Regeln für Risikoanalysen erstellen
In diesem Dokument werden die wichtigsten Elemente der neuen YARA-L-Syntaxfunktionen für Risikoanalysen beschrieben. Weitere Informationen zu YARA-L finden Sie unter YARA-L 2.0 Sprachsyntax.
YARA-L-Messwertfunktionen
Google Security Operations unterstützt eine Reihe von Messwertfunktionen, mit denen große Mengen an Verlaufsdaten aggregiert werden können.
Die Messwertfunktion kann nur im Ergebnisbereich verwendet werden. Alle Beispielfunktionsaufrufe gehen von der Verwendung in einer Multi-Ereignis-Regel aus.
Alle Regeln, für die die Messwertfunktion verwendet wird, werden automatisch als Regeln für mehrere Ereignisse kategorisiert, auch wenn sie keinen Übereinstimmungsbereich haben und nur eine Ereignisvariable verwenden. Dies bedeutet, dass sie auf das Kontingent für Multi-Ereignis-Regeln angerechnet werden.
Funktionsparameter
Die Messwertfunktionen können für Regeln verwendet werden, die Verhaltensanalysen von Entitäten durchführen.
Die folgende Regel gibt beispielsweise die maximale Anzahl der Byte pro Tag an, die eine bestimmte IP-Adresse im letzten Monat gesendet hat. Die spezifische IP-Adresse wird durch die Platzhaltervariable $ip
dargestellt. Weitere Informationen zu Platzhaltervariablen finden Sie unter Variablendeklarationen.
$max_bytes_per_day = max(metrics.network_bytes_outbound(
period:1d, window:30d,
metric:value_sum,
agg:max,
principal.asset.ip:$ip
))
Aufgrund der großen Anzahl von Argumenten in diesen Funktionen werden benannte Parameter verwendet, die in beliebiger Reihenfolge angegeben werden können. Die Parameter sind:
Zeitraum
Der Zeitraum, über den einzelne Logereignisse zu einer einzigen Beobachtung zusammengefasst werden. Die einzigen zulässigen Werte sind 1h
und 1d
.
Window
Der Zeitraum, über den einzelne Beobachtungen zu einem einzigen Wert aggregiert werden, z. B. der Durchschnitt und der Maximalwert. Die zulässigen Werte für window
basieren auf dem Zeitraum des Messwerts. Die folgende Zuordnung ist gültig:
period:1h
: window:today
period:1d
: window:30d
Die folgende Regel gibt beispielsweise die maximale Anzahl fehlgeschlagener Authentifizierungsversuche an, die für einen bestimmten Nutzer (Alice) an einem bestimmten Tag in den letzten 30 Tagen erfasst wurden:
$user = "alice"
$max_fail = max(metrics.auth_attempts_fail(
period:1d, window:30d,
metric:event_count_sum,
agg:max,
target.user.userid:$user
))
Für first-seen
Erkennungstypen kann eine Kombination aus stündlichen und täglichen Messwerten verwendet werden. Die folgende Regel gibt beispielsweise an, ob sich ein Nutzer zum ersten Mal bei dieser Anwendung angemeldet hat:
events:
$e.metadata.event_type = "USER_LOGIN"
$e.security_result.action = "ALLOW"
$userid = $e.target.user.userid
$app = $e.target.application
match:
// find events from now - 4h ago, which is the recommended look-back period
$userid, $app over 4h
outcome:
// check hourly analytics until daily analytics are available
$first_seen_today = max(metrics.auth_attempts_success(
period:1h, window:today, metric:first_seen, agg:max,
target.user.userid:$userid, target.application:$app))
$first_seen_monthly = max(metrics.auth_attempts_success(
period:1d, window:30d, metric:first_seen, agg:max,
target.user.userid:$userid, target.application:$app))
condition:
$e and ($first_seen_today = 0) and ($first_seen_monthly = 0)
Messwert
Innerhalb jedes Zeitraums ist jeder Beobachtung eine Reihe von Metriken zugeordnet.
Eine davon muss für die Aggregation über das gesamte Fenster ausgewählt werden. Fünf metric
-Typen werden unterstützt:
event_count_sum
: Anzahl der eindeutigen Protokollereignisse in jedem Zeitraum.
first_seen
: Zuerst erfasster Zeitstempel eines übereinstimmenden Logereignisses in jedem Zeitraum.
last_seen
: Zuletzt gesehener Zeitstempel eines übereinstimmenden Logereignisses in jedem Zeitraum.
value_sum
: Gibt die Summe der Byte in allen Logereignissen innerhalb des Zeitraums an. Sie können diesen Wert nur für Messwertfunktionen mit bytes
im Namen verwenden.
num_unique_filter_values
: Messwert, der von Google Security Operations nicht vorab berechnet wird, aber während der Regelausführung berechnet werden kann. Weitere Informationen und Anforderungen finden Sie unter Einzelne Messwerte zählen.
Agg
Die Aggregation, die auf den Messwert angewendet wird. Aggregationen werden auf den gesamten Zeitraum angewendet (z.B. auf den höchsten Tageswert der letzten 30 Tage). Folgende Werte sind zulässig:
avg
: durchschnittlicher Wert pro Zeitraum Dies ist ein statistisches Mittel, das keine Werte von Null enthält.
max
: Höchster Wert pro Zeitraum.
min
: Kleinster Wert pro Zeitraum.
num_metric_periods
: Anzahl der Zeiträume im Zeitfenster, für die ein Messwert ungleich null stand.
stddev
: Standardabweichung des Werts pro Zeitraum. Dies ist eine statistische Standardabweichung, die keine Nullwerte enthält.
sum
: Summe jedes Werts pro Zeitraum über das gesamte Zeitfenster.
Die folgende Regel gibt beispielsweise die durchschnittliche Anzahl fehlgeschlagener Authentifizierungsversuche an, die für einen bestimmten Nutzer (Alice) an einem bestimmten Tag in den letzten 30 Tagen erfasst wurden:
$user = "alice"
$avg_fail = max(metrics.auth_attempts_fail(
period:1d, window:30d,
metric:event_count_sum,
agg:avg,
target.user.userid:$user
))
Die folgende Regel gibt an, wie viele erfolgreiche Authentifizierungen ein bestimmter Nutzer in den letzten 30 Tagen hatte:
$total_success = max(metrics.auth_attempts_success(
period:1d, window:30d,
metric:event_count_sum,
agg:sum,
target.user.userid:$user
))
Die folgende Regel gibt an, ob sich ein bestimmter Nutzer in den letzten 30 Tagen mindestens einmal angemeldet hat:
$days_success = max(metrics.auth_attempts_success(
period:1d, window:30d,
metric:event_count_sum,
agg:num_metric_periods,
target.user.userid:$user
))
Die folgende Regel gibt an, wann sich ein bestimmter Nutzer zum ersten oder letzten Mal erfolgreich angemeldet hat:
$first_seen = max(metrics.auth_attempts_success(
period:1d, window:30d,
metric:first_seen,
agg:min,
target.user.userid:$user
))
$last_seen = max(metrics.auth_attempts_success(
period:1d, window:30d,
metric:last_seen,
agg:max,
target.user.userid:$user
))
Die folgende Regel gibt die maximale Anzahl von Byte an, die von einem Nutzer an einem bestimmten Tag in den letzten 30 Tagen gesendet wurden:
$max_daily_bytes = max(metrics.network_bytes_outbound(
period:1d, window:30d,
metric:value_sum,
agg:max,
target.user.userid:$user
))
Filtern
Mit Filtern können Messwerte gefiltert werden, bevor sie nach einem Wert aus dem vorab berechneten Messwert aggregiert werden (siehe Werte unter Messwert). Filter können ein beliebiger gültiger Ereignisausdruck sein (eine einzelne Zeile im Ereignisbereich), der keine Ereignisfelder oder Platzhalter enthält. Die einzigen Variablen, die in dieser Bedingung verwendet werden können, sind Messwerttypen.
Die folgende Regel umfasst nur Messwerte, bei denen value_sum > 10 AND
event_count_sum > 2
:
$max_bytes_per_day = max(metrics.network_bytes_outbound(
period:1d, window:30d,
metric:value_sum,
agg:max,
principal.asset.ip:$ip
filter:value_sum > 10 AND event_count_sum > 2
))
Gültige Beispiele für Filter
filter:value_sum > 10 AND event_count_sum != 5
filter:event_count_sum = 100 OR event_count_sum > 1000
filter:timestamp.get_day_of_week(first_seen) = 3
Ungültige Beispiele für Filter
// No placeholders in filter expressions.
filter:value_sum > $ph
// No event fields in filter expressions.
filter:event_count_sum + $e.field > 10
// No event fields in filter expressions.
filter:timestamp.subtract(first_seen, $e.metadata.timestamp)
UDM-Felder
Messwerte werden je nach Funktion nach 1, 2 oder 3 UDM-Feldern gefiltert. Weitere Informationen finden Sie unter Funktionen.
Die folgenden Arten von UDM-Feldern werden für Messwertfunktionen verwendet:
- Abmessungen (erforderlich): In dieser Dokumentation werden unterschiedliche Kombinationen aufgeführt. Sie können keinen Messwert mit einem Standardwert (
""
für String und0
für Ganzzahl) verbinden. - Namespaces (optional): Sie können Namespaces nur für Entitäten verwenden, die Sie in Dimensionen angeben. Wenn Sie beispielsweise
principal.asset.hostname filter
verwenden, können Sie auchprincipal.namespace filter
verwenden. Wenn Sie keinen Namespace-Filter einfügen, werden die Daten in allen Namespaces aggregiert. Sie können einen Standardwert als Namespace-Filter verwenden.
Fensterberechnungen
Google Security Operations berechnet Messwerte entweder anhand eines täglichen oder stündlichen Messwertfensters.
Tagesfenster
Alle Tagesfenster, z. B. 30d
, werden auf die gleiche Weise festgelegt.
Google Security Operations verwendet die neuesten verfügbaren Messwertdaten, die generiert wurden und sich nicht mit dem Regelzeitraum überschneiden. Die Berechnung der täglichen Messwerte kann bis zu 6 Stunden dauern und beginnt erst am Ende des Tages in UTC. Die Messwertdaten des Vortages sind täglich um 6:00 Uhr (UTC) verfügbar.
Beispiel: Für eine Regel, die für Ereignisdaten vom 31.10.2023 um 4:00 Uhr (UTC) bis zum 31.10.2023 um 07:00 Uhr (UTC) ausgeführt wird, wurden die täglichen Messwerte für den 31.10.2023 wahrscheinlich generiert. Für die Messwertberechnung werden also die Daten vom 30.10.2023 bis zum 30.01.2023 bis zum 30.01.2023 verwendet. Bei einer Regel, die für Ereignisdaten vom 31.10.2023 um 13:00 Uhr (UTC) bis zum 31.10.2023 um 3:00 Uhr (UTC) ausgeführt wird, wurden die täglichen Messwerte für den 30.10.2023 wahrscheinlich nicht generiert. Für die Messwertberechnung werden also die Daten vom 30.09.2023 bis zum 30.09.2023 bis zum 30.09.2023 verwendet.
Stündliches today
-Fenster
Das stündliche Messwertfenster wird ganz anders berechnet als das Zeitfenster für tägliche Messwerte. Das stündliche Messwertfenster von today
ist keine statische Größe wie das 30d
-Fenster für tägliche Messwerte. Mit dem stündlichen Messwertfenster today
werden zwischen dem Ende des Tagesfensters und dem Beginn des Zeitfensters für die Regel möglichst viele Daten erfasst.
Beispiel: Für eine Regel, die vom 31.10.2023 um 4:00:00 Uhr UTC bis 31.10.2023 um 07:00:00 Uhr (UTC) über Ereignisdaten ausgeführt wird, werden für die tägliche Berechnung des Messwerts die Daten vom 10.10.2023 bis zum 31.10.2023 (einschließlich 2023-10:00 10:00 10:00 10:00 10:00 1:00 bis 30:00 bis 30:00 bis 30:00 bis 30:00 bis 30:00 bis 01:00 bis 01:00 bis 30:00 (einschließlich)
Einzelne Messwerte zählen
Es gibt einen speziellen Messwerttyp num_unique_filter_values
, der von Google Security Operations nicht im Voraus berechnet, sondern während der Ausführung einer Regel berechnet wird. Dazu werden Daten aus einer vorhandenen Dimension in einem vorab berechneten Messwert aggregiert. Beispielsweise kann der Messwert daily total count of distinct countries that a user attempted to authenticate
in den vorab berechneten auth_attempts_total
-Messwerten für die Dimensionen target.user.userid
und principal.ip_geo_artifact.location.country_or_region
abgeleitet werden. Dazu wird für die letztere Dimension eine Aggregation „Einzeln zählen“ durchgeführt.
Mit der folgenden Beispielregel werden eindeutige Messwerte gezählt:
$outcome_variable = max(metrics.auth_attempts_total(
period: 1d,
window: 30d,
// This metric type indicates any filter with a wildcard value should be
// aggregated over each day to produce a new metric on-the-fly.
metric: num_unique_filter_values,
agg: max,
target.user.userid: $userid,
// Filter whose value should be counted over each day to produce the
// num_unique_filter_values metric.
principal.ip_geo_artifact.location.country_or_region: *
))
Für diese Funktion gelten folgende Einschränkungen:
- Die Berechnung der Anzahl einzelner Messwerte kann nur über eine Filterdimension aggregiert werden. Dies wird durch das Platzhaltertoken
*
als Filterwert angegeben.
Funktionen
In diesem Abschnitt finden Sie eine Dokumentation zu den spezifischen Messwertfunktionen, die von Google Security Operations unterstützt werden.
Benachrichtigungsereignisse
metics.alert_event_name_count
berechnet Verlaufsdaten für UDM-Ereignisse, die einen Wert ungleich null haben, für Benachrichtigungen mit einer Reihe von Benachrichtigungen, die in Google Workspace received_bytes
generiert wurden, und stellt dieses Feld als value_sum
zur Verfügung.
Die vollständige Liste der als Filter verfügbaren UDM-Felder
principal.asset.asset_id, principal.process.file.full_path, principal.user.email_addresses, security_result.rule_name
principal.asset.asset_id, principal.process.file.full_path, principal.user.employee_id, security_result.rule_name
principal.asset.asset_id, principal.process.file.full_path, principal.user.product_object_id, security_result.rule_name
principal.asset.asset_id, principal.process.file.full_path, principal.user.userid, security_result.rule_name
principal.asset.asset_id, principal.process.file.full_path, principal.user.windows_sid, security_result.rule_name
principal.asset.asset_id, principal.process.file.full_path, security_result.rule_name
principal.asset.asset_id, principal.process.file.sha256, principal.user.email_addresses, security_result.rule_name
principal.asset.asset_id, principal.process.file.sha256, principal.user.employee_id, security_result.rule_name
principal.asset.asset_id, principal.process.file.sha256, principal.user.product_object_id, security_result.rule_name
principal.asset.asset_id, principal.process.file.sha256, principal.user.userid, security_result.rule_name
principal.asset.asset_id, principal.process.file.sha256, principal.user.windows_sid, security_result.rule_name
principal.asset.asset_id, security_result.rule_name
principal.asset.hostname, principal.process.file.full_path, principal.user.email_addresses, security_result.rule_name
principal.asset.hostname, principal.process.file.full_path, principal.user.employee_id, security_result.rule_name
principal.asset.hostname, principal.process.file.full_path, principal.user.product_object_id, security_result.rule_name
principal.asset.hostname, principal.process.file.full_path, principal.user.userid, security_result.rule_name
principal.asset.hostname, principal.process.file.full_path, principal.user.windows_sid, security_result.rule_name
principal.asset.hostname, principal.process.file.full_path, security_result.rule_name
principal.asset.hostname, principal.process.file.sha256, principal.user.email_addresses, security_result.rule_name
principal.asset.hostname, principal.process.file.sha256, principal.user.employee_id, security_result.rule_name
principal.asset.hostname, principal.process.file.sha256, principal.user.product_object_id, security_result.rule_name
principal.asset.hostname, principal.process.file.sha256, principal.user.userid, security_result.rule_name
principal.asset.hostname, principal.process.file.sha256, principal.user.windows_sid, security_result.rule_name
principal.asset.hostname, security_result.rule_name
principal.asset.ip, principal.process.file.full_path, principal.user.email_addresses, security_result.rule_name
principal.asset.ip, principal.process.file.full_path, principal.user.employee_id, security_result.rule_name
principal.asset.ip, principal.process.file.full_path, principal.user.product_object_id, security_result.rule_name
principal.asset.ip, principal.process.file.full_path, principal.user.userid, security_result.rule_name
principal.asset.ip, principal.process.file.full_path, principal.user.windows_sid, security_result.rule_name
principal.asset.ip, principal.process.file.full_path, security_result.rule_name
principal.asset.ip, principal.process.file.sha256, principal.user.email_addresses, security_result.rule_name
principal.asset.ip, principal.process.file.sha256, principal.user.employee_id, security_result.rule_name
principal.asset.ip, principal.process.file.sha256, principal.user.product_object_id, security_result.rule_name
principal.asset.ip, principal.process.file.sha256, principal.user.userid, security_result.rule_name
principal.asset.ip, principal.process.file.sha256, principal.user.windows_sid, security_result.rule_name
principal.asset.ip, security_result.rule_name
principal.asset.mac, principal.process.file.full_path, principal.user.email_addresses, security_result.rule_name
principal.asset.mac, principal.process.file.full_path, principal.user.employee_id, security_result.rule_name
principal.asset.mac, principal.process.file.full_path, principal.user.product_object_id, security_result.rule_name
principal.asset.mac, principal.process.file.full_path, principal.user.userid, security_result.rule_name
principal.asset.mac, principal.process.file.full_path, principal.user.windows_sid, security_result.rule_name
principal.asset.mac, principal.process.file.full_path, security_result.rule_name
principal.asset.mac, principal.process.file.sha256, principal.user.email_addresses, security_result.rule_name
principal.asset.mac, principal.process.file.sha256, principal.user.employee_id, security_result.rule_name
principal.asset.mac, principal.process.file.sha256, principal.user.product_object_id, security_result.rule_name
principal.asset.mac, principal.process.file.sha256, principal.user.userid, security_result.rule_name
principal.asset.mac, principal.process.file.sha256, principal.user.windows_sid, security_result.rule_name
principal.asset.mac, security_result.rule_name
principal.asset.product_object_id, principal.process.file.full_path, principal.user.email_addresses, security_result.rule_name
principal.asset.product_object_id, principal.process.file.full_path, principal.user.employee_id, security_result.rule_name
principal.asset.product_object_id, principal.process.file.full_path, principal.user.product_object_id, security_result.rule_name
principal.asset.product_object_id, principal.process.file.full_path, principal.user.userid, security_result.rule_name
principal.asset.product_object_id, principal.process.file.full_path, principal.user.windows_sid, security_result.rule_name
principal.asset.product_object_id, principal.process.file.full_path, security_result.rule_name
principal.asset.product_object_id, principal.process.file.sha256, principal.user.email_addresses, security_result.rule_name
principal.asset.product_object_id, principal.process.file.sha256, principal.user.employee_id, security_result.rule_name
principal.asset.product_object_id, principal.process.file.sha256, principal.user.product_object_id, security_result.rule_name
principal.asset.product_object_id, principal.process.file.sha256, principal.user.userid, security_result.rule_name
principal.asset.product_object_id, principal.process.file.sha256, principal.user.windows_sid, security_result.rule_name
principal.asset.product_object_id, security_result.rule_name
Authentifizierungsversuche
metrics.auth_attempts_total
berechnet Verlaufsdaten für UDM-Ereignisse mit einem USER_LOGIN
-event
type
.
metrics.auth_attempts_success
setzt außerdem voraus, dass das Ereignis mindestens einen SecurityResult.Action
von ALLOW
hatte.
metrics.auth_attempts_fail
setzt stattdessen voraus, dass keine der SecurityResult.Actions
ALLOW
waren.
Die vollständige Liste der als Filter verfügbaren UDM-Felder
principal.asset.asset_id
principal.asset.asset_id
,target.asset.asset_id
principal.asset.asset_id
,target.asset.hostname
principal.asset.asset_id
,target.asset.ip
principal.asset.asset_id
,target.asset.mac
principal.asset.asset_id
,target.asset.product_object_id
principal.asset.hostname
principal.asset.hostname
,target.asset.asset_id
principal.asset.hostname
,target.asset.hostname
principal.asset.hostname
,target.asset.ip
principal.asset.hostname
,target.asset.mac
principal.asset.hostname
,target.asset.product_object_id
principal.asset.ip
principal.asset.ip
,target.asset.asset_id
principal.asset.ip
,target.asset.hostname
principal.asset.ip
,target.asset.ip
principal.asset.ip
,target.asset.mac
principal.asset.ip
,target.asset.product_object_id
principal.asset.mac
principal.asset.mac
,target.asset.asset_id
principal.asset.mac
,target.asset.hostname
principal.asset.mac
,target.asset.ip
principal.asset.mac
,target.asset.mac
principal.asset.mac
,target.asset.product_object_id
principal.asset.product_object_id
principal.asset.product_object_id
,target.asset.asset_id
principal.asset.product_object_id
,target.asset.hostname
principal.asset.product_object_id
,target.asset.ip
principal.asset.product_object_id
,target.asset.mac
principal.asset.product_object_id
,target.asset.product_object_id
principal.user.email_addresses
principal.user.email_addresses
,target.asset.asset_id
principal.user.email_addresses
,target.asset.hostname
principal.user.email_addresses
,target.asset.ip
principal.user.email_addresses
,target.asset.mac
principal.user.email_addresses
,target.asset.product_object_id
principal.user.employee_id
principal.user.employee_id
,target.asset.asset_id
principal.user.employee_id
,target.asset.hostname
principal.user.employee_id
,target.asset.ip
principal.user.employee_id
,target.asset.mac
principal.user.employee_id
,target.asset.product_object_id
principal.user.product_object_id
principal.user.product_object_id
,target.asset.asset_id
principal.user.product_object_id
,target.asset.hostname
principal.user.product_object_id
,target.asset.ip
principal.user.product_object_id
,target.asset.mac
principal.user.product_object_id
,target.asset.product_object_id
principal.user.userid
principal.user.userid
,target.asset.asset_id
principal.user.userid
,target.asset.hostname
principal.user.userid
,target.asset.ip
principal.user.userid
,target.asset.mac
principal.user.userid
,target.asset.product_object_id
principal.user.windows_sid
principal.user.windows_sid
,target.asset.asset_id
principal.user.windows_sid
,target.asset.hostname
principal.user.windows_sid
,target.asset.ip
principal.user.windows_sid
,target.asset.mac
principal.user.windows_sid
,target.asset.product_object_id
target.application
target.user.email_addresses
target.user.email_addresses
,network.tls.client.certificate.sha256
target.user.email_addresses
,principal.ip_geo_artifact.location.country_or_region
target.user.email_addresses
,principal.ip_geo_artifact.network.organization_name
target.user.email_addresses
,target.application
target.user.employee_id
target.user.employee_id
,network.tls.client.certificate.sha256
target.user.employee_id
,principal.ip_geo_artifact.location.country_or_region
target.user.employee_id
,principal.ip_geo_artifact.network.organization_name
target.user.employee_id
,target.application
target.user.product_object_id
target.user.product_object_id
,network.tls.client.certificate.sha256
target.user.product_object_id
,principal.ip_geo_artifact.location.country_or_region
target.user.product_object_id
,principal.ip_geo_artifact.network.organization_name
target.user.product_object_id
,target.application
target.user.userid
target.user.userid
,network.tls.client.certificate.sha256
target.user.userid
,principal.ip_geo_artifact.location.country_or_region
target.user.userid
,principal.ip_geo_artifact.network.organization_name
target.user.userid
,target.application
target.user.windows_sid
target.user.windows_sid
,network.tls.client.certificate.sha256
target.user.windows_sid
,principal.ip_geo_artifact.location.country_or_region
target.user.windows_sid
,principal.ip_geo_artifact.network.organization_name
target.user.windows_sid
,target.application
In metrics.auth_attempts_total
stehen zusätzliche UDM-Felder als Filter zur Verfügung
target.application
,target.asset.asset_id
target.application
,target.asset.hostname
target.application
,target.asset.ip
target.application
,target.asset.mac
target.application
,target.asset.product_object_id
In metrics.auth_attempts_success
stehen zusätzliche UDM-Felder als Filter zur Verfügung
network.http.user_agent
principal.asset.asset_id
,metadata.event_type
principal.asset.hostname
,metadata.event_type
principal.asset.ip
,metadata.event_type
principal.asset.mac
,metadata.event_type
principal.asset.product_object_id
,metadata.event_type
DNS-Byte ausgehend
metrics.dns_bytes_outbound
berechnet Verlaufsdaten für UDM-Ereignisse voraus, bei denen network
.sent_bytes
größer als 0 und der Zielport 53/udp
, 53/tcp
oder 3000/tcp
ist.
network
.sent_bytes
ist als value_sum
verfügbar.
Die vollständige Liste der als Filter verfügbaren UDM-Felder
principal.asset.asset_id
principal.asset.asset_id
,target.ip
principal.asset.hostname
principal.asset.hostname
,target.ip
principal.asset.ip
principal.asset.ip
,target.ip
principal.asset.mac
principal.asset.mac
,target.ip
principal.asset.product_object_id
principal.asset.product_object_id
,target.ip
principal.user.email_addresses
principal.user.email_addresses
,target.ip
principal.user.employee_id
principal.user.employee_id
,target.ip
principal.user.product_object_id
principal.user.product_object_id
,target.ip
principal.user.userid
principal.user.userid
,target.ip
principal.user.windows_sid
principal.user.windows_sid
,target.ip
target.ip
DNS-Abfragen
metrics.dns_queries_total
berechnet Verlaufsdaten für UDM-Ereignisse voraus, die einen Wert in network
haben.dns.id
Für metrics.dns_queries_success
muss außerdem network
.dns.response_code
war 0
(NoError
).
metrics.dns_queries_fail
berücksichtigt nur Ereignisse mit einem network
.dns.response_code
größer als 0
.
Die vollständige Liste der als Filter verfügbaren UDM-Felder
principal.asset.asset_id
principal.asset.asset_id
,network.dns_domain
principal.asset.asset_id
,network.dns.questions.type
principal.asset.hostname
principal.asset.hostname
,network.dns_domain
principal.asset.hostname
,network.dns.questions.type
principal.asset.ip
principal.asset.ip
,network.dns_domain
principal.asset.ip
,network.dns.questions.type
principal.asset.mac
principal.asset.mac
,network.dns_domain
principal.asset.mac
,network.dns.questions.type
principal.asset.product_object_id
principal.asset.product_object_id
,network.dns_domain
principal.asset.product_object_id
,network.dns.questions.type
principal.user.email_addresses
principal.user.email_addresses
,network.dns_domain
principal.user.email_addresses
,network.dns.questions.type
principal.user.employee_id
principal.user.employee_id
,network.dns_domain
principal.user.employee_id
,network.dns.questions.type
principal.user.product_object_id
principal.user.product_object_id
,network.dns_domain
principal.user.product_object_id
,network.dns.questions.type
principal.user.userid
principal.user.userid
,network.dns_domain
principal.user.userid
,network.dns.questions.type
principal.user.windows_sid
principal.user.windows_sid
,network.dns_domain
principal.user.windows_sid
,network.dns.questions.type
Dateiausführungen
metrics.file_executions_total
berechnet Verlaufsdaten für UDM-Ereignisse mit einem PROCESS_LAUNCH
-event
type
.
metrics.file_executions_success
setzt außerdem voraus, dass das Ereignis mindestens einen SecurityResult.Action
von ALLOW
hatte.
Für metrics.file_executions_fail
muss stattdessen keine der SecurityResult.Actions
ALLOW
verwendet worden sein.
Die vollständige Liste der als Filter verfügbaren UDM-Felder
metadata.event_type
,principal.process.file.sha256
metadata.event_type
,principal.asset.asset_id
,principal.process.file.sha256
metadata.event_type
,principal.asset.hostname
,principal.process.file.sha256
metadata.event_type
,principal.asset.ip
,principal.process.file.sha256
metadata.event_type
,principal.asset.mac
,principal.process.file.sha256
metadata.event_type
,principal.asset.product_object_id
,principal.process.file.sha256
metadata.event_type
,principal.user.email_addresses
,principal.process.file.sha256
metadata.event_type
,principal.user.employee_id
,principal.process.file.sha256
metadata.event_type
,principal.user.product_object_id
,principal.process.file.sha256
metadata.event_type
,principal.user.userid
,principal.process.file.sha256
metadata.event_type
,principal.user.windows_sid
,principal.process.file.sha256
HTTP-Abfragen
metrics.http_queries_total
berechnet Verlaufsdaten für UDM-Ereignisse voraus, die einen Wert in network
haben.http.method
Für metrics.http_queries_success
ist außerdem network
erforderlich.http.response_code
ist kleiner als 400.
metrics.http_queries_fail
berücksichtigt nur Ereignisse mit einem network
.http.response_code
ist kleiner oder gleich 400.
Die vollständige Liste der als Filter verfügbaren UDM-Felder
principal.asset.asset_id
principal.asset.asset_id
,network.http.user_agent
principal.asset.hostname
principal.asset.hostname
,network.http.user_agent
principal.asset.ip
principal.asset.ip
,network.http.user_agent
principal.asset.mac
principal.asset.mac
,network.http.user_agent
principal.asset.product_object_id
principal.asset.product_object_id
,network.http.user_agent
principal.user.email_addresses
principal.user.email_addresses
,network.http.user_agent
principal.user.employee_id
principal.user.employee_id
,network.http.user_agent
principal.user.product_object_id
principal.user.product_object_id
,network.http.user_agent
principal.user.userid
principal.user.userid
,network.http.user_agent
principal.user.windows_sid
principal.user.windows_sid
,network.http.user_agent
Netzwerkbyte
metrics.network_bytes_inbound
berechnet Verlaufsdaten für UDM-Ereignisse voraus, die für network
.received_bytes
einen Wert ungleich null haben, und stellt dieses Feld als value_sum
zur Verfügung.
metrics.network_bytes_outbound
erfordert für network
.sent_bytes
einen Wert ungleich null und stellt dieses Feld als value_sum
zur Verfügung.
metrics.network_bytes_total
berücksichtigt Ereignisse, die für network
.received_bytes
oder network
.sent_bytes
(oder beide) einen Wert ungleich null haben, und stellt die Summe dieser beiden Felder als value_sum
zur Verfügung.
Die vollständige Liste der als Filter verfügbaren UDM-Felder
principal.asset.asset_id
principal.asset.asset_id
,principal.ip_geo_artifact.location.country_or_region
principal.asset.asset_id
,security_result.category
principal.asset.asset_id
,target.ip_geo_artifact.network.organization_name
principal.asset.hostname
principal.asset.hostname
,principal.ip_geo_artifact.location.country_or_region
principal.asset.hostname
,security_result.category
principal.asset.hostname
,target.ip_geo_artifact.network.organization_name
principal.asset.ip
principal.asset.ip
,principal.ip_geo_artifact.location.country_or_region
principal.asset.ip
,security_result.category
principal.asset.ip
,target.ip_geo_artifact.network.organization_name
principal.asset.mac
principal.asset.mac
,principal.ip_geo_artifact.location.country_or_region
principal.asset.mac
,security_result.category
principal.asset.mac
,target.ip_geo_artifact.network.organization_name
principal.asset.product_object_id
principal.asset.product_object_id
,principal.ip_geo_artifact.location.country_or_region
principal.asset.product_object_id
,security_result.category
principal.asset.product_object_id
,target.ip_geo_artifact.network.organization_name
principal.user.email_addresses
principal.user.email_addresses
,principal.ip_geo_artifact.location.country_or_region
principal.user.email_addresses
,security_result.category
principal.user.email_addresses
,target.ip_geo_artifact.network.organization_name
principal.user.employee_id
principal.user.employee_id
,principal.ip_geo_artifact.location.country_or_region
principal.user.employee_id
,security_result.category
principal.user.employee_id
,target.ip_geo_artifact.network.organization_name
principal.user.product_object_id
principal.user.product_object_id
,principal.ip_geo_artifact.location.country_or_region
principal.user.product_object_id
,security_result.category
principal.user.product_object_id
,target.ip_geo_artifact.network.organization_name
principal.user.userid
principal.user.userid
,principal.ip_geo_artifact.location.country_or_region
principal.user.userid
,security_result.category
principal.user.userid
,target.ip_geo_artifact.network.organization_name
principal.user.windows_sid
principal.user.windows_sid
,principal.ip_geo_artifact.location.country_or_region
principal.user.windows_sid
,security_result.category
principal.user.windows_sid
,target.ip_geo_artifact.network.organization_name
Ressourcenerstellung
metrics.resource_creation_total
berechnet Verlaufsdaten für UDM-Ereignisse mit einem RESOURCE_CREATION
-event
type
.
metrics.resource_creation_success
setzt außerdem voraus, dass das Ereignis mindestens ein SecurityResult.Action
von ALLOW
enthält.
Die vollständige Liste der als Filter verfügbaren UDM-Felder
target.user
,metadata.vendor_name
,metadata.product_name
principal.user
,metadata.vendor_name
,metadata.product_name
principal.user
,principal.ip
,metadata.vendor_name
,metadata.product_name
principal.user
,target.application
,metadata.vendor_name
,metadata.product_name
target.resource.name
,metadata.vendor_name
,metadata.product_name
principal.user
,target.resource.name
,metadata.vendor_name
,metadata.product_name
principal.user
,target.location.name
,metadata.vendor_name
,metadata.product_name
Ressourcen löschen
metrics.resource_deletion_success
berechnet Verlaufsdaten für UDM-Ereignisse mit einer RESOURCE_DELETION
event
type
vorab. Außerdem muss das Ereignis mindestens einen SecurityResult.Actions
von ALLOW
haben.
Die vollständige Liste der als Filter verfügbaren UDM-Felder
target.user
,metadata.vendor_name
,metadata.product_name
principal.user
,metadata.vendor_name
,metadata.product_name
principal.user
,principal.ip
,metadata.vendor_name
,metadata.product_name
principal.user
,target.application
,metadata.vendor_name
,metadata.product_name
target.resource.name
,metadata.vendor_name
,metadata.product_name
principal.user
,target.resource.name
,metadata.vendor_name
,metadata.product_name
principal.user
,target.location.name
,metadata.vendor_name
,metadata.product_name
Ressource gelesen
metrics.resource_read_success
berechnet Verlaufsdaten für UDM-Ereignisse mit einer RESOURCE_READ
event
type
vorab. Außerdem muss das Ereignis mindestens einen SecurityResult.Action
von ALLOW
haben.
Für metrics.resource_read_fail
darf keiner der SecurityResult.Actions
ALLOW
sein.
Die vollständige Liste der als Filter verfügbaren UDM-Felder
target.user
,metadata.vendor_name
,metadata.product_name
principal.user
,metadata.vendor_name
,metadata.product_name
principal.user
,principal.ip
,metadata.vendor_name
,metadata.product_name
principal.user
,target.application
,metadata.vendor_name
,metadata.product_name
target.resource.name
,metadata.vendor_name
,metadata.product_name
principal.user
,target.resource.name
,metadata.vendor_name
,metadata.product_name
principal.user
,target.location.name
,metadata.vendor_name
,metadata.product_name
Beschränkungen
Beachten Sie beim Erstellen von YARA-L-Regeln mit Messwerten die folgenden Einschränkungen:
- Messwerte mit Standardwerten (
""
für String und0
für Ganzzahl) können nicht zusammengeführt werden. - Standardwerte:
- Wenn keine Messwertdaten vorhanden sind, die einem Ereignis entsprechen, wird von der Messwertfunktion der Wert 0 zurückgegeben.
- Wenn es in der Erkennung ein Ereignis ohne Messwertdaten gibt, kann bei Verwendung von
min
zum Aggregieren über die Funktion 0 zurückgegeben werden. - Wenn Sie prüfen möchten, ob für ein Ereignis Daten vorhanden sind, können Sie die Messwertaggregation
num_metric_periods
für dasselbe Ereignis mit denselben Filtern verwenden.
- Messwertfunktionen können nur im Ergebnisbereich verwendet werden.
- Da Messwertfunktionen nur im Ergebnisbereich verwendet werden, müssen sie wie alle anderen Werte in Regeln mit einem Übereinstimmungsbereich zusammengefasst werden.