为风险分析创建规则
支持以下语言:
Google SecOps
SIEM
本文档介绍了新 YARA-L 语法功能的主要元素, 风险分析。如需详细了解 YARA-L,请参阅 YARA-L 2.0 语言 语法。
YARA-L 指标函数
Google Security Operations 支持许多指标函数, 大量历史数据。
指标函数只能在结果部分使用。所有示例 函数调用假设在多事件规则中使用。
所有使用指标函数的规则都会自动归类为 多事件规则,即使它们没有匹配部分且只使用一个 事件变量。这意味着它们将计入多事件规则配额。
函数参数
指标函数可用于执行实体行为的规则 分析。
例如,以下规则告知您每天的最大字节数
特定 IP 地址发出的电子邮件。具体 IP 地址为
此示例中由占位符变量 $ip 表示。如需详细了解占位符变量,请参阅变量声明。
$max_bytes_per_day = max(metrics.network_bytes_outbound(
period:1d, window:30d,
metric:value_sum,
agg:max,
principal.asset.ip:$ip
))
由于这些函数中使用了大量参数,因此它们使用命名的 参数,可按任意顺序指定。具体参数如下:
时段
各个日志事件合并为单个事件所用的时间
观察。只允许使用 1h 和 1d 这两个值。
Window
单个观察结果汇总到一个
单个值,例如平均值和最大值。允许以下
window 取决于指标的时间段。有效映射如下所示:
period:1h:window:today
period:1d:window:30d
例如,以下规则显示失败次数最多 在某一天中针对特定用户 (Alice) 的身份验证尝试次数, 过去 30 天:
$user = "alice"
$max_fail = max(metrics.auth_attempts_fail(
period:1d, window:30d,
metric:event_count_sum,
agg:max,
target.user.userid:$user
))
first-seen可同时使用每小时指标和每日指标
检测类型。例如,以下规则可以表明
当用户首次登录此应用时触发:
events:
$e.metadata.event_type = "USER_LOGIN"
$e.security_result.action = "ALLOW"
$userid = $e.target.user.userid
$app = $e.target.application
match:
// find events from now - 4h ago, which is the recommended look-back period
$userid, $app over 4h
outcome:
// check hourly analytics until daily analytics are available
$first_seen_today = max(metrics.auth_attempts_success(
period:1h, window:today, metric:first_seen, agg:max,
target.user.userid:$userid, target.application:$app))
$first_seen_monthly = max(metrics.auth_attempts_success(
period:1d, window:30d, metric:first_seen, agg:max,
target.user.userid:$userid, target.application:$app))
condition:
$e and ($first_seen_today = 0) and ($first_seen_monthly = 0)
指标
在每个时间段中,每个观察结果都有多个与之相关的指标。
必须选择其中一项,才能在整个窗口中进行汇总。五
支持 metric 类型:
event_count_sum - 每个时间段内的唯一日志事件数。
first_seen - 每个日志中匹配日志事件的首次出现的时间戳
。
last_seen - 每个列表中匹配日志事件的最后出现的时间戳
。
value_sum - 表示所有日志中字节数的总和
个事件总数您只能为指标使用此值
名称中带有 bytes 的函数。
num_unique_filter_values - 未预先计算的指标
Google Security Operations,但可在规则执行期间计算。请参阅唯一身份计数
指标,了解更多详情和要求。
Agg
对指标应用的聚合。聚合适用于 整个时间段(例如过去 30 天内的最高每日值)。允许的 值为:
avg - 每个时间段的平均值。这是一个统计平均值,
值为零。
max - 每个时间段的最大价值。
min - 每个时间段的最小值。
num_metric_periods - 时间范围内出现
非零指标值。
stddev - 每个时间段的值的标准差。这是一个统计
包含零值的标准差。
sum - 每个时间段在整个时间范围内每个值的总和。
例如,以下规则可以显示失败次数 在任意指定日期内针对特定用户 (Alice) 的身份验证尝试次数 过去 30 天:
$user = "alice"
$avg_fail = max(metrics.auth_attempts_fail(
period:1d, window:30d,
metric:event_count_sum,
agg:avg,
target.user.userid:$user
))
以下规则会说明特定用户的成功身份验证次数 :
$total_success = max(metrics.auth_attempts_success(
period:1d, window:30d,
metric:event_count_sum,
agg:sum,
target.user.userid:$user
))
通过以下规则,您可以了解某个用户是否在 在过去 30 天内至少投放过一次:
$days_success = max(metrics.auth_attempts_success(
period:1d, window:30d,
metric:event_count_sum,
agg:num_metric_periods,
target.user.userid:$user
))
下面的规则可以告诉您特定用户首次或上次登录的时间 成功:
$first_seen = max(metrics.auth_attempts_success(
period:1d, window:30d,
metric:first_seen,
agg:min,
target.user.userid:$user
))
$last_seen = max(metrics.auth_attempts_success(
period:1d, window:30d,
metric:last_seen,
agg:max,
target.user.userid:$user
))
通过下面的规则,您可以了解用户在任意时间段内发送的最大字节数 在过去 30 天中的某一天:
$max_daily_bytes = max(metrics.network_bytes_outbound(
period:1d, window:30d,
metric:value_sum,
agg:max,
target.user.userid:$user
))
过滤
借助过滤条件,您可以在按 预计算的指标(请参阅“指标”中的值)。过滤条件可以是任何有效的 事件表达式(事件部分中的单行),其中不包含 任何事件字段或占位符变量可以仅包含 这个条件就是指标类型
以下规则仅包含满足以下条件的指标:value_sum > 10 AND
event_count_sum > 2:
$max_bytes_per_day = max(metrics.network_bytes_outbound(
period:1d, window:30d,
metric:value_sum,
agg:max,
principal.asset.ip:$ip
filter:value_sum > 10 AND event_count_sum > 2
))
有效的过滤条件示例
filter:value_sum > 10 AND event_count_sum != 5
filter:event_count_sum = 100 OR event_count_sum > 1000
filter:timestamp.get_day_of_week(first_seen) = 3
无效的过滤条件示例
// No placeholders in filter expressions.
filter:value_sum > $ph
// No event fields in filter expressions.
filter:event_count_sum + $e.field > 10
// No event fields in filter expressions.
filter:timestamp.subtract(first_seen, $e.metadata.timestamp)
UDM 字段
系统会按 1 个、2 个或 3 个 UDM 字段对指标进行过滤,具体取决于函数。对于 如需了解详情,请参阅函数。
以下类型的 UDM 字段用于指标函数:
- 维度 -(必填)此表中列出了不同的组合
文档。您不能将指标与默认值(
""字符串;对于 int,则为0)。 - 命名空间 -(可选)您只能为符合以下条件的实体使用命名空间
指定尺寸例如,如果您使用
principal.asset.hostname filter,则也可以使用principal.namespace filter。如果您 添加命名空间过滤条件,则系统会汇总所有命名空间中的数据 。您可以使用默认值作为命名空间过滤条件。
窗口期计算
Google Security Operations 使用每日或每小时指标计算指标 窗口。
每日窗口
所有每日窗口(例如 30d)都是以相同的方式确定。
Google Security Operations 使用
与规则时间范围不重叠的生成日期。计算
每日指标最长可能需要 6 小时才能完成,并且直到结束才开始显示
日期(UTC 时间)。前一天的指标数据将在 或
世界协调时间 (UTC) 每天 6:00 之前。
例如,对于针对世界协调时间 (UTC) 2023 年 10 月 31 日 4:00 期间的事件数据运行的规则 到世界协调时间 2023 年 10 月 31 日 7:00,那么 2023 年 10 月 31 日的每日指标很可能已经 因此指标计算将使用 2023 年 10 月 1 日至 2001 年 1 月期间的数据 2023-10-30(含)。而对于针对事件数据运行的规则 世界协调时间 2023-10-31 1:00 至 2023-10-31 3:00(世界协调时间 [UTC] 2023-10-30 的每日指标) 因此在计算指标时将使用 2023-09-30 至 2023-10-29(含)之间。
每小时 today 个窗口
每小时指标窗口的计算方式与
每日指标today 的每小时指标窗口不是
每日指标的时间范围为 30d。每小时指标窗口 today 将填充为
在每日窗口期结束和开始阶段之间尽可能多的数据
。
例如,对于针对 2023 年 10 月 31 日 4:00:00 的事件数据运行的规则 世界协调时间 (UTC) 2023 年 10 月 31 日 7:00:00 世界协调时间 (UTC),则每日指标计算将使用数据 从 2023 年 10 月 1 日至 2023 年 10 月 30 日(含)的数据,每小时指标时间范围将采用 世界协调时间 (UTC) 2023-10-31 00:00:00 至 2023-10-31 4:00:00 期间的数据。
统计唯一指标
有一种特殊类型的指标 num_unique_filter_values,
由 Google Security Operations 预计算
而是在规则执行期间计算的这是通过汇总
与预先计算的指标中的现有维度进行比较例如,指标
daily total count of distinct countries that a user attempted to authenticate
可根据网站上预先计算的auth_attempts_total指标
维度“target.user.userid”和
principal.ip_geo_artifact.location.country_or_region(通过执行计数)
对后一个维度进行的唯一汇总。
以下示例规则会统计唯一指标:
$outcome_variable = max(metrics.auth_attempts_total(
period: 1d,
window: 30d,
// This metric type indicates any filter with a wildcard value should be
// aggregated over each day to produce a new metric on-the-fly.
metric: num_unique_filter_values,
agg: max,
target.user.userid: $userid,
// Filter whose value should be counted over each day to produce the
// num_unique_filter_values metric.
principal.ip_geo_artifact.location.country_or_region: *
))
此功能具有以下限制:
- 计算唯一指标计数时,只能使用 1 个过滤条件进行汇总
维度。您可以通过使用通配符令牌
*作为过滤条件来指明这一点 值。
Functions
本部分包含有关支持的特定指标函数的文档 。
提醒事件
metrics.alert_event_name_count 会预计算 UDM 事件的历史值
具有非零值且在
Google Workspace received_bytes,并将该字段提供为以下名称:
value_sum。
可用作过滤条件的 UDM 字段的完整列表
principal.asset.asset_id, principal.process.file.full_path, principal.user.email_addresses, security_result.rule_nameprincipal.asset.asset_id, principal.process.file.full_path, principal.user.employee_id, security_result.rule_nameprincipal.asset.asset_id, principal.process.file.full_path, principal.user.product_object_id, security_result.rule_nameprincipal.asset.asset_id, principal.process.file.full_path, principal.user.userid, security_result.rule_nameprincipal.asset.asset_id, principal.process.file.full_path, principal.user.windows_sid, security_result.rule_nameprincipal.asset.asset_id, principal.process.file.full_path, security_result.rule_nameprincipal.asset.asset_id, principal.process.file.sha256, principal.user.email_addresses, security_result.rule_nameprincipal.asset.asset_id, principal.process.file.sha256, principal.user.employee_id, security_result.rule_nameprincipal.asset.asset_id, principal.process.file.sha256, principal.user.product_object_id, security_result.rule_nameprincipal.asset.asset_id, principal.process.file.sha256, principal.user.userid, security_result.rule_nameprincipal.asset.asset_id, principal.process.file.sha256, principal.user.windows_sid, security_result.rule_nameprincipal.asset.asset_id, security_result.rule_nameprincipal.asset.hostname, principal.process.file.full_path, principal.user.email_addresses, security_result.rule_nameprincipal.asset.hostname, principal.process.file.full_path, principal.user.employee_id, security_result.rule_nameprincipal.asset.hostname, principal.process.file.full_path, principal.user.product_object_id, security_result.rule_nameprincipal.asset.hostname, principal.process.file.full_path, principal.user.userid, security_result.rule_nameprincipal.asset.hostname, principal.process.file.full_path, principal.user.windows_sid, security_result.rule_nameprincipal.asset.hostname, principal.process.file.full_path, security_result.rule_nameprincipal.asset.hostname, principal.process.file.sha256, principal.user.email_addresses, security_result.rule_nameprincipal.asset.hostname, principal.process.file.sha256, principal.user.employee_id, security_result.rule_nameprincipal.asset.hostname, principal.process.file.sha256, principal.user.product_object_id, security_result.rule_nameprincipal.asset.hostname, principal.process.file.sha256, principal.user.userid, security_result.rule_nameprincipal.asset.hostname, principal.process.file.sha256, principal.user.windows_sid, security_result.rule_nameprincipal.asset.hostname, security_result.rule_nameprincipal.asset.ip, principal.process.file.full_path, principal.user.email_addresses, security_result.rule_nameprincipal.asset.ip, principal.process.file.full_path, principal.user.employee_id, security_result.rule_nameprincipal.asset.ip, principal.process.file.full_path, principal.user.product_object_id, security_result.rule_nameprincipal.asset.ip, principal.process.file.full_path, principal.user.userid, security_result.rule_nameprincipal.asset.ip, principal.process.file.full_path, principal.user.windows_sid, security_result.rule_nameprincipal.asset.ip, principal.process.file.full_path, security_result.rule_nameprincipal.asset.ip, principal.process.file.sha256, principal.user.email_addresses, security_result.rule_nameprincipal.asset.ip, principal.process.file.sha256, principal.user.employee_id, security_result.rule_nameprincipal.asset.ip, principal.process.file.sha256, principal.user.product_object_id, security_result.rule_nameprincipal.asset.ip, principal.process.file.sha256, principal.user.userid, security_result.rule_nameprincipal.asset.ip, principal.process.file.sha256, principal.user.windows_sid, security_result.rule_nameprincipal.asset.ip, security_result.rule_nameprincipal.asset.mac, principal.process.file.full_path, principal.user.email_addresses, security_result.rule_nameprincipal.asset.mac, principal.process.file.full_path, principal.user.employee_id, security_result.rule_nameprincipal.asset.mac, principal.process.file.full_path, principal.user.product_object_id, security_result.rule_nameprincipal.asset.mac, principal.process.file.full_path, principal.user.userid, security_result.rule_nameprincipal.asset.mac, principal.process.file.full_path, principal.user.windows_sid, security_result.rule_nameprincipal.asset.mac, principal.process.file.full_path, security_result.rule_nameprincipal.asset.mac, principal.process.file.sha256, principal.user.email_addresses, security_result.rule_nameprincipal.asset.mac, principal.process.file.sha256, principal.user.employee_id, security_result.rule_nameprincipal.asset.mac, principal.process.file.sha256, principal.user.product_object_id, security_result.rule_nameprincipal.asset.mac, principal.process.file.sha256, principal.user.userid, security_result.rule_nameprincipal.asset.mac, principal.process.file.sha256, principal.user.windows_sid, security_result.rule_nameprincipal.asset.mac, security_result.rule_nameprincipal.asset.product_object_id, principal.process.file.full_path, principal.user.email_addresses, security_result.rule_nameprincipal.asset.product_object_id, principal.process.file.full_path, principal.user.employee_id, security_result.rule_nameprincipal.asset.product_object_id, principal.process.file.full_path, principal.user.product_object_id, security_result.rule_nameprincipal.asset.product_object_id, principal.process.file.full_path, principal.user.userid, security_result.rule_nameprincipal.asset.product_object_id, principal.process.file.full_path, principal.user.windows_sid, security_result.rule_nameprincipal.asset.product_object_id, principal.process.file.full_path, security_result.rule_nameprincipal.asset.product_object_id, principal.process.file.sha256, principal.user.email_addresses, security_result.rule_nameprincipal.asset.product_object_id, principal.process.file.sha256, principal.user.employee_id, security_result.rule_nameprincipal.asset.product_object_id, principal.process.file.sha256, principal.user.product_object_id, security_result.rule_nameprincipal.asset.product_object_id, principal.process.file.sha256, principal.user.userid, security_result.rule_nameprincipal.asset.product_object_id, principal.process.file.sha256, principal.user.windows_sid, security_result.rule_nameprincipal.asset.product_object_id, security_result.rule_name
身份验证尝试次数
metrics.auth_attempts_total 会通过以下方式预计算 UDM 事件的历史值:
USER_LOGIN event
type。
metrics.auth_attempts_success还要求事件至少要
SecurityResult.Action
共 ALLOW 个。
metrics.auth_attempts_fail 要求不要求任何
SecurityResult.Actions
ALLOW。
可用作过滤条件的 UDM 字段的完整列表
principal.asset.asset_idprincipal.asset.asset_id,target.asset.asset_idprincipal.asset.asset_id、target.asset.hostnameprincipal.asset.asset_id、target.asset.ipprincipal.asset.asset_id、target.asset.macprincipal.asset.asset_id、target.asset.product_object_idprincipal.asset.hostnameprincipal.asset.hostname、target.asset.asset_idprincipal.asset.hostname、target.asset.hostnameprincipal.asset.hostname、target.asset.ipprincipal.asset.hostname、target.asset.macprincipal.asset.hostname、target.asset.product_object_idprincipal.asset.ipprincipal.asset.ip、target.asset.asset_idprincipal.asset.ip、target.asset.hostnameprincipal.asset.ip、target.asset.ipprincipal.asset.ip、target.asset.macprincipal.asset.ip、target.asset.product_object_idprincipal.asset.macprincipal.asset.mac、target.asset.asset_idprincipal.asset.mac、target.asset.hostnameprincipal.asset.mac、target.asset.ipprincipal.asset.mac、target.asset.macprincipal.asset.mac、target.asset.product_object_idprincipal.asset.product_object_idprincipal.asset.product_object_id、target.asset.asset_idprincipal.asset.product_object_id、target.asset.hostnameprincipal.asset.product_object_id、target.asset.ipprincipal.asset.product_object_id、target.asset.macprincipal.asset.product_object_id、target.asset.product_object_idprincipal.user.email_addressesprincipal.user.email_addresses、target.asset.asset_idprincipal.user.email_addresses、target.asset.hostnameprincipal.user.email_addresses、target.asset.ipprincipal.user.email_addresses、target.asset.macprincipal.user.email_addresses、target.asset.product_object_idprincipal.user.employee_idprincipal.user.employee_id、target.asset.asset_idprincipal.user.employee_id、target.asset.hostnameprincipal.user.employee_id、target.asset.ipprincipal.user.employee_id、target.asset.macprincipal.user.employee_id、target.asset.product_object_idprincipal.user.product_object_idprincipal.user.product_object_id、target.asset.asset_idprincipal.user.product_object_id、target.asset.hostnameprincipal.user.product_object_id、target.asset.ipprincipal.user.product_object_id、target.asset.macprincipal.user.product_object_id、target.asset.product_object_idprincipal.user.useridprincipal.user.userid、target.asset.asset_idprincipal.user.userid、target.asset.hostnameprincipal.user.userid、target.asset.ipprincipal.user.userid、target.asset.macprincipal.user.userid、target.asset.product_object_idprincipal.user.windows_sidprincipal.user.windows_sid、target.asset.asset_idprincipal.user.windows_sid、target.asset.hostnameprincipal.user.windows_sid、target.asset.ipprincipal.user.windows_sid、target.asset.macprincipal.user.windows_sid、target.asset.product_object_idtarget.applicationtarget.user.email_addressestarget.user.email_addresses、network.tls.client.certificate.sha256target.user.email_addresses、principal.ip_geo_artifact.location.country_or_regiontarget.user.email_addresses、principal.ip_geo_artifact.network.organization_nametarget.user.email_addresses、target.applicationtarget.user.employee_idtarget.user.employee_id、network.tls.client.certificate.sha256target.user.employee_id、principal.ip_geo_artifact.location.country_or_regiontarget.user.employee_id、principal.ip_geo_artifact.network.organization_nametarget.user.employee_id、target.applicationtarget.user.product_object_idtarget.user.product_object_id、network.tls.client.certificate.sha256target.user.product_object_id、principal.ip_geo_artifact.location.country_or_regiontarget.user.product_object_id、principal.ip_geo_artifact.network.organization_nametarget.user.product_object_id、target.applicationtarget.user.useridtarget.user.userid、network.tls.client.certificate.sha256target.user.userid、principal.ip_geo_artifact.location.country_or_regiontarget.user.userid、principal.ip_geo_artifact.network.organization_nametarget.user.userid、target.applicationtarget.user.windows_sidtarget.user.windows_sid、network.tls.client.certificate.sha256target.user.windows_sid、principal.ip_geo_artifact.location.country_or_regiontarget.user.windows_sid、principal.ip_geo_artifact.network.organization_nametarget.user.windows_sid,target.application
metrics.auth_attempts_total有其他 UDM 字段可用作过滤条件
target.application,target.asset.asset_idtarget.application、target.asset.hostnametarget.application、target.asset.iptarget.application、target.asset.mactarget.application,target.asset.product_object_id
metrics.auth_attempts_success有其他 UDM 字段可用作过滤条件
network.http.user_agentprincipal.asset.asset_id,metadata.event_typeprincipal.asset.hostname、metadata.event_typeprincipal.asset.ip、metadata.event_typeprincipal.asset.mac、metadata.event_typeprincipal.asset.product_object_id,metadata.event_type
传出的 DNS 字节数
metrics.dns_bytes_outbound 会预计算 UDM 事件的历史值,其中
network.sent_bytes 大于 0,
目标端口为 53/udp、53/tcp 或 3000/tcp。
network.sent_bytes是
value_sum。
可用作过滤条件的 UDM 字段的完整列表
principal.asset.asset_idprincipal.asset.asset_id,target.ipprincipal.asset.hostnameprincipal.asset.hostname、target.ipprincipal.asset.ipprincipal.asset.ip、target.ipprincipal.asset.macprincipal.asset.mac、target.ipprincipal.asset.product_object_idprincipal.asset.product_object_id、target.ipprincipal.user.email_addressesprincipal.user.email_addresses、target.ipprincipal.user.employee_idprincipal.user.employee_id、target.ipprincipal.user.product_object_idprincipal.user.product_object_id、target.ipprincipal.user.useridprincipal.user.userid、target.ipprincipal.user.windows_sidprincipal.user.windows_sid,target.iptarget.ip
DNS 查询
metrics.dns_queries_total 会预计算符合以下条件的 UDM 事件的历史值:
包含值
network.dns.id。
metrics.dns_queries_success 还要求
network。dns.response_code
原价 0(NoError)。
metrics.dns_queries_fail 仅会考虑符合以下条件的事件:
network。dns.response_code
大于 0。
可用作过滤条件的 UDM 字段的完整列表
principal.asset.asset_idprincipal.asset.asset_id,network.dns_domainprincipal.asset.asset_id、network.dns.questions.typeprincipal.asset.hostnameprincipal.asset.hostname、network.dns_domainprincipal.asset.hostname、network.dns.questions.typeprincipal.asset.ipprincipal.asset.ip、network.dns_domainprincipal.asset.ip、network.dns.questions.typeprincipal.asset.macprincipal.asset.mac、network.dns_domainprincipal.asset.mac、network.dns.questions.typeprincipal.asset.product_object_idprincipal.asset.product_object_id、network.dns_domainprincipal.asset.product_object_id、network.dns.questions.typeprincipal.user.email_addressesprincipal.user.email_addresses、network.dns_domainprincipal.user.email_addresses、network.dns.questions.typeprincipal.user.employee_idprincipal.user.employee_id、network.dns_domainprincipal.user.employee_id、network.dns.questions.typeprincipal.user.product_object_idprincipal.user.product_object_id、network.dns_domainprincipal.user.product_object_id、network.dns.questions.typeprincipal.user.useridprincipal.user.userid、network.dns_domainprincipal.user.userid、network.dns.questions.typeprincipal.user.windows_sidprincipal.user.windows_sid、network.dns_domainprincipal.user.windows_sid,network.dns.questions.type
文件执行
metrics.file_executions_total 会预计算 UDM 事件的历史值
并使用 PROCESS_LAUNCH event
type。
metrics.file_executions_success 还要求事件至少要
一
SecurityResult.Action
共 ALLOW 个。
metrics.file_executions_fail 不要求任何
SecurityResult.Actions
ALLOW。
可用作过滤条件的 UDM 字段的完整列表
metadata.event_type,principal.process.file.sha256metadata.event_type、principal.asset.asset_id、principal.process.file.sha256metadata.event_type、principal.asset.hostname、principal.process.file.sha256metadata.event_type、principal.asset.ip、principal.process.file.sha256metadata.event_type、principal.asset.mac、principal.process.file.sha256metadata.event_type、principal.asset.product_object_id、principal.process.file.sha256metadata.event_type、principal.user.email_addresses、principal.process.file.sha256metadata.event_type、principal.user.employee_id、principal.process.file.sha256metadata.event_type、principal.user.product_object_id、principal.process.file.sha256metadata.event_type、principal.user.userid、principal.process.file.sha256metadata.event_type、principal.user.windows_sid、principal.process.file.sha256
HTTP 查询
metrics.http_queries_total 会预计算符合以下条件的 UDM 事件的历史值:
包含值
network.http.method。
metrics.http_queries_success 还要求:
network。http.response_code 小于 400。
metrics.http_queries_fail 仅会考虑符合以下条件的事件:
network。http.response_code 小于或等于 400。
可用作过滤条件的 UDM 字段的完整列表
principal.asset.asset_idprincipal.asset.asset_id,network.http.user_agentprincipal.asset.hostnameprincipal.asset.hostname、network.http.user_agentprincipal.asset.ipprincipal.asset.ip、network.http.user_agentprincipal.asset.macprincipal.asset.mac、network.http.user_agentprincipal.asset.product_object_idprincipal.asset.product_object_id、network.http.user_agentprincipal.user.email_addressesprincipal.user.email_addresses、network.http.user_agentprincipal.user.employee_idprincipal.user.employee_id、network.http.user_agentprincipal.user.product_object_idprincipal.user.product_object_id、network.http.user_agentprincipal.user.useridprincipal.user.userid、network.http.user_agentprincipal.user.windows_sidprincipal.user.windows_sid,network.http.user_agent
网络字节数
metrics.network_bytes_inbound 会预计算 UDM 事件的历史值
都为非零值,
network.received_bytes,
并将该字段设为 value_sum。
metrics.network_bytes_outbound 要求为
network.sent_bytes 和
将该字段作为 value_sum 提供。
metrics.network_bytes_total 会考虑以下事件具有非零值的事件:
两者之一
network.received_bytes 或
network.sent_bytes(或
),并将这两个字段的总和设为 value_sum。
可用作过滤条件的 UDM 字段的完整列表
principal.asset.asset_idprincipal.asset.asset_id,principal.ip_geo_artifact.location.country_or_regionprincipal.asset.asset_id、security_result.categoryprincipal.asset.asset_id、target.ip_geo_artifact.network.organization_nameprincipal.asset.hostnameprincipal.asset.hostname、principal.ip_geo_artifact.location.country_or_regionprincipal.asset.hostname、security_result.categoryprincipal.asset.hostname、target.ip_geo_artifact.network.organization_nameprincipal.asset.ipprincipal.asset.ip、principal.ip_geo_artifact.location.country_or_regionprincipal.asset.ip、security_result.categoryprincipal.asset.ip、target.ip_geo_artifact.network.organization_nameprincipal.asset.macprincipal.asset.mac、principal.ip_geo_artifact.location.country_or_regionprincipal.asset.mac、security_result.categoryprincipal.asset.mac、target.ip_geo_artifact.network.organization_nameprincipal.asset.product_object_idprincipal.asset.product_object_id、principal.ip_geo_artifact.location.country_or_regionprincipal.asset.product_object_id、security_result.categoryprincipal.asset.product_object_id、target.ip_geo_artifact.network.organization_nameprincipal.user.email_addressesprincipal.user.email_addresses、principal.ip_geo_artifact.location.country_or_regionprincipal.user.email_addresses、security_result.categoryprincipal.user.email_addresses、target.ip_geo_artifact.network.organization_nameprincipal.user.employee_idprincipal.user.employee_id、principal.ip_geo_artifact.location.country_or_regionprincipal.user.employee_id、security_result.categoryprincipal.user.employee_id、target.ip_geo_artifact.network.organization_nameprincipal.user.product_object_idprincipal.user.product_object_id、principal.ip_geo_artifact.location.country_or_regionprincipal.user.product_object_id、security_result.categoryprincipal.user.product_object_id、target.ip_geo_artifact.network.organization_nameprincipal.user.useridprincipal.user.userid、principal.ip_geo_artifact.location.country_or_regionprincipal.user.userid、security_result.categoryprincipal.user.userid、target.ip_geo_artifact.network.organization_nameprincipal.user.windows_sidprincipal.user.windows_sid、principal.ip_geo_artifact.location.country_or_regionprincipal.user.windows_sid、security_result.categoryprincipal.user.windows_sid,target.ip_geo_artifact.network.organization_name
创建资源
metrics.resource_creation_total 会预计算 UDM 事件的历史值
并使用 RESOURCE_CREATION event
type。
metrics.resource_creation_success还要求活动必须在
至少一个
SecurityResult.Action
共 ALLOW 个。
可用作过滤条件的 UDM 字段的完整列表
target.user、metadata.vendor_name、metadata.product_nameprincipal.user、metadata.vendor_name、metadata.product_nameprincipal.user、principal.ip、metadata.vendor_name、metadata.product_nameprincipal.user、target.application、metadata.vendor_name、metadata.product_nametarget.resource.name、metadata.vendor_name、metadata.product_nameprincipal.user、target.resource.name、metadata.vendor_name、metadata.product_nameprincipal.user、target.location.name、metadata.vendor_name、metadata.product_name
删除资源
metrics.resource_deletion_success 会预计算 UDM 事件的历史值
包含 RESOURCE_DELETION event
type及更多级别
要求活动必须至少包含一个
SecurityResult.Actions
共 ALLOW。
可用作过滤条件的 UDM 字段的完整列表
target.user、metadata.vendor_name、metadata.product_nameprincipal.user、metadata.vendor_name、metadata.product_nameprincipal.user、principal.ip、metadata.vendor_name、metadata.product_nameprincipal.user、target.application、metadata.vendor_name、metadata.product_nametarget.resource.name、metadata.vendor_name、metadata.product_nameprincipal.user、target.resource.name、metadata.vendor_name、metadata.product_nameprincipal.user、target.location.name、metadata.vendor_name、metadata.product_name
资源读取
metrics.resource_read_success 会预计算 UDM 事件的历史值
包含 RESOURCE_READ event
type及更多级别
要求活动必须至少包含一个
SecurityResult.Action
共 ALLOW。
metrics.resource_read_fail 不要求任何
SecurityResult.Actions
ALLOW。
可用作过滤条件的 UDM 字段的完整列表
target.user、metadata.vendor_name、metadata.product_nameprincipal.user、metadata.vendor_name、metadata.product_nameprincipal.user、principal.ip、metadata.vendor_name、metadata.product_nameprincipal.user、target.application、metadata.vendor_name、metadata.product_nametarget.resource.name、metadata.vendor_name、metadata.product_nameprincipal.user、target.resource.name、metadata.vendor_name、metadata.product_nameprincipal.user、target.location.name、metadata.vendor_name、metadata.product_name
限制
使用指标创建 YARA-L 规则时,请注意以下限制:
- 您不能将指标与默认值联接(
""用于字符串,0用于 int)。 - 默认值:
- 如果没有与事件相对应的指标数据,则返回 值为 0。
- 如果检测中的某个事件没有指标数据,则使用
对该函数进行聚合的
min可能会返回 0。 - 如需查看某个事件是否有数据,您可以使用
使用相同过滤条件对同一事件进行
num_metric_periods汇总。
- 指标函数只能在结果部分中使用。
- 由于指标函数仅在结果部分中使用, 与包含匹配部分的规则中的其他值一样进行汇总。