Ringkasan Analisis Risiko untuk kategori UEBA
Dokumen ini memberikan ringkasan kumpulan aturan dalam kategori Analisis Risiko untuk UEBA, data yang diperlukan, dan konfigurasi yang dapat Anda gunakan untuk menyesuaikan pemberitahuan yang dihasilkan oleh setiap kumpulan aturan. Kumpulan aturan ini membantu mengidentifikasi ancaman di lingkungan Google Cloud menggunakan data Google Cloud .
Deskripsi kumpulan aturan
Kumpulan aturan berikut tersedia di kategori Analisis Risiko untuk UEBA dan dikelompokkan menurut jenis pola yang terdeteksi:
Autentikasi
- Login Baru oleh Pengguna ke Perangkat: pengguna login ke perangkat baru.
- Peristiwa Autentikasi Anomal menurut Pengguna: satu entitas pengguna memiliki peristiwa autentikasi anomal baru-baru ini, dibandingkan dengan penggunaan historis.
- Autentikasi Gagal menurut Perangkat: satu entitas perangkat memiliki banyak upaya login yang gagal baru-baru ini, dibandingkan dengan penggunaan historis.
- Autentikasi Gagal oleh Pengguna: satu entitas pengguna memiliki banyak upaya login yang gagal baru-baru ini, dibandingkan dengan penggunaan historis.
Analisis traffic jaringan
- Byte Masuk Anomali menurut Perangkat: jumlah data yang signifikan baru-baru ini diupload ke entitas perangkat tunggal, dibandingkan dengan penggunaan historis.
- Byte Keluar yang Anomal menurut Perangkat: jumlah data yang signifikan baru-baru ini didownload dari satu entitas perangkat, dibandingkan dengan penggunaan historis.
- Total Byte Anomali menurut Perangkat: entitas perangkat baru-baru ini mengupload dan mendownload data dalam jumlah yang signifikan, dibandingkan dengan penggunaan historis.
- Byte Masuk Anomali menurut Pengguna: satu entitas pengguna baru-baru ini mendownload data dalam jumlah yang signifikan, dibandingkan dengan penggunaan historis.
- Total Byte Anomali menurut Pengguna: entitas pengguna baru-baru ini mengupload dan mendownload data dalam jumlah yang signifikan, dibandingkan dengan penggunaan historis.
- Brute Force lalu Login Berhasil oleh Pengguna: satu entitas pengguna dari satu alamat IP mengalami beberapa upaya autentikasi yang gagal ke aplikasi tertentu sebelum berhasil login.
Deteksi berbasis grup pembanding
Login dari Negara yang Belum Pernah Dilihat untuk Grup Pengguna: autentikasi pertama yang berhasil dari negara untuk grup pengguna. Hal ini menggunakan nama tampilan grup, departemen pengguna, dan informasi pengelola pengguna dari data Konteks AD.
Login ke Aplikasi yang Belum Pernah Dilihat untuk Grup Pengguna: autentikasi pertama yang berhasil ke aplikasi untuk grup pengguna. Hal ini menggunakan informasi judul pengguna, pengelola pengguna, dan nama tampilan grup dari data Konteks AD.
Login Anomali atau Berlebihan untuk Pengguna yang Baru Dibuat: aktivitas autentikasi yang abnormal atau berlebihan untuk pengguna yang baru dibuat. Ini menggunakan waktu pembuatan dari data Konteks AD.
Tindakan Mencurigakan yang Anomali atau Berlebihan untuk Pengguna yang Baru Dibuat: aktivitas yang anomali atau berlebihan (termasuk, tetapi tidak terbatas pada, telemetri HTTP, eksekusi proses, dan perubahan grup) untuk pengguna yang baru saja dibuat. Ini menggunakan waktu pembuatan dari data Konteks AD.
Tindakan yang mencurigakan
- Pembuatan Akun Berlebihan oleh Perangkat: entitas perangkat membuat beberapa akun pengguna baru.
- Notifikasi Berlebihan oleh Pengguna: sejumlah besar notifikasi keamanan dari antivirus
atau perangkat endpoint (misalnya, koneksi diblokir, malware terdeteksi)
dilaporkan tentang entitas pengguna, yang jauh lebih besar daripada pola historis.
Ini adalah peristiwa dengan kolom UDM
security_result.actionditetapkan keBLOCK.
Deteksi berbasis pencegahan kebocoran data
- Proses Abnormal atau Berlebihan dengan Kemampuan Pemindahan Data: aktivitas abnormal atau berlebihan untuk proses yang terkait dengan kemampuan pemindahan data seperti keylogger, screenshot, dan akses jarak jauh. Hal ini menggunakan pengayaan metadata file dari VirusTotal.
Data yang diperlukan oleh Analisis Risiko untuk kategori UEBA
Bagian berikut menjelaskan data yang diperlukan oleh kumpulan aturan di setiap kategori untuk mendapatkan manfaat terbesar. Untuk mengetahui daftar semua parser default yang didukung, lihat Jenis log dan parser default yang didukung.
Autentikasi
Untuk menggunakan kumpulan aturan ini, kumpulkan data log dari
Audit Direktori Azure AD (AZURE_AD_AUDIT) atau Peristiwa Windows (WINEVTLOG).
Analisis traffic jaringan
Untuk menggunakan kumpulan aturan ini, kumpulkan data log yang merekam aktivitas jaringan.
Misalnya, dari perangkat seperti FortiGate (FORTINET_FIREWALL),
Check Point (CHECKPOINT_FIREWALL), Zscaler (ZSCALER_WEBPROXY), CrowdStrike Falcon (CS_EDR),
atau Carbon Black (CB_EDR).
Deteksi berbasis grup pembanding
Untuk menggunakan kumpulan aturan ini, kumpulkan data log dari
Audit Direktori Azure AD (AZURE_AD_AUDIT) atau Peristiwa Windows (WINEVTLOG).
Tindakan yang mencurigakan
Setiap kumpulan aturan dalam grup ini menggunakan jenis data yang berbeda.
Pembuatan Akun yang Berlebihan berdasarkan kumpulan aturan Perangkat
Untuk menggunakan kumpulan aturan ini, kumpulkan data log dari
Audit Direktori Azure AD (AZURE_AD_AUDIT) atau Peristiwa Windows (WINEVTLOG).
Set aturan Pemberitahuan Berlebihan menurut Pengguna
Untuk menggunakan kumpulan aturan ini, kumpulkan data log yang merekam aktivitas endpoint atau data audit, seperti yang dicatat oleh CrowdStrike Falcon (CS_EDR), Carbon Black (CB_EDR), atau Azure AD Directory Audit (AZURE_AD_AUDIT).
Deteksi berbasis pencegahan kebocoran data
Untuk menggunakan kumpulan aturan ini, kumpulkan data log yang merekam aktivitas file dan proses, seperti yang dicatat oleh CrowdStrike Falcon (CS_EDR), Carbon Black (CB_EDR), atau SentinelOne EDR (SENTINEL_EDR).
Kumpulan aturan dalam kategori ini bergantung pada peristiwa dengan nilai metadata.event_type
berikut: PROCESS_LAUNCH, PROCESS_OPEN, PROCESS_MODULE_LOAD.
Notifikasi penyesuaian yang ditampilkan oleh aturan menetapkan kategori ini
Anda dapat mengurangi jumlah deteksi yang dihasilkan aturan atau kumpulan aturan menggunakan pengecualian aturan.
Pengecualian aturan menentukan kriteria yang digunakan untuk mengecualikan peristiwa agar tidak dievaluasi oleh kumpulan aturan, atau oleh aturan tertentu dalam kumpulan aturan. Buat satu atau beberapa pengecualian aturan untuk membantu mengurangi volume deteksi. Lihat Mengonfigurasi pengecualian aturan untuk mengetahui informasi tentang cara melakukannya.
Contoh aturan untuk kategori UEBA dalam Analisis Risiko
Contoh berikut menunjukkan cara membuat aturan untuk menghasilkan deteksi pada nama host entity apa pun yang skor risikonya lebih besar dari 100.
rule EntityRiskScore {
meta:
events:
$e1.principal.hostname != ""
$e1.principal.hostname = $hostname
$e2.graph.entity.hostname = $hostname
$e2.graph.risk_score.risk_window_size.seconds = 86400 // 24 hours
$e2.graph.risk_score.risk_score >= 100
// Run deduplication across the risk score.
$rscore = $e2.graph.risk_score.risk_score
match:
// Dedup on hostname and risk score across a 4 hour window.
$hostname, $rscore over 4h
outcome:
// Force these risk score based rules to have a risk score of zero to
// prevent self feedback loops.
$risk_score = 0
condition:
$e1 and $e2
}
Contoh aturan ini juga melakukan penghapusan duplikat mandiri menggunakan bagian pencocokan. Jika deteksi aturan mungkin terpicu, tetapi nama host dan skor risiko tetap tidak berubah dalam jangka waktu 4 jam, tidak ada deteksi baru yang akan dibuat.
Satu-satunya periode risiko yang mungkin untuk aturan skor risiko entity adalah 24 jam atau 7 hari (masing-masing 86.400 atau 604.800 detik). Jika Anda tidak menyertakan ukuran periode risiko dalam aturan, aturan akan menampilkan hasil yang tidak akurat.
Data skor risiko entitas disimpan secara terpisah dari data konteks entitas. Untuk menggunakan keduanya dalam aturan, aturan harus memiliki dua peristiwa entitas terpisah, satu untuk konteks entitas dan satu untuk skor risiko entitas, seperti yang ditunjukkan dalam contoh berikut:
rule EntityContextAndRiskScore {
meta:
events:
$log_in.metadata.event_type = "USER_LOGIN"
$log_in.principal.hostname = $host
$context.graph.entity.hostname = $host
$context.graph.metadata.entity_type = "ASSET"
$risk_score.graph.entity.hostname = $host
$risk_score.graph.risk_score.risk_window_size.seconds = 604800
match:
$host over 2m
outcome:
$entity_risk_score = max($risk_score.graph.risk_score.normalized_risk_score)
condition:
$log_in and $context and $risk_score and $entity_risk_score > 100
}