为风险分析创建规则

支持以下语言:

本文档介绍了新 YARA-L 语法功能的主要元素, 风险分析。如需详细了解 YARA-L,请参阅 YARA-L 2.0 语言 语法

YARA-L 指标函数

Google Security Operations 支持许多指标函数, 大量历史数据。

指标函数只能在结果部分使用。所有示例 函数调用假设在多事件规则中使用。

所有使用指标函数的规则都会自动归类为 多事件规则,即使它们没有匹配部分且只使用一个 事件变量。这意味着它们将计入多事件规则配额。

函数参数

指标函数可用于执行实体行为的规则 分析。

例如,以下规则告知您每天的最大字节数 特定 IP 地址发出的电子邮件。具体 IP 地址为 此示例中由占位符变量 $ip 表示。如需详细了解占位符变量,请参阅变量声明

$max_bytes_per_day = max(metrics.network_bytes_outbound(
    period:1d, window:30d,
    metric:value_sum,
    agg:max,
    principal.asset.ip:$ip
))

由于这些函数中使用了大量参数,因此它们使用命名的 参数,可按任意顺序指定。具体参数如下:

时段

各个日志事件合并为单个事件所用的时间 观察。只允许使用 1h1d 这两个值。

Window

单个观察结果汇总到一个 单个值,例如平均值和最大值。允许以下 window 取决于指标的时间段。有效映射如下所示:

period:1h:window:today

period:1d:window:30d

例如,以下规则显示失败次数最多 在某一天中针对特定用户 (Alice) 的身份验证尝试次数, 过去 30 天:

$user = "alice"
$max_fail = max(metrics.auth_attempts_fail(
    period:1d, window:30d,
        metric:event_count_sum,
        agg:max,
        target.user.userid:$user
))

first-seen可同时使用每小时指标和每日指标 检测类型。例如,以下规则可以表明 当用户首次登录此应用时触发:

events:
    $e.metadata.event_type = "USER_LOGIN"
    $e.security_result.action = "ALLOW"
    $userid = $e.target.user.userid
    $app = $e.target.application
match:
    // find events from now - 4h ago, which is the recommended look-back period
    $userid, $app over 4h
outcome:
    // check hourly analytics until daily analytics are available
    $first_seen_today = max(metrics.auth_attempts_success(
        period:1h, window:today, metric:first_seen, agg:max,
        target.user.userid:$userid, target.application:$app))
    $first_seen_monthly = max(metrics.auth_attempts_success(
        period:1d, window:30d, metric:first_seen, agg:max,
        target.user.userid:$userid, target.application:$app))
condition:
    $e and ($first_seen_today = 0) and ($first_seen_monthly = 0)

指标

在每个时间段中,每个观察结果都有多个与之相关的指标。 必须选择其中一项,才能在整个窗口中进行汇总。五 支持 metric 类型:

event_count_sum - 每个时间段内的唯一日志事件数。

first_seen - 每个日志中匹配日志事件的首次出现的时间戳 。

last_seen - 每个列表中匹配日志事件的最后出现的时间戳 。

value_sum - 表示所有日志中字节数的总和 个事件总数您只能为指标使用此值 名称中带有 bytes 的函数。

num_unique_filter_values - 未预先计算的指标 Google Security Operations,但可在规则执行期间计算。请参阅唯一身份计数 指标,了解更多详情和要求。

Agg

对指标应用的聚合。聚合适用于 整个时间段(例如过去 30 天内的最高每日值)。允许的 值为:

avg - 每个时间段的平均值。这是一个统计平均值, 值为零。

max - 每个时间段的最大价值。

min - 每个时间段的最小值。

num_metric_periods - 时间范围内出现 非零指标值。

stddev - 每个时间段的值的标准差。这是一个统计 包含零值的标准差。

sum - 每个时间段在整个时间范围内每个值的总和。

例如,以下规则可以显示失败次数 在任意指定日期内针对特定用户 (Alice) 的身份验证尝试次数 过去 30 天:

$user = "alice"
$avg_fail = max(metrics.auth_attempts_fail(
        period:1d, window:30d,
        metric:event_count_sum,
        agg:avg,
        target.user.userid:$user
))

以下规则会说明特定用户的成功身份验证次数 :

$total_success = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:event_count_sum,
        agg:sum,
        target.user.userid:$user
))

通过以下规则,您可以了解某个用户是否在 在过去 30 天内至少投放过一次:

$days_success = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:event_count_sum,
        agg:num_metric_periods,
        target.user.userid:$user
))

下面的规则可以告诉您特定用户首次或上次登录的时间 成功:

$first_seen = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:first_seen,
        agg:min,
        target.user.userid:$user
))
$last_seen = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:last_seen,
        agg:max,
        target.user.userid:$user
))

通过下面的规则,您可以了解用户在任意时间段内发送的最大字节数 在过去 30 天中的某一天:

$max_daily_bytes = max(metrics.network_bytes_outbound(
        period:1d, window:30d,
        metric:value_sum,
        agg:max,
        target.user.userid:$user
))

过滤

借助过滤条件,您可以在按 预计算的指标(请参阅“指标”中的值)。过滤条件可以是任何有效的 事件表达式(事件部分中的单行),其中不包含 任何事件字段或占位符变量可以仅包含 这个条件就是指标类型

以下规则仅包含满足以下条件的指标:value_sum > 10 AND event_count_sum > 2

$max_bytes_per_day = max(metrics.network_bytes_outbound(
    period:1d, window:30d,
    metric:value_sum,
    agg:max,
    principal.asset.ip:$ip
    filter:value_sum > 10 AND event_count_sum > 2
))
有效的过滤条件示例
filter:value_sum > 10 AND event_count_sum != 5
filter:event_count_sum = 100 OR event_count_sum > 1000
filter:timestamp.get_day_of_week(first_seen) = 3
无效的过滤条件示例
// No placeholders in filter expressions.
filter:value_sum > $ph

// No event fields in filter expressions.
filter:event_count_sum + $e.field > 10

// No event fields in filter expressions.
filter:timestamp.subtract(first_seen, $e.metadata.timestamp)

UDM 字段

系统会按 1 个、2 个或 3 个 UDM 字段对指标进行过滤,具体取决于函数。对于 如需了解详情,请参阅函数

以下类型的 UDM 字段用于指标函数:

  • 维度 -(必填)此表中列出了不同的组合 文档。您不能将指标与默认值("" 字符串;对于 int,则为 0)。
  • 命名空间 -(可选)您只能为符合以下条件的实体使用命名空间 指定尺寸例如,如果您使用 principal.asset.hostname filter,则也可以使用 principal.namespace filter。如果您 添加命名空间过滤条件,则系统会汇总所有命名空间中的数据 。您可以使用默认值作为命名空间过滤条件。

窗口期计算

Google Security Operations 使用每日或每小时指标计算指标 窗口。

每日窗口

所有每日窗口(例如 30d)都是以相同的方式确定。 Google Security Operations 使用 与规则时间范围不重叠的生成日期。计算 每日指标最长可能需要 6 小时才能完成,并且直到结束才开始显示 日期(UTC 时间)。前一天的指标数据将在 或 世界协调时间 (UTC) 每天 6:00 之前。

例如,对于针对世界协调时间 (UTC) 2023 年 10 月 31 日 4:00 期间的事件数据运行的规则 到世界协调时间 2023 年 10 月 31 日 7:00,那么 2023 年 10 月 31 日的每日指标很可能已经 因此指标计算将使用 2023 年 10 月 1 日至 2001 年 1 月期间的数据 2023-10-30(含)。而对于针对事件数据运行的规则 世界协调时间 2023-10-31 1:00 至 2023-10-31 3:00(世界协调时间 [UTC] 2023-10-30 的每日指标) 因此在计算指标时将使用 2023-09-30 至 2023-10-29(含)之间。

每小时 today 个窗口

每小时指标窗口的计算方式与 每日指标today 的每小时指标窗口不是 每日指标的时间范围为 30d。每小时指标窗口 today 将填充为 在每日窗口期结束和开始阶段之间尽可能多的数据 。

例如,对于针对 2023 年 10 月 31 日 4:00:00 的事件数据运行的规则 世界协调时间 (UTC) 2023 年 10 月 31 日 7:00:00 世界协调时间 (UTC),则每日指标计算将使用数据 从 2023 年 10 月 1 日至 2023 年 10 月 30 日(含)的数据,每小时指标时间范围将采用 世界协调时间 (UTC) 2023-10-31 00:00:00 至 2023-10-31 4:00:00 期间的数据。

统计唯一指标

有一种特殊类型的指标 num_unique_filter_values, 由 Google Security Operations 预计算 而是在规则执行期间计算的这是通过汇总 与预先计算的指标中的现有维度进行比较例如,指标 daily total count of distinct countries that a user attempted to authenticate 可根据网站上预先计算的auth_attempts_total指标 维度“target.user.userid”和 principal.ip_geo_artifact.location.country_or_region(通过执行计数) 对后一个维度进行的唯一汇总。

以下示例规则会统计唯一指标:

$outcome_variable = max(metrics.auth_attempts_total(
    period: 1d,
    window: 30d,
    // This metric type indicates any filter with a wildcard value should be
    // aggregated over each day to produce a new metric on-the-fly.
    metric: num_unique_filter_values,
    agg: max,
    target.user.userid: $userid,
    // Filter whose value should be counted over each day to produce the
    // num_unique_filter_values metric.
    principal.ip_geo_artifact.location.country_or_region: *
))

此功能具有以下限制:

  • 计算唯一指标计数时,只能使用 1 个过滤条件进行汇总 维度。您可以通过使用通配符令牌 * 作为过滤条件来指明这一点 值。

Functions

本部分包含有关支持的特定指标函数的文档 。

提醒事件

metrics.alert_event_name_count 会预计算 UDM 事件的历史值 具有非零值且在 Google Workspace received_bytes,并将该字段提供为以下名称: value_sum

可用作过滤条件的 UDM 字段的完整列表

  • principal.asset.asset_id, principal.process.file.full_path, principal.user.email_addresses, security_result.rule_name
  • principal.asset.asset_id, principal.process.file.full_path, principal.user.employee_id, security_result.rule_name
  • principal.asset.asset_id, principal.process.file.full_path, principal.user.product_object_id, security_result.rule_name
  • principal.asset.asset_id, principal.process.file.full_path, principal.user.userid, security_result.rule_name
  • principal.asset.asset_id, principal.process.file.full_path, principal.user.windows_sid, security_result.rule_name
  • principal.asset.asset_id, principal.process.file.full_path, security_result.rule_name
  • principal.asset.asset_id, principal.process.file.sha256, principal.user.email_addresses, security_result.rule_name
  • principal.asset.asset_id, principal.process.file.sha256, principal.user.employee_id, security_result.rule_name
  • principal.asset.asset_id, principal.process.file.sha256, principal.user.product_object_id, security_result.rule_name
  • principal.asset.asset_id, principal.process.file.sha256, principal.user.userid, security_result.rule_name
  • principal.asset.asset_id, principal.process.file.sha256, principal.user.windows_sid, security_result.rule_name
  • principal.asset.asset_id, security_result.rule_name
  • principal.asset.hostname, principal.process.file.full_path, principal.user.email_addresses, security_result.rule_name
  • principal.asset.hostname, principal.process.file.full_path, principal.user.employee_id, security_result.rule_name
  • principal.asset.hostname, principal.process.file.full_path, principal.user.product_object_id, security_result.rule_name
  • principal.asset.hostname, principal.process.file.full_path, principal.user.userid, security_result.rule_name
  • principal.asset.hostname, principal.process.file.full_path, principal.user.windows_sid, security_result.rule_name
  • principal.asset.hostname, principal.process.file.full_path, security_result.rule_name
  • principal.asset.hostname, principal.process.file.sha256, principal.user.email_addresses, security_result.rule_name
  • principal.asset.hostname, principal.process.file.sha256, principal.user.employee_id, security_result.rule_name
  • principal.asset.hostname, principal.process.file.sha256, principal.user.product_object_id, security_result.rule_name
  • principal.asset.hostname, principal.process.file.sha256, principal.user.userid, security_result.rule_name
  • principal.asset.hostname, principal.process.file.sha256, principal.user.windows_sid, security_result.rule_name
  • principal.asset.hostname, security_result.rule_name
  • principal.asset.ip, principal.process.file.full_path, principal.user.email_addresses, security_result.rule_name
  • principal.asset.ip, principal.process.file.full_path, principal.user.employee_id, security_result.rule_name
  • principal.asset.ip, principal.process.file.full_path, principal.user.product_object_id, security_result.rule_name
  • principal.asset.ip, principal.process.file.full_path, principal.user.userid, security_result.rule_name
  • principal.asset.ip, principal.process.file.full_path, principal.user.windows_sid, security_result.rule_name
  • principal.asset.ip, principal.process.file.full_path, security_result.rule_name
  • principal.asset.ip, principal.process.file.sha256, principal.user.email_addresses, security_result.rule_name
  • principal.asset.ip, principal.process.file.sha256, principal.user.employee_id, security_result.rule_name
  • principal.asset.ip, principal.process.file.sha256, principal.user.product_object_id, security_result.rule_name
  • principal.asset.ip, principal.process.file.sha256, principal.user.userid, security_result.rule_name
  • principal.asset.ip, principal.process.file.sha256, principal.user.windows_sid, security_result.rule_name
  • principal.asset.ip, security_result.rule_name
  • principal.asset.mac, principal.process.file.full_path, principal.user.email_addresses, security_result.rule_name
  • principal.asset.mac, principal.process.file.full_path, principal.user.employee_id, security_result.rule_name
  • principal.asset.mac, principal.process.file.full_path, principal.user.product_object_id, security_result.rule_name
  • principal.asset.mac, principal.process.file.full_path, principal.user.userid, security_result.rule_name
  • principal.asset.mac, principal.process.file.full_path, principal.user.windows_sid, security_result.rule_name
  • principal.asset.mac, principal.process.file.full_path, security_result.rule_name
  • principal.asset.mac, principal.process.file.sha256, principal.user.email_addresses, security_result.rule_name
  • principal.asset.mac, principal.process.file.sha256, principal.user.employee_id, security_result.rule_name
  • principal.asset.mac, principal.process.file.sha256, principal.user.product_object_id, security_result.rule_name
  • principal.asset.mac, principal.process.file.sha256, principal.user.userid, security_result.rule_name
  • principal.asset.mac, principal.process.file.sha256, principal.user.windows_sid, security_result.rule_name
  • principal.asset.mac, security_result.rule_name
  • principal.asset.product_object_id, principal.process.file.full_path, principal.user.email_addresses, security_result.rule_name
  • principal.asset.product_object_id, principal.process.file.full_path, principal.user.employee_id, security_result.rule_name
  • principal.asset.product_object_id, principal.process.file.full_path, principal.user.product_object_id, security_result.rule_name
  • principal.asset.product_object_id, principal.process.file.full_path, principal.user.userid, security_result.rule_name
  • principal.asset.product_object_id, principal.process.file.full_path, principal.user.windows_sid, security_result.rule_name
  • principal.asset.product_object_id, principal.process.file.full_path, security_result.rule_name
  • principal.asset.product_object_id, principal.process.file.sha256, principal.user.email_addresses, security_result.rule_name
  • principal.asset.product_object_id, principal.process.file.sha256, principal.user.employee_id, security_result.rule_name
  • principal.asset.product_object_id, principal.process.file.sha256, principal.user.product_object_id, security_result.rule_name
  • principal.asset.product_object_id, principal.process.file.sha256, principal.user.userid, security_result.rule_name
  • principal.asset.product_object_id, principal.process.file.sha256, principal.user.windows_sid, security_result.rule_name
  • principal.asset.product_object_id, security_result.rule_name

身份验证尝试次数

metrics.auth_attempts_total 会通过以下方式预计算 UDM 事件的历史值: USER_LOGIN event type

metrics.auth_attempts_success还要求事件至少要 SecurityResult.ActionALLOW 个。

metrics.auth_attempts_fail 要求不要求任何 SecurityResult.Actions ALLOW

可用作过滤条件的 UDM 字段的完整列表

  • principal.asset.asset_id
  • principal.asset.asset_idtarget.asset.asset_id
  • principal.asset.asset_idtarget.asset.hostname
  • principal.asset.asset_idtarget.asset.ip
  • principal.asset.asset_idtarget.asset.mac
  • principal.asset.asset_idtarget.asset.product_object_id
  • principal.asset.hostname
  • principal.asset.hostnametarget.asset.asset_id
  • principal.asset.hostnametarget.asset.hostname
  • principal.asset.hostnametarget.asset.ip
  • principal.asset.hostnametarget.asset.mac
  • principal.asset.hostnametarget.asset.product_object_id
  • principal.asset.ip
  • principal.asset.iptarget.asset.asset_id
  • principal.asset.iptarget.asset.hostname
  • principal.asset.iptarget.asset.ip
  • principal.asset.iptarget.asset.mac
  • principal.asset.iptarget.asset.product_object_id
  • principal.asset.mac
  • principal.asset.mactarget.asset.asset_id
  • principal.asset.mactarget.asset.hostname
  • principal.asset.mactarget.asset.ip
  • principal.asset.mactarget.asset.mac
  • principal.asset.mactarget.asset.product_object_id
  • principal.asset.product_object_id
  • principal.asset.product_object_idtarget.asset.asset_id
  • principal.asset.product_object_idtarget.asset.hostname
  • principal.asset.product_object_idtarget.asset.ip
  • principal.asset.product_object_idtarget.asset.mac
  • principal.asset.product_object_idtarget.asset.product_object_id
  • principal.user.email_addresses
  • principal.user.email_addressestarget.asset.asset_id
  • principal.user.email_addressestarget.asset.hostname
  • principal.user.email_addressestarget.asset.ip
  • principal.user.email_addressestarget.asset.mac
  • principal.user.email_addressestarget.asset.product_object_id
  • principal.user.employee_id
  • principal.user.employee_idtarget.asset.asset_id
  • principal.user.employee_idtarget.asset.hostname
  • principal.user.employee_idtarget.asset.ip
  • principal.user.employee_idtarget.asset.mac
  • principal.user.employee_idtarget.asset.product_object_id
  • principal.user.product_object_id
  • principal.user.product_object_idtarget.asset.asset_id
  • principal.user.product_object_idtarget.asset.hostname
  • principal.user.product_object_idtarget.asset.ip
  • principal.user.product_object_idtarget.asset.mac
  • principal.user.product_object_idtarget.asset.product_object_id
  • principal.user.userid
  • principal.user.useridtarget.asset.asset_id
  • principal.user.useridtarget.asset.hostname
  • principal.user.useridtarget.asset.ip
  • principal.user.useridtarget.asset.mac
  • principal.user.useridtarget.asset.product_object_id
  • principal.user.windows_sid
  • principal.user.windows_sidtarget.asset.asset_id
  • principal.user.windows_sidtarget.asset.hostname
  • principal.user.windows_sidtarget.asset.ip
  • principal.user.windows_sidtarget.asset.mac
  • principal.user.windows_sidtarget.asset.product_object_id
  • target.application
  • target.user.email_addresses
  • target.user.email_addressesnetwork.tls.client.certificate.sha256
  • target.user.email_addressesprincipal.ip_geo_artifact.location.country_or_region
  • target.user.email_addressesprincipal.ip_geo_artifact.network.organization_name
  • target.user.email_addressestarget.application
  • target.user.employee_id
  • target.user.employee_idnetwork.tls.client.certificate.sha256
  • target.user.employee_idprincipal.ip_geo_artifact.location.country_or_region
  • target.user.employee_idprincipal.ip_geo_artifact.network.organization_name
  • target.user.employee_idtarget.application
  • target.user.product_object_id
  • target.user.product_object_idnetwork.tls.client.certificate.sha256
  • target.user.product_object_idprincipal.ip_geo_artifact.location.country_or_region
  • target.user.product_object_idprincipal.ip_geo_artifact.network.organization_name
  • target.user.product_object_idtarget.application
  • target.user.userid
  • target.user.useridnetwork.tls.client.certificate.sha256
  • target.user.useridprincipal.ip_geo_artifact.location.country_or_region
  • target.user.useridprincipal.ip_geo_artifact.network.organization_name
  • target.user.useridtarget.application
  • target.user.windows_sid
  • target.user.windows_sidnetwork.tls.client.certificate.sha256
  • target.user.windows_sidprincipal.ip_geo_artifact.location.country_or_region
  • target.user.windows_sidprincipal.ip_geo_artifact.network.organization_name
  • target.user.windows_sidtarget.application

metrics.auth_attempts_total有其他 UDM 字段可用作过滤条件

  • target.applicationtarget.asset.asset_id
  • target.applicationtarget.asset.hostname
  • target.applicationtarget.asset.ip
  • target.applicationtarget.asset.mac
  • target.applicationtarget.asset.product_object_id

metrics.auth_attempts_success有其他 UDM 字段可用作过滤条件

  • network.http.user_agent
  • principal.asset.asset_idmetadata.event_type
  • principal.asset.hostnamemetadata.event_type
  • principal.asset.ipmetadata.event_type
  • principal.asset.macmetadata.event_type
  • principal.asset.product_object_idmetadata.event_type

传出的 DNS 字节数

metrics.dns_bytes_outbound 会预计算 UDM 事件的历史值,其中 network.sent_bytes 大于 0, 目标端口为 53/udp53/tcp3000/tcpnetwork.sent_bytesvalue_sum

可用作过滤条件的 UDM 字段的完整列表

  • principal.asset.asset_id
  • principal.asset.asset_idtarget.ip
  • principal.asset.hostname
  • principal.asset.hostnametarget.ip
  • principal.asset.ip
  • principal.asset.iptarget.ip
  • principal.asset.mac
  • principal.asset.mactarget.ip
  • principal.asset.product_object_id
  • principal.asset.product_object_idtarget.ip
  • principal.user.email_addresses
  • principal.user.email_addressestarget.ip
  • principal.user.employee_id
  • principal.user.employee_idtarget.ip
  • principal.user.product_object_id
  • principal.user.product_object_idtarget.ip
  • principal.user.userid
  • principal.user.useridtarget.ip
  • principal.user.windows_sid
  • principal.user.windows_sidtarget.ip
  • target.ip

DNS 查询

metrics.dns_queries_total 会预计算符合以下条件的 UDM 事件的历史值: 包含值 network.dns.id

metrics.dns_queries_success 还要求 networkdns.response_code 原价 0NoError)。

metrics.dns_queries_fail 仅会考虑符合以下条件的事件: networkdns.response_code 大于 0

可用作过滤条件的 UDM 字段的完整列表

  • principal.asset.asset_id
  • principal.asset.asset_idnetwork.dns_domain
  • principal.asset.asset_idnetwork.dns.questions.type
  • principal.asset.hostname
  • principal.asset.hostnamenetwork.dns_domain
  • principal.asset.hostnamenetwork.dns.questions.type
  • principal.asset.ip
  • principal.asset.ipnetwork.dns_domain
  • principal.asset.ipnetwork.dns.questions.type
  • principal.asset.mac
  • principal.asset.macnetwork.dns_domain
  • principal.asset.macnetwork.dns.questions.type
  • principal.asset.product_object_id
  • principal.asset.product_object_idnetwork.dns_domain
  • principal.asset.product_object_idnetwork.dns.questions.type
  • principal.user.email_addresses
  • principal.user.email_addressesnetwork.dns_domain
  • principal.user.email_addressesnetwork.dns.questions.type
  • principal.user.employee_id
  • principal.user.employee_idnetwork.dns_domain
  • principal.user.employee_idnetwork.dns.questions.type
  • principal.user.product_object_id
  • principal.user.product_object_idnetwork.dns_domain
  • principal.user.product_object_idnetwork.dns.questions.type
  • principal.user.userid
  • principal.user.useridnetwork.dns_domain
  • principal.user.useridnetwork.dns.questions.type
  • principal.user.windows_sid
  • principal.user.windows_sidnetwork.dns_domain
  • principal.user.windows_sidnetwork.dns.questions.type

文件执行

metrics.file_executions_total 会预计算 UDM 事件的历史值 并使用 PROCESS_LAUNCH event type

metrics.file_executions_success 还要求事件至少要 一 SecurityResult.ActionALLOW 个。

metrics.file_executions_fail 不要求任何 SecurityResult.Actions ALLOW

可用作过滤条件的 UDM 字段的完整列表

  • metadata.event_typeprincipal.process.file.sha256
  • metadata.event_typeprincipal.asset.asset_idprincipal.process.file.sha256
  • metadata.event_typeprincipal.asset.hostnameprincipal.process.file.sha256
  • metadata.event_typeprincipal.asset.ipprincipal.process.file.sha256
  • metadata.event_typeprincipal.asset.macprincipal.process.file.sha256
  • metadata.event_typeprincipal.asset.product_object_idprincipal.process.file.sha256
  • metadata.event_typeprincipal.user.email_addressesprincipal.process.file.sha256
  • metadata.event_typeprincipal.user.employee_idprincipal.process.file.sha256
  • metadata.event_typeprincipal.user.product_object_idprincipal.process.file.sha256
  • metadata.event_typeprincipal.user.useridprincipal.process.file.sha256
  • metadata.event_typeprincipal.user.windows_sidprincipal.process.file.sha256

HTTP 查询

metrics.http_queries_total 会预计算符合以下条件的 UDM 事件的历史值: 包含值 network.http.method

metrics.http_queries_success 还要求: networkhttp.response_code 小于 400。

metrics.http_queries_fail 仅会考虑符合以下条件的事件: networkhttp.response_code 小于或等于 400。

可用作过滤条件的 UDM 字段的完整列表

  • principal.asset.asset_id
  • principal.asset.asset_idnetwork.http.user_agent
  • principal.asset.hostname
  • principal.asset.hostnamenetwork.http.user_agent
  • principal.asset.ip
  • principal.asset.ipnetwork.http.user_agent
  • principal.asset.mac
  • principal.asset.macnetwork.http.user_agent
  • principal.asset.product_object_id
  • principal.asset.product_object_idnetwork.http.user_agent
  • principal.user.email_addresses
  • principal.user.email_addressesnetwork.http.user_agent
  • principal.user.employee_id
  • principal.user.employee_idnetwork.http.user_agent
  • principal.user.product_object_id
  • principal.user.product_object_idnetwork.http.user_agent
  • principal.user.userid
  • principal.user.useridnetwork.http.user_agent
  • principal.user.windows_sid
  • principal.user.windows_sidnetwork.http.user_agent

网络字节数

metrics.network_bytes_inbound 会预计算 UDM 事件的历史值 都为非零值, network.received_bytes, 并将该字段设为 value_sum

metrics.network_bytes_outbound 要求为 network.sent_bytes 和 将该字段作为 value_sum 提供。

metrics.network_bytes_total 会考虑以下事件具有非零值的事件: 两者之一 network.received_bytesnetwork.sent_bytes(或 ),并将这两个字段的总和设为 value_sum

可用作过滤条件的 UDM 字段的完整列表

  • principal.asset.asset_id
  • principal.asset.asset_idprincipal.ip_geo_artifact.location.country_or_region
  • principal.asset.asset_idsecurity_result.category
  • principal.asset.asset_idtarget.ip_geo_artifact.network.organization_name
  • principal.asset.hostname
  • principal.asset.hostnameprincipal.ip_geo_artifact.location.country_or_region
  • principal.asset.hostnamesecurity_result.category
  • principal.asset.hostnametarget.ip_geo_artifact.network.organization_name
  • principal.asset.ip
  • principal.asset.ipprincipal.ip_geo_artifact.location.country_or_region
  • principal.asset.ipsecurity_result.category
  • principal.asset.iptarget.ip_geo_artifact.network.organization_name
  • principal.asset.mac
  • principal.asset.macprincipal.ip_geo_artifact.location.country_or_region
  • principal.asset.macsecurity_result.category
  • principal.asset.mactarget.ip_geo_artifact.network.organization_name
  • principal.asset.product_object_id
  • principal.asset.product_object_idprincipal.ip_geo_artifact.location.country_or_region
  • principal.asset.product_object_idsecurity_result.category
  • principal.asset.product_object_idtarget.ip_geo_artifact.network.organization_name
  • principal.user.email_addresses
  • principal.user.email_addressesprincipal.ip_geo_artifact.location.country_or_region
  • principal.user.email_addressessecurity_result.category
  • principal.user.email_addressestarget.ip_geo_artifact.network.organization_name
  • principal.user.employee_id
  • principal.user.employee_idprincipal.ip_geo_artifact.location.country_or_region
  • principal.user.employee_idsecurity_result.category
  • principal.user.employee_idtarget.ip_geo_artifact.network.organization_name
  • principal.user.product_object_id
  • principal.user.product_object_idprincipal.ip_geo_artifact.location.country_or_region
  • principal.user.product_object_idsecurity_result.category
  • principal.user.product_object_idtarget.ip_geo_artifact.network.organization_name
  • principal.user.userid
  • principal.user.useridprincipal.ip_geo_artifact.location.country_or_region
  • principal.user.useridsecurity_result.category
  • principal.user.useridtarget.ip_geo_artifact.network.organization_name
  • principal.user.windows_sid
  • principal.user.windows_sidprincipal.ip_geo_artifact.location.country_or_region
  • principal.user.windows_sidsecurity_result.category
  • principal.user.windows_sidtarget.ip_geo_artifact.network.organization_name

创建资源

metrics.resource_creation_total 会预计算 UDM 事件的历史值 并使用 RESOURCE_CREATION event type

metrics.resource_creation_success还要求活动必须在 至少一个 SecurityResult.ActionALLOW 个。

可用作过滤条件的 UDM 字段的完整列表

  • target.usermetadata.vendor_namemetadata.product_name
  • principal.usermetadata.vendor_namemetadata.product_name
  • principal.userprincipal.ipmetadata.vendor_namemetadata.product_name
  • principal.usertarget.applicationmetadata.vendor_namemetadata.product_name
  • target.resource.namemetadata.vendor_namemetadata.product_name
  • principal.usertarget.resource.namemetadata.vendor_namemetadata.product_name
  • principal.usertarget.location.namemetadata.vendor_namemetadata.product_name

删除资源

metrics.resource_deletion_success 会预计算 UDM 事件的历史值 包含 RESOURCE_DELETION event type及更多级别 要求活动必须至少包含一个 SecurityResult.ActionsALLOW

可用作过滤条件的 UDM 字段的完整列表

  • target.usermetadata.vendor_namemetadata.product_name
  • principal.usermetadata.vendor_namemetadata.product_name
  • principal.userprincipal.ipmetadata.vendor_namemetadata.product_name
  • principal.usertarget.applicationmetadata.vendor_namemetadata.product_name
  • target.resource.namemetadata.vendor_namemetadata.product_name
  • principal.usertarget.resource.namemetadata.vendor_namemetadata.product_name
  • principal.usertarget.location.namemetadata.vendor_namemetadata.product_name

资源读取

metrics.resource_read_success 会预计算 UDM 事件的历史值 包含 RESOURCE_READ event type及更多级别 要求活动必须至少包含一个 SecurityResult.ActionALLOW

metrics.resource_read_fail 不要求任何 SecurityResult.Actions ALLOW

可用作过滤条件的 UDM 字段的完整列表

  • target.usermetadata.vendor_namemetadata.product_name
  • principal.usermetadata.vendor_namemetadata.product_name
  • principal.userprincipal.ipmetadata.vendor_namemetadata.product_name
  • principal.usertarget.applicationmetadata.vendor_namemetadata.product_name
  • target.resource.namemetadata.vendor_namemetadata.product_name
  • principal.usertarget.resource.namemetadata.vendor_namemetadata.product_name
  • principal.usertarget.location.namemetadata.vendor_namemetadata.product_name

限制

使用指标创建 YARA-L 规则时,请注意以下限制:

  • 您不能将指标与默认值联接("" 用于字符串,0 用于 int)。
  • 默认值:
    • 如果没有与事件相对应的指标数据,则返回 值为 0。
    • 如果检测中的某个事件没有指标数据,则使用 对该函数进行聚合的 min 可能会返回 0。
    • 如需查看某个事件是否有数据,您可以使用 使用相同过滤条件对同一事件进行 num_metric_periods 汇总。
  • 指标函数只能在结果部分中使用。
  • 由于指标函数仅在结果部分中使用, 与包含匹配部分的规则中的其他值一样进行汇总。