Panoramica dell'analisi del rischio per la categoria UEBA
Questo documento fornisce una panoramica delle serie di regole della categoria Analisi del rischio per UEBA, nonché i dati richiesti e la configurazione che puoi utilizzare per ottimizzare gli avvisi generati da ogni serie di regole. Queste serie di regole consentono di identificare le minacce negli ambienti Google Cloud utilizzando i dati di Google Cloud.
Descrizioni delle serie di regole
Le seguenti serie di regole sono disponibili nella categoria Analisi del rischio per UEBA e sono raggruppate in base al tipo di pattern rilevati:
Autenticazione
- Nuovo accesso dell'utente al dispositivo: un utente ha eseguito l'accesso su un nuovo dispositivo.
- Eventi di autenticazione anomali per utente: di recente una singola entità utente ha riscontrato eventi di autenticazione anomali rispetto all'utilizzo storico.
- Autentiche non riuscite per dispositivo: di recente, una singola entità di dispositivo ha riscontrato molti tentativi di accesso non riusciti rispetto all'utilizzo storico.
- Autentiche non riuscite per utente: di recente, una singola entità utente ha registrato molti tentativi di accesso non riusciti rispetto all'utilizzo storico.
Analisi del traffico di rete
- Byte in entrata anomali per dispositivo: quantità significativa di dati caricati di recente su un'entità su un singolo dispositivo rispetto all'utilizzo storico.
- Byte in uscita anomali per dispositivo: quantità significativa di dati scaricati di recente da una singola entità dispositivo rispetto all'utilizzo storico.
- Byte totali anomali per dispositivo: un'entità dispositivo che ha caricato e scaricato di recente una quantità significativa di dati rispetto all'utilizzo storico.
- Byte in entrata anomali per utente: una singola entità utente ha scaricato di recente una quantità significativa di dati rispetto all'utilizzo storico.
- Byte totali anomali per utente: un'entità utente di recente ha caricato e scaricato una quantità significativa di dati rispetto all'utilizzo storico.
- Forza bruta poi accesso riuscito da parte dell'utente: una singola entità utente da un indirizzo IP ha avuto diversi tentativi di autenticazione non riusciti verso una determinata applicazione prima di accedere correttamente.
Rilevamenti basati su gruppi di app peer
Accesso da un paese mai visto prima per un gruppo utenti: la prima autenticazione riuscita da un paese per un gruppo di utenti. Utilizza le informazioni relative a nome visualizzato del gruppo, reparto utenti e gestore utenti provenienti dai dati del contesto AD.
Accedi a un'applicazione mai vista prima per un gruppo utenti: la prima autenticazione riuscita in un'applicazione per un gruppo di utenti. Viene utilizzato il titolo dell'utente, la gestione utenti e le informazioni sul nome visualizzato del gruppo provenienti dai dati del contesto AD.
Accessi anomali o eccessivi per un utente appena creato: attività di autenticazione anomala o eccessiva per un utente creato di recente. Questa utilizza l'ora di creazione dai dati del contesto AD.
Azioni sospette anomale o eccessive per un utente appena creato: attività anomala o eccessiva (incluse, a titolo esemplificativo, telemetria HTTP, esecuzione di processi e modifica di gruppo) per un utente creato di recente. Utilizza l'ora di creazione dai dati del contesto AD.
Azioni sospette
- Creazione di account eccessiva da parte del dispositivo: un'entità dispositivo ha creato diversi nuovi account utente.
- Avvisi eccessivi per utente: è stato segnalato un numero elevato di avvisi di sicurezza inviati da un dispositivo
antivirus o endpoint (ad esempio, connessione bloccata, rilevamento di malware)
relativa a un'entità utente, molto più elevata rispetto ai pattern storici.
Questi sono eventi in cui il campo UDM
security_result.actionè impostato suBLOCK.
Rilevamenti basati sulla prevenzione della perdita di dati
- Processi anomali o eccessivi con funzionalità di esfiltrazione di dati: attività anomala o eccessiva per i processi associati alle funzionalità di esfiltrazione di dati, come keylogger, screenshot e accesso remoto. Viene usato l'arricchimento dei metadati dei file di VirusTotal.
Dati richiesti dall'analisi del rischio per la categoria UEBA
La seguente sezione descrive i dati necessari alle serie di regole in ciascuna categoria per ottenere i migliori vantaggi. Per un elenco di tutti i parser predefiniti supportati, consulta Tipi di log e parser predefiniti supportati.
Autenticazione
Per utilizzare una qualsiasi di queste serie di regole, raccogli i dati di log da
Azure AD Directory Audit (AZURE_AD_AUDIT) o dall'evento Windows (WINEVTLOG).
Analisi del traffico di rete
Per utilizzare una qualsiasi di queste serie di regole, raccogli i dati di log che acquisiscono l'attività di rete.
ad esempio da dispositivi come FortiGate (FORTINET_FIREWALL),
Check Point (CHECKPOINT_FIREWALL), Zscaler (ZSCALER_WEBPROXY), CrowdStrike Falcon (CS_EDR)
o Carbon Black (CB_EDR).
Rilevamenti basati su gruppi di app peer
Per utilizzare una qualsiasi di queste serie di regole, raccogli i dati di log da
Azure AD Directory Audit (AZURE_AD_AUDIT) o dall'evento Windows (WINEVTLOG).
Azioni sospette
Le serie di regole di questo gruppo utilizzano ciascuna un tipo diverso di dati.
Serie di regole eccessiva per la creazione di account da parte del dispositivo
Per utilizzare questa serie di regole, raccogli i dati di log da
Azure AD Directory Audit (AZURE_AD_AUDIT) o dall'evento Windows (WINEVTLOG).
Avvisi eccessivi per serie di regole utente
Per utilizzare questa serie di regole, raccogli i dati dei log che acquisiscono le attività degli endpoint o i dati di controllo, ad esempio quelli registrati da CrowdStrike Falcon (CS_EDR), Carbon Black (CB_EDR) o Azure AD Directory Audit (AZURE_AD_AUDIT).
Rilevamenti basati sulla prevenzione della perdita di dati
Per utilizzare una qualsiasi di queste serie di regole, raccogli i dati dei log che acquisiscono le attività di processo e file,
ad esempio quelli registrati da CrowdStrike Falcon (CS_EDR), Carbon Black (CB_EDR)
o SentinelOne EDR (SENTINEL_EDR).
Le serie di regole in questa categoria dipendono dagli eventi con i seguenti valori metadata.event_type: PROCESS_LAUNCH, PROCESS_OPEN, PROCESS_MODULE_LOAD.
Avvisi di ottimizzazione restituiti dalle serie di regole in questa categoria
Puoi ridurre il numero di rilevamenti generati da una regola o da una serie di regole utilizzando le esclusioni di regole.
Un'esclusione di regole definisce i criteri utilizzati per escludere un evento dalla valutazione dalla serie di regole o da regole specifiche della serie. Crea una o più esclusioni di regole per ridurre il volume dei rilevamenti. Per informazioni al riguardo, consulta Configurare le esclusioni delle regole.