Criar regras para a Análise de risco

Este documento descreve os principais elementos dos novos recursos de sintaxe do YARA-L para Risk Analytics. Para mais informações sobre a YARA-L, consulte Sintaxe da linguagem YARA-L 2.0.

Funções de métricas do YARA-L

O Google Security Operations oferece suporte a várias funções de métricas, que podem agregar grandes quantidades de dados históricos.

A função de métricas só pode ser usada na seção de resultados. Todas as chamadas de função de exemplo assumem o uso em uma regra de vários eventos.

Todas as regras que usam a função de métricas são categorizadas automaticamente como regras de vários eventos, mesmo que não tenham uma seção de correspondência e usem apenas uma variável de evento. Isso significa que elas vão contar para a cota de regras de vários eventos.

Parâmetros de função

As funções de métricas podem ser usadas para regras que executam análises comportamentais de entidades.

Por exemplo, a regra a seguir informa o número máximo de bytes diários que um endereço IP específico enviou no último mês. O endereço IP específico é representado por uma variável de marcador de posição, $ip neste exemplo. Para mais informações sobre variáveis de marcador de posição, consulte Declarações de variáveis.

$max_bytes_per_day = max(metrics.network_bytes_outbound(
    period:1d, window:30d,
    metric:value_sum,
    agg:max,
    principal.asset.ip:$ip
))

Devido ao grande número de argumentos usados nessas funções, elas usam parâmetros nomeados, que podem ser especificados em qualquer ordem. Os parâmetros são os seguintes:

Período

O tempo durante o qual os eventos de registro individuais são combinados em uma única observação. Os únicos valores permitidos são 1h e 1d.

Janela

O período de tempo durante o qual as observações individuais são agregadas em um único valor, como a média e o máximo. Os valores permitidos para window são baseados no período da métrica. O mapeamento válido é o seguinte:

period:1h : window:today

period:1d : window:30d

Por exemplo, a regra a seguir informa o maior número de tentativas de autenticação falhadas para um usuário específico (Alice) em um determinado dia, nos últimos 30 dias:

$user = "alice"
$max_fail = max(metrics.auth_attempts_fail(
    period:1d, window:30d,
        metric:event_count_sum,
        agg:max,
        target.user.userid:$user
))

Uma combinação de métricas por hora e por dia pode ser usada para tipos de detecções first-seen. Por exemplo, a regra a seguir informa se esta é a primeira vez que um usuário fez login no app:

events:
    $e.metadata.event_type = "USER_LOGIN"
    $e.security_result.action = "ALLOW"
    $userid = $e.target.user.userid
    $app = $e.target.application
match:
    // find events from now - 4h ago, which is the recommended look-back period
    $userid, $app over 4h
outcome:
    // check hourly analytics until daily analytics are available
    $first_seen_today = max(metrics.auth_attempts_success(
        period:1h, window:today, metric:first_seen, agg:max,
        target.user.userid:$userid, target.application:$app))
    $first_seen_monthly = max(metrics.auth_attempts_success(
        period:1d, window:30d, metric:first_seen, agg:max,
        target.user.userid:$userid, target.application:$app))
condition:
    $e and ($first_seen_today = 0) and ($first_seen_monthly = 0)

Métrica

Em cada período, cada observação tem uma série de métricas associadas a ela. Uma delas precisa ser selecionada para a agregação em toda a janela. Cinco tipos de metric são aceitos:

event_count_sum: número de eventos de registro únicos em cada período.

first_seen: carimbo de data/hora da primeira ocorrência de um evento de registro correspondente em cada período.

last_seen: carimbo de data/hora da última visualização de um evento de registro correspondente em cada período.

value_sum: representa a soma do número de bytes em todos os eventos de registro combinados no período. Esse valor só pode ser usado para funções de métricas com bytes no nome.

num_unique_filter_values: métrica que não é pré-calculada pelo Google Security Operations, mas pode ser calculada durante a execução da regra. Consulte Contar métricas únicas para mais detalhes e requisitos.

Agg

Qual agregação é aplicada à métrica. As agregações são aplicadas em toda a janela (por exemplo, o valor diário mais alto dos últimos 30 dias). Os valores permitidos são:

avg: valor médio por período. Essa é uma média estatística, que não inclui valores de zero.

max: maior valor por período.

min: menor valor por período.

num_metric_periods: número de períodos na janela de tempo que tiveram um valor de métrica diferente de zero.

stddev: desvio padrão do valor por período. Essa é uma estatística de desvio padrão que não inclui valores nulos.

sum: soma de cada valor por período em toda a janela.

Por exemplo, a regra a seguir informa o número médio de tentativas de autenticação malsucedidas de um usuário específico (Alice) em um dia específico nos últimos 30 dias:

$user = "alice"
$avg_fail = max(metrics.auth_attempts_fail(
        period:1d, window:30d,
        metric:event_count_sum,
        agg:avg,
        target.user.userid:$user
))

A regra a seguir informa quantas autenticações bem-sucedidas um usuário específico teve nos últimos 30 dias:

$total_success = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:event_count_sum,
        agg:sum,
        target.user.userid:$user
))

A regra a seguir informa se um usuário específico fez login pelo menos uma vez nos últimos 30 dias:

$days_success = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:event_count_sum,
        agg:num_metric_periods,
        target.user.userid:$user
))

A regra a seguir informa a primeira ou a última vez que um usuário específico fez login:

$first_seen = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:first_seen,
        agg:min,
        target.user.userid:$user
))
$last_seen = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:last_seen,
        agg:max,
        target.user.userid:$user
))

A regra a seguir informa o número máximo de bytes enviados por um usuário em qualquer dia nos últimos 30 dias:

$max_daily_bytes = max(metrics.network_bytes_outbound(
        period:1d, window:30d,
        metric:value_sum,
        agg:max,
        target.user.userid:$user
))

Filtro

Os filtros permitem filtrar métricas antes da agregação usando um valor na métrica pré-calculada (confira os valores em Métrica). Os filtros podem ser qualquer expressão de eventos válida (uma única linha na seção de eventos) que não contenha campos ou marcadores de posição de eventos. As únicas variáveis que podem ser incluídas nessa condição são tipos de métrica.

A regra a seguir inclui apenas as métricas em que value_sum > 10 AND event_count_sum > 2:

$max_bytes_per_day = max(metrics.network_bytes_outbound(
    period:1d, window:30d,
    metric:value_sum,
    agg:max,
    principal.asset.ip:$ip
    filter:value_sum > 10 AND event_count_sum > 2
))

Exemplos válidos de filtros

filter:value_sum > 10 AND event_count_sum != 5
filter:event_count_sum = 100 OR event_count_sum > 1000
filter:timestamp.get_day_of_week(first_seen) = 3

Exemplos inválidos de filtros

// No placeholders in filter expressions.
filter:value_sum > $ph

// No event fields in filter expressions.
filter:event_count_sum + $e.field > 10

// No event fields in filter expressions.
filter:timestamp.subtract(first_seen, $e.metadata.timestamp)

Campos do UDM

As métricas são filtradas por 1, 2 ou 3 campos do UDM, dependendo da função. Para mais informações, consulte Funções.

Os seguintes tipos de campos do UDM são usados para funções de métricas:

• Dimensões (obrigatório): diferentes combinações estão listadas nesta documentação. Não é possível combinar uma métrica com um valor padrão ("" para string e 0 para int).
• Namespaces (opcional): só é possível usar namespaces para entidades especificadas nas dimensões. Por exemplo, se você usar principal.asset.hostname filter, também poderá usar principal.namespace filter. Se você não incluir um filtro de namespace, os dados de todos os namespaces serão agregados juntos. É possível usar um valor padrão como um filtro de namespace.

Cálculos de janela

O Google Security Operations calcula métricas usando uma janela de métricas diária ou horária.

Janelas diárias

Todas as janelas diárias, como 30d, são determinadas da mesma maneira. As operações de segurança do Google usam os dados de métricas mais recentes gerados que não se sobrepõem ao período da regra. O cálculo das métricas diárias pode levar até seis horas para ser concluído e só começa no final do dia no UTC. Os dados de métricas do dia anterior vão estar disponíveis até às 6h UTC de cada dia.

Por exemplo, para uma regra que está sendo executada em dados de eventos de 31/10/2023 4:00 UTC a 31/10/2023 7:00 UTC, as métricas diárias de 31/10/2023 provavelmente foram geradas. Assim, o cálculo da métrica vai usar os dados de 1/10/2023 a 30/10/2023 (inclusive). Já para uma regra que está sendo executada em dados de eventos de 2023-10-31 1:00 UTC a 2023-10-31 3:00 UTC, as métricas diárias de 2023-10-30 provavelmente não foram geradas. Portanto, o cálculo da métrica vai usar os dados de 2023-09-30 a 2023-10-29 (inclusive).

Janela today por hora

A janela de métricas por hora é calculada de maneira diferente da janela de métricas diárias. A janela de métricas por hora de today não tem um tamanho estático, como a janela 30d para métricas diárias. A janela de métricas por hora today preenche o máximo de dados possível entre o final da janela diária e o início da janela de tempo da regra.

Por exemplo, para uma regra que está sendo executada em dados de eventos de 2023-10-31 4:00:00 UTC a 2023-10-31 7:00:00 UTC, o cálculo da métrica diária vai usar os dados de 2023-10-01 a 2023-10-30 (inclusive), e a janela de métrica por hora vai usar os dados de 2023-10-31 00:00:00 UTC a 2023-10-31 4:00:00 UTC.

Contagem de métricas únicas

Há um tipo especial de métrica num_unique_filter_values que não é pré-calculada pelas Operações de segurança do Google e é calculada durante a execução de uma regra. Isso é feito com a agregação de uma dimensão em uma métrica pré-calculada. Por exemplo, a métrica daily total count of distinct countries that a user attempted to authenticate pode ser derivada das métricas auth_attempts_total pré-calculadas nas dimensões target.user.userid e principal.ip_geo_artifact.location.country_or_region ao realizar uma agregação única de contagem na última dimensão.

O exemplo de regra a seguir conta métricas únicas:

$outcome_variable = max(metrics.auth_attempts_total(
    period: 1d,
    window: 30d,
    // This metric type indicates any filter with a wildcard value should be
    // aggregated over each day to produce a new metric on-the-fly.
    metric: num_unique_filter_values,
    agg: max,
    target.user.userid: $userid,
    // Filter whose value should be counted over each day to produce the
    // num_unique_filter_values metric.
    principal.ip_geo_artifact.location.country_or_region: *
))

Esse recurso tem a seguinte limitação:

• A contagem de métricas únicas só pode ser agregada em uma dimensão de filtro. Isso é indicado pelo uso do token curinga * como o valor do filtro.

Funções

Esta seção inclui a documentação sobre as funções de métricas específicas com suporte pelo Google Security Operations.

Eventos de alerta

O metrics.alert_event_name_count calcula previamente os valores históricos para eventos da UDM que tiveram alertas gerados pelo Carbon Black, CrowdStrike Falcon, Microsoft Graph API Alerts ou Microsoft Sentinel.

Tentativas de autenticação

O metrics.auth_attempts_total precalcula valores históricos para eventos da UDM com um USER_LOGIN event type.

O metrics.auth_attempts_success também exige que o evento tenha pelo menos uma SecurityResult.Action de ALLOW.

metrics.auth_attempts_fail exige que nenhuma das SecurityResult.Actions seja ALLOW.

Bytes de DNS enviados

O metrics.dns_bytes_outbound calcula previamente os valores históricos para eventos do UDM em que network.sent_bytes é maior que 0 e a porta de destino é 53/udp, 53/tcp ou 3000/tcp. network.sent_bytes está disponível como value_sum.

Consultas DNS

O metrics.dns_queries_total calcula previamente os valores históricos para eventos do UDM que têm um valor em network.dns.id.

metrics.dns_queries_success também exige que o network.dns.response_code era 0 (NoError).

O metrics.dns_queries_fail considera apenas eventos com um network.dns.response_code maior que 0.

Execuções de arquivos

O metrics.file_executions_total calcula previamente os valores históricos para eventos da UDM com um PROCESS_LAUNCH event type.

Além disso, metrics.file_executions_success exige que o evento tenha pelo menos um SecurityResult.Action de ALLOW.

Em vez disso, metrics.file_executions_fail exige que nenhuma das SecurityResult.Actions seja ALLOW.

Consultas HTTP

O metrics.http_queries_total calcula previamente os valores históricos para eventos do UDM que têm um valor em network.http.method.

metrics.http_queries_success também exige que network.http.response_code é menor que 400.

O metrics.http_queries_fail considera apenas eventos com um network.http.response_code é menor ou igual a 400.

Bytes da rede

O metrics.network_bytes_inbound precomputa valores históricos para eventos do UDM que têm um valor diferente de zero para network.received_bytes e disponibiliza esse campo como value_sum.

metrics.network_bytes_outbound exige um valor diferente de zero para network.sent_bytes e disponibiliza esse campo como value_sum.

metrics.network_bytes_total considera eventos que têm um valor diferente de zero para network.received_bytes ou network.sent_bytes (ou ambos) e disponibiliza a soma desses dois campos como value_sum.

Criação de recursos

O metrics.resource_creation_total calcula previamente os valores históricos para eventos da UDM com um RESOURCE_CREATION event type.

O metrics.resource_creation_success também exige que o evento tenha pelo menos uma SecurityResult.Action de ALLOW.

Exclusão de recursos

O metrics.resource_deletion_success calcula previamente os valores históricos para eventos da UDM com um RESOURCE_DELETION event type e exige ainda que o evento tenha pelo menos um SecurityResult.Actions de ALLOW.

Leitura de recursos

O metrics.resource_read_success calcula previamente os valores históricos para eventos da UDM com um RESOURCE_READ event type e exige ainda que o evento tenha pelo menos um SecurityResult.Action de ALLOW.

Em vez disso, metrics.resource_read_fail exige que nenhuma das SecurityResult.Actions seja ALLOW.

Limitações

Ao criar regras YARA-L com métricas, esteja ciente das seguintes limitações:

• Não é possível combinar uma métrica com um valor padrão ("" para string e 0 para int).
• Valores padrão:
  • Se não houver dados de métrica correspondentes a um evento, o valor retornado da função de métricas será 0.
  • Se houver um evento na detecção que não tenha dados de métrica, o uso de min para agregar a função poderá retornar 0.
  • Para verificar se há dados para um evento, use a agregação de métricas num_metric_periods nesse mesmo evento com os mesmos filtros.
• As funções de métricas só podem ser usadas na seção de resultados.
• Como as funções de métricas são usadas apenas na seção de resultados, elas precisam ser agregadas como qualquer outro valor em regras com uma seção de correspondência.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.