Visão geral da análise de risco da categoria UEBA
Neste documento, apresentamos uma visão geral dos conjuntos de regras na categoria Análise de risco para UEBA, os dados necessários e a configuração que você pode usar para ajustar os alertas gerados por cada conjunto de regras. Esses conjuntos de regras ajudam a identificar ameaças nos ambientes do Google Cloud usando os dados dele.
Descrições de conjuntos de regras
Os conjuntos de regras a seguir estão disponíveis na categoria "Análise de risco para UEBA" e são agrupados pelo tipo de padrões detectados:
Autenticação
- Novo login do usuário no dispositivo: um usuário fez login em um novo dispositivo.
- Eventos de autenticação anômalos por usuário: uma única entidade de usuário teve eventos de autenticação anômalos recentemente em comparação com o uso histórico.
- Autenticação com falha por dispositivo: uma única entidade de dispositivo teve muitas tentativas com falha recentemente em comparação com o uso histórico.
- Autenticação com falha pelo usuário: uma única entidade de usuário teve muitas tentativas de login com falha recentemente, em comparação com o uso histórico.
Análise de tráfego de rede
- Bytes de entrada anômalos por dispositivo: quantidade significativa de dados enviados recentemente para uma única entidade de dispositivo, em comparação com o uso histórico.
- Bytes de saída anômalos por dispositivo: quantidade significativa de dados transferidos por download recentemente de uma única entidade de dispositivo, em comparação com o uso histórico.
- Total de bytes anômalos por dispositivo: uma entidade de dispositivo fez upload e fez o download de uma quantidade significativa de dados recentemente, em comparação com o uso histórico.
- Bytes de entrada anômalos por usuário: uma única entidade de usuário fez o download recente de uma quantidade significativa de dados, em comparação com o uso histórico.
- Total de bytes anômalos por usuário: uma entidade de usuário fez upload e fez o download de uma quantidade significativa de dados recentemente, em comparação com o uso histórico.
- Força bruta e login bem-sucedido pelo usuário: uma única entidade de usuário de um endereço IP teve várias tentativas de autenticação com falha em um determinado aplicativo antes de fazer login.
Detecções baseadas em grupo de apps semelhantes
Login de um país nunca visto para um grupo de usuários: a primeira autenticação bem-sucedida de um país para um grupo de usuários. Ele usa as informações de nome de exibição do grupo, departamento do usuário e gerenciador de usuários dos dados de contexto do AD.
Fazer login em um aplicativo nunca visto para um grupo de usuários: a primeira autenticação bem-sucedida em um aplicativo para um grupo de usuários. Ele usa as informações de título do usuário, gerenciador de usuários e nome de exibição do grupo dos dados de contexto do AD.
Logins anômalos ou excessivos para um usuário recém-criado: atividade de autenticação anômala ou excessiva para um usuário criado recentemente. Ele usa o horário de criação dos dados de contexto do AD.
Ações suspeitas anômalas ou excessivas para um usuário recém-criado: atividade anômala ou excessiva (incluindo, mas não se limitando a, telemetria HTTP, execução de processos e modificação de grupo) de um usuário recém-criado. Usa o horário de criação dos dados de contexto do AD.
Ações suspeitas
- Criação excessiva de contas por dispositivo: uma entidade de dispositivo criou várias novas contas de usuário.
- Alertas excessivos do usuário: um grande número de alertas de segurança de um antivírus
ou dispositivo de endpoint (por exemplo, a conexão foi bloqueada ou um malware foi detectado)
foram informados sobre uma entidade do usuário, o que foi muito maior do que os padrões históricos.
Esses são eventos em que o campo UDM
security_result.actionestá definido comoBLOCK.
Detecções baseadas na prevenção contra perda de dados
- Processos anômalos ou excessivos com recursos de exfiltração de dados: atividade anômala ou excessiva em processos associados a esses recursos, como keyloggers, capturas de tela e acesso remoto. Ele usa o aprimoramento de metadados de arquivos do VirusTotal.
Dados obrigatórios necessários para a análise de risco para a categoria UEBA
A seção a seguir descreve os dados necessários pelos conjuntos de regras em cada categoria para aproveitar ao máximo os benefícios. Para uma lista de todos os analisadores padrão compatíveis, consulte Tipos de registro e analisadores padrão compatíveis.
Autenticação
Para usar qualquer um desses conjuntos de regras, colete dados de registro da auditoria do diretório do Azure AD (AZURE_AD_AUDIT) ou do evento do Windows (WINEVTLOG).
Análise de tráfego de rede
Para usar qualquer um desses conjuntos de regras, colete dados de registros que capturam a atividade da rede.
Por exemplo, em dispositivos como FortiGate (FORTINET_FIREWALL),
Check Point (CHECKPOINT_FIREWALL), Zscaler (ZSCALER_WEBPROXY), CrowdStrike Falcon (CS_EDR)
ou Carbon Black (CB_EDR).
Detecções baseadas em grupo de apps semelhantes
Para usar qualquer um desses conjuntos de regras, colete dados de registro da auditoria do diretório do Azure AD (AZURE_AD_AUDIT) ou do evento do Windows (WINEVTLOG).
Ações suspeitas
Cada conjunto de regras nesse grupo usa um tipo diferente de dados.
Conjunto de regras de criação excessiva de contas por dispositivo
Para usar esse conjunto de regras, colete dados de registro da auditoria do diretório do Azure AD (AZURE_AD_AUDIT) ou do evento do Windows (WINEVTLOG).
Alertas excessivos por regra de usuário definida
Para usar esse conjunto de regras, colete dados de registro que capturem atividades de endpoint ou dados de auditoria, como os registrados pelo CrowdStrike Falcon (CS_EDR), Carbon Black (CB_EDR) ou Azure AD Directory Audit (AZURE_AD_AUDIT).
Detecções baseadas na prevenção contra perda de dados
Para usar qualquer um desses conjuntos de regras, colete dados de registro que capturam atividades de processos e arquivos, como os registrados pelo CrowdStrike Falcon (CS_EDR), Carbon Black (CB_EDR) ou SentinelOne EDR (SENTINEL_EDR).
Os conjuntos de regras nessa categoria dependem de eventos com estes valores de metadata.event_type: PROCESS_LAUNCH, PROCESS_OPEN, PROCESS_MODULE_LOAD.
Ajustar alertas retornados por grupos de regras nesta categoria
É possível reduzir o número de detecções geradas por uma regra ou um conjunto de regras usando exclusões de regras.
Uma exclusão de regra define os critérios usados para impedir que um evento seja avaliado pelo conjunto de regras ou por regras específicas no conjunto de regras. Crie uma ou mais exclusões de regras para reduzir o volume de detecções. Consulte Configurar exclusões de regras para informações sobre como fazer isso.