Regeln für Risikoanalysen erstellen
In diesem Dokument werden die wichtigsten Elemente der neuen YARA-L-Syntaxfunktionen für Risikoanalysen beschrieben. Weitere Informationen zu YARA-L finden Sie unter YARA-L 2.0 Sprachsyntax.
YARA-L-Messwertfunktionen
Chronicle unterstützt eine Reihe von Messwertfunktionen, mit denen große Mengen an Verlaufsdaten aggregieren können.
Die Messwertfunktion kann nur im Bereich „Ergebnis“ verwendet werden. Bei allen Beispielfunktionsaufrufen wird von der Verwendung in einer Mehrereignisregel ausgegangen.
Alle Regeln, die die Messwertfunktion verwenden, werden automatisch als Mehrfachereignisregeln kategorisiert, auch wenn sie keinen Übereinstimmungsabschnitt haben und nur eine Ereignisvariable verwenden. Das bedeutet, dass sie auf das Kontingent für Mehrereignisregeln angerechnet werden.
Funktionsparameter
Die Messwertfunktionen können für Regeln verwendet werden, die Verhaltensanalysen von Entitäten durchführen.
Die folgende Regel gibt beispielsweise die maximale Anzahl der täglichen Byte an, die eine bestimmte IP-Adresse im letzten Monat gesendet hat:
$max_bytes_per_day = max(metrics.network_bytes_outbound(
period:1d, window:30d,
metric:value_sum,
agg:max,
principal.asset.ip:$ip
))
Aufgrund der großen Anzahl von Argumenten, die in diesen Funktionen verwendet werden, verwenden sie benannte Parameter, die in beliebiger Reihenfolge angegeben werden können. Die Parameter sind:
Zeitraum
Der Zeitraum, über den einzelne Logereignisse in einer einzigen Beobachtung kombiniert werden. Die einzigen zulässigen Werte sind 1h
und 1d
.
Window
Der Zeitraum, über den einzelne Beobachtungen zu einem einzelnen Wert zusammengefasst werden, z. B. dem Durchschnitt und dem Maximum. Die zulässigen Werte für window
basieren auf dem Zeitraum des Messwerts. Die gültige Zuordnung sieht so aus:
period:1h
: window:today
period:1d
: window:30d
Die folgende Regel gibt beispielsweise die größte Anzahl fehlgeschlagener Authentifizierungsversuche an, die für einen bestimmten Nutzer (Alice) in den letzten 30 Tagen an einem bestimmten Tag festgestellt wurden:
$user = "alice"
$max_fail = max(metrics.auth_attempts_fail(
period:1d, window:30d,
metric:event_count_sum,
agg:max,
target.user.userid:$user
))
Für first-seen
kann eine Kombination aus stündlichen und täglichen Messwerten verwendet werden
und die verschiedenen Erkennungsarten. Die folgende Regel gibt beispielsweise an, ob sich ein Nutzer zum ersten Mal in dieser Anwendung anmeldet:
events:
$e.metadata.event_type = "USER_LOGIN"
$e.security_result.action = "ALLOW"
$userid = $e.target.user.userid
$app = $e.target.application
match:
// find events from now - 4h ago, which is the recommended look-back period
$userid, $app over 4h
outcome:
// check hourly analytics until daily analytics are available
$first_seen_today = max(metrics.auth_attempts_success(
period:1h, window:today, metric:first_seen, agg:max,
target.user.userid:$userid, target.application:$app))
$first_seen_monthly = max(metrics.auth_attempts_success(
period:1d, window:30d, metric:first_seen, agg:max,
target.user.userid:$userid, target.application:$app))
condition:
$e and ($first_seen_today = 0) and ($first_seen_monthly = 0)
Messwert
Innerhalb jeder Periode werden jeder Beobachtung eine Reihe von Metriken zugeordnet.
Eine davon muss für die Aggregation über das gesamte Fenster ausgewählt werden. Es werden fünf metric
-Typen unterstützt:
event_count_sum
: Anzahl der eindeutigen Protokollereignisse pro Zeitraum.
first_seen
: Zeitstempel eines übereinstimmenden Logereignisses in jedem Zeitraum
last_seen
: Zeitstempel eines übereinstimmenden Logereignisses in jedem Zeitraum, das zuletzt erfasst wurde.
value_sum
: Gibt die Summe der Bytezahl in allen Logereignissen innerhalb des Zeitraums an. Sie können diesen Wert nur für Messwertfunktionen mit bytes
im Namen verwenden.
num_unique_filter_values
: Messwert, der von Chronicle nicht vorab berechnet, aber während der Regelausführung berechnet werden kann. Weitere Informationen und Anforderungen finden Sie unter Einzelne Messwerte zählen.
Aggregat
Die Aggregation, die auf den Messwert angewendet wird. Aggregationen werden über das gesamte Zeitfenster angewendet, z.B. den höchsten täglichen Wert in den letzten 30 Tagen. Folgende Werte sind zulässig:
avg
: Durchschnittswert pro Zeitraum. Dies ist ein statistischer Mittelwert, der keine Werte von null umfasst.
max
: höchster Wert pro Zeitraum
min
: Kleinster Wert pro Zeitraum.
num_metric_periods
: Anzahl der Zeiträume innerhalb des Zeitfensters, in denen ein Messwert ungleich null war.
stddev
: Standardabweichung des Werts pro Zeitraum. Dies ist eine statistische Standardabweichung, die keine Nullwerte enthält.
sum
: Summe jedes Wertes pro Zeitraum über das gesamte Zeitfenster.
Die folgende Regel gibt beispielsweise die durchschnittliche Anzahl fehlgeschlagener Authentifizierungsversuche an, die für einen bestimmten Nutzer (Alice) an einem bestimmten Tag in den letzten 30 Tagen festgestellt wurden:
$user = "alice"
$avg_fail = max(metrics.auth_attempts_fail(
period:1d, window:30d,
metric:event_count_sum,
agg:avg,
target.user.userid:$user
))
Die folgende Regel gibt an, wie viele erfolgreiche Authentifizierungen ein bestimmter Nutzer in den letzten 30 Tagen hatte:
$total_success = max(metrics.auth_attempts_success(
period:1d, window:30d,
metric:event_count_sum,
agg:sum,
target.user.userid:$user
))
Die folgende Regel gibt an, ob sich ein bestimmter Nutzer in den letzten 30 Tagen mindestens einmal erfolgreich angemeldet hat:
$days_success = max(metrics.auth_attempts_success(
period:1d, window:30d,
metric:event_count_sum,
agg:num_metric_periods,
target.user.userid:$user
))
Die folgende Regel gibt an, wann sich ein bestimmter Nutzer zum ersten oder letzten Mal erfolgreich angemeldet hat:
$first_seen = max(metrics.auth_attempts_success(
period:1d, window:30d,
metric:first_seen,
agg:min,
target.user.userid:$user
))
$last_seen = max(metrics.auth_attempts_success(
period:1d, window:30d,
metric:last_seen,
agg:max,
target.user.userid:$user
))
Die folgende Regel gibt die maximale Anzahl von Byte an, die von einem Nutzer an einem beliebigen Tag in den letzten 30 Tagen gesendet wurden:
$max_daily_bytes = max(metrics.network_bytes_outbound(
period:1d, window:30d,
metric:value_sum,
agg:max,
target.user.userid:$user
))
Filtern
Mit Filtern können Sie Messwerte vor der Aggregation nach einem Wert im vorab berechneten Messwert filtern (siehe Werte unter Messwert). Filter können ein beliebiger gültiger Ereignisausdruck sein (eine einzelne Zeile im Ereignisbereich), der keine Ereignisfelder oder Platzhalter enthält. Die einzigen Variablen, die in diese Bedingung aufgenommen werden können, sind Messwerttypen.
Die folgende Regel gilt nur für Messwerte mit value_sum > 10 AND
event_count_sum > 2
:
$max_bytes_per_day = max(metrics.network_bytes_outbound(
period:1d, window:30d,
metric:value_sum,
agg:max,
principal.asset.ip:$ip
filter:value_sum > 10 AND event_count_sum > 2
))
Beispiele für gültige Filter
filter:value_sum > 10 AND event_count_sum != 5
filter:event_count_sum = 100 OR event_count_sum > 1000
filter:timestamp.get_day_of_week(first_seen) = 3
Ungültige Beispiele für Filter
// No placeholders in filter expressions.
filter:value_sum > $ph
// No event fields in filter expressions.
filter:event_count_sum + $e.field > 10
// No event fields in filter expressions.
filter:timestamp.subtract(first_seen, $e.metadata.timestamp)
UDM-Felder
Messwerte werden je nach Funktion nach 1, 2 oder 3 UDM-Feldern gefiltert. Weitere Informationen finden Sie unter Funktionen.
Die folgenden Arten von UDM-Feldern werden für Messwertfunktionen verwendet:
- Dimensionen (erforderlich): In dieser Dokumentation sind verschiedene Kombinationen aufgeführt. Messwerte können nicht mit einem Standardwert (
""
für String und0
für Ganzzahl) zusammengeführt werden. - Namespaces (optional) Sie können Namespaces nur für Entitäten verwenden, die Sie in Dimensionen angeben. Wenn Sie beispielsweise
principal.asset.hostname filter
verwenden, können Sie auch einprincipal.namespace filter
verwenden. Wenn Sie keinen Namespace-Filter hinzufügen, werden die Daten aller Namespaces zusammengefasst. Sie können einen Standardwert als Namespace-Filter verwenden.
Fensterberechnungen
Chronicle berechnet Messwerte entweder anhand eines täglichen oder stündlichen Messwertfensters.
Tagesfenster
Alle Tageszeiträume, z. B. 30d
, werden auf die gleiche Weise bestimmt.
Chronicle verwendet die neuesten verfügbaren Messwertdaten, die generiert wurden und sich nicht mit dem Regelzeitraum überschneiden. Die Berechnung der täglichen Messwerte kann bis zu 6 Stunden dauern und beginnt erst am Ende des Tages in UTC. Die Messwerte für den Vortag sind täglich ab 6:00 Uhr (UTC) verfügbar.
Beispiel: Für eine Regel, die für Ereignisdaten vom 31.10.2023, 04:00 Uhr (UTC) bis zum 31.10.2023, 7:00 Uhr (UTC) ausgeführt wird, werden die täglichen Messwerte für den 31.10.2023 wahrscheinlich generiert. Für die Messwertberechnung werden also die Daten vom 01.10.2023 bis einschließlich 2023 verwendet. Während eine Regel, die für Ereignisdaten vom 31.10.2023, 13:00 Uhr bis 31.10.2023, 3:00 Uhr (UTC) ausgeführt wird, werden die täglichen Messwerte für den 30.10.2023 wahrscheinlich nicht generiert. Daher werden für die Messwertberechnung die Daten vom 30.09.2023 bis einschließlich 2023.09.2023 verwendet.
Stündliches today
-Fenster
Das stündliche Messwertfenster wird ganz anders berechnet als das Fenster für tägliche Messwerte. Das stündliche Messwertfenster von today
ist keine statische Größe wie das 30d
-Fenster für tägliche Messwerte. Im stündlichen Messwertfenster today
werden zwischen dem Ende des Tagesfensters und dem Beginn des Regelzeitfensters so viele Daten wie möglich ausgefüllt.
Beispiel: Bei einer Regel, die für Ereignisdaten vom 31.10.2023 um 4:00:00 Uhr UTC bis 31.10.2023 um 7:00:00 Uhr (UTC) ausgeführt wird, werden für die tägliche Messwertberechnung die Daten vom 01.10.2023 bis einschließlich 20:03:0.0.03:0.03:0.03:0.03:0.03:0.03:0.03:0.03:0 auf UTC-3.0
Anzahl eindeutiger Messwerte
Es gibt einen speziellen Messwerttyp num_unique_filter_values
, der von Chronicle nicht vorab berechnet, sondern während einer Regelausführung berechnet wird. Dazu werden sie über eine vorhandene Dimension in einem vorab berechneten Messwert aggregiert. Beispielsweise kann der Messwert daily total count of distinct countries that a user attempted to authenticate
in aus den vorab berechneten auth_attempts_total
-Messwerten für die Dimensionen target.user.userid
und principal.ip_geo_artifact.location.country_or_region
abgeleitet werden. Dazu wird eine Aggregation der Anzahl eindeutiger für die zweite Dimension durchgeführt.
Mit der folgenden Beispielregel werden eindeutige Messwerte gezählt:
$outcome_variable = max(metrics.auth_attempts_total(
period: 1d,
window: 30d,
// This metric type indicates any filter with a wildcard value should be
// aggregated over each day to produce a new metric on-the-fly.
metric: num_unique_filter_values,
agg: max,
target.user.userid: $userid,
// Filter whose value should be counted over each day to produce the
// num_unique_filter_values metric.
principal.ip_geo_artifact.location.country_or_region: *
))
Für diese Funktion gilt die folgende Einschränkung:
- Die Berechnung der Anzahl einzelner Messwerte kann nur für eine Filterdimension aggregiert werden. Dies wird mit dem Platzhaltertoken
*
als Filterwert angegeben.
Funktionen
Dieser Abschnitt enthält eine Dokumentation zu den spezifischen Messwertfunktionen, die von Chronicle unterstützt werden.
Authentifizierungsversuche
Bei metrics.auth_attempts_total
werden bisherige Werte für UDM-Ereignisse mit dem Ereignistyp USER_LOGIN
vorab berechnet.
metrics.auth_attempts_success
setzt außerdem voraus, dass das Ereignis mindestens eine SecurityResult.Action von ALLOW
hat.
Für metrics.auth_attempts_fail
muss stattdessen keine der SecurityResult.Actions ALLOW
sein.
Vollständige Liste der als Filter verfügbaren UDM-Felder
principal.asset.asset_id
principal.asset.asset_id
,target.asset.asset_id
principal.asset.asset_id
,target.asset.hostname
principal.asset.asset_id
,target.asset.ip
principal.asset.asset_id
,target.asset.mac
principal.asset.asset_id
,target.asset.product_object_id
principal.asset.hostname
principal.asset.hostname
,target.asset.asset_id
principal.asset.hostname
,target.asset.hostname
principal.asset.hostname
,target.asset.ip
principal.asset.hostname
,target.asset.mac
principal.asset.hostname
,target.asset.product_object_id
principal.asset.ip
principal.asset.ip
,target.asset.asset_id
principal.asset.ip
,target.asset.hostname
principal.asset.ip
,target.asset.ip
principal.asset.ip
,target.asset.mac
principal.asset.ip
,target.asset.product_object_id
principal.asset.mac
principal.asset.mac
,target.asset.asset_id
principal.asset.mac
,target.asset.hostname
principal.asset.mac
,target.asset.ip
principal.asset.mac
,target.asset.mac
principal.asset.mac
,target.asset.product_object_id
principal.asset.product_object_id
principal.asset.product_object_id
,target.asset.asset_id
principal.asset.product_object_id
,target.asset.hostname
principal.asset.product_object_id
,target.asset.ip
principal.asset.product_object_id
,target.asset.mac
principal.asset.product_object_id
,target.asset.product_object_id
principal.user.email_addresses
principal.user.email_addresses
,target.asset.asset_id
principal.user.email_addresses
,target.asset.hostname
principal.user.email_addresses
,target.asset.ip
principal.user.email_addresses
,target.asset.mac
principal.user.email_addresses
,target.asset.product_object_id
principal.user.employee_id
principal.user.employee_id
,target.asset.asset_id
principal.user.employee_id
,target.asset.hostname
principal.user.employee_id
,target.asset.ip
principal.user.employee_id
,target.asset.mac
principal.user.employee_id
,target.asset.product_object_id
principal.user.product_object_id
principal.user.product_object_id
,target.asset.asset_id
principal.user.product_object_id
,target.asset.hostname
principal.user.product_object_id
,target.asset.ip
principal.user.product_object_id
,target.asset.mac
principal.user.product_object_id
,target.asset.product_object_id
principal.user.userid
principal.user.userid
,target.asset.asset_id
principal.user.userid
,target.asset.hostname
principal.user.userid
,target.asset.ip
principal.user.userid
,target.asset.mac
principal.user.userid
,target.asset.product_object_id
principal.user.windows_sid
principal.user.windows_sid
,target.asset.asset_id
principal.user.windows_sid
,target.asset.hostname
principal.user.windows_sid
,target.asset.ip
principal.user.windows_sid
,target.asset.mac
principal.user.windows_sid
,target.asset.product_object_id
target.application
target.user.email_addresses
target.user.email_addresses
,network.tls.client.certificate.sha256
target.user.email_addresses
,principal.ip_geo_artifact.location.country_or_region
target.user.email_addresses
,principal.ip_geo_artifact.network.organization_name
target.user.email_addresses
,target.application
target.user.employee_id
target.user.employee_id
,network.tls.client.certificate.sha256
target.user.employee_id
,principal.ip_geo_artifact.location.country_or_region
target.user.employee_id
,principal.ip_geo_artifact.network.organization_name
target.user.employee_id
,target.application
target.user.product_object_id
target.user.product_object_id
,network.tls.client.certificate.sha256
target.user.product_object_id
,principal.ip_geo_artifact.location.country_or_region
target.user.product_object_id
,principal.ip_geo_artifact.network.organization_name
target.user.product_object_id
,target.application
target.user.userid
target.user.userid
,network.tls.client.certificate.sha256
target.user.userid
,principal.ip_geo_artifact.location.country_or_region
target.user.userid
,principal.ip_geo_artifact.network.organization_name
target.user.userid
,target.application
target.user.windows_sid
target.user.windows_sid
,network.tls.client.certificate.sha256
target.user.windows_sid
,principal.ip_geo_artifact.location.country_or_region
target.user.windows_sid
,principal.ip_geo_artifact.network.organization_name
target.user.windows_sid
,target.application
metrics.auth_attempts_total
hat zusätzliche UDM-Felder, die als Filter verfügbar sind
target.application
,target.asset.asset_id
target.application
,target.asset.hostname
target.application
,target.asset.ip
target.application
,target.asset.mac
target.application
,target.asset.product_object_id
metrics.auth_attempts_success
hat zusätzliche UDM-Felder, die als Filter verfügbar sind
network.http.user_agent
principal.asset.asset_id
,metadata.event_type
principal.asset.hostname
,metadata.event_type
principal.asset.ip
,metadata.event_type
principal.asset.mac
,metadata.event_type
principal.asset.product_object_id
,metadata.event_type
DNS-Byte ausgehend
metrics.dns_bytes_outbound
berechnet bisherige Werte für UDM-Ereignisse voraus, bei denen Netzwerk.sent_bytes > 0
und der Zielport 53/udp
, 53/tcp
oder 3000/tcp
sind.
network.sent_bytes
ist als value_sum
verfügbar.
Vollständige Liste der als Filter verfügbaren UDM-Felder
principal.asset.asset_id
principal.asset.asset_id
,target.ip
principal.asset.hostname
principal.asset.hostname
,target.ip
principal.asset.ip
principal.asset.ip
,target.ip
principal.asset.mac
principal.asset.mac
,target.ip
principal.asset.product_object_id
principal.asset.product_object_id
,target.ip
principal.user.email_addresses
principal.user.email_addresses
,target.ip
principal.user.employee_id
principal.user.employee_id
,target.ip
principal.user.product_object_id
principal.user.product_object_id
,target.ip
principal.user.userid
principal.user.userid
,target.ip
principal.user.windows_sid
principal.user.windows_sid
,target.ip
target.ip
DNS-Abfragen
Bei metrics.dns_queries_total
werden bisherige Werte für UDM-Ereignisse vorab berechnet, die im Netzwerk einen Wert haben.dns.id
.
Für metrics.dns_queries_success
muss außerdem das Netzwerk.dns.response_code
0
(NoError
) sein.
metrics.dns_queries_fail
berücksichtigt nur Ereignisse mit einem Netzwerk.dns.response_code
größer als 0
.
Vollständige Liste der als Filter verfügbaren UDM-Felder
principal.asset.asset_id
principal.asset.asset_id
,network.dns_domain
principal.asset.asset_id
,network.dns.questions.type
principal.asset.hostname
principal.asset.hostname
,network.dns_domain
principal.asset.hostname
,network.dns.questions.type
principal.asset.ip
principal.asset.ip
,network.dns_domain
principal.asset.ip
,network.dns.questions.type
principal.asset.mac
principal.asset.mac
,network.dns_domain
principal.asset.mac
,network.dns.questions.type
principal.asset.product_object_id
principal.asset.product_object_id
,network.dns_domain
principal.asset.product_object_id
,network.dns.questions.type
principal.user.email_addresses
principal.user.email_addresses
,network.dns_domain
principal.user.email_addresses
,network.dns.questions.type
principal.user.employee_id
principal.user.employee_id
,network.dns_domain
principal.user.employee_id
,network.dns.questions.type
principal.user.product_object_id
principal.user.product_object_id
,network.dns_domain
principal.user.product_object_id
,network.dns.questions.type
principal.user.userid
principal.user.userid
,network.dns_domain
principal.user.userid
,network.dns.questions.type
principal.user.windows_sid
principal.user.windows_sid
,network.dns_domain
principal.user.windows_sid
,network.dns.questions.type
Dateiausführungen
Bei metrics.file_executions_total
werden bisherige Werte für UDM-Ereignisse mit dem Ereignistyp PROCESS_LAUNCH
vorab berechnet.
metrics.file_executions_success
erfordert außerdem, dass das Ereignis mindestens ein SecurityResult.Action von ALLOW
hat.
Für metrics.file_executions_fail
darf stattdessen keine der SecurityResult.Actions ALLOW
-Werte sein.
Vollständige Liste der als Filter verfügbaren UDM-Felder
metadata.event_type
,principal.process.file.sha256
metadata.event_type
,principal.asset.asset_id
,principal.process.file.sha256
metadata.event_type
,principal.asset.hostname
,principal.process.file.sha256
metadata.event_type
,principal.asset.ip
,principal.process.file.sha256
metadata.event_type
,principal.asset.mac
,principal.process.file.sha256
metadata.event_type
,principal.asset.product_object_id
,principal.process.file.sha256
metadata.event_type
,principal.user.email_addresses
,principal.process.file.sha256
metadata.event_type
,principal.user.employee_id
,principal.process.file.sha256
metadata.event_type
,principal.user.product_object_id
,principal.process.file.sha256
metadata.event_type
,principal.user.userid
,principal.process.file.sha256
metadata.event_type
,principal.user.windows_sid
,principal.process.file.sha256
HTTP-Abfragen
Bei metrics.http_queries_total
werden bisherige Werte für UDM-Ereignisse vorab berechnet, die im Netzwerk einen Wert haben.http.method
.
metrics.http_queries_success
erfordert dieses Netzwerk.http.response_code
< 400
metrics.http_queries_fail
berücksichtigt nur Ereignisse mit einem network.`http.response_code
= 400".
Vollständige Liste der als Filter verfügbaren UDM-Felder
principal.asset.asset_id
principal.asset.asset_id
,network.http.user_agent
principal.asset.hostname
principal.asset.hostname
,network.http.user_agent
principal.asset.ip
principal.asset.ip
,network.http.user_agent
principal.asset.mac
principal.asset.mac
,network.http.user_agent
principal.asset.product_object_id
principal.asset.product_object_id
,network.http.user_agent
principal.user.email_addresses
principal.user.email_addresses
,network.http.user_agent
principal.user.employee_id
principal.user.employee_id
,network.http.user_agent
principal.user.product_object_id
principal.user.product_object_id
,network.http.user_agent
principal.user.userid
principal.user.userid
,network.http.user_agent
principal.user.windows_sid
principal.user.windows_sid
,network.http.user_agent
Netzwerkbyte
metrics.network_bytes_inbound
berechnet bisherige Werte für UDM-Ereignisse vorab, die für network einen Wert ungleich null haben.received_bytes
stellt dieses Feld als value_sum
zur Verfügung.
metrics.network_bytes_outbound
erfordert einen Wert ungleich null für network.sent_bytes
und macht dieses Feld als value_sum
verfügbar.
metrics.network_bytes_total
berücksichtigt Ereignisse, die für network.received_bytes
oder network einen Wert ungleich null haben.sent_bytes
(oder beide) und machen Sie die Summe dieser beiden Felder als value_sum
verfügbar.
Vollständige Liste der als Filter verfügbaren UDM-Felder
principal.asset.asset_id
principal.asset.asset_id
,principal.ip_geo_artifact.location.country_or_region
principal.asset.asset_id
,security_result.category
principal.asset.asset_id
,target.ip_geo_artifact.network.organization_name
principal.asset.hostname
principal.asset.hostname
,principal.ip_geo_artifact.location.country_or_region
principal.asset.hostname
,security_result.category
principal.asset.hostname
,target.ip_geo_artifact.network.organization_name
principal.asset.ip
principal.asset.ip
,principal.ip_geo_artifact.location.country_or_region
principal.asset.ip
,security_result.category
principal.asset.ip
,target.ip_geo_artifact.network.organization_name
principal.asset.mac
principal.asset.mac
,principal.ip_geo_artifact.location.country_or_region
principal.asset.mac
,security_result.category
principal.asset.mac
,target.ip_geo_artifact.network.organization_name
principal.asset.product_object_id
principal.asset.product_object_id
,principal.ip_geo_artifact.location.country_or_region
principal.asset.product_object_id
,security_result.category
principal.asset.product_object_id
,target.ip_geo_artifact.network.organization_name
principal.user.email_addresses
principal.user.email_addresses
,principal.ip_geo_artifact.location.country_or_region
principal.user.email_addresses
,security_result.category
principal.user.email_addresses
,target.ip_geo_artifact.network.organization_name
principal.user.employee_id
principal.user.employee_id
,principal.ip_geo_artifact.location.country_or_region
principal.user.employee_id
,security_result.category
principal.user.employee_id
,target.ip_geo_artifact.network.organization_name
principal.user.product_object_id
principal.user.product_object_id
,principal.ip_geo_artifact.location.country_or_region
principal.user.product_object_id
,security_result.category
principal.user.product_object_id
,target.ip_geo_artifact.network.organization_name
principal.user.userid
principal.user.userid
,principal.ip_geo_artifact.location.country_or_region
principal.user.userid
,security_result.category
principal.user.userid
,target.ip_geo_artifact.network.organization_name
principal.user.windows_sid
principal.user.windows_sid
,principal.ip_geo_artifact.location.country_or_region
principal.user.windows_sid
,security_result.category
principal.user.windows_sid
,target.ip_geo_artifact.network.organization_name
Beschränkungen
Beachten Sie beim Erstellen von YARA-L-Regeln mit Messwerten die folgenden Einschränkungen:
- Messwerte können nicht mit einem Standardwert (
""
für String und0
für Int) zusammengeführt werden. - Standardwerte:
- Wenn keine Messwertdaten vorhanden sind, die einem Ereignis entsprechen, wird von der Messwertfunktion 0 zurückgegeben.
- Wenn es bei der Erkennung ein Ereignis gibt, für das keine Messwertdaten vorhanden sind, kann bei Verwendung von
min
zum Aggregieren über die Funktion 0 zurückgegeben werden. - Um zu prüfen, ob Daten für ein Ereignis vorhanden sind, können Sie die Messwertaggregation
num_metric_periods
für dasselbe Ereignis mit denselben Filtern verwenden.
- Messwertfunktionen können nur im Bereich „Ergebnis“ verwendet werden.
- Da Messwertfunktionen nur im Ergebnisbereich verwendet werden, müssen sie wie jeder andere Wert in Regeln mit einem Übereinstimmungsbereich aggregiert werden.