Présentation de l'analyse des risques pour la catégorie UEBA
Ce document présente les ensembles de règles de la catégorie "Analyse des risques pour UEBA", ainsi que les données requises et la configuration que vous pouvez utiliser pour ajuster les alertes générées par chaque ensemble de règles. Ces ensembles de règles permettent d'identifier les menaces dans les environnements Google Cloud à l'aide de données Google Cloud.
Descriptions des ensembles de règles
Les ensembles de règles suivants sont disponibles dans la catégorie "Analyse des risques pour l'UEBA" et sont regroupés par type de schéma détecté:
Authentification
- Nouvelle connexion de l'utilisateur à l'appareil: un utilisateur s'est connecté à un nouvel appareil.
- Événements d'authentification anormaux par utilisateur: une seule entité utilisateur a récemment présenté des événements d'authentification anormaux par rapport à l'utilisation historique.
- Échecs d'authentification par appareil: plusieurs tentatives de connexion ont échoué par rapport à l'historique d'utilisation pour une même entité d'appareil.
- Échecs d'authentifications par l'utilisateur: récemment, une seule entité utilisateur a échoué à plusieurs tentatives de connexion par rapport à l'utilisation historique.
Analyse du trafic réseau
- Octets entrants anormaux par appareil: quantité importante de données récemment importées sur une seule entité d'appareil par rapport à l'utilisation historique.
- Octets sortants anormaux par appareil: quantité importante de données récemment téléchargées à partir d'une seule entité d'appareil par rapport à l'utilisation historique.
- Anomalous Total Bytes by Device (Nombre total d'octets anormal par appareil) : une entité d'appareil a récemment importé et téléchargé une quantité importante de données par rapport à l'utilisation historique.
- Octets entrants anormaux par utilisateur: une seule entité utilisateur a récemment téléchargé une quantité importante de données par rapport à l'utilisation historique.
- Anomalous Total Bytes by User (Nombre total d'octets anormaux par utilisateur) : une entité utilisateur a récemment importé et téléchargé une quantité importante de données par rapport à l'utilisation historique.
- Force brute puis connexion réussie par l'utilisateur: une seule entité utilisateur à partir d'une seule adresse IP a rencontré plusieurs tentatives d'authentification ayant échoué auprès d'une certaine application avant de se connecter.
Détections basées sur des groupes d'applications similaires
Connexion depuis un pays inconnu pour un groupe d'utilisateurs: première authentification réussie depuis un pays pour un groupe d'utilisateurs. Cela utilise le nom à afficher du groupe, le service utilisateur et les informations sur le gestionnaire d'utilisateurs provenant des données de contexte AD.
Connexion à une application jamais vue auparavant pour un groupe d'utilisateurs: première authentification réussie auprès d'une application pour un groupe d'utilisateurs. Cela utilise le titre de l'utilisateur, le gestionnaire d'utilisateurs et les informations sur le nom à afficher de groupe provenant des données de contexte AD.
Connexions anormales ou excessives pour un nouvel utilisateur: activité d'authentification anormale ou excessive pour un utilisateur récemment créé. Cette méthode utilise la date et l'heure de création à partir des données de contexte AD.
Actions suspectes anormales ou excessives pour un utilisateur nouvellement créé : activité anormale ou excessive (y compris, mais sans s'y limiter, la télémétrie HTTP, l'exécution de processus et la modification de groupe) pour un utilisateur récemment créé. Cette méthode utilise la date et l'heure de création des données de contexte AD.
Actions suspectes
- Création excessive de comptes par appareil: une entité utilisant un appareil a créé plusieurs comptes utilisateur.
- Nombre excessif d'alertes par utilisateur: un nombre excessif d'alertes de sécurité provenant d'un antivirus ou d'un point de terminaison (par exemple, la connexion a été bloquée ou un logiciel malveillant a été détecté) ont été signalées concernant une entité utilisateur, ce qui était beaucoup plus important que les schémas historiques.
Il s'agit des événements pour lesquels le champ UDM
security_result.actionest défini surBLOCK.
Détections basées sur la protection contre la perte de données
- Processus anormaux ou excessifs avec des fonctionnalités d'exfiltration de données: activité anormale ou excessive pour les processus associés à des fonctionnalités d'exfiltration de données, tels que les enregistreurs de frappe, les captures d'écran et l'accès à distance. Elle utilise l'enrichissement des métadonnées de fichiers via VirusTotal.
Données requises par l'analyse des risques pour la catégorie UEBA
La section suivante décrit les données dont les jeux de règles de chaque catégorie ont besoin pour obtenir le plus d'avantages. Pour obtenir la liste de tous les analyseurs par défaut compatibles, consultez la page Types de journaux compatibles et analyseurs par défaut.
Authentification
Pour utiliser l'un de ces ensembles de règles, collectez les données de journal à partir d'Azure AD Directory Audit (AZURE_AD_AUDIT) ou de l'événement Windows (WINEVTLOG).
Analyse du trafic réseau
Pour utiliser l'un de ces jeux de règles, collectez les données des journaux qui enregistrent l'activité réseau.
Par exemple, depuis des appareils tels que FortiGate (FORTINET_FIREWALL), Check Point (CHECKPOINT_FIREWALL), Zscaler (ZSCALER_WEBPROXY), CrowdStrike Falcon (CS_EDR) ou Carbon Black (CB_EDR).
Détections basées sur des groupes d'applications similaires
Pour utiliser l'un de ces ensembles de règles, collectez les données de journal à partir d'Azure AD Directory Audit (AZURE_AD_AUDIT) ou de l'événement Windows (WINEVTLOG).
Actions suspectes
Les jeux de règles de ce groupe utilisent chacun un type de données différent.
Nombre excessif de comptes créés en fonction de l'ensemble de règles associé à l'appareil
Pour utiliser cet ensemble de règles, collectez les données de journal d'Azure AD Directory Audit (AZURE_AD_AUDIT) ou de l'événement Windows (WINEVTLOG).
Nombre excessif d'alertes par jeu de règles utilisateur
Pour utiliser cet ensemble de règles, collectez des données de journal qui capturent les activités des points de terminaison ou les données d'audit, telles que celles enregistrées par CrowdStrike Falcon (CS_EDR), Carbon Black (CB_EDR) ou Azure AD Directory Audit (AZURE_AD_AUDIT).
Détections basées sur la protection contre la perte de données
Pour utiliser l'un de ces ensembles de règles, collectez des données de journal qui enregistrent les activités de processus et de fichiers, telles que celles enregistrées par CrowdStrike Falcon (CS_EDR), Carbon Black (CB_EDR) ou SentinelOne EDR (SENTINEL_EDR).
Les ensembles de règles de cette catégorie dépendent d'événements ayant les valeurs metadata.event_type suivantes: PROCESS_LAUNCH, PROCESS_OPEN, PROCESS_MODULE_LOAD.
Réglage des alertes renvoyées par les ensembles de règles de cette catégorie
Vous pouvez réduire le nombre de détections qu'une règle ou un ensemble de règles génère à l'aide d'exclusions de règles.
Une exclusion de règle définit les critères utilisés pour exclure un événement d'être évalué par l'ensemble de règles ou par des règles spécifiques de l'ensemble de règles. Créez une ou plusieurs exclusions de règles pour réduire le volume des détections. Pour savoir comment procéder, consultez Configurer des exclusions de règles.