为风险分析创建规则

本文介绍了风险分析的新 YARA-L 语法功能的主要元素。如需详细了解 YARA-L，请参阅 YARA-L 2.0 语言语法。

YARA-L 指标函数

Google Security Operations 支持多种指标函数，这些函数可以汇总大量历史数据。

指标函数只能在“结果”部分中使用。所有示例函数调用均假定在多事件规则中使用。

使用指标函数的所有规则都会自动归类为多事件规则，即使它们没有匹配部分且仅使用一个事件变量也是如此。这意味着，这些事件将计入多事件规则配额。

函数参数

指标函数可用于执行实体行为分析的规则。

例如，以下规则会告知您特定 IP 地址在过去一个月内每天发送的字节数上限。特定 IP 地址由占位符变量表示，在本例中为 $ip。如需详细了解占位符变量，请参阅变量声明。

$max_bytes_per_day = max(metrics.network_bytes_outbound(
    period:1d, window:30d,
    metric:value_sum,
    agg:max,
    principal.asset.ip:$ip
))

由于这些函数中使用的参数数量众多，因此它们使用了可按任意顺序指定的命名参数。具体参数如下所示：

时段

将各个日志事件合并为一个观察结果的时长。唯一允许的值是 1h 和 1d。

Window

将各个观察结果聚合为一个值（例如平均值和最大值）的时长。window 的允许值取决于指标的时间段。有效的映射如下所示：

period:1h:window:today

period:1d:window:30d

例如，以下规则会告知您过去 30 天内特定用户（Alice）在给定一天内尝试进行身份验证失败的次数最多：

$user = "alice"
$max_fail = max(metrics.auth_attempts_fail(
    period:1d, window:30d,
        metric:event_count_sum,
        agg:max,
        target.user.userid:$user
))

您可以将小时级指标和每日指标组合使用来衡量 first-seen 类型的检测。例如，以下规则可告知您这是用户首次登录此应用：

events:
    $e.metadata.event_type = "USER_LOGIN"
    $e.security_result.action = "ALLOW"
    $userid = $e.target.user.userid
    $app = $e.target.application
match:
    // find events from now - 4h ago, which is the recommended look-back period
    $userid, $app over 4h
outcome:
    // check hourly analytics until daily analytics are available
    $first_seen_today = max(metrics.auth_attempts_success(
        period:1h, window:today, metric:first_seen, agg:max,
        target.user.userid:$userid, target.application:$app))
    $first_seen_monthly = max(metrics.auth_attempts_success(
        period:1d, window:30d, metric:first_seen, agg:max,
        target.user.userid:$userid, target.application:$app))
condition:
    $e and ($first_seen_today = 0) and ($first_seen_monthly = 0)

指标

在每个周期内，每个观察结果都有许多与之相关的指标。您必须选择其中一个指标，以便对整个时间范围内的数据进行汇总。支持 5 种 metric 类型：

event_count_sum - 每个时间段内的不重复日志事件数。

first_seen - 每个时间段内匹配日志事件的首次出现时间戳。

last_seen - 每个时间段内匹配日志事件的上次出现时间戳。

value_sum - 表示相应时间段内所有日志事件总字节数。此值只能用于名称中包含 bytes 的指标函数。

num_unique_filter_values - 未由 Google Security Operations 预计算，但可以在规则执行期间计算的指标。如需了解更多详情和要求，请参阅统计唯一指标。

Agg

对指标应用的聚合方式。聚合应用于整个时间范围（例如，过去 30 天的最高每日价值）。允许的值包括：

avg - 每个时间段的平均值。这是统计平均值，不包括零值。

max - 每个时间段内的最大值。

min - 每个时段的最小值。

num_metric_periods - 时间范围内指标值不为零的周期数。

stddev - 每个时间段的值的标准差。这是统计标准差，不包括零值。

sum - 整个时间段内每个时间段的每个值的总和。

例如，以下规则会告知您过去 30 天内特定用户（Alice）在任意给定日期的平均身份验证尝试失败次数：

$user = "alice"
$avg_fail = max(metrics.auth_attempts_fail(
        period:1d, window:30d,
        metric:event_count_sum,
        agg:avg,
        target.user.userid:$user
))

以下规则会告知您特定用户在过去 30 天内成功完成了多少次身份验证：

$total_success = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:event_count_sum,
        agg:sum,
        target.user.userid:$user
))

以下规则可告诉您特定用户在过去 30 天内是否至少成功登录了一次：

$days_success = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:event_count_sum,
        agg:num_metric_periods,
        target.user.userid:$user
))

以下规则会告知您特定用户首次或上次成功登录的时间：

$first_seen = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:first_seen,
        agg:min,
        target.user.userid:$user
))
$last_seen = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:last_seen,
        agg:max,
        target.user.userid:$user
))

以下规则可告知您用户在过去 30 天内的任意一天内发送的字节数上限：

$max_daily_bytes = max(metrics.network_bytes_outbound(
        period:1d, window:30d,
        metric:value_sum,
        agg:max,
        target.user.userid:$user
))

过滤

过滤条件允许在聚合之前按预先计算的指标中的值过滤指标（请参阅指标中的值）。过滤条件可以是任何有效的事件表达式（事件部分中的单行），且不包含任何事件字段或占位符。此条件中唯一可包含的变量是指标类型。

以下规则仅包含 value_sum > 10 AND event_count_sum > 2 满足以下条件的指标：

$max_bytes_per_day = max(metrics.network_bytes_outbound(
    period:1d, window:30d,
    metric:value_sum,
    agg:max,
    principal.asset.ip:$ip
    filter:value_sum > 10 AND event_count_sum > 2
))

过滤条件的有效示例

filter:value_sum > 10 AND event_count_sum != 5
filter:event_count_sum = 100 OR event_count_sum > 1000
filter:timestamp.get_day_of_week(first_seen) = 3

无效的过滤条件示例

// No placeholders in filter expressions.
filter:value_sum > $ph

// No event fields in filter expressions.
filter:event_count_sum + $e.field > 10

// No event fields in filter expressions.
filter:timestamp.subtract(first_seen, $e.metadata.timestamp)

UDM 字段

指标按 1、2 或 3 个 UDM 字段进行过滤，具体取决于相应函数。如需了解详情，请参阅函数。

以下类型的 UDM 字段用于指标函数：

• 维度 -（必需）本文档中列出了不同的组合。您无法联接具有默认值的指标（对于字符串为 ""，对于整数为 0）。
• 命名空间 -（可选）您只能为在维度中指定的实体使用命名空间。例如，如果您使用的是 principal.asset.hostname filter，也可以使用 principal.namespace filter。如果您未添加命名空间过滤条件，系统会汇总所有命名空间中的数据。您可以将默认值用作命名空间过滤条件。

窗口计算

Google 安全运营团队使用每日或每小时的指标时间范围来计算指标。

每日窗口期

所有每日时间范围（例如 30d）都是以相同的方式确定的。Google 安全运营团队会使用生成的最新可用指标数据，且这些数据不会与规则的时间范围重叠。计算每日指标最多可能需要 6 小时才能完成，并且不会在世界协调时间 (UTC) 当天结束之前开始计算。前一天的指标数据将在每天世界协调时间 (UTC) 6:00 或之前提供。

例如，如果规则针对 2023 年 10 月 31 日凌晨 4:00 UTC 到 2023 年 10 月 31 日上午 7:00 UTC 之间的事件数据运行，则系统可能会生成 2023 年 10 月 31 日的每日指标，因此指标计算将使用 2023 年 10 月 1 日至 2023 年 10 月 30 日（包括这两天）的数据。而对于针对 2023 年 10 月 31 日凌晨 1:00 UTC 到 2023 年 10 月 31 日凌晨 3:00 UTC 的事件数据运行的规则，系统可能尚未生成 2023 年 10 月 30 日的每日指标，因此指标计算将使用 2023 年 9 月 30 日到 2023 年 10 月 29 日（包括这两天）的数据。

每小时 today 时段

每小时指标的时间范围的计算方式与每日指标的时间范围不同。today 的小时指标窗口大小并非固定的，不像每日指标的 30d 窗口大小。每小时指标时间范围 today 会填充每日时间范围结束到规则时间范围开始之间的尽可能多的数据。

例如，如果规则针对 2023 年 10 月 31 日 4:00:00 UTC 至 2023 年 10 月 31 日 7:00:00 UTC 之间的事件数据运行，则每日指标计算将使用 2023 年 10 月 1 日至 2023 年 10 月 30 日（包括这两个日期）的数据，而每小时指标时间范围将使用 2023 年 10 月 31 日 00:00:00 UTC 至 2023 年 10 月 31 日 4:00:00 UTC 的数据。

统计唯一指标

有一个特殊类型的指标 num_unique_filter_values，它不是由 Google 安全运营团队预先计算的，而是在规则执行期间计算的。具体方法是，对预先计算的指标中的现有维度进行汇总。例如，您可以通过对维度 principal.ip_geo_artifact.location.country_or_region 执行唯一计数汇总，从维度 target.user.userid 和 principal.ip_geo_artifact.location.country_or_region 的预计算 auth_attempts_total 指标派生出 daily total count of distinct countries that a user attempted to authenticate 指标。

以下示例规则会统计唯一指标：

$outcome_variable = max(metrics.auth_attempts_total(
    period: 1d,
    window: 30d,
    // This metric type indicates any filter with a wildcard value should be
    // aggregated over each day to produce a new metric on-the-fly.
    metric: num_unique_filter_values,
    agg: max,
    target.user.userid: $userid,
    // Filter whose value should be counted over each day to produce the
    // num_unique_filter_values metric.
    principal.ip_geo_artifact.location.country_or_region: *
))

此功能存在以下限制：

• 计算唯一指标数时，只能按 1 个过滤维度进行汇总。这通过使用通配符令牌 * 作为过滤条件值来表示。

Functions

本部分包含有关 Google Security Operations 支持的特定指标函数的文档。

提醒事件

metrics.alert_event_name_count 会预计算由 Carbon Black、CrowdStrike Falcon、Microsoft Graph API Alerts 或 Microsoft Sentinel 生成了提醒的 UDM 事件的历史值。

身份验证尝试次数

metrics.auth_attempts_total 会使用 USER_LOGIN event type 为 UDM 事件预计算历史值。

metrics.auth_attempts_success 还要求该事件至少包含一个 ALLOW 的 SecurityResult.Action。

metrics.auth_attempts_fail 则要求所有 SecurityResult.Actions 均不为 ALLOW。

DNS 出站字节数

metrics.dns_bytes_outbound 会预计算 network.sent_bytes 大于 0 且目标端口为 53/udp、53/tcp 或 3000/tcp 的 UDM 事件的历史值。network.sent_bytes 可用作 value_sum。

DNS 查询

metrics.dns_queries_total 会预计算 network.dns.id 中具有值的 UDM 事件的历史值。

metrics.dns_queries_success 还要求 network。“dns.response_code”原为“0”(NoError)。

metrics.dns_queries_fail 仅会考虑具有 network 的事件。dns.response_code 大于 0。

文件执行

metrics.file_executions_total 使用 PROCESS_LAUNCH event type 为 UDM 事件预计算历史值。

metrics.file_executions_success 还要求该事件至少包含一个 ALLOW 的 SecurityResult.Action。

metrics.file_executions_fail 则要求所有 SecurityResult.Actions 均不为 ALLOW。

HTTP 查询

metrics.http_queries_total 会预计算 network.http.method 中具有值的 UDM 事件的历史值。

metrics.http_queries_success 还要求 network。http.response_code 小于 400。

metrics.http_queries_fail 仅会考虑具有 network 的事件。http.response_code 小于或等于 400。

网络字节数

metrics.network_bytes_inbound 会预计算 network.received_bytes 的值不为零的 UDM 事件的历史值，并将该字段作为 value_sum 提供。

metrics.network_bytes_outbound 要求 network.sent_bytes 的值不为零，并将该字段作为 value_sum 提供。

metrics.network_bytes_total 会考虑 network.received_bytes 或 network.sent_bytes（或两者）的值不为零的事件，并将这两个字段的总和作为 value_sum 提供。

资源创建

metrics.resource_creation_total 使用 RESOURCE_CREATION event type 为 UDM 事件预计算历史值。

metrics.resource_creation_success 还要求该事件至少包含一个 ALLOW 的 SecurityResult.Action。

资源删除

metrics.resource_deletion_success 会使用 RESOURCE_DELETION event type 为 UDM 事件预计算历史值，并且还要求该事件至少包含一个 ALLOW SecurityResult.Actions。

资源读取

metrics.resource_read_success 会使用 RESOURCE_READ event type 为 UDM 事件预计算历史值，并且还要求该事件至少包含一个 ALLOW SecurityResult.Action。

metrics.resource_read_fail 则要求所有 SecurityResult.Actions 均不为 ALLOW。

限制

使用指标创建 YARA-L 规则时，请注意以下限制：

• 您无法联接具有默认值的指标（对于字符串，默认值为 ""；对于整数，默认值为 0）。
• 默认值：
  • 如果没有与事件对应的指标数据，则指标函数返回的值为 0。
  • 如果检测中存在没有指标数据的事件，使用 min 对函数进行汇总可能会返回 0。
  • 如需检查是否有事件数据，您可以使用相同的过滤条件对同一事件使用指标 num_metric_periods 汇总。
• 指标函数只能在“结果”部分中使用。
• 由于指标函数仅在结果部分中使用，因此必须像包含匹配部分的规则中的任何其他值一样进行汇总。