为风险分析创建规则
本文档介绍了新 YARA-L 语法功能的主要元素, 风险分析。如需详细了解 YARA-L,请参阅 YARA-L 2.0 语言 语法。
YARA-L 指标函数
Google Security Operations 支持许多指标函数, 大量历史数据。
指标函数只能在结果部分使用。所有示例 函数调用假设在多事件规则中使用。
所有使用指标函数的规则都会自动归类为 多事件规则,即使它们没有匹配部分且只使用一个 事件变量。这意味着它们将计入多事件规则配额。
函数参数
指标函数可用于执行实体行为的规则 分析。
例如,以下规则告知您每天的最大字节数
特定 IP 地址发出的电子邮件。具体 IP 地址为
此示例中由占位符变量 $ip
表示。如需详细了解占位符变量,请参阅变量声明。
$max_bytes_per_day = max(metrics.network_bytes_outbound(
period:1d, window:30d,
metric:value_sum,
agg:max,
principal.asset.ip:$ip
))
由于这些函数中使用了大量参数,因此它们使用命名的 参数,可按任意顺序指定。具体参数如下:
时段
各个日志事件合并为单个事件所用的时间
观察。只允许使用 1h
和 1d
这两个值。
Window
单个观察结果汇总到一个
单个值,例如平均值和最大值。允许以下
window
取决于指标的时间段。有效映射如下所示:
period:1h
:window:today
period:1d
:window:30d
例如,以下规则显示失败次数最多 在某一天中针对特定用户 (Alice) 的身份验证尝试次数, 过去 30 天:
$user = "alice"
$max_fail = max(metrics.auth_attempts_fail(
period:1d, window:30d,
metric:event_count_sum,
agg:max,
target.user.userid:$user
))
first-seen
可同时使用每小时指标和每日指标
检测类型。例如,以下规则可以表明
当用户首次登录此应用时触发:
events:
$e.metadata.event_type = "USER_LOGIN"
$e.security_result.action = "ALLOW"
$userid = $e.target.user.userid
$app = $e.target.application
match:
// find events from now - 4h ago, which is the recommended look-back period
$userid, $app over 4h
outcome:
// check hourly analytics until daily analytics are available
$first_seen_today = max(metrics.auth_attempts_success(
period:1h, window:today, metric:first_seen, agg:max,
target.user.userid:$userid, target.application:$app))
$first_seen_monthly = max(metrics.auth_attempts_success(
period:1d, window:30d, metric:first_seen, agg:max,
target.user.userid:$userid, target.application:$app))
condition:
$e and ($first_seen_today = 0) and ($first_seen_monthly = 0)
指标
在每个时间段中,每个观察结果都有多个与之相关的指标。
必须选择其中一项,才能在整个窗口中进行汇总。五
支持 metric
类型:
event_count_sum
- 每个时间段内的唯一日志事件数。
first_seen
- 每个日志中匹配日志事件的首次出现的时间戳
。
last_seen
- 每个列表中匹配日志事件的最后出现的时间戳
。
value_sum
- 表示所有日志中字节数的总和
个事件总数您只能为指标使用此值
名称中带有 bytes
的函数。
num_unique_filter_values
- 未预先计算的指标
Google Security Operations,但可在规则执行期间计算。请参阅唯一身份计数
指标,了解更多详情和要求。
Agg
对指标应用的聚合。聚合适用于 整个时间段(例如过去 30 天内的最高每日值)。允许的 值为:
avg
- 每个时间段的平均值。这是一个统计平均值,
值为零。
max
- 每个时间段的最大价值。
min
- 每个时间段的最小值。
num_metric_periods
- 时间范围内出现
非零指标值。
stddev
- 每个时间段的值的标准差。这是一个统计
包含零值的标准差。
sum
- 每个时间段在整个时间范围内每个值的总和。
例如,以下规则可以显示失败次数 在任意指定日期内针对特定用户 (Alice) 的身份验证尝试次数 过去 30 天:
$user = "alice"
$avg_fail = max(metrics.auth_attempts_fail(
period:1d, window:30d,
metric:event_count_sum,
agg:avg,
target.user.userid:$user
))
以下规则会说明特定用户的成功身份验证次数 :
$total_success = max(metrics.auth_attempts_success(
period:1d, window:30d,
metric:event_count_sum,
agg:sum,
target.user.userid:$user
))
通过以下规则,您可以了解某个用户是否在 在过去 30 天内至少投放过一次:
$days_success = max(metrics.auth_attempts_success(
period:1d, window:30d,
metric:event_count_sum,
agg:num_metric_periods,
target.user.userid:$user
))
下面的规则可以告诉您特定用户首次或上次登录的时间 成功:
$first_seen = max(metrics.auth_attempts_success(
period:1d, window:30d,
metric:first_seen,
agg:min,
target.user.userid:$user
))
$last_seen = max(metrics.auth_attempts_success(
period:1d, window:30d,
metric:last_seen,
agg:max,
target.user.userid:$user
))
通过下面的规则,您可以了解用户在任意时间段内发送的最大字节数 在过去 30 天中的某一天:
$max_daily_bytes = max(metrics.network_bytes_outbound(
period:1d, window:30d,
metric:value_sum,
agg:max,
target.user.userid:$user
))
过滤
借助过滤条件,您可以在按 预计算的指标(请参阅“指标”中的值)。过滤条件可以是任何有效的 事件表达式(事件部分中的单行),其中不包含 任何事件字段或占位符变量可以仅包含 这个条件就是指标类型
以下规则仅包含满足以下条件的指标:value_sum > 10 AND
event_count_sum > 2
:
$max_bytes_per_day = max(metrics.network_bytes_outbound(
period:1d, window:30d,
metric:value_sum,
agg:max,
principal.asset.ip:$ip
filter:value_sum > 10 AND event_count_sum > 2
))
有效的过滤条件示例
filter:value_sum > 10 AND event_count_sum != 5
filter:event_count_sum = 100 OR event_count_sum > 1000
filter:timestamp.get_day_of_week(first_seen) = 3
无效的过滤条件示例
// No placeholders in filter expressions.
filter:value_sum > $ph
// No event fields in filter expressions.
filter:event_count_sum + $e.field > 10
// No event fields in filter expressions.
filter:timestamp.subtract(first_seen, $e.metadata.timestamp)
UDM 字段
系统会按 1 个、2 个或 3 个 UDM 字段对指标进行过滤,具体取决于函数。对于 如需了解详情,请参阅函数。
以下类型的 UDM 字段用于指标函数:
- 维度 -(必填)此表中列出了不同的组合
文档。您不能将指标与默认值(
""
字符串;对于 int,则为0
)。 - 命名空间 -(可选)您只能为符合以下条件的实体使用命名空间
指定尺寸例如,如果您使用
principal.asset.hostname filter
,则也可以使用principal.namespace filter
。如果您 添加命名空间过滤条件,则系统会汇总所有命名空间中的数据 。您可以使用默认值作为命名空间过滤条件。
窗口期计算
Google Security Operations 使用每日或每小时指标计算指标 窗口。
每日窗口
所有每日窗口(例如 30d
)都是以相同的方式确定。
Google Security Operations 使用
与规则时间范围不重叠的生成日期。计算
每日指标最长可能需要 6 小时才能完成,并且直到结束才开始显示
日期(UTC 时间)。前一天的指标数据将在 或
世界协调时间 (UTC) 每天 6:00 之前。
例如,对于针对世界协调时间 (UTC) 2023 年 10 月 31 日 4:00 期间的事件数据运行的规则 到世界协调时间 2023 年 10 月 31 日 7:00,那么 2023 年 10 月 31 日的每日指标很可能已经 因此指标计算将使用 2023 年 10 月 1 日至 2001 年 1 月期间的数据 2023-10-30(含)。而对于针对事件数据运行的规则 世界协调时间 2023-10-31 1:00 至 2023-10-31 3:00(世界协调时间 [UTC] 2023-10-30 的每日指标) 因此在计算指标时将使用 2023-09-30 至 2023-10-29(含)之间。
每小时 today
个窗口
每小时指标窗口的计算方式与
每日指标today
的每小时指标窗口不是
每日指标的时间范围为 30d
。每小时指标窗口 today
将填充为
在每日窗口期结束和开始阶段之间尽可能多的数据
。
例如,对于针对 2023 年 10 月 31 日 4:00:00 的事件数据运行的规则 世界协调时间 (UTC) 2023 年 10 月 31 日 7:00:00 世界协调时间 (UTC),则每日指标计算将使用数据 从 2023 年 10 月 1 日至 2023 年 10 月 30 日(含)的数据,每小时指标时间范围将采用 世界协调时间 (UTC) 2023-10-31 00:00:00 至 2023-10-31 4:00:00 期间的数据。
统计唯一指标
有一种特殊类型的指标 num_unique_filter_values
,
由 Google Security Operations 预计算
而是在规则执行期间计算的这是通过汇总
与预先计算的指标中的现有维度进行比较例如,指标
daily total count of distinct countries that a user attempted to authenticate
可根据网站上预先计算的auth_attempts_total
指标
维度“target.user.userid
”和
principal.ip_geo_artifact.location.country_or_region
(通过执行计数)
对后一个维度进行的唯一汇总。
以下示例规则会统计唯一指标:
$outcome_variable = max(metrics.auth_attempts_total(
period: 1d,
window: 30d,
// This metric type indicates any filter with a wildcard value should be
// aggregated over each day to produce a new metric on-the-fly.
metric: num_unique_filter_values,
agg: max,
target.user.userid: $userid,
// Filter whose value should be counted over each day to produce the
// num_unique_filter_values metric.
principal.ip_geo_artifact.location.country_or_region: *
))
此功能具有以下限制:
- 计算唯一指标计数时,只能使用 1 个过滤条件进行汇总
维度。您可以通过使用通配符令牌
*
作为过滤条件来指明这一点 值。
Functions
本部分包含有关支持的特定指标函数的文档 。
提醒事件
metrics.alert_event_name_count
会预计算 UDM 事件的历史值
具有非零值且在
Google Workspace received_bytes
,并将该字段提供为以下名称:
value_sum
。
可用作过滤条件的 UDM 字段的完整列表
principal.asset.asset_id, principal.process.file.full_path, principal.user.email_addresses, security_result.rule_name
principal.asset.asset_id, principal.process.file.full_path, principal.user.employee_id, security_result.rule_name
principal.asset.asset_id, principal.process.file.full_path, principal.user.product_object_id, security_result.rule_name
principal.asset.asset_id, principal.process.file.full_path, principal.user.userid, security_result.rule_name
principal.asset.asset_id, principal.process.file.full_path, principal.user.windows_sid, security_result.rule_name
principal.asset.asset_id, principal.process.file.full_path, security_result.rule_name
principal.asset.asset_id, principal.process.file.sha256, principal.user.email_addresses, security_result.rule_name
principal.asset.asset_id, principal.process.file.sha256, principal.user.employee_id, security_result.rule_name
principal.asset.asset_id, principal.process.file.sha256, principal.user.product_object_id, security_result.rule_name
principal.asset.asset_id, principal.process.file.sha256, principal.user.userid, security_result.rule_name
principal.asset.asset_id, principal.process.file.sha256, principal.user.windows_sid, security_result.rule_name
principal.asset.asset_id, security_result.rule_name
principal.asset.hostname, principal.process.file.full_path, principal.user.email_addresses, security_result.rule_name
principal.asset.hostname, principal.process.file.full_path, principal.user.employee_id, security_result.rule_name
principal.asset.hostname, principal.process.file.full_path, principal.user.product_object_id, security_result.rule_name
principal.asset.hostname, principal.process.file.full_path, principal.user.userid, security_result.rule_name
principal.asset.hostname, principal.process.file.full_path, principal.user.windows_sid, security_result.rule_name
principal.asset.hostname, principal.process.file.full_path, security_result.rule_name
principal.asset.hostname, principal.process.file.sha256, principal.user.email_addresses, security_result.rule_name
principal.asset.hostname, principal.process.file.sha256, principal.user.employee_id, security_result.rule_name
principal.asset.hostname, principal.process.file.sha256, principal.user.product_object_id, security_result.rule_name
principal.asset.hostname, principal.process.file.sha256, principal.user.userid, security_result.rule_name
principal.asset.hostname, principal.process.file.sha256, principal.user.windows_sid, security_result.rule_name
principal.asset.hostname, security_result.rule_name
principal.asset.ip, principal.process.file.full_path, principal.user.email_addresses, security_result.rule_name
principal.asset.ip, principal.process.file.full_path, principal.user.employee_id, security_result.rule_name
principal.asset.ip, principal.process.file.full_path, principal.user.product_object_id, security_result.rule_name
principal.asset.ip, principal.process.file.full_path, principal.user.userid, security_result.rule_name
principal.asset.ip, principal.process.file.full_path, principal.user.windows_sid, security_result.rule_name
principal.asset.ip, principal.process.file.full_path, security_result.rule_name
principal.asset.ip, principal.process.file.sha256, principal.user.email_addresses, security_result.rule_name
principal.asset.ip, principal.process.file.sha256, principal.user.employee_id, security_result.rule_name
principal.asset.ip, principal.process.file.sha256, principal.user.product_object_id, security_result.rule_name
principal.asset.ip, principal.process.file.sha256, principal.user.userid, security_result.rule_name
principal.asset.ip, principal.process.file.sha256, principal.user.windows_sid, security_result.rule_name
principal.asset.ip, security_result.rule_name
principal.asset.mac, principal.process.file.full_path, principal.user.email_addresses, security_result.rule_name
principal.asset.mac, principal.process.file.full_path, principal.user.employee_id, security_result.rule_name
principal.asset.mac, principal.process.file.full_path, principal.user.product_object_id, security_result.rule_name
principal.asset.mac, principal.process.file.full_path, principal.user.userid, security_result.rule_name
principal.asset.mac, principal.process.file.full_path, principal.user.windows_sid, security_result.rule_name
principal.asset.mac, principal.process.file.full_path, security_result.rule_name
principal.asset.mac, principal.process.file.sha256, principal.user.email_addresses, security_result.rule_name
principal.asset.mac, principal.process.file.sha256, principal.user.employee_id, security_result.rule_name
principal.asset.mac, principal.process.file.sha256, principal.user.product_object_id, security_result.rule_name
principal.asset.mac, principal.process.file.sha256, principal.user.userid, security_result.rule_name
principal.asset.mac, principal.process.file.sha256, principal.user.windows_sid, security_result.rule_name
principal.asset.mac, security_result.rule_name
principal.asset.product_object_id, principal.process.file.full_path, principal.user.email_addresses, security_result.rule_name
principal.asset.product_object_id, principal.process.file.full_path, principal.user.employee_id, security_result.rule_name
principal.asset.product_object_id, principal.process.file.full_path, principal.user.product_object_id, security_result.rule_name
principal.asset.product_object_id, principal.process.file.full_path, principal.user.userid, security_result.rule_name
principal.asset.product_object_id, principal.process.file.full_path, principal.user.windows_sid, security_result.rule_name
principal.asset.product_object_id, principal.process.file.full_path, security_result.rule_name
principal.asset.product_object_id, principal.process.file.sha256, principal.user.email_addresses, security_result.rule_name
principal.asset.product_object_id, principal.process.file.sha256, principal.user.employee_id, security_result.rule_name
principal.asset.product_object_id, principal.process.file.sha256, principal.user.product_object_id, security_result.rule_name
principal.asset.product_object_id, principal.process.file.sha256, principal.user.userid, security_result.rule_name
principal.asset.product_object_id, principal.process.file.sha256, principal.user.windows_sid, security_result.rule_name
principal.asset.product_object_id, security_result.rule_name
身份验证尝试次数
metrics.auth_attempts_total
会通过以下方式预计算 UDM 事件的历史值:
USER_LOGIN
event
type
。
metrics.auth_attempts_success
还要求事件至少要
SecurityResult.Action
共 ALLOW
个。
metrics.auth_attempts_fail
要求不要求任何
SecurityResult.Actions
ALLOW
。
可用作过滤条件的 UDM 字段的完整列表
principal.asset.asset_id
principal.asset.asset_id
,target.asset.asset_id
principal.asset.asset_id
、target.asset.hostname
principal.asset.asset_id
、target.asset.ip
principal.asset.asset_id
、target.asset.mac
principal.asset.asset_id
、target.asset.product_object_id
principal.asset.hostname
principal.asset.hostname
、target.asset.asset_id
principal.asset.hostname
、target.asset.hostname
principal.asset.hostname
、target.asset.ip
principal.asset.hostname
、target.asset.mac
principal.asset.hostname
、target.asset.product_object_id
principal.asset.ip
principal.asset.ip
、target.asset.asset_id
principal.asset.ip
、target.asset.hostname
principal.asset.ip
、target.asset.ip
principal.asset.ip
、target.asset.mac
principal.asset.ip
、target.asset.product_object_id
principal.asset.mac
principal.asset.mac
、target.asset.asset_id
principal.asset.mac
、target.asset.hostname
principal.asset.mac
、target.asset.ip
principal.asset.mac
、target.asset.mac
principal.asset.mac
、target.asset.product_object_id
principal.asset.product_object_id
principal.asset.product_object_id
、target.asset.asset_id
principal.asset.product_object_id
、target.asset.hostname
principal.asset.product_object_id
、target.asset.ip
principal.asset.product_object_id
、target.asset.mac
principal.asset.product_object_id
、target.asset.product_object_id
principal.user.email_addresses
principal.user.email_addresses
、target.asset.asset_id
principal.user.email_addresses
、target.asset.hostname
principal.user.email_addresses
、target.asset.ip
principal.user.email_addresses
、target.asset.mac
principal.user.email_addresses
、target.asset.product_object_id
principal.user.employee_id
principal.user.employee_id
、target.asset.asset_id
principal.user.employee_id
、target.asset.hostname
principal.user.employee_id
、target.asset.ip
principal.user.employee_id
、target.asset.mac
principal.user.employee_id
、target.asset.product_object_id
principal.user.product_object_id
principal.user.product_object_id
、target.asset.asset_id
principal.user.product_object_id
、target.asset.hostname
principal.user.product_object_id
、target.asset.ip
principal.user.product_object_id
、target.asset.mac
principal.user.product_object_id
、target.asset.product_object_id
principal.user.userid
principal.user.userid
、target.asset.asset_id
principal.user.userid
、target.asset.hostname
principal.user.userid
、target.asset.ip
principal.user.userid
、target.asset.mac
principal.user.userid
、target.asset.product_object_id
principal.user.windows_sid
principal.user.windows_sid
、target.asset.asset_id
principal.user.windows_sid
、target.asset.hostname
principal.user.windows_sid
、target.asset.ip
principal.user.windows_sid
、target.asset.mac
principal.user.windows_sid
、target.asset.product_object_id
target.application
target.user.email_addresses
target.user.email_addresses
、network.tls.client.certificate.sha256
target.user.email_addresses
、principal.ip_geo_artifact.location.country_or_region
target.user.email_addresses
、principal.ip_geo_artifact.network.organization_name
target.user.email_addresses
、target.application
target.user.employee_id
target.user.employee_id
、network.tls.client.certificate.sha256
target.user.employee_id
、principal.ip_geo_artifact.location.country_or_region
target.user.employee_id
、principal.ip_geo_artifact.network.organization_name
target.user.employee_id
、target.application
target.user.product_object_id
target.user.product_object_id
、network.tls.client.certificate.sha256
target.user.product_object_id
、principal.ip_geo_artifact.location.country_or_region
target.user.product_object_id
、principal.ip_geo_artifact.network.organization_name
target.user.product_object_id
、target.application
target.user.userid
target.user.userid
、network.tls.client.certificate.sha256
target.user.userid
、principal.ip_geo_artifact.location.country_or_region
target.user.userid
、principal.ip_geo_artifact.network.organization_name
target.user.userid
、target.application
target.user.windows_sid
target.user.windows_sid
、network.tls.client.certificate.sha256
target.user.windows_sid
、principal.ip_geo_artifact.location.country_or_region
target.user.windows_sid
、principal.ip_geo_artifact.network.organization_name
target.user.windows_sid
,target.application
metrics.auth_attempts_total
有其他 UDM 字段可用作过滤条件
target.application
,target.asset.asset_id
target.application
、target.asset.hostname
target.application
、target.asset.ip
target.application
、target.asset.mac
target.application
,target.asset.product_object_id
metrics.auth_attempts_success
有其他 UDM 字段可用作过滤条件
network.http.user_agent
principal.asset.asset_id
,metadata.event_type
principal.asset.hostname
、metadata.event_type
principal.asset.ip
、metadata.event_type
principal.asset.mac
、metadata.event_type
principal.asset.product_object_id
,metadata.event_type
传出的 DNS 字节数
metrics.dns_bytes_outbound
会预计算 UDM 事件的历史值,其中
network
.sent_bytes
大于 0,
目标端口为 53/udp
、53/tcp
或 3000/tcp
。
network
.sent_bytes
是
value_sum
。
可用作过滤条件的 UDM 字段的完整列表
principal.asset.asset_id
principal.asset.asset_id
,target.ip
principal.asset.hostname
principal.asset.hostname
、target.ip
principal.asset.ip
principal.asset.ip
、target.ip
principal.asset.mac
principal.asset.mac
、target.ip
principal.asset.product_object_id
principal.asset.product_object_id
、target.ip
principal.user.email_addresses
principal.user.email_addresses
、target.ip
principal.user.employee_id
principal.user.employee_id
、target.ip
principal.user.product_object_id
principal.user.product_object_id
、target.ip
principal.user.userid
principal.user.userid
、target.ip
principal.user.windows_sid
principal.user.windows_sid
,target.ip
target.ip
DNS 查询
metrics.dns_queries_total
会预计算符合以下条件的 UDM 事件的历史值:
包含值
network
.dns.id
。
metrics.dns_queries_success
还要求
network
。dns.response_code
原价 0
(NoError
)。
metrics.dns_queries_fail
仅会考虑符合以下条件的事件:
network
。dns.response_code
大于 0
。
可用作过滤条件的 UDM 字段的完整列表
principal.asset.asset_id
principal.asset.asset_id
,network.dns_domain
principal.asset.asset_id
、network.dns.questions.type
principal.asset.hostname
principal.asset.hostname
、network.dns_domain
principal.asset.hostname
、network.dns.questions.type
principal.asset.ip
principal.asset.ip
、network.dns_domain
principal.asset.ip
、network.dns.questions.type
principal.asset.mac
principal.asset.mac
、network.dns_domain
principal.asset.mac
、network.dns.questions.type
principal.asset.product_object_id
principal.asset.product_object_id
、network.dns_domain
principal.asset.product_object_id
、network.dns.questions.type
principal.user.email_addresses
principal.user.email_addresses
、network.dns_domain
principal.user.email_addresses
、network.dns.questions.type
principal.user.employee_id
principal.user.employee_id
、network.dns_domain
principal.user.employee_id
、network.dns.questions.type
principal.user.product_object_id
principal.user.product_object_id
、network.dns_domain
principal.user.product_object_id
、network.dns.questions.type
principal.user.userid
principal.user.userid
、network.dns_domain
principal.user.userid
、network.dns.questions.type
principal.user.windows_sid
principal.user.windows_sid
、network.dns_domain
principal.user.windows_sid
,network.dns.questions.type
文件执行
metrics.file_executions_total
会预计算 UDM 事件的历史值
并使用 PROCESS_LAUNCH
event
type
。
metrics.file_executions_success
还要求事件至少要
一
SecurityResult.Action
共 ALLOW
个。
metrics.file_executions_fail
不要求任何
SecurityResult.Actions
ALLOW
。
可用作过滤条件的 UDM 字段的完整列表
metadata.event_type
,principal.process.file.sha256
metadata.event_type
、principal.asset.asset_id
、principal.process.file.sha256
metadata.event_type
、principal.asset.hostname
、principal.process.file.sha256
metadata.event_type
、principal.asset.ip
、principal.process.file.sha256
metadata.event_type
、principal.asset.mac
、principal.process.file.sha256
metadata.event_type
、principal.asset.product_object_id
、principal.process.file.sha256
metadata.event_type
、principal.user.email_addresses
、principal.process.file.sha256
metadata.event_type
、principal.user.employee_id
、principal.process.file.sha256
metadata.event_type
、principal.user.product_object_id
、principal.process.file.sha256
metadata.event_type
、principal.user.userid
、principal.process.file.sha256
metadata.event_type
、principal.user.windows_sid
、principal.process.file.sha256
HTTP 查询
metrics.http_queries_total
会预计算符合以下条件的 UDM 事件的历史值:
包含值
network
.http.method
。
metrics.http_queries_success
还要求:
network
。http.response_code
小于 400。
metrics.http_queries_fail
仅会考虑符合以下条件的事件:
network
。http.response_code
小于或等于 400。
可用作过滤条件的 UDM 字段的完整列表
principal.asset.asset_id
principal.asset.asset_id
,network.http.user_agent
principal.asset.hostname
principal.asset.hostname
、network.http.user_agent
principal.asset.ip
principal.asset.ip
、network.http.user_agent
principal.asset.mac
principal.asset.mac
、network.http.user_agent
principal.asset.product_object_id
principal.asset.product_object_id
、network.http.user_agent
principal.user.email_addresses
principal.user.email_addresses
、network.http.user_agent
principal.user.employee_id
principal.user.employee_id
、network.http.user_agent
principal.user.product_object_id
principal.user.product_object_id
、network.http.user_agent
principal.user.userid
principal.user.userid
、network.http.user_agent
principal.user.windows_sid
principal.user.windows_sid
,network.http.user_agent
网络字节数
metrics.network_bytes_inbound
会预计算 UDM 事件的历史值
都为非零值,
network
.received_bytes
,
并将该字段设为 value_sum
。
metrics.network_bytes_outbound
要求为
network
.sent_bytes
和
将该字段作为 value_sum
提供。
metrics.network_bytes_total
会考虑以下事件具有非零值的事件:
两者之一
network
.received_bytes
或
network
.sent_bytes
(或
),并将这两个字段的总和设为 value_sum
。
可用作过滤条件的 UDM 字段的完整列表
principal.asset.asset_id
principal.asset.asset_id
,principal.ip_geo_artifact.location.country_or_region
principal.asset.asset_id
、security_result.category
principal.asset.asset_id
、target.ip_geo_artifact.network.organization_name
principal.asset.hostname
principal.asset.hostname
、principal.ip_geo_artifact.location.country_or_region
principal.asset.hostname
、security_result.category
principal.asset.hostname
、target.ip_geo_artifact.network.organization_name
principal.asset.ip
principal.asset.ip
、principal.ip_geo_artifact.location.country_or_region
principal.asset.ip
、security_result.category
principal.asset.ip
、target.ip_geo_artifact.network.organization_name
principal.asset.mac
principal.asset.mac
、principal.ip_geo_artifact.location.country_or_region
principal.asset.mac
、security_result.category
principal.asset.mac
、target.ip_geo_artifact.network.organization_name
principal.asset.product_object_id
principal.asset.product_object_id
、principal.ip_geo_artifact.location.country_or_region
principal.asset.product_object_id
、security_result.category
principal.asset.product_object_id
、target.ip_geo_artifact.network.organization_name
principal.user.email_addresses
principal.user.email_addresses
、principal.ip_geo_artifact.location.country_or_region
principal.user.email_addresses
、security_result.category
principal.user.email_addresses
、target.ip_geo_artifact.network.organization_name
principal.user.employee_id
principal.user.employee_id
、principal.ip_geo_artifact.location.country_or_region
principal.user.employee_id
、security_result.category
principal.user.employee_id
、target.ip_geo_artifact.network.organization_name
principal.user.product_object_id
principal.user.product_object_id
、principal.ip_geo_artifact.location.country_or_region
principal.user.product_object_id
、security_result.category
principal.user.product_object_id
、target.ip_geo_artifact.network.organization_name
principal.user.userid
principal.user.userid
、principal.ip_geo_artifact.location.country_or_region
principal.user.userid
、security_result.category
principal.user.userid
、target.ip_geo_artifact.network.organization_name
principal.user.windows_sid
principal.user.windows_sid
、principal.ip_geo_artifact.location.country_or_region
principal.user.windows_sid
、security_result.category
principal.user.windows_sid
,target.ip_geo_artifact.network.organization_name
创建资源
metrics.resource_creation_total
会预计算 UDM 事件的历史值
并使用 RESOURCE_CREATION
event
type
。
metrics.resource_creation_success
还要求活动必须在
至少一个
SecurityResult.Action
共 ALLOW
个。
可用作过滤条件的 UDM 字段的完整列表
target.user
、metadata.vendor_name
、metadata.product_name
principal.user
、metadata.vendor_name
、metadata.product_name
principal.user
、principal.ip
、metadata.vendor_name
、metadata.product_name
principal.user
、target.application
、metadata.vendor_name
、metadata.product_name
target.resource.name
、metadata.vendor_name
、metadata.product_name
principal.user
、target.resource.name
、metadata.vendor_name
、metadata.product_name
principal.user
、target.location.name
、metadata.vendor_name
、metadata.product_name
删除资源
metrics.resource_deletion_success
会预计算 UDM 事件的历史值
包含 RESOURCE_DELETION
event
type
及更多级别
要求活动必须至少包含一个
SecurityResult.Actions
共 ALLOW
。
可用作过滤条件的 UDM 字段的完整列表
target.user
、metadata.vendor_name
、metadata.product_name
principal.user
、metadata.vendor_name
、metadata.product_name
principal.user
、principal.ip
、metadata.vendor_name
、metadata.product_name
principal.user
、target.application
、metadata.vendor_name
、metadata.product_name
target.resource.name
、metadata.vendor_name
、metadata.product_name
principal.user
、target.resource.name
、metadata.vendor_name
、metadata.product_name
principal.user
、target.location.name
、metadata.vendor_name
、metadata.product_name
资源读取
metrics.resource_read_success
会预计算 UDM 事件的历史值
包含 RESOURCE_READ
event
type
及更多级别
要求活动必须至少包含一个
SecurityResult.Action
共 ALLOW
。
metrics.resource_read_fail
不要求任何
SecurityResult.Actions
ALLOW
。
可用作过滤条件的 UDM 字段的完整列表
target.user
、metadata.vendor_name
、metadata.product_name
principal.user
、metadata.vendor_name
、metadata.product_name
principal.user
、principal.ip
、metadata.vendor_name
、metadata.product_name
principal.user
、target.application
、metadata.vendor_name
、metadata.product_name
target.resource.name
、metadata.vendor_name
、metadata.product_name
principal.user
、target.resource.name
、metadata.vendor_name
、metadata.product_name
principal.user
、target.location.name
、metadata.vendor_name
、metadata.product_name
限制
使用指标创建 YARA-L 规则时,请注意以下限制:
- 您不能将指标与默认值联接(
""
用于字符串,0
用于 int)。 - 默认值:
- 如果没有与事件相对应的指标数据,则返回 值为 0。
- 如果检测中的某个事件没有指标数据,则使用
对该函数进行聚合的
min
可能会返回 0。 - 如需查看某个事件是否有数据,您可以使用
使用相同过滤条件对同一事件进行
num_metric_periods
汇总。
- 指标函数只能在结果部分中使用。
- 由于指标函数仅在结果部分中使用, 与包含匹配部分的规则中的其他值一样进行汇总。