Présentation de l'analyse des risques pour la catégorie UEBA
Ce document présente les ensembles de règles de la catégorie "Analyse des risques pour UEBA", les données requises et la configuration que vous pouvez utiliser pour ajuster les alertes générées par chaque jeu de règles. Ces ensembles de règles permettent d'identifier les menaces dans les environnements Google Cloud à l'aide des données Google Cloud.
Description des jeux de règles
Les jeux de règles suivants sont disponibles dans la catégorie "Analyse des risques pour UEBA" et sont regroupés par type de schéma détecté:
Authentification
- New Login by User to Device (Nouvelle connexion par utilisateur sur l'appareil) : un utilisateur s'est connecté à un nouvel appareil.
- Événements d'authentification anormaux par utilisateur: une seule entité utilisateur a récemment présenté des événements d'authentification anormaux par rapport à l'utilisation historique.
- Échecs d'authentification par appareil: une même entité d'appareil a récemment subi de nombreuses tentatives de connexion ayant échoué, par rapport à l'utilisation historique.
- Échecs d'authentification par l'utilisateur: une même entité utilisateur a récemment subi de nombreuses tentatives de connexion ayant échoué, par rapport à l'utilisation historique.
Analyse du trafic réseau
- Octets entrants anormaux par appareil: quantité importante de données récemment importées sur une seule entité d'appareil par rapport à l'utilisation historique.
- Octets sortants anormaux par appareil: quantité importante de données récemment téléchargées depuis une entité d'appareil unique par rapport à l'utilisation historique.
- Nombre total d'octets anormal par appareil: une entité d'appareil a récemment importé et téléchargé une quantité importante de données par rapport à l'utilisation historique.
- Octets entrants anormaux par utilisateur: une seule entité utilisateur a récemment téléchargé une quantité importante de données par rapport à l'utilisation historique.
- Nombre total d'octets anormal par utilisateur: une entité utilisateur a récemment importé et téléchargé une quantité importante de données par rapport à l'utilisation historique.
- Force brute puis connexion réussie par l'utilisateur: une même entité utilisateur à partir d'une adresse IP a subi plusieurs tentatives d'authentification infructueuses sur une application donnée avant de se connecter.
Détections basées sur les groupes d'applications similaires
Login from country Never Seen for a User Group (Connexion à partir d'un pays qui n'a jamais été détecté pour un groupe d'utilisateurs) : première authentification réussie à partir d'un pays pour un groupe d'utilisateurs. Elle utilise le nom à afficher du groupe, le service utilisateur et les informations du gestionnaire d'utilisateurs issues des données de contexte AD.
Login to an Application Never Seen for a User Group (Connexion à une application jamais vue pour un groupe d'utilisateurs) : première authentification réussie auprès d'une application pour un groupe d'utilisateurs. Elle utilise les informations de titre d'utilisateur, de gestionnaire d'utilisateurs et de nom à afficher de groupe issues des données de contexte AD.
Connexions anormales ou excessives pour un nouvel utilisateur: activité d'authentification anormale ou excessive pour un utilisateur récemment créé. Cette opération utilise la date et l'heure de création à partir des données de contexte AD.
Actions suspectes anormales ou excessives pour un nouvel utilisateur : activité anormale ou excessive (y compris, mais sans s'y limiter, la télémétrie HTTP, l'exécution de processus et la modification de groupes) pour un utilisateur récemment créé. Ce paramètre utilise la date de création à partir des données de contexte AD.
Actions suspectes
- Création de comptes excessive par appareil: une entité d'appareil a créé plusieurs comptes utilisateur.
- Nombre excessif d'alertes par utilisateur: un grand nombre d'alertes de sécurité provenant d'un antivirus ou d'un point de terminaison (par exemple, la connexion a été bloquée, un logiciel malveillant a été détecté) ont été signalées concernant une entité utilisateur, ce qui est beaucoup plus élevé que les schémas historiques.
Il s'agit d'événements pour lesquels le champ UDM
security_result.actionest défini surBLOCK.
Détections basées sur la protection contre la perte de données
- Processus anormaux ou excessifs avec des fonctionnalités d'exfiltration de données: activité anormale ou excessive pour les processus associés à des fonctionnalités d'exfiltration de données, tels que les enregistreurs de frappe, les captures d'écran et l'accès à distance. Ce processus utilise l'enrichissement des métadonnées de fichier par VirusTotal.
Données requises par l'analyse des risques pour la catégorie UEBA
La section suivante décrit les données nécessaires aux jeux de règles dans chaque catégorie pour en tirer le meilleur parti. Pour obtenir la liste de tous les analyseurs par défaut compatibles, consultez la section Types de journaux et analyseurs par défaut compatibles.
Authentification
Pour utiliser l'un de ces ensembles de règles, collectez les données de journaux à partir de l'audit d'annuaire Azure AD (AZURE_AD_AUDIT) ou des événements Windows (WINEVTLOG).
Analyse du trafic réseau
Pour utiliser l'un de ces jeux de règles, collectez les données de journal qui capturent l'activité réseau.
Par exemple, à partir d'appareils tels que FortiGate (FORTINET_FIREWALL), Check Point (CHECKPOINT_FIREWALL), Zscaler (ZSCALER_WEBPROXY), CrowdStrike Falcon (CS_EDR) ou Carbon Black (CB_EDR).
Détections basées sur les groupes d'applications similaires
Pour utiliser l'un de ces ensembles de règles, collectez les données de journaux à partir de l'audit d'annuaire Azure AD (AZURE_AD_AUDIT) ou des événements Windows (WINEVTLOG).
Actions suspectes
Les jeux de règles de ce groupe utilisent chacun un type de données différent.
Création de comptes excessive par ensemble de règles d'appareil
Pour utiliser cet ensemble de règles, collectez les données de journaux à partir de l'audit d'annuaire Azure AD (AZURE_AD_AUDIT) ou des événements Windows (WINEVTLOG).
Nombre excessif d'alertes par ensemble de règles utilisateur
Pour utiliser cet ensemble de règles, collectez des données de journal qui capturent les activités des points de terminaison ou les données d'audit, telles que celles enregistrées par CrowdStrike Falcon (CS_EDR), Carbon Black (CB_EDR) ou Azure AD Directory Audit (AZURE_AD_AUDIT).
Détections basées sur la protection contre la perte de données
Pour utiliser l'un de ces ensembles de règles, collectez des données de journal qui capturent les activités liées aux processus et aux fichiers, telles que celles enregistrées par CrowdStrike Falcon (CS_EDR), Carbon Black (CB_EDR) ou SentinelOne EDR (SENTINEL_EDR).
Les ensembles de règles de cette catégorie dépendent d'événements ayant les valeurs metadata.event_type suivantes: PROCESS_LAUNCH, PROCESS_OPEN, PROCESS_MODULE_LOAD.
Le réglage des alertes renvoyées par une règle définit cette catégorie
Vous pouvez réduire le nombre de détections générées par une règle ou un ensemble de règles à l'aide des exclusions de règles.
Une exclusion de règle définit les critères utilisés pour exclure un événement de l'évaluation par l'ensemble de règles ou par des règles spécifiques de l'ensemble de règles. Créez une ou plusieurs exclusions de règles pour réduire le volume de détections. Pour savoir comment procéder, consultez Configurer les exclusions de règles.