Membuat aturan untuk Analisis Risiko

Dokumen ini menjelaskan elemen utama dari fitur sintaksis YARA-L yang baru untuk Analisis Risiko. Untuk informasi selengkapnya tentang YARA-L, lihat Sintaksis Bahasa YARA-L 2.0.

Fungsi Metrik YARA-L

Chronicle mendukung sejumlah fungsi metrik, yang dapat menggabungkan sejumlah besar data historis.

Fungsi metrik hanya dapat digunakan di bagian hasil. Semua contoh panggilan fungsi mengasumsikan penggunaan dalam aturan multi-peristiwa.

Semua aturan yang menggunakan fungsi metrik akan otomatis dikategorikan sebagai aturan multi-peristiwa, meskipun tidak memiliki bagian pencocokan dan hanya menggunakan satu variabel peristiwa. Artinya, keduanya akan mengurangi kuota aturan multi-peristiwa.

Parameter fungsi

Fungsi metrik dapat digunakan untuk aturan yang menjalankan analisis perilaku entitas.

Misalnya, aturan berikut memberi tahu Anda jumlah maksimum byte harian yang dikirim oleh alamat IP tertentu dalam sebulan terakhir:

$max_bytes_per_day = max(metrics.network_bytes_outbound(
    period:1d, window:30d,
    metric:value_sum,
    agg:max,
    principal.asset.ip:$ip
))

Karena banyaknya argumen yang digunakan dalam fungsi ini, fungsi tersebut menggunakan parameter bernama, yang dapat ditentukan dalam urutan apa pun. Parameternya adalah sebagai berikut:

Periode

Durasi waktu saat setiap peristiwa log digabungkan ke dalam satu pengamatan. Satu-satunya nilai yang diizinkan adalah 1h dan 1d.

Jendela

Lamanya waktu saat setiap pengamatan digabungkan ke dalam satu nilai, seperti rata-rata dan maksimum. Nilai yang diizinkan untuk window didasarkan pada periode metrik. Pemetaan yang valid adalah sebagai berikut:

period:1h : window:today

period:1d : window:30d

Misalnya, aturan berikut memberi tahu Anda jumlah upaya autentikasi gagal yang paling banyak yang terlihat untuk pengguna tertentu (Alice) dalam hari tertentu, selama 30 hari terakhir:

$user = "alice"
$max_fail = max(metrics.auth_attempts_fail(
    period:1d, window:30d,
        metric:event_count_sum,
        agg:max,
        target.user.userid:$user
))

Kombinasi metrik per jam dan harian dapat digunakan untuk first-seen

jenis deteksi yang sebenarnya. Misalnya, aturan berikut memberi tahu Anda apakah ini pertama kalinya pengguna login ke aplikasi ini:

events:
    $e.metadata.event_type = "USER_LOGIN"
    $e.security_result.action = "ALLOW"
    $userid = $e.target.user.userid
    $app = $e.target.application
match:
    // find events from now - 4h ago, which is the recommended look-back period
    $userid, $app over 4h
outcome:
    // check hourly analytics until daily analytics are available
    $first_seen_today = max(metrics.auth_attempts_success(
        period:1h, window:today, metric:first_seen, agg:max,
        target.user.userid:$userid, target.application:$app))
    $first_seen_monthly = max(metrics.auth_attempts_success(
        period:1d, window:30d, metric:first_seen, agg:max,
        target.user.userid:$userid, target.application:$app))
condition:
    $e and ($first_seen_today = 0) and ($first_seen_monthly = 0)

Metrik

Dalam setiap periode, setiap pengamatan memiliki sejumlah metrik yang terkait dengannya. Salah satu elemen ini harus dipilih untuk digabungkan di seluruh jendela. Lima jenis metric didukung:

event_count_sum—Jumlah peristiwa log unik dalam setiap periode.

first_seen—Stempel waktu pertama kali dilihat dari peristiwa log yang cocok dalam setiap periode.

last_seen—Stempel waktu terakhir terlihat dari peristiwa log yang cocok dalam setiap periode.

value_sum—Merepresentasikan jumlah byte dalam semua peristiwa log yang digabungkan dalam periode tersebut. Anda hanya dapat menggunakan nilai ini untuk fungsi metrik dengan bytes dalam namanya.

num_unique_filter_values—Metrik yang belum dikomputasi sebelumnya oleh Chronicle, tetapi dapat dikomputasi selama eksekusi aturan. Lihat Menghitung metrik unik untuk detail dan persyaratan selengkapnya.

Agus

Agregasi mana yang diterapkan pada metrik. Agregasi diterapkan selama seluruh periode (mis. nilai harian tertinggi selama 30 hari terakhir). Nilai yang diizinkan adalah:

avg—Nilai rata-rata per periode. Ini adalah rata-rata statistik, yang tidak mencakup nilai nol.

max—Nilai terbaik per periode.

min—Nilai terkecil per periode.

num_metric_periods—Jumlah periode dalam periode waktu yang memiliki nilai metrik bukan nol.

stddev—deviasi standar nilai per periode. Ini adalah deviasi standar statistik yang tidak menyertakan nilai nol.

sum—Jumlah setiap nilai per periode, selama seluruh periode.

Misalnya, aturan berikut memberi tahu Anda jumlah rata-rata upaya autentikasi yang gagal yang terlihat untuk pengguna tertentu (Alice) dalam hari tertentu selama 30 hari terakhir:

$user = "alice"
$avg_fail = max(metrics.auth_attempts_fail(
        period:1d, window:30d,
        metric:event_count_sum,
        agg:avg,
        target.user.userid:$user
))

Aturan berikut memberi tahu Anda jumlah autentikasi yang berhasil yang dilakukan pengguna tertentu selama 30 hari terakhir:

$total_success = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:event_count_sum,
        agg:sum,
        target.user.userid:$user
))

Aturan berikut memberi tahu Anda apakah pengguna tertentu berhasil login setidaknya sekali selama 30 hari terakhir:

$days_success = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:event_count_sum,
        agg:num_metric_periods,
        target.user.userid:$user
))

Aturan berikut memberi tahu Anda saat pertama kali atau terakhir kali pengguna tertentu berhasil login:

$first_seen = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:first_seen,
        agg:min,
        target.user.userid:$user
))
$last_seen = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:last_seen,
        agg:max,
        target.user.userid:$user
))

Aturan berikut memberi tahu Anda jumlah byte maksimum yang dikirim oleh pengguna dalam hari tertentu selama 30 hari terakhir:

$max_daily_bytes = max(metrics.network_bytes_outbound(
        period:1d, window:30d,
        metric:value_sum,
        agg:max,
        target.user.userid:$user
))

Filter

Filter memungkinkan pemfilteran metrik sebelum agregasi berdasarkan nilai dalam metrik yang telah dihitung sebelumnya (lihat nilai dalam Metrik). Filter dapat berupa ekspresi peristiwa yang valid (satu baris di bagian peristiwa) yang tidak berisi kolom peristiwa atau placeholder apa pun. Satu-satunya variabel yang dapat disertakan dalam kondisi ini adalah jenis metrik.

Aturan berikut hanya menyertakan metrik dengan value_sum > 10 AND event_count_sum > 2:

$max_bytes_per_day = max(metrics.network_bytes_outbound(
    period:1d, window:30d,
    metric:value_sum,
    agg:max,
    principal.asset.ip:$ip
    filter:value_sum > 10 AND event_count_sum > 2
))

Contoh filter yang valid

filter:value_sum > 10 AND event_count_sum != 5
filter:event_count_sum = 100 OR event_count_sum > 1000
filter:timestamp.get_day_of_week(first_seen) = 3

Contoh filter yang tidak valid

// No placeholders in filter expressions.
filter:value_sum > $ph

// No event fields in filter expressions.
filter:event_count_sum + $e.field > 10

// No event fields in filter expressions.
filter:timestamp.subtract(first_seen, $e.metadata.timestamp)

Kolom UDM

Metrik difilter menurut 1, 2, atau 3 kolom UDM, bergantung pada fungsinya. Untuk informasi selengkapnya, lihat Fungsi.

Jenis kolom UDM berikut digunakan untuk fungsi metrik:

• Dimensi—(Wajib) Kombinasi yang berbeda tercantum dalam dokumentasi ini. Anda tidak dapat menggabungkan metrik dengan nilai default ("" untuk string dan 0 untuk int).
• Namespace—(Opsional) Anda hanya dapat menggunakan namespace untuk entity yang Anda tentukan dalam dimensi. Misalnya, jika menggunakan principal.asset.hostname filter, Anda juga dapat menggunakan principal.namespace filter. Jika Anda tidak menyertakan filter namespace, data di semua namespace akan digabungkan bersama. Anda dapat menggunakan nilai default sebagai filter namespace.

Penghitungan periode

Chronicle menghitung metrik menggunakan periode metrik harian atau per jam.

Periode harian

Semua periode harian, seperti 30d, ditentukan dengan cara yang sama. Chronicle menggunakan data metrik terbaru yang tersedia dan telah dibuat yang tidak tumpang-tindih dengan rentang waktu aturan. Perhitungan metrik harian dapat memerlukan waktu hingga 6 jam untuk diselesaikan dan tidak dimulai hingga penghujung hari dalam UTC. Data metrik untuk hari sebelumnya akan tersedia pada atau sebelum pukul 06.00 UTC setiap hari.

Misalnya, untuk aturan yang berjalan di atas data peristiwa dari 31-10-2023 pukul 04.00 UTC hingga 31-10-2023 pukul 7.00 UTC, metrik harian untuk 31-10-2023 kemungkinan akan dibuat, sehingga penghitungan metrik akan menggunakan data dari 01-01-2023 hingga 03-2023). Sementara untuk aturan yang menjalankan data peristiwa dari 31-10-2023 pukul 13.00 UTC hingga 31-10-2023 pukul 03.00 UTC, metrik harian untuk 30-10-2023 mungkin tidak akan dibuat, sehingga penghitungan metrik akan menggunakan data dari 2023-09-30 hingga 2023-09-2023).

Jendela today per jam

Periode metrik per jam dihitung dengan sangat berbeda dari periode untuk metrik harian. Jendela metrik per jam today bukanlah ukuran statis seperti periode 30d untuk metrik harian. Periode metrik per jam today mengisi sebanyak mungkin data antara akhir periode harian dan awal periode waktu aturan.

Misalnya, untuk aturan yang menjalankan data peristiwa dari 31-10-2023 pukul 04.00.00 UTC hingga 30.00-20.00 UTC 2023-10-31 pukul 7.00.00 UTC, penghitungan metrik harian akan menggunakan data dari 2023-10-01 hingga 2023-10.00 UTC: 01.00-19.00 UTC

Hitung Metrik Unik

Ada jenis metrik khusus num_unique_filter_values yang tidak dikomputasi sebelumnya oleh Chronicle dan dihitung selama eksekusi aturan. Hal ini dilakukan dengan mengagregasi dimensi yang ada dalam metrik yang telah dihitung sebelumnya. Misalnya, metrik daily total count of distinct countries that a user attempted to authenticate di dapat diperoleh dari metrik auth_attempts_total yang telah dikomputasi sebelumnya pada dimensi target.user.userid dan principal.ip_geo_artifact.location.country_or_region dengan melakukan agregasi jumlah unik terhadap dimensi terakhir.

Contoh aturan berikut menghitung metrik unik:

$outcome_variable = max(metrics.auth_attempts_total(
    period: 1d,
    window: 30d,
    // This metric type indicates any filter with a wildcard value should be
    // aggregated over each day to produce a new metric on-the-fly.
    metric: num_unique_filter_values,
    agg: max,
    target.user.userid: $userid,
    // Filter whose value should be counted over each day to produce the
    // num_unique_filter_values metric.
    principal.ip_geo_artifact.location.country_or_region: *
))

Fitur ini memiliki batasan berikut:

• Menghitung jumlah metrik unik hanya dapat digabungkan pada 1 dimensi filter. Hal ini ditunjukkan dengan menggunakan token karakter pengganti * sebagai nilai filter.

Functions

Bagian ini mencakup dokumentasi tentang fungsi metrik tertentu yang didukung oleh Chronicle.

Upaya Autentikasi

metrics.auth_attempts_total melakukan prakomputasi nilai historis untuk peristiwa UDM dengan jenis peristiwa USER_LOGIN.

metrics.auth_attempts_success selanjutnya mengharuskan peristiwa memiliki setidaknya satu SecurityResult.Action dari ALLOW.

metrics.auth_attempts_fail tidak mewajibkan SecurityResult.Actions yang berupa ALLOW.

Byte DNS Keluar

metrics.dns_bytes_outbound melakukan prakomputasi nilai historis untuk peristiwa UDM dengan jaringan.sent_bytes > 0, dan port targetnya adalah 53/udp, 53/tcp, atau 3000/tcp. network.sent_bytes tersedia sebagai value_sum.

Kueri DNS

metrics.dns_queries_total melakukan prakomputasi nilai historis untuk peristiwa UDM yang memiliki nilai dalam jaringan.dns.id.

metrics.dns_queries_success selanjutnya mengharuskan jaringan.dns.response_code adalah 0 (NoError).

metrics.dns_queries_fail hanya mempertimbangkan peristiwa dengan jaringan.dns.response_code yang lebih besar dari 0.

Eksekusi File

metrics.file_executions_total melakukan prakomputasi nilai historis untuk peristiwa UDM dengan jenis peristiwa PROCESS_LAUNCH.

metrics.file_executions_success selanjutnya mengharuskan peristiwa memiliki setidaknya satu SecurityResult.Action dari ALLOW.

metrics.file_executions_fail sebagai gantinya mengharuskan tidak ada SecurityResult.Actions yang berupa ALLOW.

Kueri HTTP

metrics.http_queries_total melakukan prakomputasi nilai historis untuk peristiwa UDM yang memiliki nilai dalam jaringan.http.method.

metrics.http_queries_success lebih lanjut memerlukan jaringan tersebut.http.response_code < 400

metrics.http_queries_fail hanya mempertimbangkan peristiwa dengan jaringan.`http.response_code

= 400`.

Byte Jaringan

metrics.network_bytes_inbound melakukan prakomputasi nilai historis untuk peristiwa UDM yang memiliki nilai bukan nol untuk jaringan.received_bytes, dan membuat kolom tersebut tersedia sebagai value_sum.

metrics.network_bytes_outbound memerlukan nilai bukan nol untuk jaringan.sent_bytes, dan menyediakan kolom tersebut sebagai value_sum.

metrics.network_bytes_total mempertimbangkan peristiwa yang memiliki nilai bukan nol untuk jaringan.received_bytes atau jaringan.sent_bytes (atau keduanya), dan buat jumlah dari kedua kolom tersebut tersedia sebagai value_sum.

Batasan

Saat membuat aturan YARA-L dengan metrik, perhatikan batasan berikut:

• Anda tidak dapat menggabungkan metrik dengan nilai default ("" untuk string dan 0 untuk int).
• Nilai Default:
  • Jika tidak ada data metrik yang sesuai dengan peristiwa, nilai yang ditampilkan dari fungsi metrik adalah 0.
  • Jika ada peristiwa dalam deteksi yang tidak memiliki data metrik, penggunaan min untuk menggabungkan fungsi mungkin akan menampilkan 0.
  • Untuk memeriksa apakah ada data untuk suatu peristiwa, Anda dapat menggunakan agregasi num_metric_periods metrik pada peristiwa yang sama tersebut dengan filter yang sama.
• Fungsi metrik hanya dapat digunakan di bagian hasil.
• Karena fungsi metrik hanya digunakan di bagian hasil, fungsi tersebut harus digabungkan seperti nilai lain dalam aturan dengan bagian pencocokan.