Membuat aturan untuk Analisis Risiko

Dokumen ini menjelaskan elemen utama fitur sintaksis YARA-L baru untuk Risk Analytics. Untuk informasi selengkapnya tentang YARA-L, lihat Sintaksis Bahasa YARA-L 2.0.

Fungsi Metrik YARA-L

Google Security Operations mendukung sejumlah fungsi metrik, yang dapat menggabungkan data historis dalam jumlah besar.

Fungsi metrik hanya dapat digunakan di bagian hasil. Semua contoh panggilan fungsi mengasumsikan penggunaan dalam aturan multi-peristiwa.

Semua aturan yang menggunakan fungsi metrik secara otomatis dikategorikan sebagai aturan multi-peristiwa, meskipun tidak memiliki bagian kecocokan dan hanya menggunakan satu variabel peristiwa. Artinya, peristiwa tersebut akan dihitung dalam kuota aturan multi-peristiwa.

Parameter fungsi

Fungsi metrik dapat digunakan untuk aturan yang melakukan analisis perilaku entity.

Misalnya, aturan berikut memberi tahu Anda jumlah maksimum byte harian yang dikirim alamat IP tertentu dalam sebulan terakhir. Alamat IP tertentu diwakili oleh variabel placeholder, $ip dalam contoh ini. Untuk informasi selengkapnya tentang variabel placeholder, lihat Deklarasi variabel.

$max_bytes_per_day = max(metrics.network_bytes_outbound(
    period:1d, window:30d,
    metric:value_sum,
    agg:max,
    principal.asset.ip:$ip
))

Karena banyaknya argumen yang digunakan dalam fungsi ini, fungsi tersebut menggunakan parameter bernama, yang dapat ditentukan dalam urutan apa pun. Parameternya adalah sebagai berikut:

Periode

Durasi waktu untuk sekali pengamatan pada gabungan setiap peristiwa log. Satu-satunya nilai yang diizinkan adalah 1h dan 1d.

Jendela

Durasi waktu untuk masing-masing pengamatan digabungkan menjadi satu nilai, seperti rata-rata dan maksimum. Nilai yang diizinkan untuk window didasarkan pada periode metrik. Pemetaan yang valid adalah sebagai berikut:

period:1h : window:today

period:1d : window:30d

Misalnya, aturan berikut memberi tahu Anda jumlah terbesar percobaan autentikasi yang gagal untuk pengguna tertentu (Alice) pada hari tertentu, selama 30 hari terakhir:

$user = "alice"
$max_fail = max(metrics.auth_attempts_fail(
    period:1d, window:30d,
        metric:event_count_sum,
        agg:max,
        target.user.userid:$user
))

Kombinasi metrik per jam dan per hari dapat digunakan untuk jenis deteksi first-seen. Misalnya, aturan berikut memberi tahu Anda apakah ini pertama kalinya pengguna login ke aplikasi ini:

events:
    $e.metadata.event_type = "USER_LOGIN"
    $e.security_result.action = "ALLOW"
    $userid = $e.target.user.userid
    $app = $e.target.application
match:
    // find events from now - 4h ago, which is the recommended look-back period
    $userid, $app over 4h
outcome:
    // check hourly analytics until daily analytics are available
    $first_seen_today = max(metrics.auth_attempts_success(
        period:1h, window:today, metric:first_seen, agg:max,
        target.user.userid:$userid, target.application:$app))
    $first_seen_monthly = max(metrics.auth_attempts_success(
        period:1d, window:30d, metric:first_seen, agg:max,
        target.user.userid:$userid, target.application:$app))
condition:
    $e and ($first_seen_today = 0) and ($first_seen_monthly = 0)

Metrik

Dalam setiap periode, setiap pengamatan memiliki sejumlah metrik terkait. Salah satu dari metrik ini harus dipilih untuk agregasi selama satu periode penuh. Lima jenis metric didukung:

event_count_sum—Jumlah peristiwa log unik dalam setiap periode.

first_seen—Stempel waktu pertama kali dilihat dari peristiwa log yang cocok dalam setiap periode.

last_seen—Stempel waktu terakhir dilihat dari peristiwa log yang cocok dalam setiap periode.

value_sum—Merepresentasikan jumlah total byte dalam semua peristiwa log yang digabungkan dalam periode tersebut. Anda hanya dapat menggunakan nilai ini untuk fungsi metrik dengan bytes dalam namanya.

num_unique_filter_values—Metrik yang tidak dihitung sebelumnya oleh Google Security Operations, tetapi dapat dihitung selama eksekusi aturan. Lihat Menghitung metrik unik untuk mengetahui detail dan persyaratan selengkapnya.

Gabungan

Agregasi mana yang diterapkan ke metrik. Agregasi diterapkan ke seluruh periode (misalnya, nilai harian tertinggi selama 30 hari terakhir). Nilai yang diizinkan adalah:

avg—Nilai rata-rata per periode. Ini adalah nilai rata-rata statistik, yang tidak menyertakan nilai nol.

max—Nilai terbesar per periode.

min—Nilai terkecil per periode.

num_metric_periods—Jumlah periode dalam jangka waktu yang memiliki nilai metrik non-nol.

stddev—Simpangan baku nilai per periode. Ini adalah deviasi standar statis yang tidak menyertakan nilai nol.

sum—Jumlah setiap nilai per periode, selama seluruh periode.

Misalnya, aturan berikut memberi tahu Anda jumlah rata-rata percobaan autentikasi yang gagal untuk pengguna tertentu (Alice) pada hari tertentu selama 30 hari terakhir:

$user = "alice"
$avg_fail = max(metrics.auth_attempts_fail(
        period:1d, window:30d,
        metric:event_count_sum,
        agg:avg,
        target.user.userid:$user
))

Aturan berikut memberi tahu Anda jumlah autentikasi yang berhasil dilakukan pengguna tertentu selama 30 hari terakhir:

$total_success = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:event_count_sum,
        agg:sum,
        target.user.userid:$user
))

Aturan berikut memberi tahu Anda apakah pengguna tertentu berhasil login setidaknya sekali selama 30 hari terakhir:

$days_success = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:event_count_sum,
        agg:num_metric_periods,
        target.user.userid:$user
))

Aturan berikut memberi tahu Anda kapan pertama atau terakhir kali pengguna tertentu berhasil login:

$first_seen = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:first_seen,
        agg:min,
        target.user.userid:$user
))
$last_seen = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:last_seen,
        agg:max,
        target.user.userid:$user
))

Aturan berikut memberi tahu Anda jumlah maksimum byte yang dikirim oleh pengguna pada hari tertentu selama 30 hari terakhir:

$max_daily_bytes = max(metrics.network_bytes_outbound(
        period:1d, window:30d,
        metric:value_sum,
        agg:max,
        target.user.userid:$user
))

Filter

Filter memungkinkan metrik untuk difilter sebelum agregasi berdasarkan nilai di metrik yang sudah dikomputasi sebelumnya (lihat nilai di Metrik). Filter dapat berupa ekspresi peristiwa yang valid (satu baris di bagian peristiwa) yang tidak berisi kolom peristiwa atau placeholder. Satu-satunya variabel yang dapat disertakan dalam kondisi ini adalah jenis metrik.

Aturan berikut hanya menyertakan metrik dengan value_sum > 10 AND event_count_sum > 2:

$max_bytes_per_day = max(metrics.network_bytes_outbound(
    period:1d, window:30d,
    metric:value_sum,
    agg:max,
    principal.asset.ip:$ip
    filter:value_sum > 10 AND event_count_sum > 2
))

Contoh filter yang valid

filter:value_sum > 10 AND event_count_sum != 5
filter:event_count_sum = 100 OR event_count_sum > 1000
filter:timestamp.get_day_of_week(first_seen) = 3

Contoh filter yang tidak valid

// No placeholders in filter expressions.
filter:value_sum > $ph

// No event fields in filter expressions.
filter:event_count_sum + $e.field > 10

// No event fields in filter expressions.
filter:timestamp.subtract(first_seen, $e.metadata.timestamp)

Kolom UDM

Metrik difilter berdasarkan 1, 2, atau 3 kolom UDM, bergantung pada fungsinya. Untuk mengetahui informasi selengkapnya, lihat Fungsi.

Jenis kolom UDM berikut digunakan untuk fungsi metrik:

• Dimensi—(Wajib) Berbagai kombinasi tercantum dalam dokumentasi ini. Anda tidak dapat menggabungkan metrik dengan nilai default ("" untuk string dan 0 untuk int).
• Namespace—(Opsional) Anda hanya dapat menggunakan namespace untuk entity yang ditentukan dalam dimensi. Misalnya, jika menggunakan principal.asset.hostname filter, Anda juga dapat menggunakan principal.namespace filter. Jika Anda tidak menyertakan filter namespace, data di semua namespace akan digabungkan. Anda dapat menggunakan nilai default sebagai filter namespace.

Penghitungan jendela

Google Security Operations menghitung metrik menggunakan periode metrik harian atau per jam.

Periode harian

Semua periode harian, seperti 30d, ditentukan dengan cara yang sama. Google Security Operations menggunakan data metrik terbaru yang tersedia dan telah dibuat yang tidak tumpang-tindih dengan rentang waktu aturan. Penghitungan metrik harian dapat memerlukan waktu hingga 6 jam untuk diselesaikan dan tidak dimulai hingga akhir hari dalam UTC. Data metrik untuk hari sebelumnya akan tersedia pada atau sebelum pukul 06.00 UTC setiap hari.

Misalnya, untuk aturan yang berjalan berdasarkan data peristiwa dari 31-10-2023 04.00 UTC hingga 31-10-2023 07.00 UTC, metrik harian untuk 31-10-2023 kemungkinan akan dibuat, sehingga penghitungan metrik akan menggunakan data dari 01-10-2023 hingga 30-10-2023 (inklusif). Sedangkan untuk aturan yang berjalan berdasarkan data peristiwa dari 01.00 UTC 31-10-2023 hingga 03.00 UTC 31-10-2023, metrik harian untuk 30-10-2023 kemungkinan tidak akan dibuat, sehingga penghitungan metrik akan menggunakan data dari 30-09-2023 hingga 29-10-2023 (inklusif).

Periode today per jam

Periode metrik per jam dihitung secara berbeda dari periode untuk metrik harian. Periode metrik per jam today bukan ukuran statis seperti periode 30d untuk metrik harian. Jendela metrik per jam today mengisi sebanyak mungkin data antara akhir jendela harian dan awal jendela waktu aturan.

Misalnya, untuk aturan yang berjalan berdasarkan data peristiwa dari 31-10-2023 04.00.00 UTC hingga 31-10-2023 07.00.00 UTC, penghitungan metrik harian akan menggunakan data dari 01-10-2023 hingga 30-10-2023 (inklusif) dan periode metrik per jam akan menggunakan data dari 31-10-2023 00.00.00 UTC hingga 31-10-2023 04.00.00 UTC.

Menghitung Metrik Unik

Ada jenis metrik khusus num_unique_filter_values yang tidak dihitung sebelumnya oleh Google Security Operations dan dihitung selama eksekusi aturan. Hal ini dilakukan dengan menggabungkan dimensi yang ada dalam metrik yang telah dikomputasi sebelumnya. Misalnya, metrik daily total count of distinct countries that a user attempted to authenticate in dapat berasal dari metrik auth_attempts_total yang telah dikomputasi sebelumnya pada dimensi target.user.userid dan principal.ip_geo_artifact.location.country_or_region dengan melakukan agregasi unik jumlah pada dimensi terakhir.

Contoh aturan berikut menghitung metrik unik:

$outcome_variable = max(metrics.auth_attempts_total(
    period: 1d,
    window: 30d,
    // This metric type indicates any filter with a wildcard value should be
    // aggregated over each day to produce a new metric on-the-fly.
    metric: num_unique_filter_values,
    agg: max,
    target.user.userid: $userid,
    // Filter whose value should be counted over each day to produce the
    // num_unique_filter_values metric.
    principal.ip_geo_artifact.location.country_or_region: *
))

Fitur ini memiliki batasan berikut:

• Menghitung jumlah metrik unik hanya dapat digabungkan berdasarkan 1 dimensi filter. Hal ini ditunjukkan dengan menggunakan token karakter pengganti * sebagai nilai filter.

Functions

Bagian ini menyertakan dokumentasi tentang fungsi metrik tertentu yang didukung oleh Google Security Operations.

Peristiwa Pemberitahuan

metrics.alert_event_name_count melakukan prakomputasi nilai historis untuk peristiwa UDM yang telah memiliki pemberitahuan yang dihasilkan oleh Carbon Black, CrowdStrike Falcon, Pemberitahuan Microsoft Graph API, atau Microsoft Sentinel.

Upaya Autentikasi

metrics.auth_attempts_total melakukan prakomputasi nilai historis untuk peristiwa UDM dengan USER_LOGIN event type.

metrics.auth_attempts_success selanjutnya mewajibkan peristiwa memiliki setidaknya satu SecurityResult.Action dari ALLOW.

metrics.auth_attempts_fail mengharuskan tidak ada SecurityResult.Actions yang berupa ALLOW.

DNS Bytes Outbound

metrics.dns_bytes_outbound melakukan prakomputasi nilai historis untuk peristiwa UDM dengan network.sent_bytes lebih besar dari 0, dan port target adalah 53/udp, 53/tcp, atau 3000/tcp. network.sent_bytes tersedia sebagai value_sum.

Kueri DNS

metrics.dns_queries_total melakukan prakomputasi nilai historis untuk peristiwa UDM yang memiliki nilai di network.dns.id.

metrics.dns_queries_success selanjutnya mewajibkan network.dns.response_code adalah 0 (NoError).

metrics.dns_queries_fail hanya mempertimbangkan peristiwa dengan network.dns.response_code lebih besar dari 0.

Eksekusi File

metrics.file_executions_total menghitung nilai historis untuk peristiwa UDM dengan PROCESS_LAUNCH event type.

metrics.file_executions_success selanjutnya mewajibkan peristiwa memiliki setidaknya satu SecurityResult.Action dari ALLOW.

Sebagai gantinya, metrics.file_executions_fail mewajibkan agar tidak ada SecurityResult.Actions yang berupa ALLOW.

Kueri HTTP

metrics.http_queries_total melakukan prakomputasi nilai historis untuk peristiwa UDM yang memiliki nilai di network.http.method.

metrics.http_queries_success selanjutnya memerlukan network.http.response_code kurang dari 400.

metrics.http_queries_fail hanya mempertimbangkan peristiwa dengan network.http.response_code kurang dari atau sama dengan 400.

Byte Jaringan

metrics.network_bytes_inbound melakukan prakomputasi nilai historis untuk peristiwa UDM yang memiliki nilai non-nol untuk network.received_bytes, dan menyediakan kolom tersebut sebagai value_sum.

metrics.network_bytes_outbound memerlukan nilai bukan nol untuk network.sent_bytes, dan membuat kolom tersebut tersedia sebagai value_sum.

metrics.network_bytes_total mempertimbangkan peristiwa yang memiliki nilai selain nol untuk network.received_bytes atau network.sent_bytes (atau keduanya), dan membuat jumlah dari kedua kolom tersebut tersedia sebagai value_sum.

Pembuatan Resource

metrics.resource_creation_total menghitung nilai historis untuk peristiwa UDM dengan RESOURCE_CREATION event type.

metrics.resource_creation_success selanjutnya mewajibkan peristiwa memiliki setidaknya satu SecurityResult.Action dari ALLOW.

Penghapusan Resource

metrics.resource_deletion_success menghitung nilai historis untuk peristiwa UDM dengan RESOURCE_DELETION event type dan selanjutnya memerlukan peristiwa memiliki setidaknya satu SecurityResult.Actions dari ALLOW.

Pembacaan Resource

metrics.resource_read_success menghitung nilai historis untuk peristiwa UDM dengan RESOURCE_READ event type dan selanjutnya memerlukan peristiwa memiliki setidaknya satu SecurityResult.Action dari ALLOW.

Sebagai gantinya, metrics.resource_read_fail mewajibkan agar tidak ada SecurityResult.Actions yang merupakan ALLOW.

Batasan

Saat membuat aturan YARA-L dengan metrik, perhatikan batasan berikut:

• Anda tidak dapat menggabungkan metrik dengan nilai default ("" untuk string dan 0 untuk int).
• Nilai default:
  • Jika tidak ada data metrik yang sesuai dengan peristiwa, nilai yang ditampilkan dari fungsi metrik adalah 0.
  • Jika ada peristiwa dalam deteksi yang tidak memiliki data metrik, penggunaan min untuk menggabungkan fungsi tersebut mungkin akan menampilkan 0.
  • Untuk memeriksa apakah ada data untuk peristiwa, Anda dapat menggunakan agregasi metrik num_metric_periods pada peristiwa yang sama dengan filter yang sama.
• Fungsi metrik hanya dapat digunakan di bagian hasil.
• Karena fungsi metrik hanya digunakan di bagian hasil, fungsi tersebut harus digabungkan seperti nilai lainnya dalam aturan dengan bagian kecocokan.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.