg:max,
    principal.asset.ip:$ip
    filter:value_sum > 10 AND event_count_sum > 2
))

Gültige Filterbeispiele

filter:value_sum > 10 AND event_count_sum != 5
filter:event_count_sum = 100 OR event_count_sum > 1000
filter:timestamp.get_day_of_week(first_seen) = 3

Ungültige Filterbeispiele

// No placeholders in filter expressions.
filter:value_sum > $ph

// No event fields in filter expressions.
filter:event_count_sum + $e.field > 10

// No event fields in filter expressions.
filter:timestamp.subtract(first_seen, $e.metadata.timestamp)

UDM-Felder

Messwerte werden je nach Funktion nach 1, 2 oder 3 UDM-Feldern gefiltert. Weitere Informationen finden Sie unter Funktionen.

Für Messwertfunktionen werden die folgenden Arten von UDM-Feldern verwendet:

• Dimensionen: (Erforderlich) In dieser Dokumentation sind verschiedene Kombinationen aufgeführt. Sie können einen Messwert nicht mit einem Standardwert verknüpfen ("" für Strings und 0 für Ganzzahlen).
• Namespaces (optional): Sie können Namespaces nur für Entitäten verwenden, die Sie in Dimensionen angeben. Wenn Sie beispielsweise principal.asset.hostname filter verwenden, können Sie auch principal.namespace filter verwenden. Wenn Sie keinen Namespacefilter angeben, werden die Daten aller Namespaces zusammengefasst. Sie können einen Standardwert als Namespacefilter verwenden.

Fensterberechnungen

Das Google Security Operations-Team berechnet Messwerte entweder mit einem täglichen oder stündlichen Messzeitraum.

Tägliche Zeitfenster

Alle täglichen Zeitfenster wie 30d werden auf die gleiche Weise ermittelt. Google Security Operations verwendet die neuesten verfügbaren Messwertdaten, die generiert wurden und sich nicht mit dem Zeitbereich der Regel überschneiden. Die Berechnung der täglichen Messwerte kann bis zu sechs Stunden dauern und beginnt erst am Ende des Tages (UTC). Messwertdaten für den Vortag sind jeden Tag um oder vor 6:00 Uhr UTC verfügbar.

Wenn eine Regel beispielsweise für Ereignisdaten vom 31. 10. 2023, 4:00 Uhr UTC, bis zum 31. 10. 2023, 7:00 Uhr UTC, ausgeführt wird, wurden die täglichen Messwerte für den 31. 10. 2023 wahrscheinlich bereits generiert. Für die Berechnung des Messwerts werden daher die Daten vom 1. 10. 2023 bis zum 30. 10. 2023 (einschließlich) verwendet. Bei einer Regel, die Ereignisdaten vom 31. 10. 2023, 1:00 Uhr (UTC), bis zum 31. 10. 2023, 3:00 Uhr (UTC), auswertet, wurden die täglichen Messwerte für den 30. 10. 2023 wahrscheinlich noch nicht generiert. Für die Berechnung der Messwerte werden daher die Daten vom 30. 09. 2023 bis zum 29. 10. 2023 (einschließlich) verwendet.

Stündliches today-Fenster

Das Zeitfenster für stündliche Messwerte wird anders berechnet als das für tägliche Messwerte. Das Zeitfenster für stündliche Messwerte von today ist nicht statisch wie das Fenster von 30d für tägliche Messwerte. Im Zeitfenster für stündliche Messwerte today werden so viele Daten wie möglich zwischen dem Ende des täglichen Zeitfensters und dem Beginn des Zeitfensters der Regel erfasst.

Bei einer Regel, die beispielsweise auf Ereignisdaten vom 31. 10. 2023, 4:00:00 Uhr UTC, bis zum 31. 10. 2023, 7:00:00 Uhr UTC, angewendet wird, werden für die Berechnung des täglichen Messwerts die Daten vom 1. 10. 2023 bis zum 30. 10. 2023 (einschließlich) und für das stündliche Messwertfenster die Daten vom 31. 10. 2023, 00:00:00 Uhr UTC, bis zum 31. 10. 2023, 4:00:00 Uhr UTC, verwendet.

Anzahl der eindeutigen Messwerte

Es gibt einen speziellen Messwerttyp num_unique_filter_values, der nicht von Google Security Operations vorab berechnet wird, sondern während der Regelausführung. Dazu wird in einem vorberechneten Messwert eine Zusammenfassung nach einer vorhandenen Dimension durchgeführt. Der Messwert daily total count of distinct countries that a user attempted to authenticate kann beispielsweise aus den vordefinierten auth_attempts_total-Messwerten für die Dimensionen target.user.userid und principal.ip_geo_artifact.location.country_or_region abgeleitet werden, indem eine eindeutige Zählung für die letzte Dimension durchgeführt wird.

In der folgenden Beispielregel werden eindeutige Messwerte gezählt:

$outcome_variable = max(metrics.auth_attempts_total(
    period: 1d,
    window: 30d,
    // This metric type indicates any filter with a wildcard value should be
    // aggregated over each day to produce a new metric on-the-fly.
    metric: num_unique_filter_values,
    agg: max,
    target.user.userid: $userid,
    // Filter whose value should be counted over each day to produce the
    // num_unique_filter_values metric.
    principal.ip_geo_artifact.location.country_or_region: *
))

Diese Funktion weist folgende Einschränkungen auf:

• Die Anzahl der eindeutigen Messwerte kann nur über eine einzige Filterdimension berechnet werden. Das wird durch das Platzhalter-Token * als Filterwert angezeigt.

Funktionen

Dieser Abschnitt enthält Dokumentationen zu den spezifischen Messwertfunktionen, die von Google Security Operations unterstützt werden.

Benachrichtigungsereignisse

metrics.alert_event_name_count berechnet vorab Verlaufswerte für UDM-Ereignisse, für die Benachrichtigungen von Carbon Black, CrowdStrike Falcon, Microsoft Graph API Alerts oder Microsoft Sentinel generiert wurden.

Authentifizierungsversuche

metrics.auth_attempts_total berechnet Verlaufswerte für UDM-Ereignisse mit einem USER_LOGIN event type vorab.

Für metrics.auth_attempts_success ist außerdem erforderlich, dass das Ereignis mindestens eine SecurityResult.Action von ALLOW hatte.

Für metrics.auth_attempts_fail ist stattdessen erforderlich, dass keine der SecurityResult.Actions ALLOW ist.

DNS-Bytes ausgehend

metrics.dns_bytes_outbound berechnet vorab Verlaufswerte für UDM-Ereignisse, bei denen network.sent_bytes größer als 0 ist und der Zielport 53/udp, 53/tcp oder 3000/tcp ist. network.sent_bytes ist als value_sum verfügbar.

DNS-Abfragen

metrics.dns_queries_total berechnet vorab Verlaufswerte für UDM-Ereignisse, die einen Wert in network haben.dns.id

Für metrics.dns_queries_success ist außerdem erforderlich, dass network.dns.response_code war 0 (NoError).

Bei metrics.dns_queries_fail werden nur Ereignisse mit einer network berücksichtigt.dns.response_code größer als 0.

Dateiausführungen

metrics.file_executions_total berechnet Verlaufswerte für UDM-Ereignisse mit einem PROCESS_LAUNCH event type vorab.

Für metrics.file_executions_success ist außerdem erforderlich, dass das Ereignis mindestens einen SecurityResult.Action von ALLOW hatte.

Bei metrics.file_executions_fail ist stattdessen erforderlich, dass keine der SecurityResult.Actions ALLOW ist.

HTTP-Abfragen

metrics.http_queries_total berechnet vorab Verlaufswerte für UDM-Ereignisse, die einen Wert in network haben.http.method

Für metrics.http_queries_success gilt außerdem, dass network.http.response_code ist kleiner als 400.

Bei metrics.http_queries_fail werden nur Ereignisse mit einer network berücksichtigt.http.response_code ist kleiner als oder gleich 400.

Netzwerk-Byte

metrics.network_bytes_inbound berechnet vorab Verlaufswerte für UDM-Ereignisse, die einen Wert ungleich 0 für network.received_bytes haben, und stellt dieses Feld als value_sum zur Verfügung.

Für metrics.network_bytes_outbound ist ein Wert ungleich null für network.sent_bytes erforderlich. Dieses Feld wird dann als value_sum verfügbar gemacht.

Bei metrics.network_bytes_total werden Ereignisse berücksichtigt, die einen Wert ungleich Null für entweder network.received_bytes oder network.sent_bytes (oder für beide) haben. Die Summe dieser beiden Felder wird als value_sum verfügbar gemacht.

Ressourcenerstellung

metrics.resource_creation_total berechnet vorab Verlaufswerte für UDM-Ereignisse mit einem RESOURCE_CREATION event type.

Für metrics.resource_creation_success ist außerdem erforderlich, dass das Ereignis mindestens eine SecurityResult.Action von ALLOW hat.

Ressourcen löschen

Bei metrics.resource_deletion_success werden Verlaufswerte für UDM-Ereignisse mit einer RESOURCE_DELETION event type vorab berechnet. Außerdem ist erforderlich, dass das Ereignis mindestens eine SecurityResult.Actions von ALLOW hat.

Ressourcenlese

Bei metrics.resource_read_success werden Verlaufswerte für UDM-Ereignisse mit einer RESOURCE_READ event type vorab berechnet. Außerdem ist erforderlich, dass das Ereignis mindestens eine SecurityResult.Action von ALLOW hat.

Bei metrics.resource_read_fail ist stattdessen erforderlich, dass keine der SecurityResult.Actions ALLOW ist.

Beschränkungen

Beachten Sie beim Erstellen von YARA-L-Regeln mit Messwerten die folgenden Einschränkungen:

• Sie können einen Messwert nicht mit einem Standardwert verknüpfen ("" für Strings und 0 für Ganzzahlen).
• Standardwerte:
  • Wenn für ein Ereignis keine Messdaten vorhanden sind, wird von der Messwertfunktion der Wert 0 zurückgegeben.
  • Wenn ein Ereignis in der Erkennung keine Messwertdaten enthält, wird bei Verwendung von min für die Aggregation über die Funktion möglicherweise „0“ zurückgegeben.
  • Wenn Sie prüfen möchten, ob es Daten für ein Ereignis gibt, können Sie die num_metric_periods-Aggregation für dasselbe Ereignis mit denselben Filtern verwenden.
• Messwertfunktionen können nur im Abschnitt „Ergebnis“ verwendet werden.
• Da Messwertfunktionen nur im Abschnitt „Ergebnis“ verwendet werden, müssen sie wie alle anderen Werte in Regeln mit einem Abgleichabschnitt aggregiert werden.