Crea regole per l'analisi del rischio
Questo documento descrive gli elementi principali delle nuove funzionalità di sintassi YARA-L per Analisi del rischio. Per ulteriori informazioni su YARA-L, vedi YARA-L 2.0 Language Sintassi.
Funzioni delle metriche YARA-L
Google Security Operations supporta una serie di funzioni relative alle metriche, che possono aggregare di grandi quantità di dati storici.
La funzione metriche può essere utilizzata solo nella sezione dei risultati. Tutti gli esempi le chiamate di funzione presuppongono l'utilizzo in una regola multievento.
Tutte le regole che utilizzano la funzione metriche vengono classificate automaticamente come regole per più eventi, anche se non hanno una sezione di corrispondenza e ne utilizzano solo una una variabile evento. Ciò significa che verranno conteggiati ai fini della quota delle regole per più eventi.
Parametri della funzione
Le funzioni delle metriche possono essere utilizzate per le regole che eseguono il comportamento delle entità Analytics.
Ad esempio, la seguente regola indica il numero massimo di byte giornalieri che un
un indirizzo IP specifico inviato il mese scorso. L'indirizzo IP specifico è
rappresentato da una variabile segnaposto, $ip
in questo esempio. Per ulteriori informazioni sulle variabili segnaposto, consulta Dichiarazioni delle variabili.
$max_bytes_per_day = max(metrics.network_bytes_outbound(
period:1d, window:30d,
metric:value_sum,
agg:max,
principal.asset.ip:$ip
))
A causa dell'elevato numero di argomenti utilizzati in queste funzioni, le funzioni utilizzano parametri, che possono essere specificati in qualsiasi ordine. I parametri sono i seguenti:
Periodo
Il periodo di tempo durante il quale i singoli eventi di log vengono combinati in un unico evento
osservazione. Gli unici valori consentiti sono 1h
e 1d
.
Finestra
Il periodo di tempo durante il quale le singole osservazioni vengono aggregate in una
valore singolo, come la media e il massimo. I valori consentiti per
window
si basano sul periodo della metrica. Il mapping valido è il seguente:
period:1h
: window:today
period:1d
: window:30d
Ad esempio, la seguente regola indica il numero massimo di errori tentativi di autenticazione rilevati per un utente specifico (Alice) in un dato giorno, oltre ultimi 30 giorni:
$user = "alice"
$max_fail = max(metrics.auth_attempts_fail(
period:1d, window:30d,
metric:event_count_sum,
agg:max,
target.user.userid:$user
))
Per first-seen
è possibile utilizzare una combinazione di metriche orarie e giornaliere
tipi di rilevamenti. Ad esempio, la seguente regola indica se si tratta di
la prima volta che un utente accede a questa applicazione:
events:
$e.metadata.event_type = "USER_LOGIN"
$e.security_result.action = "ALLOW"
$userid = $e.target.user.userid
$app = $e.target.application
match:
// find events from now - 4h ago, which is the recommended look-back period
$userid, $app over 4h
outcome:
// check hourly analytics until daily analytics are available
$first_seen_today = max(metrics.auth_attempts_success(
period:1h, window:today, metric:first_seen, agg:max,
target.user.userid:$userid, target.application:$app))
$first_seen_monthly = max(metrics.auth_attempts_success(
period:1d, window:30d, metric:first_seen, agg:max,
target.user.userid:$userid, target.application:$app))
condition:
$e and ($first_seen_today = 0) and ($first_seen_monthly = 0)
Metrica
All'interno di ogni periodo, a ogni osservazione è associata una serie di metriche.
Uno di questi deve essere selezionato per l'aggregazione nell'intera finestra. Cinque
Sono supportati metric
tipi:
event_count_sum
: numero di eventi di log univoci in ciascun periodo.
first_seen
: primo timestamp rilevato di un evento di log corrispondente all'interno di ciascuno
punto.
last_seen
: ultimo timestamp rilevato di un evento di log corrispondente all'interno di ciascuno.
punto.
value_sum
: rappresenta la somma del numero di byte in tutto il log
eventi combinati nello stesso periodo. Puoi utilizzare questo valore solo per le metriche
con bytes
nel nome.
num_unique_filter_values
: metrica che non è precalcolata da
Google Security Operations, ma può essere calcolato durante l'esecuzione della regola. Vedi Conteggio unico
metriche per ulteriori dettagli e requisiti.
Agg
Quale aggregazione viene applicata alla metrica. Le aggregazioni vengono applicate l'intera finestra (ad es. il valore giornaliero più alto negli ultimi 30 giorni). L'opzione sono:
avg
: valore medio per periodo. Si tratta di una media statistica, che non
includere valori pari a zero.
max
: il valore massimo per periodo.
min
: valore più basso per periodo.
num_metric_periods
: numero di periodi all'interno dell'intervallo di tempo con un
un valore della metrica diverso da zero.
stddev
: deviazione standard del valore per periodo. Si tratta di un valore statistico
deviazione standard che non include valori zero.
sum
: somma di ogni valore per periodo sull'intera finestra.
Ad esempio, la seguente regola indica il numero medio di errori tentativi di autenticazione rilevati per un utente specifico (Alice) in un dato giorno ultimi 30 giorni:
$user = "alice"
$avg_fail = max(metrics.auth_attempts_fail(
period:1d, window:30d,
metric:event_count_sum,
agg:avg,
target.user.userid:$user
))
La seguente regola indica quante autenticazioni riuscite per un utente specifico registrato negli ultimi 30 giorni:
$total_success = max(metrics.auth_attempts_success(
period:1d, window:30d,
metric:event_count_sum,
agg:sum,
target.user.userid:$user
))
La seguente regola indica se un determinato utente ha eseguito correttamente l'accesso all'indirizzo almeno una volta negli ultimi 30 giorni:
$days_success = max(metrics.auth_attempts_success(
period:1d, window:30d,
metric:event_count_sum,
agg:num_metric_periods,
target.user.userid:$user
))
La seguente regola indica la prima o l'ultima volta in cui un utente specifico ha eseguito l'accesso. correttamente:
$first_seen = max(metrics.auth_attempts_success(
period:1d, window:30d,
metric:first_seen,
agg:min,
target.user.userid:$user
))
$last_seen = max(metrics.auth_attempts_success(
period:1d, window:30d,
metric:last_seen,
agg:max,
target.user.userid:$user
))
La seguente regola indica il numero massimo di byte inviati da un utente in qualsiasi dato giorno negli ultimi 30 giorni:
$max_daily_bytes = max(metrics.network_bytes_outbound(
period:1d, window:30d,
metric:value_sum,
agg:max,
target.user.userid:$user
))
Filtro
I filtri consentono di filtrare le metriche prima dell'aggregazione in base a un valore nella metrica precalcolata (vedi i valori in Metrica). I filtri possono essere validi event (una singola riga nella sezione evento) che non contiene eventuali campi evento o segnaposto. Le uniche variabili che possono essere incluse sono tipi di metriche.
La seguente regola include solo le metriche in cui value_sum > 10 AND
event_count_sum > 2
:
$max_bytes_per_day = max(metrics.network_bytes_outbound(
period:1d, window:30d,
metric:value_sum,
agg:max,
principal.asset.ip:$ip
filter:value_sum > 10 AND event_count_sum > 2
))
Esempi di filtri validi
filter:value_sum > 10 AND event_count_sum != 5
filter:event_count_sum = 100 OR event_count_sum > 1000
filter:timestamp.get_day_of_week(first_seen) = 3
Esempi di filtri non validi
// No placeholders in filter expressions.
filter:value_sum > $ph
// No event fields in filter expressions.
filter:event_count_sum + $e.field > 10
// No event fields in filter expressions.
filter:timestamp.subtract(first_seen, $e.metadata.timestamp)
Campi UDM
Le metriche vengono filtrate in base a 1, 2 o 3 campi UDM, a seconda della funzione. Per Per ulteriori informazioni, consulta la sezione Funzioni.
I seguenti tipi di campi UDM vengono utilizzati per le funzioni delle metriche:
- Dimensioni: (obbligatorio) sono elencate diverse combinazioni.
documentazione. Non puoi unire una metrica con un valore predefinito (
""
per stringa e0
per int). - Spazi dei nomi: (facoltativo) puoi utilizzare gli spazi dei nomi solo per le entità
specificate nelle dimensioni. Ad esempio, se utilizzi
principal.asset.hostname filter
, puoi usare anche unprincipal.namespace filter
. In caso contrario includi un filtro per spazio dei nomi, i dati di tutti gli spazi dei nomi vengono aggregati in sinergia. Puoi utilizzare un valore predefinito come filtro dello spazio dei nomi.
Calcoli delle finestre
Google Security Operations calcola le metriche utilizzando una metrica oraria o giornaliera finestra.
Finestre giornaliere
Tutte le finestre giornaliere, ad esempio 30d
, vengono determinate allo stesso modo.
Google Security Operations utilizza i dati delle metriche più recenti disponibili che sono
generati che non si sovrappongono all'intervallo di tempo della regola. Calcolo del
Il completamento delle metriche giornaliere può richiedere fino a 6 ore e non inizia fino alla fine
del giorno nel fuso orario UTC. I dati delle metriche per il giorno precedente saranno disponibili alle ore o
prima delle 06:00 UTC di ogni giorno.
Ad esempio, per una regola eseguita sui dati di eventi dal 31/10/2023 alle 4:00 UTC al 31/10/2023 alle 07:00 UTC, probabilmente le metriche giornaliere per il 31/10/2023 saranno state pertanto il calcolo delle metriche utilizzerà i dati dall'1/10/2023 al giorno 30/10/2023 (incluso). Mentre per una regola eseguita sui dati di eventi da 31/10/2023 dalle ore 01:00 UTC alle ore 03:00 UTC del 31/10/2023, metriche giornaliere per il giorno 30/10/2023 probabilmente non saranno stati generati, quindi il calcolo della metrica utilizzerà i dati dal 30-09-2023 al 29-10-2023 (inclusi).
Finestra oraria di today
La finestra della metrica oraria viene calcolata in modo molto diverso rispetto alla finestra per
metriche giornaliere. La finestra della metrica oraria di today
non è una dimensione statica come
30d
finestra per le metriche giornaliere. La finestra delle metriche orarie today
viene compilata come
il maggior numero possibile di dati tra la fine della finestra giornaliera e l'inizio della
della regola.
Ad esempio, per una regola che viene eseguita sui dati degli eventi dalle 4:00:00 del 31/10/2023 alle 4:00:00 da UTC al 31/10/2023 alle 07:00:00 UTC, il calcolo delle metriche giornaliere utilizzerà i dati dal 2023-10-01 al 2023-10-30 (incluso) e la finestra metrica oraria utilizzerà dati da 2023-10-31 00:00:00 UTC a 2023-10-31 4:00:00 UTC.
Conteggio metriche uniche
Esiste un tipo speciale di metrica num_unique_filter_values
che non
precalcolati da Google Security Operations
e viene calcolata durante l'esecuzione di una regola. Ciò viene fatto aggregando
rispetto a una dimensione esistente
in una metrica precalcolata. Ad esempio, la metrica
daily total count of distinct countries that a user attempted to authenticate
può essere ricavato dalle metriche auth_attempts_total
precalcolate sulla
le dimensioni target.user.userid
e
principal.ip_geo_artifact.location.country_or_region
eseguendo un conteggio
aggregazione unica sulla seconda dimensione.
La seguente regola di esempio conteggia le metriche uniche:
$outcome_variable = max(metrics.auth_attempts_total(
period: 1d,
window: 30d,
// This metric type indicates any filter with a wildcard value should be
// aggregated over each day to produce a new metric on-the-fly.
metric: num_unique_filter_values,
agg: max,
target.user.userid: $userid,
// Filter whose value should be counted over each day to produce the
// num_unique_filter_values metric.
principal.ip_geo_artifact.location.country_or_region: *
))
Questa funzionalità presenta le seguenti limitazioni:
- Il conteggio delle metriche uniche di calcolo può essere aggregato solo in un filtro
. Ciò viene indicato utilizzando il token con caratteri jolly
*
come filtro valore.
Funzioni
Questa sezione include la documentazione sulle funzioni specifiche delle metriche supportate di Google Security Operations.
Eventi avviso
metics.alert_event_name_count
precalcola i valori storici per gli eventi UDM
con un valore diverso da zero per gli avvisi con una serie di avvisi generati in
Google Workspace received_bytes
e rende disponibile quel campo come
value_sum
.
L'elenco completo dei campi UDM disponibili come filtri
principal.asset.asset_id, principal.process.file.full_path, principal.user.email_addresses, security_result.rule_name
principal.asset.asset_id, principal.process.file.full_path, principal.user.employee_id, security_result.rule_name
principal.asset.asset_id, principal.process.file.full_path, principal.user.product_object_id, security_result.rule_name
principal.asset.asset_id, principal.process.file.full_path, principal.user.userid, security_result.rule_name
principal.asset.asset_id, principal.process.file.full_path, principal.user.windows_sid, security_result.rule_name
principal.asset.asset_id, principal.process.file.full_path, security_result.rule_name
principal.asset.asset_id, principal.process.file.sha256, principal.user.email_addresses, security_result.rule_name
principal.asset.asset_id, principal.process.file.sha256, principal.user.employee_id, security_result.rule_name
principal.asset.asset_id, principal.process.file.sha256, principal.user.product_object_id, security_result.rule_name
principal.asset.asset_id, principal.process.file.sha256, principal.user.userid, security_result.rule_name
principal.asset.asset_id, principal.process.file.sha256, principal.user.windows_sid, security_result.rule_name
principal.asset.asset_id, security_result.rule_name
principal.asset.hostname, principal.process.file.full_path, principal.user.email_addresses, security_result.rule_name
principal.asset.hostname, principal.process.file.full_path, principal.user.employee_id, security_result.rule_name
principal.asset.hostname, principal.process.file.full_path, principal.user.product_object_id, security_result.rule_name
principal.asset.hostname, principal.process.file.full_path, principal.user.userid, security_result.rule_name
principal.asset.hostname, principal.process.file.full_path, principal.user.windows_sid, security_result.rule_name
principal.asset.hostname, principal.process.file.full_path, security_result.rule_name
principal.asset.hostname, principal.process.file.sha256, principal.user.email_addresses, security_result.rule_name
principal.asset.hostname, principal.process.file.sha256, principal.user.employee_id, security_result.rule_name
principal.asset.hostname, principal.process.file.sha256, principal.user.product_object_id, security_result.rule_name
principal.asset.hostname, principal.process.file.sha256, principal.user.userid, security_result.rule_name
principal.asset.hostname, principal.process.file.sha256, principal.user.windows_sid, security_result.rule_name
principal.asset.hostname, security_result.rule_name
principal.asset.ip, principal.process.file.full_path, principal.user.email_addresses, security_result.rule_name
principal.asset.ip, principal.process.file.full_path, principal.user.employee_id, security_result.rule_name
principal.asset.ip, principal.process.file.full_path, principal.user.product_object_id, security_result.rule_name
principal.asset.ip, principal.process.file.full_path, principal.user.userid, security_result.rule_name
principal.asset.ip, principal.process.file.full_path, principal.user.windows_sid, security_result.rule_name
principal.asset.ip, principal.process.file.full_path, security_result.rule_name
principal.asset.ip, principal.process.file.sha256, principal.user.email_addresses, security_result.rule_name
principal.asset.ip, principal.process.file.sha256, principal.user.employee_id, security_result.rule_name
principal.asset.ip, principal.process.file.sha256, principal.user.product_object_id, security_result.rule_name
principal.asset.ip, principal.process.file.sha256, principal.user.userid, security_result.rule_name
principal.asset.ip, principal.process.file.sha256, principal.user.windows_sid, security_result.rule_name
principal.asset.ip, security_result.rule_name
principal.asset.mac, principal.process.file.full_path, principal.user.email_addresses, security_result.rule_name
principal.asset.mac, principal.process.file.full_path, principal.user.employee_id, security_result.rule_name
principal.asset.mac, principal.process.file.full_path, principal.user.product_object_id, security_result.rule_name
principal.asset.mac, principal.process.file.full_path, principal.user.userid, security_result.rule_name
principal.asset.mac, principal.process.file.full_path, principal.user.windows_sid, security_result.rule_name
principal.asset.mac, principal.process.file.full_path, security_result.rule_name
principal.asset.mac, principal.process.file.sha256, principal.user.email_addresses, security_result.rule_name
principal.asset.mac, principal.process.file.sha256, principal.user.employee_id, security_result.rule_name
principal.asset.mac, principal.process.file.sha256, principal.user.product_object_id, security_result.rule_name
principal.asset.mac, principal.process.file.sha256, principal.user.userid, security_result.rule_name
principal.asset.mac, principal.process.file.sha256, principal.user.windows_sid, security_result.rule_name
principal.asset.mac, security_result.rule_name
principal.asset.product_object_id, principal.process.file.full_path, principal.user.email_addresses, security_result.rule_name
principal.asset.product_object_id, principal.process.file.full_path, principal.user.employee_id, security_result.rule_name
principal.asset.product_object_id, principal.process.file.full_path, principal.user.product_object_id, security_result.rule_name
principal.asset.product_object_id, principal.process.file.full_path, principal.user.userid, security_result.rule_name
principal.asset.product_object_id, principal.process.file.full_path, principal.user.windows_sid, security_result.rule_name
principal.asset.product_object_id, principal.process.file.full_path, security_result.rule_name
principal.asset.product_object_id, principal.process.file.sha256, principal.user.email_addresses, security_result.rule_name
principal.asset.product_object_id, principal.process.file.sha256, principal.user.employee_id, security_result.rule_name
principal.asset.product_object_id, principal.process.file.sha256, principal.user.product_object_id, security_result.rule_name
principal.asset.product_object_id, principal.process.file.sha256, principal.user.userid, security_result.rule_name
principal.asset.product_object_id, principal.process.file.sha256, principal.user.windows_sid, security_result.rule_name
principal.asset.product_object_id, security_result.rule_name
Tentativi di autenticazione
metrics.auth_attempts_total
precalcola i valori storici per gli eventi UDM con
un USER_LOGIN
event
type
.
metrics.auth_attempts_success
richiede inoltre che l'evento abbia almeno uno
SecurityResult.Action
di ALLOW
.
metrics.auth_attempts_fail
richiede invece che nessuno degli
SecurityResult.Actions
erano ALLOW
.
L'elenco completo dei campi UDM disponibili come filtri
principal.asset.asset_id
principal.asset.asset_id
,target.asset.asset_id
principal.asset.asset_id
,target.asset.hostname
principal.asset.asset_id
,target.asset.ip
principal.asset.asset_id
,target.asset.mac
principal.asset.asset_id
,target.asset.product_object_id
principal.asset.hostname
principal.asset.hostname
,target.asset.asset_id
principal.asset.hostname
,target.asset.hostname
principal.asset.hostname
,target.asset.ip
principal.asset.hostname
,target.asset.mac
principal.asset.hostname
,target.asset.product_object_id
principal.asset.ip
principal.asset.ip
,target.asset.asset_id
principal.asset.ip
,target.asset.hostname
principal.asset.ip
,target.asset.ip
principal.asset.ip
,target.asset.mac
principal.asset.ip
,target.asset.product_object_id
principal.asset.mac
principal.asset.mac
,target.asset.asset_id
principal.asset.mac
,target.asset.hostname
principal.asset.mac
,target.asset.ip
principal.asset.mac
,target.asset.mac
principal.asset.mac
,target.asset.product_object_id
principal.asset.product_object_id
principal.asset.product_object_id
,target.asset.asset_id
principal.asset.product_object_id
,target.asset.hostname
principal.asset.product_object_id
,target.asset.ip
principal.asset.product_object_id
,target.asset.mac
principal.asset.product_object_id
,target.asset.product_object_id
principal.user.email_addresses
principal.user.email_addresses
,target.asset.asset_id
principal.user.email_addresses
,target.asset.hostname
principal.user.email_addresses
,target.asset.ip
principal.user.email_addresses
,target.asset.mac
principal.user.email_addresses
,target.asset.product_object_id
principal.user.employee_id
principal.user.employee_id
,target.asset.asset_id
principal.user.employee_id
,target.asset.hostname
principal.user.employee_id
,target.asset.ip
principal.user.employee_id
,target.asset.mac
principal.user.employee_id
,target.asset.product_object_id
principal.user.product_object_id
principal.user.product_object_id
,target.asset.asset_id
principal.user.product_object_id
,target.asset.hostname
principal.user.product_object_id
,target.asset.ip
principal.user.product_object_id
,target.asset.mac
principal.user.product_object_id
,target.asset.product_object_id
principal.user.userid
principal.user.userid
,target.asset.asset_id
principal.user.userid
,target.asset.hostname
principal.user.userid
,target.asset.ip
principal.user.userid
,target.asset.mac
principal.user.userid
,target.asset.product_object_id
principal.user.windows_sid
principal.user.windows_sid
,target.asset.asset_id
principal.user.windows_sid
,target.asset.hostname
principal.user.windows_sid
,target.asset.ip
principal.user.windows_sid
,target.asset.mac
principal.user.windows_sid
,target.asset.product_object_id
target.application
target.user.email_addresses
target.user.email_addresses
,network.tls.client.certificate.sha256
target.user.email_addresses
,principal.ip_geo_artifact.location.country_or_region
target.user.email_addresses
,principal.ip_geo_artifact.network.organization_name
target.user.email_addresses
,target.application
target.user.employee_id
target.user.employee_id
,network.tls.client.certificate.sha256
target.user.employee_id
,principal.ip_geo_artifact.location.country_or_region
target.user.employee_id
,principal.ip_geo_artifact.network.organization_name
target.user.employee_id
,target.application
target.user.product_object_id
target.user.product_object_id
,network.tls.client.certificate.sha256
target.user.product_object_id
,principal.ip_geo_artifact.location.country_or_region
target.user.product_object_id
,principal.ip_geo_artifact.network.organization_name
target.user.product_object_id
,target.application
target.user.userid
target.user.userid
,network.tls.client.certificate.sha256
target.user.userid
,principal.ip_geo_artifact.location.country_or_region
target.user.userid
,principal.ip_geo_artifact.network.organization_name
target.user.userid
,target.application
target.user.windows_sid
target.user.windows_sid
,network.tls.client.certificate.sha256
target.user.windows_sid
,principal.ip_geo_artifact.location.country_or_region
target.user.windows_sid
,principal.ip_geo_artifact.network.organization_name
target.user.windows_sid
,target.application
In metrics.auth_attempts_total
sono disponibili campi UDM aggiuntivi come filtri
target.application
,target.asset.asset_id
target.application
,target.asset.hostname
target.application
,target.asset.ip
target.application
,target.asset.mac
target.application
,target.asset.product_object_id
In metrics.auth_attempts_success
sono disponibili campi UDM aggiuntivi come filtri
network.http.user_agent
principal.asset.asset_id
,metadata.event_type
principal.asset.hostname
,metadata.event_type
principal.asset.ip
,metadata.event_type
principal.asset.mac
,metadata.event_type
principal.asset.product_object_id
,metadata.event_type
Byte DNS in uscita
metrics.dns_bytes_outbound
precalcola i valori storici per gli eventi UDM in cui
network
.sent_bytes
è maggiore di 0,
e la porta di destinazione è 53/udp
, 53/tcp
o 3000/tcp
.
network
.sent_bytes
è
disponibile come value_sum
.
L'elenco completo dei campi UDM disponibili come filtri
principal.asset.asset_id
principal.asset.asset_id
,target.ip
principal.asset.hostname
principal.asset.hostname
,target.ip
principal.asset.ip
principal.asset.ip
,target.ip
principal.asset.mac
principal.asset.mac
,target.ip
principal.asset.product_object_id
principal.asset.product_object_id
,target.ip
principal.user.email_addresses
principal.user.email_addresses
,target.ip
principal.user.employee_id
principal.user.employee_id
,target.ip
principal.user.product_object_id
principal.user.product_object_id
,target.ip
principal.user.userid
principal.user.userid
,target.ip
principal.user.windows_sid
principal.user.windows_sid
,target.ip
target.ip
Query DNS
metrics.dns_queries_total
precalcola i valori storici per gli eventi UDM che
hanno un valore in
network
.dns.id
.
metrics.dns_queries_success
richiede inoltre che
network
dns.response_code
era 0
(NoError
).
metrics.dns_queries_fail
prende in considerazione solo gli eventi con un
network
dns.response_code
maggiore di 0
.
L'elenco completo dei campi UDM disponibili come filtri
principal.asset.asset_id
principal.asset.asset_id
,network.dns_domain
principal.asset.asset_id
,network.dns.questions.type
principal.asset.hostname
principal.asset.hostname
,network.dns_domain
principal.asset.hostname
,network.dns.questions.type
principal.asset.ip
principal.asset.ip
,network.dns_domain
principal.asset.ip
,network.dns.questions.type
principal.asset.mac
principal.asset.mac
,network.dns_domain
principal.asset.mac
,network.dns.questions.type
principal.asset.product_object_id
principal.asset.product_object_id
,network.dns_domain
principal.asset.product_object_id
,network.dns.questions.type
principal.user.email_addresses
principal.user.email_addresses
,network.dns_domain
principal.user.email_addresses
,network.dns.questions.type
principal.user.employee_id
principal.user.employee_id
,network.dns_domain
principal.user.employee_id
,network.dns.questions.type
principal.user.product_object_id
principal.user.product_object_id
,network.dns_domain
principal.user.product_object_id
,network.dns.questions.type
principal.user.userid
principal.user.userid
,network.dns_domain
principal.user.userid
,network.dns.questions.type
principal.user.windows_sid
principal.user.windows_sid
,network.dns_domain
principal.user.windows_sid
,network.dns.questions.type
Esecuzioni di file
metrics.file_executions_total
precalcola i valori storici per gli eventi UDM
con PROCESS_LAUNCH
event
type
.
metrics.file_executions_success
richiede inoltre che l'evento abbia totalizzato almeno
uno
SecurityResult.Action
di ALLOW
.
metrics.file_executions_fail
richiede invece che nessuno degli
SecurityResult.Actions
erano ALLOW
.
L'elenco completo dei campi UDM disponibili come filtri
metadata.event_type
,principal.process.file.sha256
metadata.event_type
,principal.asset.asset_id
,principal.process.file.sha256
metadata.event_type
,principal.asset.hostname
,principal.process.file.sha256
metadata.event_type
,principal.asset.ip
,principal.process.file.sha256
metadata.event_type
,principal.asset.mac
,principal.process.file.sha256
metadata.event_type
,principal.asset.product_object_id
,principal.process.file.sha256
metadata.event_type
,principal.user.email_addresses
,principal.process.file.sha256
metadata.event_type
,principal.user.employee_id
,principal.process.file.sha256
metadata.event_type
,principal.user.product_object_id
,principal.process.file.sha256
metadata.event_type
,principal.user.userid
,principal.process.file.sha256
metadata.event_type
,principal.user.windows_sid
,principal.process.file.sha256
Query HTTP
metrics.http_queries_total
precalcola i valori storici per gli eventi UDM che
hanno un valore in
network
.http.method
.
metrics.http_queries_success
richiede inoltre che
network
http.response_code
è inferiore a 400.
metrics.http_queries_fail
prende in considerazione solo gli eventi con un
network
http.response_code
è inferiore o uguale a 400.
L'elenco completo dei campi UDM disponibili come filtri
principal.asset.asset_id
principal.asset.asset_id
,network.http.user_agent
principal.asset.hostname
principal.asset.hostname
,network.http.user_agent
principal.asset.ip
principal.asset.ip
,network.http.user_agent
principal.asset.mac
principal.asset.mac
,network.http.user_agent
principal.asset.product_object_id
principal.asset.product_object_id
,network.http.user_agent
principal.user.email_addresses
principal.user.email_addresses
,network.http.user_agent
principal.user.employee_id
principal.user.employee_id
,network.http.user_agent
principal.user.product_object_id
principal.user.product_object_id
,network.http.user_agent
principal.user.userid
principal.user.userid
,network.http.user_agent
principal.user.windows_sid
principal.user.windows_sid
,network.http.user_agent
Byte di rete
metrics.network_bytes_inbound
precalcola i valori storici per gli eventi UDM
con un valore diverso da zero per
network
, received_bytes
,
e rende disponibile quel campo come value_sum
.
metrics.network_bytes_outbound
richiede un valore diverso da zero per
network
.sent_bytes
e
rende disponibile quel campo come value_sum
.
metrics.network_bytes_total
considera gli eventi con un valore diverso da zero per
o
network
.received_bytes
o
network
.sent_bytes
(o
entrambi) e rendi disponibile la somma di questi due campi come value_sum
.
L'elenco completo dei campi UDM disponibili come filtri
principal.asset.asset_id
principal.asset.asset_id
,principal.ip_geo_artifact.location.country_or_region
principal.asset.asset_id
,security_result.category
principal.asset.asset_id
,target.ip_geo_artifact.network.organization_name
principal.asset.hostname
principal.asset.hostname
,principal.ip_geo_artifact.location.country_or_region
principal.asset.hostname
,security_result.category
principal.asset.hostname
,target.ip_geo_artifact.network.organization_name
principal.asset.ip
principal.asset.ip
,principal.ip_geo_artifact.location.country_or_region
principal.asset.ip
,security_result.category
principal.asset.ip
,target.ip_geo_artifact.network.organization_name
principal.asset.mac
principal.asset.mac
,principal.ip_geo_artifact.location.country_or_region
principal.asset.mac
,security_result.category
principal.asset.mac
,target.ip_geo_artifact.network.organization_name
principal.asset.product_object_id
principal.asset.product_object_id
,principal.ip_geo_artifact.location.country_or_region
principal.asset.product_object_id
,security_result.category
principal.asset.product_object_id
,target.ip_geo_artifact.network.organization_name
principal.user.email_addresses
principal.user.email_addresses
,principal.ip_geo_artifact.location.country_or_region
principal.user.email_addresses
,security_result.category
principal.user.email_addresses
,target.ip_geo_artifact.network.organization_name
principal.user.employee_id
principal.user.employee_id
,principal.ip_geo_artifact.location.country_or_region
principal.user.employee_id
,security_result.category
principal.user.employee_id
,target.ip_geo_artifact.network.organization_name
principal.user.product_object_id
principal.user.product_object_id
,principal.ip_geo_artifact.location.country_or_region
principal.user.product_object_id
,security_result.category
principal.user.product_object_id
,target.ip_geo_artifact.network.organization_name
principal.user.userid
principal.user.userid
,principal.ip_geo_artifact.location.country_or_region
principal.user.userid
,security_result.category
principal.user.userid
,target.ip_geo_artifact.network.organization_name
principal.user.windows_sid
principal.user.windows_sid
,principal.ip_geo_artifact.location.country_or_region
principal.user.windows_sid
,security_result.category
principal.user.windows_sid
,target.ip_geo_artifact.network.organization_name
Creazione risorsa
metrics.resource_creation_total
precalcola i valori storici per gli eventi UDM
con RESOURCE_CREATION
event
type
.
metrics.resource_creation_success
richiede inoltre che l'evento abbia alle
almeno uno
SecurityResult.Action
di ALLOW
.
L'elenco completo dei campi UDM disponibili come filtri
target.user
,metadata.vendor_name
,metadata.product_name
principal.user
,metadata.vendor_name
,metadata.product_name
principal.user
,principal.ip
,metadata.vendor_name
,metadata.product_name
principal.user
,target.application
,metadata.vendor_name
,metadata.product_name
target.resource.name
,metadata.vendor_name
,metadata.product_name
principal.user
,target.resource.name
,metadata.vendor_name
,metadata.product_name
principal.user
,target.location.name
,metadata.vendor_name
,metadata.product_name
Eliminazione delle risorse
metrics.resource_deletion_success
precalcola i valori storici per gli eventi UDM
con RESOURCE_DELETION
event
type
e oltre
richiede che l'evento abbia almeno uno
SecurityResult.Actions
di ALLOW
.
L'elenco completo dei campi UDM disponibili come filtri
target.user
,metadata.vendor_name
,metadata.product_name
principal.user
,metadata.vendor_name
,metadata.product_name
principal.user
,principal.ip
,metadata.vendor_name
,metadata.product_name
principal.user
,target.application
,metadata.vendor_name
,metadata.product_name
target.resource.name
,metadata.vendor_name
,metadata.product_name
principal.user
,target.resource.name
,metadata.vendor_name
,metadata.product_name
principal.user
,target.location.name
,metadata.vendor_name
,metadata.product_name
Lettura risorse
metrics.resource_read_success
precalcola i valori storici per gli eventi UDM
con RESOURCE_READ
event
type
e oltre
richiede che l'evento abbia almeno uno
SecurityResult.Action
di ALLOW
.
metrics.resource_read_fail
richiede invece che nessuno degli
SecurityResult.Actions
sono ALLOW
.
L'elenco completo dei campi UDM disponibili come filtri
target.user
,metadata.vendor_name
,metadata.product_name
principal.user
,metadata.vendor_name
,metadata.product_name
principal.user
,principal.ip
,metadata.vendor_name
,metadata.product_name
principal.user
,target.application
,metadata.vendor_name
,metadata.product_name
target.resource.name
,metadata.vendor_name
,metadata.product_name
principal.user
,target.resource.name
,metadata.vendor_name
,metadata.product_name
principal.user
,target.location.name
,metadata.vendor_name
,metadata.product_name
Limitazioni
Quando crei regole YARA-L con metriche, tieni presente le seguenti limitazioni:
- Non puoi unire una metrica con un valore predefinito (
""
per stringa e0
per int). - Valori predefiniti:
- Se non esistono dati delle metriche corrispondenti a un evento, viene restituito della funzione metriche è 0.
- Se nel rilevamento è presente un evento che non contiene dati delle metriche, utilizza
min
per aggregare la funzione potrebbe restituire 0. - Per verificare se esistono dati per un evento, puoi utilizzare le metriche
num_metric_periods
per lo stesso evento con gli stessi filtri.
- Le funzioni basate sulle metriche possono essere utilizzate solo nella sezione dei risultati.
- Poiché le funzioni delle metriche vengono utilizzate solo nella sezione dei risultati, devono essere e aggregato come qualsiasi altro valore nelle regole con una sezione di corrispondenza.