Crea regole per l'analisi del rischio

Questo documento descrive gli elementi principali delle nuove funzionalità di sintassi YARA-L per Risk Analytics. Per ulteriori informazioni su YARA-L, consulta la sintassi del linguaggio YARA-L 2.0.

Funzioni delle metriche YARA-L

Google Security Operations supporta una serie di funzioni relative alle metriche, che possono aggregare di grandi quantità di dati storici.

La funzione metriche può essere utilizzata solo nella sezione dei risultati. Tutte le chiamate alle funzioni di esempio presuppongono l'utilizzo in una regola con più eventi.

Tutte le regole che utilizzano la funzione metriche vengono classificate automaticamente come regole per più eventi, anche se non hanno una sezione di corrispondenza e ne utilizzano solo una una variabile evento. Ciò significa che verranno conteggiati ai fini della quota delle regole per più eventi.

Parametri della funzione

Le funzioni delle metriche possono essere utilizzate per le regole che eseguono il comportamento delle entità Analytics.

Ad esempio, la seguente regola indica il numero massimo di byte giornalieri che un un indirizzo IP specifico inviato il mese scorso. L'indirizzo IP specifico è rappresentato da una variabile segnaposto, $ip in questo esempio. Per ulteriori informazioni sulle variabili segnaposto, consulta Dichiarazioni delle variabili.

$max_bytes_per_day = max(metrics.network_bytes_outbound(
    period:1d, window:30d,
    metric:value_sum,
    agg:max,
    principal.asset.ip:$ip
))

A causa del numero elevato di argomenti utilizzati in queste funzioni, vengono utilizzati parametri nominativi, che possono essere specificati in qualsiasi ordine. I parametri sono i seguenti:

Periodo

Il periodo di tempo durante il quale i singoli eventi del log vengono combinati in un'unica osservazione. Gli unici valori consentiti sono 1h e 1d.

Finestra

Il periodo di tempo durante il quale le singole osservazioni vengono aggregate in una valore singolo, come la media e il massimo. I valori consentiti per window si basano sul periodo della metrica. Il mapping valido è il seguente:

period:1h: window:today

period:1d: window:30d

Ad esempio, la seguente regola indica il numero massimo di errori tentativi di autenticazione rilevati per un utente specifico (Alice) in un dato giorno, oltre ultimi 30 giorni:

$user = "alice"
$max_fail = max(metrics.auth_attempts_fail(
    period:1d, window:30d,
        metric:event_count_sum,
        agg:max,
        target.user.userid:$user
))

Per first-seen è possibile utilizzare una combinazione di metriche orarie e giornaliere tipi di rilevamenti. Ad esempio, la seguente regola indica se è la prima volta che un utente accede a questa applicazione:

events:
    $e.metadata.event_type = "USER_LOGIN"
    $e.security_result.action = "ALLOW"
    $userid = $e.target.user.userid
    $app = $e.target.application
match:
    // find events from now - 4h ago, which is the recommended look-back period
    $userid, $app over 4h
outcome:
    // check hourly analytics until daily analytics are available
    $first_seen_today = max(metrics.auth_attempts_success(
        period:1h, window:today, metric:first_seen, agg:max,
        target.user.userid:$userid, target.application:$app))
    $first_seen_monthly = max(metrics.auth_attempts_success(
        period:1d, window:30d, metric:first_seen, agg:max,
        target.user.userid:$userid, target.application:$app))
condition:
    $e and ($first_seen_today = 0) and ($first_seen_monthly = 0)

Metrica

All'interno di ciascun periodo, a ciascuna osservazione è associata una serie di metriche. È necessario selezionarne una per l'aggregazione nell'intera finestra. Sono supportati cinque tipi di metric:

event_count_sum: numero di eventi di log univoci in ciascun periodo.

first_seen: primo timestamp rilevato di un evento di log corrispondente all'interno di ciascuno punto.

last_seen: timestamp dell'ultimo evento log corrispondente rilevato in ogni periodo.

value_sum: rappresenta la somma del numero di byte in tutti gli eventi log combinati nel periodo. Puoi utilizzare questo valore solo per le metriche con bytes nel nome.

num_unique_filter_values: metrica che non è precalcolata da Google Security Operations, ma può essere calcolato durante l'esecuzione della regola. Per ulteriori dettagli e requisiti, consulta la sezione Contare le metriche uniche.

Agg

L'aggregazione applicata alla metrica. Le aggregazioni vengono applicate all'intera finestra (ad es. il valore giornaliero più alto negli ultimi 30 giorni). I valori consentiti sono:

avg: valore medio per periodo. Si tratta di una media statistica, che non includere valori pari a zero.

max: valore massimo per periodo.

min: valore più basso per periodo.

num_metric_periods: numero di periodi all'interno della finestra temporale con un valore della metrica diverso da zero.

stddev: deviazione standard del valore per periodo. Si tratta di un valore statistico deviazione standard che non include valori zero.

sum: somma di ogni valore per periodo sull'intera finestra.

Ad esempio, la seguente regola indica il numero medio di errori tentativi di autenticazione rilevati per un utente specifico (Alice) in un dato giorno ultimi 30 giorni:

$user = "alice"
$avg_fail = max(metrics.auth_attempts_fail(
        period:1d, window:30d,
        metric:event_count_sum,
        agg:avg,
        target.user.userid:$user
))

La seguente regola indica quante autenticazioni riuscite per un utente specifico registrato negli ultimi 30 giorni:

$total_success = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:event_count_sum,
        agg:sum,
        target.user.userid:$user
))

La seguente regola indica se un utente specifico ha eseguito correttamente l'accesso almeno una volta negli ultimi 30 giorni:

$days_success = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:event_count_sum,
        agg:num_metric_periods,
        target.user.userid:$user
))

La seguente regola indica la prima o l'ultima volta in cui un utente specifico ha eseguito l'accesso. correttamente:

$first_seen = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:first_seen,
        agg:min,
        target.user.userid:$user
))
$last_seen = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:last_seen,
        agg:max,
        target.user.userid:$user
))

La seguente regola indica il numero massimo di byte inviati da un utente in un determinato giorno negli ultimi 30 giorni:

$max_daily_bytes = max(metrics.network_bytes_outbound(
        period:1d, window:30d,
        metric:value_sum,
        agg:max,
        target.user.userid:$user
))

Filtro

I filtri consentono di filtrare le metriche prima dell'aggregazione in base a un valore nella metrica precalcolata (vedi i valori in Metrica). I filtri possono essere qualsiasi expression valida per gli eventi (una singola riga nella sezione degli eventi) che non contiene campi o segnaposto per gli eventi. Le uniche variabili che possono essere incluse in questa condizione sono i tipi di metriche.

La seguente regola include solo le metriche in cui value_sum > 10 AND event_count_sum > 2:

$max_bytes_per_day = max(metrics.network_bytes_outbound(
    period:1d, window:30d,
    metric:value_sum,
    agg:max,
    principal.asset.ip:$ip
    filter:value_sum > 10 AND event_count_sum > 2
))

Esempi validi di filtri

filter:value_sum > 10 AND event_count_sum != 5
filter:event_count_sum = 100 OR event_count_sum > 1000
filter:timestamp.get_day_of_week(first_seen) = 3

Esempi di filtri non validi

// No placeholders in filter expressions.
filter:value_sum > $ph

// No event fields in filter expressions.
filter:event_count_sum + $e.field > 10

// No event fields in filter expressions.
filter:timestamp.subtract(first_seen, $e.metadata.timestamp)

Campi UDM

Le metriche vengono filtrate da 1, 2 o 3 campi UDM, a seconda della funzione. Per maggiori informazioni, consulta Funzioni.

I seguenti tipi di campi UDM vengono utilizzati per le funzioni delle metriche:

• Dimensioni: (obbligatorio) in questa documentazione sono elencate diverse combinazioni. Non puoi unire una metrica con un valore predefinito ("" per stringa e 0 per int).
• Spazi dei nomi: (facoltativo) puoi utilizzare gli spazi dei nomi solo per le entità specificate nelle dimensioni. Ad esempio, se utilizzi principal.asset.hostname filter, puoi utilizzare anche principal.namespace filter. Se non includi un filtro dello spazio dei nomi, i dati di tutti gli spazi dei nomi vengono aggregati. Puoi utilizzare un valore predefinito come filtro dello spazio dei nomi.

Calcoli delle finestre

Google Security Operations calcola le metriche utilizzando una metrica oraria o giornaliera finestra.

Finestre giornaliere

Tutte le finestre giornaliere, ad esempio 30d, vengono determinate allo stesso modo. Google Security Operations utilizza i dati delle metriche più recenti disponibili che non si sovrappongono all'intervallo di tempo della regola. Il calcolo delle metriche giornaliere può richiedere fino a 6 ore e non inizia fino alla fine del giorno in UTC. I dati delle metriche per il giorno precedente saranno disponibili alle ore o prima delle 06:00 UTC di ogni giorno.

Ad esempio, per una regola eseguita sui dati di eventi dal 31/10/2023 alle 4:00 UTC al 31/10/2023 alle 07:00 UTC, probabilmente le metriche giornaliere per il 31/10/2023 saranno state pertanto il calcolo delle metriche utilizzerà i dati dall'1/10/2023 al giorno 30/10/2023 (incluso). Invece, per una regola che viene eseguita sui dati sugli eventi dal giorno 31-10-2023 01:00 UTC al giorno 31-10-2023 03:00 UTC, le metriche giornaliere per il giorno 30-10-2023 probabilmente non sono state generate, pertanto il calcolo delle metriche utilizzerà i dati dal giorno 30-09-2023 al giorno 29-10-2023 (inclusi).

Finestra today oraria

La finestra della metrica oraria viene calcolata in modo molto diverso rispetto alla finestra per metriche giornaliere. La finestra della metrica oraria di today non è una dimensione statica come 30d finestra per le metriche giornaliere. La finestra delle metriche orarie today compila il maggior numero possibile di dati tra la fine della finestra giornaliera e l'inizio della finestra temporale della regola.

Ad esempio, per una regola che viene eseguita sui dati sugli eventi dal 31-10-2023 04:00:00 UTC al 31-10-2023 07:00:00 UTC, il calcolo delle metriche giornaliere utilizzerà i dati dal 01-10-2023 al 30-10-2023 (inclusi) e la finestra delle metriche orarie utilizzerà i dati dal 31-10-2023 00:00:00 UTC al 31-10-2023 04:00:00 UTC.

Contare le metriche uniche

Esiste un tipo speciale di metrica num_unique_filter_values che non precalcolati da Google Security Operations e viene calcolata durante l'esecuzione di una regola. Ciò avviene aggregando su una dimensione esistente in una metrica precalcolata. Ad esempio, la metrica daily total count of distinct countries that a user attempted to authenticate in può essere ricavata dalle metriche auth_attempts_total precalcolate sulle dimensioni target.user.userid e principal.ip_geo_artifact.location.country_or_region eseguendo un conteggio aggregazione univoca sull'ultima dimensione.

La seguente regola di esempio conteggia le metriche uniche:

$outcome_variable = max(metrics.auth_attempts_total(
    period: 1d,
    window: 30d,
    // This metric type indicates any filter with a wildcard value should be
    // aggregated over each day to produce a new metric on-the-fly.
    metric: num_unique_filter_values,
    agg: max,
    target.user.userid: $userid,
    // Filter whose value should be counted over each day to produce the
    // num_unique_filter_values metric.
    principal.ip_geo_artifact.location.country_or_region: *
))

Questa funzionalità presenta le seguenti limitazioni:

• Il conteggio delle metriche univoche può essere aggregato solo su una dimensione del filtro. Ciò viene indicato utilizzando il token con caratteri jolly * come filtro valore.

Funzioni

Questa sezione include la documentazione sulle funzioni specifiche delle metriche supportate da Google Security Operations.

Eventi di avviso

metrics.alert_event_name_count precompila i valori storici per gli eventi UDM che hanno un valore diverso da zero per gli avvisi con un numero di avvisi generati in Google Workspace received_bytes e rende disponibile questo campo come value_sum.

Tentativi di autenticazione

metrics.auth_attempts_total precalcola i valori storici per gli eventi UDM con un USER_LOGIN event type.

metrics.auth_attempts_success richiede inoltre che l'evento abbia avuto almeno un SecurityResult.Action di ALLOW.

metrics.auth_attempts_fail richiede invece che nessuno dei SecurityResult.Actions sia ALLOW.

Byte DNS in uscita

metrics.dns_bytes_outbound precompila i valori storici per gli eventi UDM in cui network.sent_bytes è maggiore di 0, e la porta di destinazione è 53/udp, 53/tcp o 3000/tcp. network.sent_bytes è disponibile come value_sum.

Query DNS

metrics.dns_queries_total precompila i valori storici per gli eventi UDM che hanno un valore in network.dns.id.

metrics.dns_queries_success richiede inoltre che networkdns.response_code era 0 (NoError).

metrics.dns_queries_fail prende in considerazione solo gli eventi con un networkdns.response_code maggiore di 0.

Esecuzioni file

metrics.file_executions_total precompila i valori storici per gli eventi UDM con un PROCESS_LAUNCH event type.

metrics.file_executions_success richiede inoltre che l'evento abbia totalizzato almeno uno SecurityResult.Action di ALLOW.

metrics.file_executions_fail richiede invece che nessuno degli SecurityResult.Actions erano ALLOW.

Query HTTP

metrics.http_queries_total precompila i valori storici per gli eventi UDM che hanno un valore in network.http.method.

metrics.http_queries_success richiede inoltre che network.http.response_code è inferiore a 400.

metrics.http_queries_fail prende in considerazione solo gli eventi con un valore network.http.response_code è inferiore o uguale a 400.

Byte di rete

metrics.network_bytes_inbound precalcola i valori storici per gli eventi UDM con un valore diverso da zero per network, received_bytes, e rende disponibile quel campo come value_sum.

metrics.network_bytes_outbound richiede un valore diverso da zero per network.sent_bytes e rende disponibile questo campo come value_sum.

metrics.network_bytes_total considera gli eventi con un valore diverso da zero per o network.received_bytes o network.sent_bytes (o entrambi) e rendi disponibile la somma di questi due campi come value_sum.

Creazione risorse

metrics.resource_creation_total precalcola i valori storici per gli eventi UDM con RESOURCE_CREATION event type.

metrics.resource_creation_success richiede inoltre che l'evento abbia almeno un SecurityResult.Action di ALLOW.

Eliminazione delle risorse

metrics.resource_deletion_success precalcola i valori storici per gli eventi UDM con RESOURCE_DELETION event type e oltre richiede che l'evento abbia almeno uno SecurityResult.Actions di ALLOW.

Lettura risorse

metrics.resource_read_success precalcola i valori storici per gli eventi UDM con RESOURCE_READ event type e oltre richiede che l'evento abbia almeno uno SecurityResult.Action di ALLOW.

metrics.resource_read_fail invece richiede che nessuno dei SecurityResult.Actions sia ALLOW.

Limitazioni

Quando crei regole YARA-L con metriche, tieni presente le seguenti limitazioni:

• Non puoi unire una metrica con un valore predefinito ("" per le stringhe e 0 per i valori interi).
• Valori predefiniti:
  • Se non sono presenti dati delle metriche corrispondenti a un evento, il valore restituito dalla funzione delle metriche è 0.
  • Se nel rilevamento è presente un evento senza dati delle metriche, l'utilizzo di min per l'aggregazione della funzione potrebbe restituire 0.
  • Per verificare se sono presenti dati per un evento, puoi utilizzare l'aggregazione delle metrichenum_metric_periods per lo stesso evento con gli stessi filtri.
• Le funzioni basate sulle metriche possono essere utilizzate solo nella sezione dei risultati.
• Poiché le funzioni di metrica vengono utilizzate solo nella sezione relativa al risultato, devono essere aggregate come qualsiasi altro valore nelle regole con una sezione di corrispondenza.