Descripción general del análisis de riesgos para la categoría UEBA

Compatible con:

Este documento proporciona una descripción general de los conjuntos de reglas de la categoría Análisis de riesgos para UEBA, los datos requeridos y la configuración que puedes usar para ajustar las alertas generadas por cada regla establecida. Estos conjuntos de reglas ayudan a identificar amenazas en los entornos de Google Cloud con datos de Google Cloud.

Descripciones de conjuntos de reglas

Los siguientes conjuntos de reglas están disponibles en la categoría Análisis de riesgos para UEBA y se agrupados por el tipo de patrones detectados:

Autenticación

  • Nuevo acceso de un usuario a un dispositivo: Un usuario accedió a un dispositivo nuevo.
  • Eventos de autenticación anómalos por usuario: una única entidad de usuario tuvo resultados anómalos de autenticación de usuarios recientemente, en comparación con el uso histórico.
  • Autenticación con errores por dispositivo: una sola entidad de dispositivo tuvo muchas intentos de acceso fallidos recientemente, en comparación con el uso histórico.
  • Autenticaciones con errores por usuario: Una sola entidad de usuario tuvo muchas fallas. intentos de acceso recientes, en comparación con el uso histórico.

Análisis del tráfico de la red

  • Bytes de entrada anómalos por dispositivo: Cantidad significativa de datos recientemente subir a una entidad de dispositivo único, en comparación con el uso histórico.
  • Bytes de salida anómalos por dispositivo: Cantidad significativa de datos recientemente descargados de una entidad de dispositivo único, en comparación con el uso histórico.
  • Total de bytes anómalos por dispositivo: Una entidad de dispositivo subió y descargó recientemente una cantidad significativa de datos, en comparación con el uso histórico.
  • Bytes entrantes anómalos por usuario: una sola entidad de usuario descargada recientemente una cantidad significativa de datos en comparación con el uso histórico.
  • Total de bytes anómalos por usuario: una entidad de usuario que subió y descargaron una cantidad significativa de datos recientemente, en comparación con el uso histórico.
  • Ataque de fuerza bruta y, luego, acceso exitoso del usuario: Una sola entidad de usuario de una dirección IP tuvo varios intentos de autenticación fallidos en una aplicación determinada antes de acceder correctamente.

Detecciones basadas en grupos de apps similares

  • Acceder desde un país nunca antes visto para un grupo de usuarios: el primer acceso exitoso autenticación desde un país para un grupo de usuarios. Para ello, se usa el nombre visible del grupo, el departamento del usuario y la información del administrador del usuario de los datos de contexto de AD.

  • Acceso a una aplicación que nunca se vio para un grupo de usuarios: La primera autenticación correcta a una aplicación para un grupo de usuarios. Para ello, se usa la información del título del usuario, el administrador de usuarios y el nombre visible del grupo de los datos de contexto de AD.

  • Accesos anómalos o excesivos para un usuario recién creado: anómalos o excesivos de autenticación de un usuario creado recientemente. Usa la hora de creación desde Datos de contexto de AD.

  • Acciones anómalas o excesivas y sospechosas para un usuario recién creado: actividad anómala o excesiva (incluida, entre otras, telemetría de HTTP, ejecución de procesos y modificación de grupo) para una campaña creada recientemente usuario. Usa el tiempo de creación de los datos del contexto de AD.

Acciones sospechosas

  • Creación excesiva de cuentas por dispositivo: una entidad de dispositivo creó varias nuevas cuentas de usuario.
  • Alertas excesivas por usuario: Una gran cantidad de alertas de seguridad de un antivirus o dispositivo de extremo (por ejemplo, se bloqueó la conexión, se detectó software malicioso) sobre una entidad de usuario, lo que es mucho mayor que los patrones históricos. Estos son eventos en los que el campo UDM security_result.action se establece en BLOCK.

Detecciones basadas en la prevención de pérdida de datos

  • Procesos anómalos o excesivos con las funciones de robo de datos: Actividad excesiva para los procesos asociados con las capacidades de robo de datos como capturadores de teclas digitadas, capturas de pantalla y acceso remoto. Usa el enriquecimiento de los metadatos del archivo de VirusTotal.

Datos obligatorios que necesita el análisis de riesgos para la categoría de UEBA

En la siguiente sección, se describen los datos que necesitan los conjuntos de reglas de cada categoría para obtener el mayor beneficio. Para obtener una lista de todos los analizadores predeterminados admitidos, consulta Tipos de registros compatibles y analizadores predeterminados.

Autenticación

Para usar cualquiera de estos conjuntos de reglas, debes recopilar datos de registro de Auditoría del directorio de Azure AD (AZURE_AD_AUDIT) o evento de Windows (WINEVTLOG).

Análisis del tráfico de la red

Para usar cualquiera de estos conjuntos de reglas, recopila datos de registro que capturen la actividad de red. Por ejemplo, desde dispositivos como FortiGate (FORTINET_FIREWALL), Check Point (CHECKPOINT_FIREWALL), Zscaler (ZSCALER_WEBPROXY), CrowdStrike Falcon (CS_EDR), o Carbon Black (CB_EDR).

Detecciones basadas en grupos de apps similares

Para usar cualquiera de estos conjuntos de reglas, debes recopilar datos de registro de Auditoría del directorio de Azure AD (AZURE_AD_AUDIT) o evento de Windows (WINEVTLOG).

Acciones sospechosas

Cada conjunto de reglas de este grupo usa un tipo de datos diferente.

Se estableció la regla de creación excesiva de cuentas por dispositivo

Para usar este conjunto de reglas, debes recopilar datos de registro de Auditoría del directorio de Azure AD (AZURE_AD_AUDIT) o evento de Windows (WINEVTLOG).

Alertas excesivas por conjunto de reglas del usuario

Para usar este conjunto de reglas, recopila datos de registro que capturen actividades del endpoint o datos de auditoría, como los que registra CrowdStrike Falcon (CS_EDR), Carbon Black (CB_EDR) o Azure AD Directory Audit (AZURE_AD_AUDIT).

Detecciones basadas en la Prevención de pérdida de datos

Para usar cualquiera de estos conjuntos de reglas, recopila datos de registro que capturen actividades de procesos y archivos, como los que registra CrowdStrike Falcon (CS_EDR), Carbon Black (CB_EDR) o SentinelOne EDR (SENTINEL_EDR).

Los conjuntos de reglas de esta categoría dependen de eventos con los siguientes metadata.event_type: valores: PROCESS_LAUNCH, PROCESS_OPEN, PROCESS_MODULE_LOAD.

Las alertas de ajuste que devuelve la regla establecen esta categoría.

Puedes reducir la cantidad de detecciones que genera una regla o un conjunto de reglas usando exclusiones de reglas.

Una exclusión de reglas define los criterios que se usan para excluir un evento de que no sea evaluado por el conjunto de reglas o según reglas específicas en el conjunto. Crea una o más exclusiones de reglas para ayudar a reducir el volumen de detecciones. Consulta Configura exclusiones de reglas para obtener información sobre cómo hacerlo.

¿Qué sigue?