Regeln für die Risikoanalyse erstellen

In diesem Dokument werden die wichtigsten Elemente der neuen YARA-L-Syntaxfunktionen für Risikoanalyse. Weitere Informationen zu YARA-L finden Sie unter YARA-L 2.0-Sprachsyntax.

YARA-L-Messwertfunktionen

Google Security Operations unterstützt eine Reihe von Messwertfunktionen, mit denen große Mengen an Verlaufsdaten zusammengefasst werden können.

Die Messwertfunktion kann nur im Abschnitt „Ergebnis“ verwendet werden. Alle Beispiele Funktionsaufrufe setzen die Verwendung in einer Regel mit mehreren Ereignissen voraus.

Alle Regeln, in denen die Messwertfunktion verwendet wird, werden automatisch als Regeln für mehrere Ereignisse kategorisiert, auch wenn sie keinen Abgleichsbereich haben und nur eine Ereignisvariable verwenden. Das bedeutet, dass sie auf das Kontingent für Regeln mit mehreren Ereignissen angerechnet werden.

Funktionsparameter

Die Messwertfunktionen können für Regeln verwendet werden, bei denen Verhaltensanalysen für Entitäten durchgeführt werden.

Die folgende Regel gibt beispielsweise die maximale Anzahl der täglichen Bytes an, die eine bestimmte IP-Adresse im letzten Monat gesendet hat. Die IP-Adresse wird durch eine Platzhaltervariable dargestellt, in diesem Beispiel $ip. Weitere Informationen zu Platzhaltervariablen finden Sie unter Variablendeklarationen.

$max_bytes_per_day = max(metrics.network_bytes_outbound(
    period:1d, window:30d,
    metric:value_sum,
    agg:max,
    principal.asset.ip:$ip
))

Aufgrund der großen Anzahl von Argumenten in diesen Funktionen werden benannte Parameter, die in beliebiger Reihenfolge angegeben werden können. Die Parameter sind:

Zeitraum

Der Zeitraum, über den einzelne Protokollereignisse zu einem einzigen Beobachtung. Die einzigen zulässigen Werte sind 1h und 1d.

Window

Der Zeitraum, über den einzelne Beobachtungen zu einer wie der Durchschnitt und den Höchstwert. Die zulässigen Werte für window basieren auf dem Zeitraum des Messwerts. Die folgende Zuordnung ist gültig:

period:1h: window:today

period:1d: window:30d

Die folgende Regel gibt z. B. an, wie viele fehlgeschlagene Authentifizierungsversuche für einen bestimmten Nutzer (Alice) an einem Tag über in den letzten 30 Tagen:

$user = "alice"
$max_fail = max(metrics.auth_attempts_fail(
    period:1d, window:30d,
        metric:event_count_sum,
        agg:max,
        target.user.userid:$user
))

Für first-seen Arten von Erkennungen kann eine Kombination aus stündlichen und täglichen Messwerten verwendet werden. Die folgende Regel gibt beispielsweise an, Ein Nutzer hat sich zum ersten Mal in dieser Anwendung angemeldet:

events:
    $e.metadata.event_type = "USER_LOGIN"
    $e.security_result.action = "ALLOW"
    $userid = $e.target.user.userid
    $app = $e.target.application
match:
    // find events from now - 4h ago, which is the recommended look-back period
    $userid, $app over 4h
outcome:
    // check hourly analytics until daily analytics are available
    $first_seen_today = max(metrics.auth_attempts_success(
        period:1h, window:today, metric:first_seen, agg:max,
        target.user.userid:$userid, target.application:$app))
    $first_seen_monthly = max(metrics.auth_attempts_success(
        period:1d, window:30d, metric:first_seen, agg:max,
        target.user.userid:$userid, target.application:$app))
condition:
    $e and ($first_seen_today = 0) and ($first_seen_monthly = 0)

Messwert

Innerhalb jedes Zeitraums ist jeder Beobachtung eine Reihe von Metriken zugeordnet. Eine davon muss für die Aggregation über das gesamte Fenster ausgewählt werden. Fünf metric-Typen werden unterstützt:

event_count_sum: Anzahl der eindeutigen Protokollereignisse in jedem Zeitraum.

first_seen: Zeitstempel des ersten Auftretens eines übereinstimmenden Protokollereignisses innerhalb des jeweiligen Zeitraums.

last_seen: Zeitstempel des letzten Auftretens eines übereinstimmenden Protokollereignisses innerhalb des jeweiligen Zeitraums.

value_sum: Gibt die Summe der Byte im gesamten Log an im Zeitraum zusammengefasst sind. Sie können diesen Wert nur für Messwerte verwenden mit bytes im Namen.

num_unique_filter_values: Messwert, der nicht von Google Security Operations vorab berechnet wird, sondern während der Regelausführung berechnet werden kann. Siehe Anzahl einzelner Nutzer Messwerte finden Sie weitere Details und Anforderungen.

Agg

Die Aggregation, die auf den Messwert angewendet wird. Aggregationen werden über die für den gesamten Zeitraum (z.B. der höchste Tageswert der letzten 30 Tage). Die zulässigen Werte sind:

avg: Durchschnittlicher Wert pro Zeitraum. Dies ist ein statistischer Mittelwert, der keine Nullwerte enthält.

max: Höchster Wert pro Zeitraum.

min: Kleinster Wert pro Zeitraum.

num_metric_periods: Anzahl der Zeiträume innerhalb des Zeitfensters, für die ein Messwert ungleich 0 war.

stddev: Standardabweichung des Werts pro Zeitraum. Dies ist eine statistische Standardabweichung, die keine Nullwerte enthält.

sum: Summe der einzelnen Werte pro Zeitraum über das gesamte Fenster.

Die folgende Regel gibt beispielsweise die durchschnittliche Anzahl Authentifizierungsversuche für einen bestimmten Nutzer (Alice) an einem beliebigen Tag in den letzten 30 Tagen:

$user = "alice"
$avg_fail = max(metrics.auth_attempts_fail(
        period:1d, window:30d,
        metric:event_count_sum,
        agg:avg,
        target.user.userid:$user
))

Die folgende Regel gibt an, wie viele erfolgreiche Authentifizierungen ein bestimmter Nutzer hat in den letzten 30 Tagen:

$total_success = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:event_count_sum,
        agg:sum,
        target.user.userid:$user
))

Die folgende Regel gibt an, ob sich ein bestimmter Nutzer erfolgreich angemeldet hat unter mindestens einmal in den letzten 30 Tagen:

$days_success = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:event_count_sum,
        agg:num_metric_periods,
        target.user.userid:$user
))

Mit der folgenden Regel sehen Sie, wann sich ein bestimmter Nutzer zum ersten oder letzten Mal erfolgreich angemeldet hat:

$first_seen = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:first_seen,
        agg:min,
        target.user.userid:$user
))
$last_seen = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:last_seen,
        agg:max,
        target.user.userid:$user
))

Die folgende Regel gibt die maximale Anzahl von Byte an, die von einem Nutzer an einem bestimmten Tag in den letzten 30 Tagen gesendet wurden:

$max_daily_bytes = max(metrics.network_bytes_outbound(
        period:1d, window:30d,
        metric:value_sum,
        agg:max,
        target.user.userid:$user
))

Filter

Mit Filtern können Messwerte vor der Zusammenfassung nach einem Wert im vorberechneten Messwert gefiltert werden (siehe Werte unter Messwert). Filter können beliebige gültige Ereignisausdrücke sein (eine einzelne Zeile im Ereignisabschnitt), die keine Ereignisfelder oder Platzhalter enthalten. Die einzigen Variablen, die in diese Bedingung aufgenommen werden können, sind Messwerttypen.

Die folgende Regel enthält nur Messwerte, bei denen value_sum > 10 AND event_count_sum > 2:

$max_bytes_per_day = max(metrics.network_bytes_outbound(
    period:1d, window:30d,
    metric:value_sum,
    agg:max,
    principal.asset.ip:$ip
    filter:value_sum > 10 AND event_count_sum > 2
))

Gültige Filterbeispiele

filter:value_sum > 10 AND event_count_sum != 5
filter:event_count_sum = 100 OR event_count_sum > 1000
filter:timestamp.get_day_of_week(first_seen) = 3

Ungültige Beispiele für Filter

// No placeholders in filter expressions.
filter:value_sum > $ph

// No event fields in filter expressions.
filter:event_count_sum + $e.field > 10

// No event fields in filter expressions.
filter:timestamp.subtract(first_seen, $e.metadata.timestamp)

UDM-Felder

Messwerte werden je nach Funktion nach 1, 2 oder 3 UDM-Feldern gefiltert. Für Weitere Informationen finden Sie unter Funktionen.

Für Messwertfunktionen werden die folgenden Arten von UDM-Feldern verwendet:

• Dimensionen: (Erforderlich) In dieser Dokumentation sind verschiedene Kombinationen aufgeführt. Messwerte mit Standardwerten ("" für String und 0 für Ganzzahl).
• Namespaces (optional): Sie können Namespaces nur für Entitäten verwenden, die Sie in Dimensionen angeben. Wenn Sie beispielsweise principal.asset.hostname filter verwenden, können Sie auch principal.namespace filter verwenden. Wenn Sie keinen Namespacefilter angeben, werden die Daten aller Namespaces zusammengefasst. Sie können einen Standardwert als Namespace-Filter verwenden.

Fensterberechnungen

Das Google Security Operations-Team berechnet Messwerte entweder mit einem täglichen oder stündlichen Messzeitraum.

Tägliche Zeitfenster

Alle täglichen Zeitfenster wie 30d werden auf die gleiche Weise ermittelt. Google Security Operations verwendet die neuesten verfügbaren Messwertdaten, die generiert wurden und sich nicht mit dem Zeitzeitraum der Regel überschneiden. Die Berechnung der täglichen Messwerte kann bis zu sechs Stunden dauern und beginnt erst am Ende des Tages (UTC). Messwertdaten für den Vortag sind jeden Tag um oder vor 6:00 Uhr UTC verfügbar.

Wenn eine Regel beispielsweise für Ereignisdaten vom 31. 10. 2023, 4:00 Uhr UTC, bis zum 31. 10. 2023, 7:00 Uhr UTC, ausgeführt wird, wurden die täglichen Messwerte für den 31. 10. 2023 wahrscheinlich bereits generiert. Für die Berechnung des Messwerts werden daher die Daten vom 1. 10. 2023 bis zum 30. 10. 2023 (einschließlich) verwendet. Bei einer Regel, die Ereignisdaten vom 31. 10. 2023, 1:00 Uhr (UTC), bis zum 31. 10. 2023, 3:00 Uhr (UTC), auswertet, wurden die täglichen Messwerte für den 30. 10. 2023 wahrscheinlich noch nicht generiert. Für die Berechnung der Messwerte werden daher die Daten vom 30. 09. 2023 bis zum 29. 10. 2023 (einschließlich) verwendet.

Stündliches today-Fenster

Das stündliche Messwertfenster wird ganz anders berechnet als der Zeitraum für täglichen Metriken. Das Zeitfenster für stündliche Messwerte von today ist nicht statisch wie das Fenster von 30d für tägliche Messwerte. Im Zeitfenster für stündliche Messwerte today werden so viele Daten wie möglich zwischen dem Ende des täglichen Zeitfensters und dem Beginn des Zeitfensters der Regel erfasst.

Bei einer Regel, die beispielsweise auf Ereignisdaten vom 31. 10. 2023, 4:00:00 Uhr UTC, bis zum 31. 10. 2023, 7:00:00 Uhr UTC, angewendet wird, werden für die Berechnung des täglichen Messwerts die Daten vom 1. 10. 2023 bis zum 30. 10. 2023 (einschließlich) und für das stündliche Messwertfenster die Daten vom 31. 10. 2023, 00:00:00 Uhr UTC, bis zum 31. 10. 2023, 4:00:00 Uhr UTC, verwendet.

Anzahl der eindeutigen Messwerte

Es gibt einen speziellen Messwerttyp num_unique_filter_values, der nicht von Google Security Operations vorab berechnet wird, sondern während der Regelausführung. Dazu werden die eine vorhandene Dimension in einem vorab berechneten Messwert. Der Messwert daily total count of distinct countries that a user attempted to authenticate in kann beispielsweise aus den vordefinierten auth_attempts_total-Messwerten für die Dimensionen target.user.userid und principal.ip_geo_artifact.location.country_or_region abgeleitet werden, indem eine eindeutige Zählung über die letzte Dimension durchgeführt wird.

In der folgenden Beispielregel werden eindeutige Messwerte gezählt:

$outcome_variable = max(metrics.auth_attempts_total(
    period: 1d,
    window: 30d,
    // This metric type indicates any filter with a wildcard value should be
    // aggregated over each day to produce a new metric on-the-fly.
    metric: num_unique_filter_values,
    agg: max,
    target.user.userid: $userid,
    // Filter whose value should be counted over each day to produce the
    // num_unique_filter_values metric.
    principal.ip_geo_artifact.location.country_or_region: *
))

Für diese Funktion gilt folgende Einschränkung:

• Die Anzahl der eindeutigen Messwerte kann nur über eine Filterdimension aggregiert werden. Dies wird durch Verwendung des Platzhaltertokens * als Filter angegeben Wert.

Funktionen

In diesem Abschnitt finden Sie eine Dokumentation zu den spezifischen unterstützten Messwertfunktionen. von Google Security Operations.

Benachrichtigungsereignisse

metrics.alert_event_name_count berechnet vorab Verlaufswerte für UDM-Ereignisse, die einen Wert ungleich Null für Benachrichtigungen mit einer Anzahl von Benachrichtigungen haben, die in Google Workspace received_bytes generiert wurden, und stellt dieses Feld als value_sum zur Verfügung.

Authentifizierungsversuche

metrics.auth_attempts_total berechnet Verlaufsdaten für UDM-Ereignisse vorab mit USER_LOGIN event type.

Für metrics.auth_attempts_success ist außerdem erforderlich, dass das Ereignis mindestens eine SecurityResult.Action von ALLOW hatte.

metrics.auth_attempts_fail verlangt stattdessen, dass keiner der SecurityResult.Actions waren ALLOW.

DNS-Bytes ausgehend

metrics.dns_bytes_outbound berechnet vorab Verlaufswerte für UDM-Ereignisse, bei denen network.sent_bytes größer als 0 ist und der Zielport 53/udp, 53/tcp oder 3000/tcp ist. network.sent_bytes ist als value_sum verfügbar.

DNS-Abfragen

metrics.dns_queries_total berechnet Verlaufsdaten für UDM-Ereignisse voraus, die haben einen Wert in network.dns.id

metrics.dns_queries_success erfordert außerdem, dass die network.dns.response_code war 0 (NoError).

metrics.dns_queries_fail berücksichtigt nur Ereignisse mit einem networkdns.response_code größer als 0.

Dateiausführungen

metrics.file_executions_total berechnet Verlaufswerte für UDM-Ereignisse mit einem PROCESS_LAUNCH event type vorab.

Für metrics.file_executions_success ist außerdem erforderlich, dass das Ereignis mindestens einen SecurityResult.Action von ALLOW hatte.

Für metrics.file_executions_fail muss stattdessen keiner der SecurityResult.Actions waren ALLOW.

HTTP-Abfragen

metrics.http_queries_total berechnet vorab Verlaufswerte für UDM-Ereignisse, die einen Wert in network haben.http.method

metrics.http_queries_success verlangt außerdem, dass networkhttp.response_code ist kleiner als 400.

metrics.http_queries_fail berücksichtigt nur Ereignisse mit einem networkhttp.response_code ist kleiner als oder gleich 400.

Netzwerk-Byte

metrics.network_bytes_inbound berechnet vorab Verlaufswerte für UDM-Ereignisse, die einen Wert ungleich 0 für network.received_bytes haben, und stellt dieses Feld als value_sum zur Verfügung.

Für metrics.network_bytes_outbound ist ein Wert ungleich null für network.sent_bytes erforderlich. Dieses Feld wird dann als value_sum verfügbar gemacht.

In metrics.network_bytes_total werden Ereignisse berücksichtigt, die einen Wert ungleich null für entweder network.received_bytes oder network.sent_bytes (oder und die Summe dieser beiden Felder als value_sum verfügbar machen.

Ressourcenerstellung

metrics.resource_creation_total berechnet Verlaufswerte für UDM-Ereignisse mit einem RESOURCE_CREATION event type vorab.

Für metrics.resource_creation_success ist außerdem erforderlich, dass das Ereignis mindestens eine SecurityResult.Action von ALLOW hat.

Ressourcen löschen

Bei metrics.resource_deletion_success werden Verlaufswerte für UDM-Ereignisse mit einer RESOURCE_DELETION event type vorab berechnet. Außerdem ist erforderlich, dass das Ereignis mindestens eine SecurityResult.Actions von ALLOW hat.

Ressource gelesen

Bei metrics.resource_read_success werden Verlaufswerte für UDM-Ereignisse mit einer RESOURCE_READ event type vorab berechnet. Außerdem ist erforderlich, dass das Ereignis mindestens eine SecurityResult.Action von ALLOW hat.

Bei metrics.resource_read_fail ist stattdessen erforderlich, dass keine der SecurityResult.Actions ALLOW ist.

Beschränkungen

Beachten Sie beim Erstellen von YARA-L-Regeln mit Messwerten die folgenden Einschränkungen:

• Sie können einen Messwert nicht mit einem Standardwert verknüpfen ("" für Strings und 0 für Ganzzahlen).
• Standardwerte:
  • Wenn keine Messwertdaten vorhanden sind, die einem Ereignis entsprechen, wird die zurückgegebene Wert aus der Messwertfunktion 0 ist.
  • Wenn ein Ereignis in der Erkennung keine Messwertdaten enthält, wird bei Verwendung von min für die Aggregation über die Funktion möglicherweise „0“ zurückgegeben.
  • Wenn Sie prüfen möchten, ob es Daten für ein Ereignis gibt, können Sie die num_metric_periods-Aggregation für dasselbe Ereignis mit denselben Filtern verwenden.
• Messwertfunktionen können nur im Abschnitt „Ergebnis“ verwendet werden.
• Da Metrikfunktionen nur im Ergebnisabschnitt verwendet werden, müssen sie wie jeder andere Wert in Regeln mit einem Übereinstimmungsbereich aggregiert wird.