Regeln für Risikoanalysen erstellen
In diesem Dokument werden die wichtigsten Elemente der neuen YARA-L-Syntaxfunktionen für Risikoanalyse. Weitere Informationen zu YARA-L finden Sie unter YARA-L 2.0-Sprache. Syntax:
YARA-L-Messwertfunktionen
Google Security Operations unterstützt eine Reihe von Messwertfunktionen, die große Mengen an historischen Daten.
Die Messwertfunktion kann nur im Ergebnisbereich verwendet werden. Alle Beispiele Funktionsaufrufe gehen davon aus, dass sie in einer Regel mit mehreren Ereignissen verwendet werden.
Alle Regeln, die die Messwertfunktion verwenden, werden automatisch als Regeln für mehrere Ereignisse, auch wenn sie keinen Übereinstimmungsbereich haben und nur eine . Dies bedeutet, dass sie auf das Kontingent für Multi-Ereignis-Regeln angerechnet werden.
Funktionsparameter
Die Messwertfunktionen können für Regeln verwendet werden, die das Verhalten von Entitäten ausführen Analytics.
Die folgende Regel gibt beispielsweise die maximale Anzahl von Bytes pro Tag an
von einer bestimmten IP-Adresse gesendet wurde. Die spezifische IP-Adresse lautet
die durch die Platzhaltervariable $ip
dargestellt wird. Weitere Informationen zu Platzhaltervariablen finden Sie unter Variablendeklarationen.
$max_bytes_per_day = max(metrics.network_bytes_outbound(
period:1d, window:30d,
metric:value_sum,
agg:max,
principal.asset.ip:$ip
))
Aufgrund der großen Anzahl von Argumenten in diesen Funktionen werden benannte Parameter, die in beliebiger Reihenfolge angegeben werden können. Die Parameter sind:
Zeitraum
Der Zeitraum, über den einzelne Protokollereignisse zu einem einzigen
Beobachtung. Die einzigen zulässigen Werte sind 1h
und 1d
.
Window
Der Zeitraum, über den einzelne Beobachtungen zu einer
wie der Durchschnitt und den Höchstwert. Die zulässigen Werte für
window
basieren auf dem Zeitraum des Messwerts. Die folgende Zuordnung ist gültig:
period:1h
: window:today
period:1d
: window:30d
Die folgende Regel gibt z. B. an, wie viele fehlgeschlagene Authentifizierungsversuche für einen bestimmten Nutzer (Alice) an einem Tag über in den letzten 30 Tagen:
$user = "alice"
$max_fail = max(metrics.auth_attempts_fail(
period:1d, window:30d,
metric:event_count_sum,
agg:max,
target.user.userid:$user
))
Für first-seen
kann eine Kombination aus stündlichen und täglichen Messwerten verwendet werden
Arten von Erkennungsmechanismen. Die folgende Regel gibt beispielsweise an,
Ein Nutzer hat sich zum ersten Mal in dieser Anwendung angemeldet:
events:
$e.metadata.event_type = "USER_LOGIN"
$e.security_result.action = "ALLOW"
$userid = $e.target.user.userid
$app = $e.target.application
match:
// find events from now - 4h ago, which is the recommended look-back period
$userid, $app over 4h
outcome:
// check hourly analytics until daily analytics are available
$first_seen_today = max(metrics.auth_attempts_success(
period:1h, window:today, metric:first_seen, agg:max,
target.user.userid:$userid, target.application:$app))
$first_seen_monthly = max(metrics.auth_attempts_success(
period:1d, window:30d, metric:first_seen, agg:max,
target.user.userid:$userid, target.application:$app))
condition:
$e and ($first_seen_today = 0) and ($first_seen_monthly = 0)
Messwert
Innerhalb jedes Zeitraums ist jeder Beobachtung eine Reihe von Metriken zugeordnet.
Eine davon muss für die Aggregation über das gesamte Fenster ausgewählt werden. Fünf
metric
-Typen werden unterstützt:
event_count_sum
: Anzahl der eindeutigen Protokollereignisse in jedem Zeitraum.
first_seen
: Zuerst erkannter Zeitstempel eines übereinstimmenden Logereignisses in jedem
Punkt.
last_seen
: Zuletzt gesehener Zeitstempel eines übereinstimmenden Logereignisses in jedem
Punkt.
value_sum
: Gibt die Summe der Byte im gesamten Log an
im Zeitraum zusammengefasst sind. Sie können diesen Wert nur für Messwerte verwenden
Funktionen mit bytes
im Namen.
num_unique_filter_values
: Messwert, der nicht vorab berechnet wird
Google Security Operations, kann aber während der Ausführung von Regeln berechnet werden. Siehe Anzahl einzelner Nutzer
Messwerte finden Sie weitere Details und Anforderungen.
Agg
Die Aggregation, die auf den Messwert angewendet wird. Aggregationen werden über die für den gesamten Zeitraum (z.B. der höchste Tageswert der letzten 30 Tage). Die zulässigen Werte sind:
avg
: durchschnittlicher Wert pro Zeitraum Dies ist ein statistischer Mittelwert,
Nullwerte enthalten.
max
: Höchster Wert pro Zeitraum.
min
: Kleinster Wert pro Zeitraum.
num_metric_periods
: Anzahl der Zeiträume im Zeitfenster, für die ein
einen Messwert ungleich null.
stddev
: Standardabweichung des Werts pro Zeitraum. Dies ist eine statistische
Standardabweichung, die keine Nullwerte enthält.
sum
: Summe jedes Werts pro Zeitraum über das gesamte Zeitfenster.
Die folgende Regel gibt beispielsweise die durchschnittliche Anzahl Authentifizierungsversuche für einen bestimmten Nutzer (Alice) an einem beliebigen Tag in den letzten 30 Tagen:
$user = "alice"
$avg_fail = max(metrics.auth_attempts_fail(
period:1d, window:30d,
metric:event_count_sum,
agg:avg,
target.user.userid:$user
))
Die folgende Regel gibt an, wie viele erfolgreiche Authentifizierungen ein bestimmter Nutzer hat in den letzten 30 Tagen:
$total_success = max(metrics.auth_attempts_success(
period:1d, window:30d,
metric:event_count_sum,
agg:sum,
target.user.userid:$user
))
Die folgende Regel gibt an, ob sich ein bestimmter Nutzer erfolgreich angemeldet hat unter mindestens einmal in den letzten 30 Tagen:
$days_success = max(metrics.auth_attempts_success(
period:1d, window:30d,
metric:event_count_sum,
agg:num_metric_periods,
target.user.userid:$user
))
Die folgende Regel gibt an, wann sich ein bestimmter Nutzer zum ersten oder letzten Mal angemeldet hat erfolgreich:
$first_seen = max(metrics.auth_attempts_success(
period:1d, window:30d,
metric:first_seen,
agg:min,
target.user.userid:$user
))
$last_seen = max(metrics.auth_attempts_success(
period:1d, window:30d,
metric:last_seen,
agg:max,
target.user.userid:$user
))
Die folgende Regel gibt an, wie viele Byte ein Nutzer maximal in den letzten 30 Tagen:
$max_daily_bytes = max(metrics.network_bytes_outbound(
period:1d, window:30d,
metric:value_sum,
agg:max,
target.user.userid:$user
))
Filter
Mit Filtern können Messwerte gefiltert werden, bevor sie nach einem Wert im vorab berechneter Messwert (siehe Werte unter Messwert). Filter können beliebige gültige Werte sein Ereignisausdruck (eine einzelne Zeile im Ereignisbereich), der keine Ereignisfelder oder Platzhalter verwenden. Die einzigen Variablen, die in sind Messwerttypen.
Die folgende Regel umfasst nur Messwerte, bei denen value_sum > 10 AND
event_count_sum > 2
:
$max_bytes_per_day = max(metrics.network_bytes_outbound(
period:1d, window:30d,
metric:value_sum,
agg:max,
principal.asset.ip:$ip
filter:value_sum > 10 AND event_count_sum > 2
))
Gültige Beispiele für Filter
filter:value_sum > 10 AND event_count_sum != 5
filter:event_count_sum = 100 OR event_count_sum > 1000
filter:timestamp.get_day_of_week(first_seen) = 3
Ungültige Beispiele für Filter
// No placeholders in filter expressions.
filter:value_sum > $ph
// No event fields in filter expressions.
filter:event_count_sum + $e.field > 10
// No event fields in filter expressions.
filter:timestamp.subtract(first_seen, $e.metadata.timestamp)
UDM-Felder
Messwerte werden je nach Funktion nach 1, 2 oder 3 UDM-Feldern gefiltert. Für Weitere Informationen finden Sie unter Funktionen.
Die folgenden Arten von UDM-Feldern werden für Messwertfunktionen verwendet:
- Dimensionen (erforderlich): Hier sind unterschiedliche Kombinationen aufgeführt.
Dokumentation. Messwerte mit Standardwerten (
""
für String und0
für Ganzzahl). - Namespaces: (optional) Sie können Namespaces nur für Entitäten verwenden, die
die Sie in den Dimensionen festlegen. Wenn Sie beispielsweise
principal.asset.hostname filter
verwenden, können Sie auchprincipal.namespace filter
verwenden. Wenn Sie keine Wenn Sie einen Namespace-Filter einschließen, werden die Daten in allen Namespaces aggregiert miteinander verbinden. Sie können einen Standardwert als Namespace-Filter verwenden.
Fensterberechnungen
Google Security Operations berechnet Messwerte entweder anhand einer täglichen oder stündlichen Metrik .
Tagesfenster
Alle Tagesfenster, z. B. 30d
, werden auf die gleiche Weise festgelegt.
Google Security Operations verwendet die neuesten verfügbaren Messwertdaten,
generiert wurden, die sich nicht mit dem Zeitraum der Regel überschneiden. Berechnung des
Es kann bis zu 6 Stunden dauern, bis die täglichen Messwerte fertig sind, und erst am Ende.
des Tages in UTC angegeben ist. Die Messwertdaten des Vortages sind zum folgenden Zeitpunkt verfügbar: oder
täglich vor 6:00 Uhr (UTC) angezeigt wird.
Für eine Regel, die für Ereignisdaten vom 31.10.2023 um 4:00 Uhr (UTC) ausgeführt wird, bis 31.10.2023 um 07:00 Uhr (UTC) erreicht haben, sind die täglichen Messwerte für den 31.10.2023 wahrscheinlich generiert, sodass für die Messwertberechnung die Daten vom 01.10.2023 bis 30.10.2023 (einschließlich). Für eine Regel, die für Ereignisdaten aus 31.10.2023, 1:00 Uhr (UTC) bis 31.10.2023, 3:00 Uhr (UTC), die täglichen Messwerte für den 30.10.2023 wurden wahrscheinlich nicht generiert. Für die Messwertberechnung werden die Daten vom 30.09.2023 bis einschließlich 29.10.2023.
Stündliches today
-Fenster
Das stündliche Messwertfenster wird ganz anders berechnet als der Zeitraum für
täglichen Kennzahlen. Das stündliche Messwertfenster von today
hat keine statische Größe wie die
Zeitfenster 30d
für tägliche Messwerte. Das stündliche Messwertfenster today
wird ausgefüllt als
zwischen dem Ende des Tagesfensters und dem Beginn des
Zeitfensters der Regel.
Für eine Regel, die für Ereignisdaten vom 31.10.2023 um 4:00:00 ausgeführt wird, UTC bis 31.10.2023, 07:00:00 Uhr UTC – werden die Daten für die tägliche Berechnung des Messwerts verwendet. vom 01.10.2023 bis einschließlich 30.10.2023. Für das stündliche Messwertfenster wird Daten vom 31.10.2023 um 00:00:00 Uhr (UTC) bis zum 31.10.2023 um 4:00:00 Uhr (UTC).
Anzahl eindeutiger Messwerte
Es gibt einen speziellen Messwerttyp num_unique_filter_values
, der
von Google Security Operations vorab berechnet
und wird stattdessen während der Ausführung
einer Regel berechnet. Dazu werden die
eine vorhandene Dimension
in einem vorab berechneten Messwert. Zum Beispiel könnte der Messwert
daily total count of distinct countries that a user attempted to authenticate
können aus den vorab berechneten auth_attempts_total
-Messwerten auf der
Dimensionen target.user.userid
und
principal.ip_geo_artifact.location.country_or_region
, indem Sie eine Zählung durchführen
eindeutige Aggregation für die letztere Dimension.
Mit der folgenden Beispielregel werden eindeutige Messwerte gezählt:
$outcome_variable = max(metrics.auth_attempts_total(
period: 1d,
window: 30d,
// This metric type indicates any filter with a wildcard value should be
// aggregated over each day to produce a new metric on-the-fly.
metric: num_unique_filter_values,
agg: max,
target.user.userid: $userid,
// Filter whose value should be counted over each day to produce the
// num_unique_filter_values metric.
principal.ip_geo_artifact.location.country_or_region: *
))
Für diese Funktion gelten folgende Einschränkungen:
- Die Berechnung der Anzahl einzelner Messwerte kann nur über einen Filter zusammengefasst werden
Dimension. Dies wird durch Verwendung des Platzhaltertokens
*
als Filter angegeben Wert.
Funktionen
In diesem Abschnitt finden Sie eine Dokumentation zu den spezifischen unterstützten Messwertfunktionen. von Google Security Operations.
Benachrichtigungsereignisse
metics.alert_event_name_count
berechnet Verlaufsdaten für UDM-Ereignisse voraus
mit einem Wert ungleich null für Benachrichtigungen mit einer Anzahl von Benachrichtigungen, die in
Google Workspace received_bytes
und stellt dieses Feld als
value_sum
Die vollständige Liste der als Filter verfügbaren UDM-Felder
principal.asset.asset_id, principal.process.file.full_path, principal.user.email_addresses, security_result.rule_name
principal.asset.asset_id, principal.process.file.full_path, principal.user.employee_id, security_result.rule_name
principal.asset.asset_id, principal.process.file.full_path, principal.user.product_object_id, security_result.rule_name
principal.asset.asset_id, principal.process.file.full_path, principal.user.userid, security_result.rule_name
principal.asset.asset_id, principal.process.file.full_path, principal.user.windows_sid, security_result.rule_name
principal.asset.asset_id, principal.process.file.full_path, security_result.rule_name
principal.asset.asset_id, principal.process.file.sha256, principal.user.email_addresses, security_result.rule_name
principal.asset.asset_id, principal.process.file.sha256, principal.user.employee_id, security_result.rule_name
principal.asset.asset_id, principal.process.file.sha256, principal.user.product_object_id, security_result.rule_name
principal.asset.asset_id, principal.process.file.sha256, principal.user.userid, security_result.rule_name
principal.asset.asset_id, principal.process.file.sha256, principal.user.windows_sid, security_result.rule_name
principal.asset.asset_id, security_result.rule_name
principal.asset.hostname, principal.process.file.full_path, principal.user.email_addresses, security_result.rule_name
principal.asset.hostname, principal.process.file.full_path, principal.user.employee_id, security_result.rule_name
principal.asset.hostname, principal.process.file.full_path, principal.user.product_object_id, security_result.rule_name
principal.asset.hostname, principal.process.file.full_path, principal.user.userid, security_result.rule_name
principal.asset.hostname, principal.process.file.full_path, principal.user.windows_sid, security_result.rule_name
principal.asset.hostname, principal.process.file.full_path, security_result.rule_name
principal.asset.hostname, principal.process.file.sha256, principal.user.email_addresses, security_result.rule_name
principal.asset.hostname, principal.process.file.sha256, principal.user.employee_id, security_result.rule_name
principal.asset.hostname, principal.process.file.sha256, principal.user.product_object_id, security_result.rule_name
principal.asset.hostname, principal.process.file.sha256, principal.user.userid, security_result.rule_name
principal.asset.hostname, principal.process.file.sha256, principal.user.windows_sid, security_result.rule_name
principal.asset.hostname, security_result.rule_name
principal.asset.ip, principal.process.file.full_path, principal.user.email_addresses, security_result.rule_name
principal.asset.ip, principal.process.file.full_path, principal.user.employee_id, security_result.rule_name
principal.asset.ip, principal.process.file.full_path, principal.user.product_object_id, security_result.rule_name
principal.asset.ip, principal.process.file.full_path, principal.user.userid, security_result.rule_name
principal.asset.ip, principal.process.file.full_path, principal.user.windows_sid, security_result.rule_name
principal.asset.ip, principal.process.file.full_path, security_result.rule_name
principal.asset.ip, principal.process.file.sha256, principal.user.email_addresses, security_result.rule_name
principal.asset.ip, principal.process.file.sha256, principal.user.employee_id, security_result.rule_name
principal.asset.ip, principal.process.file.sha256, principal.user.product_object_id, security_result.rule_name
principal.asset.ip, principal.process.file.sha256, principal.user.userid, security_result.rule_name
principal.asset.ip, principal.process.file.sha256, principal.user.windows_sid, security_result.rule_name
principal.asset.ip, security_result.rule_name
principal.asset.mac, principal.process.file.full_path, principal.user.email_addresses, security_result.rule_name
principal.asset.mac, principal.process.file.full_path, principal.user.employee_id, security_result.rule_name
principal.asset.mac, principal.process.file.full_path, principal.user.product_object_id, security_result.rule_name
principal.asset.mac, principal.process.file.full_path, principal.user.userid, security_result.rule_name
principal.asset.mac, principal.process.file.full_path, principal.user.windows_sid, security_result.rule_name
principal.asset.mac, principal.process.file.full_path, security_result.rule_name
principal.asset.mac, principal.process.file.sha256, principal.user.email_addresses, security_result.rule_name
principal.asset.mac, principal.process.file.sha256, principal.user.employee_id, security_result.rule_name
principal.asset.mac, principal.process.file.sha256, principal.user.product_object_id, security_result.rule_name
principal.asset.mac, principal.process.file.sha256, principal.user.userid, security_result.rule_name
principal.asset.mac, principal.process.file.sha256, principal.user.windows_sid, security_result.rule_name
principal.asset.mac, security_result.rule_name
principal.asset.product_object_id, principal.process.file.full_path, principal.user.email_addresses, security_result.rule_name
principal.asset.product_object_id, principal.process.file.full_path, principal.user.employee_id, security_result.rule_name
principal.asset.product_object_id, principal.process.file.full_path, principal.user.product_object_id, security_result.rule_name
principal.asset.product_object_id, principal.process.file.full_path, principal.user.userid, security_result.rule_name
principal.asset.product_object_id, principal.process.file.full_path, principal.user.windows_sid, security_result.rule_name
principal.asset.product_object_id, principal.process.file.full_path, security_result.rule_name
principal.asset.product_object_id, principal.process.file.sha256, principal.user.email_addresses, security_result.rule_name
principal.asset.product_object_id, principal.process.file.sha256, principal.user.employee_id, security_result.rule_name
principal.asset.product_object_id, principal.process.file.sha256, principal.user.product_object_id, security_result.rule_name
principal.asset.product_object_id, principal.process.file.sha256, principal.user.userid, security_result.rule_name
principal.asset.product_object_id, principal.process.file.sha256, principal.user.windows_sid, security_result.rule_name
principal.asset.product_object_id, security_result.rule_name
Authentifizierungsversuche
metrics.auth_attempts_total
berechnet Verlaufsdaten für UDM-Ereignisse vorab mit
USER_LOGIN
event
type
.
metrics.auth_attempts_success
erfordert außerdem, dass das Ereignis mindestens ein Ereignis hatte
SecurityResult.Action
von ALLOW
.
metrics.auth_attempts_fail
verlangt stattdessen, dass keiner der
SecurityResult.Actions
waren ALLOW
.
Die vollständige Liste der als Filter verfügbaren UDM-Felder
principal.asset.asset_id
principal.asset.asset_id
,target.asset.asset_id
principal.asset.asset_id
,target.asset.hostname
principal.asset.asset_id
,target.asset.ip
principal.asset.asset_id
,target.asset.mac
principal.asset.asset_id
,target.asset.product_object_id
principal.asset.hostname
principal.asset.hostname
,target.asset.asset_id
principal.asset.hostname
,target.asset.hostname
principal.asset.hostname
,target.asset.ip
principal.asset.hostname
,target.asset.mac
principal.asset.hostname
,target.asset.product_object_id
principal.asset.ip
principal.asset.ip
,target.asset.asset_id
principal.asset.ip
,target.asset.hostname
principal.asset.ip
,target.asset.ip
principal.asset.ip
,target.asset.mac
principal.asset.ip
,target.asset.product_object_id
principal.asset.mac
principal.asset.mac
,target.asset.asset_id
principal.asset.mac
,target.asset.hostname
principal.asset.mac
,target.asset.ip
principal.asset.mac
,target.asset.mac
principal.asset.mac
,target.asset.product_object_id
principal.asset.product_object_id
principal.asset.product_object_id
,target.asset.asset_id
principal.asset.product_object_id
,target.asset.hostname
principal.asset.product_object_id
,target.asset.ip
principal.asset.product_object_id
,target.asset.mac
principal.asset.product_object_id
,target.asset.product_object_id
principal.user.email_addresses
principal.user.email_addresses
,target.asset.asset_id
principal.user.email_addresses
,target.asset.hostname
principal.user.email_addresses
,target.asset.ip
principal.user.email_addresses
,target.asset.mac
principal.user.email_addresses
,target.asset.product_object_id
principal.user.employee_id
principal.user.employee_id
,target.asset.asset_id
principal.user.employee_id
,target.asset.hostname
principal.user.employee_id
,target.asset.ip
principal.user.employee_id
,target.asset.mac
principal.user.employee_id
,target.asset.product_object_id
principal.user.product_object_id
principal.user.product_object_id
,target.asset.asset_id
principal.user.product_object_id
,target.asset.hostname
principal.user.product_object_id
,target.asset.ip
principal.user.product_object_id
,target.asset.mac
principal.user.product_object_id
,target.asset.product_object_id
principal.user.userid
principal.user.userid
,target.asset.asset_id
principal.user.userid
,target.asset.hostname
principal.user.userid
,target.asset.ip
principal.user.userid
,target.asset.mac
principal.user.userid
,target.asset.product_object_id
principal.user.windows_sid
principal.user.windows_sid
,target.asset.asset_id
principal.user.windows_sid
,target.asset.hostname
principal.user.windows_sid
,target.asset.ip
principal.user.windows_sid
,target.asset.mac
principal.user.windows_sid
,target.asset.product_object_id
target.application
target.user.email_addresses
target.user.email_addresses
,network.tls.client.certificate.sha256
target.user.email_addresses
,principal.ip_geo_artifact.location.country_or_region
target.user.email_addresses
,principal.ip_geo_artifact.network.organization_name
target.user.email_addresses
,target.application
target.user.employee_id
target.user.employee_id
,network.tls.client.certificate.sha256
target.user.employee_id
,principal.ip_geo_artifact.location.country_or_region
target.user.employee_id
,principal.ip_geo_artifact.network.organization_name
target.user.employee_id
,target.application
target.user.product_object_id
target.user.product_object_id
,network.tls.client.certificate.sha256
target.user.product_object_id
,principal.ip_geo_artifact.location.country_or_region
target.user.product_object_id
,principal.ip_geo_artifact.network.organization_name
target.user.product_object_id
,target.application
target.user.userid
target.user.userid
,network.tls.client.certificate.sha256
target.user.userid
,principal.ip_geo_artifact.location.country_or_region
target.user.userid
,principal.ip_geo_artifact.network.organization_name
target.user.userid
,target.application
target.user.windows_sid
target.user.windows_sid
,network.tls.client.certificate.sha256
target.user.windows_sid
,principal.ip_geo_artifact.location.country_or_region
target.user.windows_sid
,principal.ip_geo_artifact.network.organization_name
target.user.windows_sid
,target.application
In metrics.auth_attempts_total
stehen zusätzliche UDM-Felder als Filter zur Verfügung
target.application
,target.asset.asset_id
target.application
,target.asset.hostname
target.application
,target.asset.ip
target.application
,target.asset.mac
target.application
,target.asset.product_object_id
In metrics.auth_attempts_success
stehen zusätzliche UDM-Felder als Filter zur Verfügung
network.http.user_agent
principal.asset.asset_id
,metadata.event_type
principal.asset.hostname
,metadata.event_type
principal.asset.ip
,metadata.event_type
principal.asset.mac
,metadata.event_type
principal.asset.product_object_id
,metadata.event_type
DNS-Byte ausgehend
metrics.dns_bytes_outbound
berechnet Verlaufsdaten für UDM-Ereignisse voraus, wobei
network
.sent_bytes
ist größer als 0,
und der Zielport ist 53/udp
, 53/tcp
oder 3000/tcp
.
network
.sent_bytes
ist
verfügbar als value_sum
.
Die vollständige Liste der als Filter verfügbaren UDM-Felder
principal.asset.asset_id
principal.asset.asset_id
,target.ip
principal.asset.hostname
principal.asset.hostname
,target.ip
principal.asset.ip
principal.asset.ip
,target.ip
principal.asset.mac
principal.asset.mac
,target.ip
principal.asset.product_object_id
principal.asset.product_object_id
,target.ip
principal.user.email_addresses
principal.user.email_addresses
,target.ip
principal.user.employee_id
principal.user.employee_id
,target.ip
principal.user.product_object_id
principal.user.product_object_id
,target.ip
principal.user.userid
principal.user.userid
,target.ip
principal.user.windows_sid
principal.user.windows_sid
,target.ip
target.ip
DNS-Abfragen
metrics.dns_queries_total
berechnet Verlaufsdaten für UDM-Ereignisse voraus, die
haben einen Wert in
network
.dns.id
.
metrics.dns_queries_success
verlangt außerdem, dass der
network
.dns.response_code
war 0
(NoError
).
metrics.dns_queries_fail
berücksichtigt nur Ereignisse mit einem
network
.dns.response_code
größer als 0
.
Die vollständige Liste der als Filter verfügbaren UDM-Felder
principal.asset.asset_id
principal.asset.asset_id
,network.dns_domain
principal.asset.asset_id
,network.dns.questions.type
principal.asset.hostname
principal.asset.hostname
,network.dns_domain
principal.asset.hostname
,network.dns.questions.type
principal.asset.ip
principal.asset.ip
,network.dns_domain
principal.asset.ip
,network.dns.questions.type
principal.asset.mac
principal.asset.mac
,network.dns_domain
principal.asset.mac
,network.dns.questions.type
principal.asset.product_object_id
principal.asset.product_object_id
,network.dns_domain
principal.asset.product_object_id
,network.dns.questions.type
principal.user.email_addresses
principal.user.email_addresses
,network.dns_domain
principal.user.email_addresses
,network.dns.questions.type
principal.user.employee_id
principal.user.employee_id
,network.dns_domain
principal.user.employee_id
,network.dns.questions.type
principal.user.product_object_id
principal.user.product_object_id
,network.dns_domain
principal.user.product_object_id
,network.dns.questions.type
principal.user.userid
principal.user.userid
,network.dns_domain
principal.user.userid
,network.dns.questions.type
principal.user.windows_sid
principal.user.windows_sid
,network.dns_domain
principal.user.windows_sid
,network.dns.questions.type
Dateiausführungen
metrics.file_executions_total
berechnet Verlaufsdaten für UDM-Ereignisse voraus
mit einem PROCESS_LAUNCH
event
type
.
metrics.file_executions_success
erfordert außerdem, dass das Ereignis mindestens
eine
SecurityResult.Action
von ALLOW
.
Für metrics.file_executions_fail
muss stattdessen keiner der
SecurityResult.Actions
waren ALLOW
.
Die vollständige Liste der als Filter verfügbaren UDM-Felder
metadata.event_type
,principal.process.file.sha256
metadata.event_type
,principal.asset.asset_id
,principal.process.file.sha256
metadata.event_type
,principal.asset.hostname
,principal.process.file.sha256
metadata.event_type
,principal.asset.ip
,principal.process.file.sha256
metadata.event_type
,principal.asset.mac
,principal.process.file.sha256
metadata.event_type
,principal.asset.product_object_id
,principal.process.file.sha256
metadata.event_type
,principal.user.email_addresses
,principal.process.file.sha256
metadata.event_type
,principal.user.employee_id
,principal.process.file.sha256
metadata.event_type
,principal.user.product_object_id
,principal.process.file.sha256
metadata.event_type
,principal.user.userid
,principal.process.file.sha256
metadata.event_type
,principal.user.windows_sid
,principal.process.file.sha256
HTTP-Abfragen
metrics.http_queries_total
berechnet Verlaufsdaten für UDM-Ereignisse voraus, die
haben einen Wert in
network
.http.method
.
metrics.http_queries_success
verlangt außerdem, dass
network
.http.response_code
ist kleiner als 400.
metrics.http_queries_fail
berücksichtigt nur Ereignisse mit einem
network
.http.response_code
ist kleiner oder gleich 400.
Die vollständige Liste der als Filter verfügbaren UDM-Felder
principal.asset.asset_id
principal.asset.asset_id
,network.http.user_agent
principal.asset.hostname
principal.asset.hostname
,network.http.user_agent
principal.asset.ip
principal.asset.ip
,network.http.user_agent
principal.asset.mac
principal.asset.mac
,network.http.user_agent
principal.asset.product_object_id
principal.asset.product_object_id
,network.http.user_agent
principal.user.email_addresses
principal.user.email_addresses
,network.http.user_agent
principal.user.employee_id
principal.user.employee_id
,network.http.user_agent
principal.user.product_object_id
principal.user.product_object_id
,network.http.user_agent
principal.user.userid
principal.user.userid
,network.http.user_agent
principal.user.windows_sid
principal.user.windows_sid
,network.http.user_agent
Netzwerk-Byte
metrics.network_bytes_inbound
berechnet Verlaufsdaten für UDM-Ereignisse voraus
die einen Wert ungleich null
network
.received_bytes
und stellt dieses Feld als value_sum
zur Verfügung.
metrics.network_bytes_outbound
erfordert einen Wert ungleich null für
network
.sent_bytes
und
macht dieses Feld als value_sum
verfügbar.
In metrics.network_bytes_total
werden Ereignisse berücksichtigt, die einen Wert ungleich null für
entweder
network
.received_bytes
oder
network
.sent_bytes
(oder
und die Summe dieser beiden Felder als value_sum
verfügbar machen.
Die vollständige Liste der als Filter verfügbaren UDM-Felder
principal.asset.asset_id
principal.asset.asset_id
,principal.ip_geo_artifact.location.country_or_region
principal.asset.asset_id
,security_result.category
principal.asset.asset_id
,target.ip_geo_artifact.network.organization_name
principal.asset.hostname
principal.asset.hostname
,principal.ip_geo_artifact.location.country_or_region
principal.asset.hostname
,security_result.category
principal.asset.hostname
,target.ip_geo_artifact.network.organization_name
principal.asset.ip
principal.asset.ip
,principal.ip_geo_artifact.location.country_or_region
principal.asset.ip
,security_result.category
principal.asset.ip
,target.ip_geo_artifact.network.organization_name
principal.asset.mac
principal.asset.mac
,principal.ip_geo_artifact.location.country_or_region
principal.asset.mac
,security_result.category
principal.asset.mac
,target.ip_geo_artifact.network.organization_name
principal.asset.product_object_id
principal.asset.product_object_id
,principal.ip_geo_artifact.location.country_or_region
principal.asset.product_object_id
,security_result.category
principal.asset.product_object_id
,target.ip_geo_artifact.network.organization_name
principal.user.email_addresses
principal.user.email_addresses
,principal.ip_geo_artifact.location.country_or_region
principal.user.email_addresses
,security_result.category
principal.user.email_addresses
,target.ip_geo_artifact.network.organization_name
principal.user.employee_id
principal.user.employee_id
,principal.ip_geo_artifact.location.country_or_region
principal.user.employee_id
,security_result.category
principal.user.employee_id
,target.ip_geo_artifact.network.organization_name
principal.user.product_object_id
principal.user.product_object_id
,principal.ip_geo_artifact.location.country_or_region
principal.user.product_object_id
,security_result.category
principal.user.product_object_id
,target.ip_geo_artifact.network.organization_name
principal.user.userid
principal.user.userid
,principal.ip_geo_artifact.location.country_or_region
principal.user.userid
,security_result.category
principal.user.userid
,target.ip_geo_artifact.network.organization_name
principal.user.windows_sid
principal.user.windows_sid
,principal.ip_geo_artifact.location.country_or_region
principal.user.windows_sid
,security_result.category
principal.user.windows_sid
,target.ip_geo_artifact.network.organization_name
Ressourcenerstellung
metrics.resource_creation_total
berechnet Verlaufsdaten für UDM-Ereignisse voraus
mit einem RESOURCE_CREATION
event
type
.
metrics.resource_creation_success
erfordert außerdem, dass das Ereignis mindestens
mindestens eines
SecurityResult.Action
von ALLOW
.
Die vollständige Liste der als Filter verfügbaren UDM-Felder
target.user
,metadata.vendor_name
,metadata.product_name
principal.user
,metadata.vendor_name
,metadata.product_name
principal.user
,principal.ip
,metadata.vendor_name
,metadata.product_name
principal.user
,target.application
,metadata.vendor_name
,metadata.product_name
target.resource.name
,metadata.vendor_name
,metadata.product_name
principal.user
,target.resource.name
,metadata.vendor_name
,metadata.product_name
principal.user
,target.location.name
,metadata.vendor_name
,metadata.product_name
Ressourcen löschen
metrics.resource_deletion_success
berechnet Verlaufsdaten für UDM-Ereignisse voraus
mit einem RESOURCE_DELETION
event
type
und weiteren
erfordert, dass das Ereignis mindestens eine
SecurityResult.Actions
von ALLOW
.
Die vollständige Liste der als Filter verfügbaren UDM-Felder
target.user
,metadata.vendor_name
,metadata.product_name
principal.user
,metadata.vendor_name
,metadata.product_name
principal.user
,principal.ip
,metadata.vendor_name
,metadata.product_name
principal.user
,target.application
,metadata.vendor_name
,metadata.product_name
target.resource.name
,metadata.vendor_name
,metadata.product_name
principal.user
,target.resource.name
,metadata.vendor_name
,metadata.product_name
principal.user
,target.location.name
,metadata.vendor_name
,metadata.product_name
Ressource gelesen
metrics.resource_read_success
berechnet Verlaufsdaten für UDM-Ereignisse voraus
mit einem RESOURCE_READ
event
type
und weiteren
erfordert, dass das Ereignis mindestens eine
SecurityResult.Action
von ALLOW
.
Für metrics.resource_read_fail
muss stattdessen keiner der
SecurityResult.Actions
sind ALLOW
.
Die vollständige Liste der als Filter verfügbaren UDM-Felder
target.user
,metadata.vendor_name
,metadata.product_name
principal.user
,metadata.vendor_name
,metadata.product_name
principal.user
,principal.ip
,metadata.vendor_name
,metadata.product_name
principal.user
,target.application
,metadata.vendor_name
,metadata.product_name
target.resource.name
,metadata.vendor_name
,metadata.product_name
principal.user
,target.resource.name
,metadata.vendor_name
,metadata.product_name
principal.user
,target.location.name
,metadata.vendor_name
,metadata.product_name
Beschränkungen
Beachten Sie beim Erstellen von YARA-L-Regeln mit Messwerten die folgenden Einschränkungen:
- Es ist nicht möglich, einen Messwert mit einem Standardwert (
""
für String und0
für int). - Standardwerte:
<ph type="x-smartling-placeholder">
- </ph>
- Wenn keine Messwertdaten vorhanden sind, die einem Ereignis entsprechen, wird die zurückgegebene Wert aus der Messwertfunktion 0 ist.
- Wenn es in der Erkennung ein Ereignis ohne Messwertdaten gibt, verwenden Sie
min
zum Aggregieren über die Funktion kann 0 zurückgeben. - Anhand der Messwerte können Sie prüfen, ob Daten für ein Ereignis vorhanden sind.
num_metric_periods
-Zusammenfassung für dasselbe Ereignis mit denselben Filtern.
- Messwertfunktionen können nur im Ergebnisbereich verwendet werden.
- Da Metrikfunktionen nur im Ergebnisabschnitt verwendet werden, müssen sie wie jeder andere Wert in Regeln mit einem Übereinstimmungsbereich aggregiert wird.