リスク分析のルールを作成する

このドキュメントでは、リスク分析の新しい YARA-L 構文機能の主な要素について説明します。YARA-L の詳細については、YARA-L 2.0 言語構文をご覧ください。

YARA-L 指標関数

Google Security Operations は、大量の履歴データを集計できる数多くの指標関数をサポートしています。

指標関数は結果セクションでのみ使用できます。関数呼び出しの例はすべて、マルチイベント ルールで使用することを前提としています。

指標関数を使用するすべてのルールには、一致セクションがなく、イベント変数を 1 つだけ使用している場合でも、自動的にマルチイベント ルールに分類されます。つまり、マルチイベント ルールの割り当てにカウントされます。

関数のパラメータ

指標関数は、エンティティの動作分析を実行するルールに使用できます。

たとえば、次のルールは、特定の IP アドレスが過去 1 か月間に送信した 1 日あたりの最大バイト数を示します。

$max_bytes_per_day = max(metrics.network_bytes_outbound(
    period:1d, window:30d,
    metric:value_sum,
    agg:max,
    principal.asset.ip:$ip
))

これらの関数では多数の引数が使用されるため、任意の順序で指定できる名前付きパラメータが使用されます。パラメータは以下のとおりです。

Period

個々のログイベントが 1 つのモニタリングに統合される期間。指定できる値は 1h1d のみです。

ウィンドウ

個々の測定値を 1 つの値に集計する期間(平均や最大値など)。window に許容される値は、指標の期間に基づきます。有効なマッピングは次のとおりです。

period:1h: window:today

period:1d: window:30d

たとえば、次のルールは、過去 30 日間の特定の 1 日あたりの特定のユーザー(Alice)に対する認証失敗の回数を示しています。

$user = "alice"
$max_fail = max(metrics.auth_attempts_fail(
    period:1d, window:30d,
        metric:event_count_sum,
        agg:max,
        target.user.userid:$user
))

first-seen には、時間単位と日単位の指標の組み合わせを使用できます。

検出のタイプ。たとえば、次のルールは、ユーザーがこのアプリケーションに初めてログインしたときかどうかを示します。

events:
    $e.metadata.event_type = "USER_LOGIN"
    $e.security_result.action = "ALLOW"
    $userid = $e.target.user.userid
    $app = $e.target.application
match:
    // find events from now - 4h ago, which is the recommended look-back period
    $userid, $app over 4h
outcome:
    // check hourly analytics until daily analytics are available
    $first_seen_today = max(metrics.auth_attempts_success(
        period:1h, window:today, metric:first_seen, agg:max,
        target.user.userid:$userid, target.application:$app))
    $first_seen_monthly = max(metrics.auth_attempts_success(
        period:1d, window:30d, metric:first_seen, agg:max,
        target.user.userid:$userid, target.application:$app))
condition:
    $e and ($first_seen_today = 0) and ($first_seen_monthly = 0)

指標

各期間には、各モニタリングにいくつかの指標が関連付けられます。ウィンドウ全体で集計するには、いずれか 1 つを選択する必要があります。次の 5 つの metric タイプがサポートされています。

event_count_sum - 各期間内の一意のログイベントの数。

first_seen - 各期間内で一致するログイベントの最初に検出されたタイムスタンプ。

last_seen - 各期間内で一致するログイベントの最後に検知されたタイムスタンプ。

value_sum - その期間のすべてのログイベントのバイト数の合計を表します。この値は、名前に bytes が含まれる指標関数にのみ使用できます。

num_unique_filter_values - Google Security Operations によって事前計算されませんが、ルールの実行中に計算できる指標。詳細と要件については、一意の指標をカウントするをご覧ください。

Agg

指標に適用する集計。集計は時間枠全体(過去 30 日間の最高 1 日あたりの値など)に適用されます。使用できる値は次のとおりです。

avg - 期間の平均値。これは統計平均であり、ゼロの値は含まれません。

max - 期間あたりの最大値。

min - 期間あたりの最小値。

num_metric_periods - 時間枠内の指標値がゼロ以外の期間の数。

stddev - 期間あたりの値の標準偏差。これはゼロ値を含まない統計標準偏差です。

sum - 期間全体における期間ごとの各値の合計。

たとえば、次のルールは、過去 30 日間の特定の 1 日の特定のユーザー(Alice)に対する認証失敗の平均回数を示しています。

$user = "alice"
$avg_fail = max(metrics.auth_attempts_fail(
        period:1d, window:30d,
        metric:event_count_sum,
        agg:avg,
        target.user.userid:$user
))

次のルールは、過去 30 日間に特定のユーザーが成功した認証の数を示します。

$total_success = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:event_count_sum,
        agg:sum,
        target.user.userid:$user
))

次のルールは、特定のユーザーが過去 30 日間に 1 回以上ログインに成功したかどうかを示します。

$days_success = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:event_count_sum,
        agg:num_metric_periods,
        target.user.userid:$user
))

次のルールは、特定のユーザーがログインに成功した最初または最後の時刻を示します。

$first_seen = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:first_seen,
        agg:min,
        target.user.userid:$user
))
$last_seen = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:last_seen,
        agg:max,
        target.user.userid:$user
))

次のルールは、過去 30 日間に 1 日にユーザーが送信した最大バイト数を示します。

$max_daily_bytes = max(metrics.network_bytes_outbound(
        period:1d, window:30d,
        metric:value_sum,
        agg:max,
        target.user.userid:$user
))

フィルタ

フィルタを使用すると、事前計算された指標の値で集計される前に、指標をフィルタリングできます(指標の値を参照)。フィルタには、イベント フィールドやプレースホルダを含まない任意の有効なイベント式(イベント セクション内の 1 行)を指定できます。この条件に含めることができる変数は、指標タイプのみです。

次のルールには、value_sum > 10 AND event_count_sum > 2 である指標のみが含まれます。

$max_bytes_per_day = max(metrics.network_bytes_outbound(
    period:1d, window:30d,
    metric:value_sum,
    agg:max,
    principal.asset.ip:$ip
    filter:value_sum > 10 AND event_count_sum > 2
))
有効なフィルタの例
filter:value_sum > 10 AND event_count_sum != 5
filter:event_count_sum = 100 OR event_count_sum > 1000
filter:timestamp.get_day_of_week(first_seen) = 3
無効なフィルタの例
// No placeholders in filter expressions.
filter:value_sum > $ph

// No event fields in filter expressions.
filter:event_count_sum + $e.field > 10

// No event fields in filter expressions.
filter:timestamp.subtract(first_seen, $e.metadata.timestamp)

UDM フィールド

指標は、関数に応じて、1、2、3 つの UDM フィールドでフィルタリングされます。 詳細については、関数をご覧ください。

指標関数には、次のタイプの UDM フィールドが使用されます。

  • ディメンション - (必須)このドキュメントにはさまざまな組み合わせが記載されています。指標をデフォルト値(文字列の場合は ""、int の場合は 0)と結合できません。
  • 名前空間 - (省略可)名前空間は、ディメンションで指定したエンティティでのみ使用できます。たとえば、principal.asset.hostname filter を使用する場合、principal.namespace filter も使用できます。名前空間フィルタを含めない場合、すべての名前空間のデータがまとめて集計されます。デフォルト値は、Namespace フィルタとして使用できます。

ウィンドウ計算

Google Security Operations は、1 日または 1 時間の指標ウィンドウを使用して指標を計算します。

1 日の計測期間

すべての 1 日のウィンドウ(30d など)は同じ方法で決定されます。Google Security Operations は、ルールの期間と重複しない、生成された最新の利用可能な指標データを使用します。1 日の指標の計算は、完了までに最大 6 時間かかる場合があり、UTC で 1 日の終わりまで開始されません。前日の指標データは、毎日 6 時(UTC)かそれより前に利用できます。

たとえば、2023 年 10 月 31 日 4:00 UTC から 2023 年 10 月 31 日 7:00 UTC までのイベントデータに対して実行されているルールの場合、2023 年 10 月 31 日の日次指標が生成されたため、指標計算では 2023 年 10 月 1 日から 2023 年 10 月 30 日までのデータが使用されます。2023 年 10 月 31 日 1 時 UTC から 2023 年 10 月 31 日 3 時 UTC までのイベントデータに対して実行されているルールの場合、2023 年 10 月 30 日の日次指標が生成されないため、指標の計算には 2023 年 9 月 30 日から 2023 年 10 月 29 日までのデータが使用されます。

1 時間あたりの today 時間枠

1 時間の指標の時間枠は、日別の指標の時間枠とは大きく異なります。today の 1 時間ごとの指標時間枠は、1 日の指標の 30d 時間枠とは異なり、静的なサイズではありません。1 時間あたりの指標ウィンドウ today には、1 日の時間枠の終わりからルールの時間枠の開始までの間に、できるだけ多くのデータが入力されます。

たとえば、2023-10-31 4:00:00 UTC から 2023-10-31 7:00:00 UTC までのイベントデータに対して実行されるルールの場合、毎日の指標の計算では data{101 }2023 年 10 月 1 日~ 2023 年 10 月 30 日(両端を含む)と時間単位の指標ウィンドウの場合、2023 年 10 月 31 日 00:00:00 UTC から 2023 年 10 月 31 日 4:00:00 UTC までのデータが使用されます。

ユニーク指標をカウントする

特別なタイプの指標 num_unique_filter_values があります。これは Google セキュリティ オペレーションによって事前計算されず、代わりにルールの実行中に計算されます。これを行うには、事前に計算された指標の既存のディメンションを集計します。たとえば、指標 daily total count of distinct countries that a user attempted to authenticate は、次の関数を実行して、ディメンション target.user.useridprincipal.ip_geo_artifact.location.country_or_region に対する事前に計算された auth_attempts_total 指標から導出できます。後者のディメンションに対して一意の集計をカウントします。

次の例のルールでは、一意の指標をカウントします。

$outcome_variable = max(metrics.auth_attempts_total(
    period: 1d,
    window: 30d,
    // This metric type indicates any filter with a wildcard value should be
    // aggregated over each day to produce a new metric on-the-fly.
    metric: num_unique_filter_values,
    agg: max,
    target.user.userid: $userid,
    // Filter whose value should be counted over each day to produce the
    // num_unique_filter_values metric.
    principal.ip_geo_artifact.location.country_or_region: *
))

この機能には、次の制限があります。

  • 一意の指標数の計算は、1 つのフィルタ ディメンションでのみ集計できます。これを確認するには、フィルタ値としてワイルドカード トークン * を使用します。

関数

このセクションでは、Google Security Operations でサポートされている特定の指標関数に関するドキュメントについて説明します。

認証試行回数

metrics.auth_attempts_total は、USER_LOGIN イベントタイプの UDM イベントの履歴値を事前計算します。

さらに metrics.auth_attempts_success では、イベントに ALLOWSecurityResult.Action が少なくとも 1 つ存在している必要があります。

metrics.auth_attempts_fail では、代わりに、どの SecurityResult.ActionsALLOW でない必要があります。

フィルタとして使用できる UDM フィールドの全リスト

  • principal.asset.asset_id
  • principal.asset.asset_idtarget.asset.asset_id
  • principal.asset.asset_idtarget.asset.hostname
  • principal.asset.asset_idtarget.asset.ip
  • principal.asset.asset_idtarget.asset.mac
  • principal.asset.asset_idtarget.asset.product_object_id
  • principal.asset.hostname
  • principal.asset.hostnametarget.asset.asset_id
  • principal.asset.hostnametarget.asset.hostname
  • principal.asset.hostnametarget.asset.ip
  • principal.asset.hostnametarget.asset.mac
  • principal.asset.hostnametarget.asset.product_object_id
  • principal.asset.ip
  • principal.asset.iptarget.asset.asset_id
  • principal.asset.iptarget.asset.hostname
  • principal.asset.iptarget.asset.ip
  • principal.asset.iptarget.asset.mac
  • principal.asset.iptarget.asset.product_object_id
  • principal.asset.mac
  • principal.asset.mactarget.asset.asset_id
  • principal.asset.mactarget.asset.hostname
  • principal.asset.mactarget.asset.ip
  • principal.asset.mactarget.asset.mac
  • principal.asset.mactarget.asset.product_object_id
  • principal.asset.product_object_id
  • principal.asset.product_object_idtarget.asset.asset_id
  • principal.asset.product_object_idtarget.asset.hostname
  • principal.asset.product_object_idtarget.asset.ip
  • principal.asset.product_object_idtarget.asset.mac
  • principal.asset.product_object_idtarget.asset.product_object_id
  • principal.user.email_addresses
  • principal.user.email_addressestarget.asset.asset_id
  • principal.user.email_addressestarget.asset.hostname
  • principal.user.email_addressestarget.asset.ip
  • principal.user.email_addressestarget.asset.mac
  • principal.user.email_addressestarget.asset.product_object_id
  • principal.user.employee_id
  • principal.user.employee_idtarget.asset.asset_id
  • principal.user.employee_idtarget.asset.hostname
  • principal.user.employee_idtarget.asset.ip
  • principal.user.employee_idtarget.asset.mac
  • principal.user.employee_idtarget.asset.product_object_id
  • principal.user.product_object_id
  • principal.user.product_object_idtarget.asset.asset_id
  • principal.user.product_object_idtarget.asset.hostname
  • principal.user.product_object_idtarget.asset.ip
  • principal.user.product_object_idtarget.asset.mac
  • principal.user.product_object_idtarget.asset.product_object_id
  • principal.user.userid
  • principal.user.useridtarget.asset.asset_id
  • principal.user.useridtarget.asset.hostname
  • principal.user.useridtarget.asset.ip
  • principal.user.useridtarget.asset.mac
  • principal.user.useridtarget.asset.product_object_id
  • principal.user.windows_sid
  • principal.user.windows_sidtarget.asset.asset_id
  • principal.user.windows_sidtarget.asset.hostname
  • principal.user.windows_sidtarget.asset.ip
  • principal.user.windows_sidtarget.asset.mac
  • principal.user.windows_sidtarget.asset.product_object_id
  • target.application
  • target.user.email_addresses
  • target.user.email_addressesnetwork.tls.client.certificate.sha256
  • target.user.email_addressesprincipal.ip_geo_artifact.location.country_or_region
  • target.user.email_addressesprincipal.ip_geo_artifact.network.organization_name
  • target.user.email_addressestarget.application
  • target.user.employee_id
  • target.user.employee_idnetwork.tls.client.certificate.sha256
  • target.user.employee_idprincipal.ip_geo_artifact.location.country_or_region
  • target.user.employee_idprincipal.ip_geo_artifact.network.organization_name
  • target.user.employee_idtarget.application
  • target.user.product_object_id
  • target.user.product_object_idnetwork.tls.client.certificate.sha256
  • target.user.product_object_idprincipal.ip_geo_artifact.location.country_or_region
  • target.user.product_object_idprincipal.ip_geo_artifact.network.organization_name
  • target.user.product_object_idtarget.application
  • target.user.userid
  • target.user.useridnetwork.tls.client.certificate.sha256
  • target.user.useridprincipal.ip_geo_artifact.location.country_or_region
  • target.user.useridprincipal.ip_geo_artifact.network.organization_name
  • target.user.useridtarget.application
  • target.user.windows_sid
  • target.user.windows_sidnetwork.tls.client.certificate.sha256
  • target.user.windows_sidprincipal.ip_geo_artifact.location.country_or_region
  • target.user.windows_sidprincipal.ip_geo_artifact.network.organization_name
  • target.user.windows_sidtarget.application

metrics.auth_attempts_total では、フィルタとして使用できる追加の UDM フィールドがあります

  • target.applicationtarget.asset.asset_id
  • target.applicationtarget.asset.hostname
  • target.applicationtarget.asset.ip
  • target.applicationtarget.asset.mac
  • target.applicationtarget.asset.product_object_id

metrics.auth_attempts_success では、フィルタとして使用できる追加の UDM フィールドがあります

  • network.http.user_agent
  • principal.asset.asset_idmetadata.event_type
  • principal.asset.hostnamemetadata.event_type
  • principal.asset.ipmetadata.event_type
  • principal.asset.macmetadata.event_type
  • principal.asset.product_object_idmetadata.event_type

DNS 送信バイト数

metrics.dns_bytes_outbound は、ネットワーク.sent_bytes > 0で、ターゲット ポートが 53/udp53/tcp、または 3000/tcp である UDM イベントの履歴値を事前計算します。ネットワーク.sent_bytes は、value_sum として使用できます。

フィルタとして使用できる UDM フィールドの全リスト

  • principal.asset.asset_id
  • principal.asset.asset_idtarget.ip
  • principal.asset.hostname
  • principal.asset.hostnametarget.ip
  • principal.asset.ip
  • principal.asset.iptarget.ip
  • principal.asset.mac
  • principal.asset.mactarget.ip
  • principal.asset.product_object_id
  • principal.asset.product_object_idtarget.ip
  • principal.user.email_addresses
  • principal.user.email_addressestarget.ip
  • principal.user.employee_id
  • principal.user.employee_idtarget.ip
  • principal.user.product_object_id
  • principal.user.product_object_idtarget.ip
  • principal.user.userid
  • principal.user.useridtarget.ip
  • principal.user.windows_sid
  • principal.user.windows_sidtarget.ip
  • target.ip

DNS クエリ

metrics.dns_queries_total は、network.dns.id に値がある UDM イベントの履歴値を事前計算します。

metrics.dns_queries_success はさらに、network.dns.response_code0NoError)であった必要があります。

metrics.dns_queries_fail は、ネットワーク.dns.response_code0 より大きいイベントのみを考慮します。

フィルタとして使用できる UDM フィールドの全リスト

  • principal.asset.asset_id
  • principal.asset.asset_idnetwork.dns_domain
  • principal.asset.asset_idnetwork.dns.questions.type
  • principal.asset.hostname
  • principal.asset.hostnamenetwork.dns_domain
  • principal.asset.hostnamenetwork.dns.questions.type
  • principal.asset.ip
  • principal.asset.ipnetwork.dns_domain
  • principal.asset.ipnetwork.dns.questions.type
  • principal.asset.mac
  • principal.asset.macnetwork.dns_domain
  • principal.asset.macnetwork.dns.questions.type
  • principal.asset.product_object_id
  • principal.asset.product_object_idnetwork.dns_domain
  • principal.asset.product_object_idnetwork.dns.questions.type
  • principal.user.email_addresses
  • principal.user.email_addressesnetwork.dns_domain
  • principal.user.email_addressesnetwork.dns.questions.type
  • principal.user.employee_id
  • principal.user.employee_idnetwork.dns_domain
  • principal.user.employee_idnetwork.dns.questions.type
  • principal.user.product_object_id
  • principal.user.product_object_idnetwork.dns_domain
  • principal.user.product_object_idnetwork.dns.questions.type
  • principal.user.userid
  • principal.user.useridnetwork.dns_domain
  • principal.user.useridnetwork.dns.questions.type
  • principal.user.windows_sid
  • principal.user.windows_sidnetwork.dns_domain
  • principal.user.windows_sidnetwork.dns.questions.type

ファイルの実行

metrics.file_executions_total は、PROCESS_LAUNCH イベントタイプの UDM イベントの履歴値を事前計算します。

metrics.file_executions_success では、さらに ALLOWSecurityResult.Action が少なくとも 1 つ存在している必要があります。

代わりに、metrics.file_executions_fail では、どの SecurityResult.ActionsALLOW でない必要があります。

フィルタとして使用できる UDM フィールドの全リスト

  • metadata.event_typeprincipal.process.file.sha256
  • metadata.event_typeprincipal.asset.asset_idprincipal.process.file.sha256
  • metadata.event_typeprincipal.asset.hostnameprincipal.process.file.sha256
  • metadata.event_typeprincipal.asset.ipprincipal.process.file.sha256
  • metadata.event_typeprincipal.asset.macprincipal.process.file.sha256
  • metadata.event_typeprincipal.asset.product_object_idprincipal.process.file.sha256
  • metadata.event_typeprincipal.user.email_addressesprincipal.process.file.sha256
  • metadata.event_typeprincipal.user.employee_idprincipal.process.file.sha256
  • metadata.event_typeprincipal.user.product_object_idprincipal.process.file.sha256
  • metadata.event_typeprincipal.user.useridprincipal.process.file.sha256
  • metadata.event_typeprincipal.user.windows_sidprincipal.process.file.sha256

HTTP クエリ

metrics.http_queries_total は、network.http.method に値がある UDM イベントの履歴値を事前計算します。

metrics.http_queries_success にはさらに、ネットワーク.http.response_code < 400 が必要です。

metrics.http_queries_fail は、ネットワークを含むイベントのみを考慮します。http.response_code >= 400

フィルタとして使用できる UDM フィールドの全リスト

  • principal.asset.asset_id
  • principal.asset.asset_idnetwork.http.user_agent
  • principal.asset.hostname
  • principal.asset.hostnamenetwork.http.user_agent
  • principal.asset.ip
  • principal.asset.ipnetwork.http.user_agent
  • principal.asset.mac
  • principal.asset.macnetwork.http.user_agent
  • principal.asset.product_object_id
  • principal.asset.product_object_idnetwork.http.user_agent
  • principal.user.email_addresses
  • principal.user.email_addressesnetwork.http.user_agent
  • principal.user.employee_id
  • principal.user.employee_idnetwork.http.user_agent
  • principal.user.product_object_id
  • principal.user.product_object_idnetwork.http.user_agent
  • principal.user.userid
  • principal.user.useridnetwork.http.user_agent
  • principal.user.windows_sid
  • principal.user.windows_sidnetwork.http.user_agent

ネットワーク バイト

metrics.network_bytes_inboundゼロ以外の値を持つ UDM イベントの履歴値を事前計算します。ネットワークして、ソース別にトラフィック データを分類します。received_bytesそのフィールドをvalue_sumして、ソース別にトラフィック データを分類します。

metrics.network_bytes_outbound は、network.sent_bytes にゼロ以外の値を要求し、そのフィールドを value_sum として使用可能にします。

metrics.network_bytes_total では、network.received_bytes または network のいずれかについてゼロ以外の値を持つイベントが考慮されます。sent_bytes(または両方)は、これら 2 つのフィールドの合計を value_sum として使用可能にします。

フィルタとして使用できる UDM フィールドの全リスト

  • principal.asset.asset_id
  • principal.asset.asset_idprincipal.ip_geo_artifact.location.country_or_region
  • principal.asset.asset_idsecurity_result.category
  • principal.asset.asset_idtarget.ip_geo_artifact.network.organization_name
  • principal.asset.hostname
  • principal.asset.hostnameprincipal.ip_geo_artifact.location.country_or_region
  • principal.asset.hostnamesecurity_result.category
  • principal.asset.hostnametarget.ip_geo_artifact.network.organization_name
  • principal.asset.ip
  • principal.asset.ipprincipal.ip_geo_artifact.location.country_or_region
  • principal.asset.ipsecurity_result.category
  • principal.asset.iptarget.ip_geo_artifact.network.organization_name
  • principal.asset.mac
  • principal.asset.macprincipal.ip_geo_artifact.location.country_or_region
  • principal.asset.macsecurity_result.category
  • principal.asset.mactarget.ip_geo_artifact.network.organization_name
  • principal.asset.product_object_id
  • principal.asset.product_object_idprincipal.ip_geo_artifact.location.country_or_region
  • principal.asset.product_object_idsecurity_result.category
  • principal.asset.product_object_idtarget.ip_geo_artifact.network.organization_name
  • principal.user.email_addresses
  • principal.user.email_addressesprincipal.ip_geo_artifact.location.country_or_region
  • principal.user.email_addressessecurity_result.category
  • principal.user.email_addressestarget.ip_geo_artifact.network.organization_name
  • principal.user.employee_id
  • principal.user.employee_idprincipal.ip_geo_artifact.location.country_or_region
  • principal.user.employee_idsecurity_result.category
  • principal.user.employee_idtarget.ip_geo_artifact.network.organization_name
  • principal.user.product_object_id
  • principal.user.product_object_idprincipal.ip_geo_artifact.location.country_or_region
  • principal.user.product_object_idsecurity_result.category
  • principal.user.product_object_idtarget.ip_geo_artifact.network.organization_name
  • principal.user.userid
  • principal.user.useridprincipal.ip_geo_artifact.location.country_or_region
  • principal.user.useridsecurity_result.category
  • principal.user.useridtarget.ip_geo_artifact.network.organization_name
  • principal.user.windows_sid
  • principal.user.windows_sidprincipal.ip_geo_artifact.location.country_or_region
  • principal.user.windows_sidsecurity_result.category
  • principal.user.windows_sidtarget.ip_geo_artifact.network.organization_name

リソースの作成

metrics.resource_creation_total は、RESOURCE_CREATION イベントタイプの UDM イベントの履歴値を事前計算します。

metrics.resource_creation_success ではさらに、イベントに ALLOWSecurityResult.Action が少なくとも 1 つ必要です。

フィルタとして使用できる UDM フィールドの全リスト

  • target.usermetadata.vendor_namemetadata.product_name
  • principal.usermetadata.vendor_namemetadata.product_name
  • principal.userprincipal.ipmetadata.vendor_namemetadata.product_name
  • principal.usertarget.applicationmetadata.vendor_namemetadata.product_name
  • target.resource.namemetadata.vendor_namemetadata.product_name
  • principal.usertarget.resource.namemetadata.vendor_namemetadata.product_name
  • principal.usertarget.location.namemetadata.vendor_namemetadata.product_name

リソースの削除

metrics.resource_deletion_successUDM イベントの履歴値を事前計算します。RESOURCE_DELETION イベントタイプイベントには少なくとも 1 つのイベントが必要です。SecurityResult.Actions /ALLOWして、ソース別にトラフィック データを分類します。

フィルタとして使用できる UDM フィールドの全リスト

  • target.usermetadata.vendor_namemetadata.product_name
  • principal.usermetadata.vendor_namemetadata.product_name
  • principal.userprincipal.ipmetadata.vendor_namemetadata.product_name
  • principal.usertarget.applicationmetadata.vendor_namemetadata.product_name
  • target.resource.namemetadata.vendor_namemetadata.product_name
  • principal.usertarget.resource.namemetadata.vendor_namemetadata.product_name
  • principal.usertarget.location.namemetadata.vendor_namemetadata.product_name

リソースの読み取り

metrics.resource_read_success は、RESOURCE_READ イベントタイプの UDM イベントの履歴値を事前計算します。また、イベントに少なくとも 1 つのALLOWSecurityResult.Action

代わりに、metrics.resource_read_fail ではどの SecurityResult.ActionsALLOW でない必要があります。

フィルタとして使用できる UDM フィールドの全リスト

  • target.usermetadata.vendor_namemetadata.product_name
  • principal.usermetadata.vendor_namemetadata.product_name
  • principal.userprincipal.ipmetadata.vendor_namemetadata.product_name
  • principal.usertarget.applicationmetadata.vendor_namemetadata.product_name
  • target.resource.namemetadata.vendor_namemetadata.product_name
  • principal.usertarget.resource.namemetadata.vendor_namemetadata.product_name
  • principal.usertarget.location.namemetadata.vendor_namemetadata.product_name

制限事項

指標を使用して YARA-L ルールを作成する場合は、次の制限事項に注意してください。

  • 指標をデフォルト値(文字列の場合は ""、int の場合は 0)と結合できません。
  • をデフォルト値
    • イベントに対応する指標データがない場合、指標関数から返される値は 0 です。
    • 検出に指標データのないイベントがある場合、min を使用して関数を集計すると 0 が返されることがあります。
    • イベントのデータがあるかどうかを確認するには、同じフィルタを設定した同じイベントに対して、指標 num_metric_periods 集計を使用します。
  • 指標関数は、結果セクションでのみ使用できます。
  • 指標関数は結果セクションでのみ使用されるため、一致セクションを含むルールの他の値と同様に集計する必要があります。