UEBA 类别风险分析概览
本文档将大略介绍 UEBA 风险分析类别中的规则集, 所需数据,以及可用于调整所生成的提醒的配置 每个规则集都存在哪些差异这些规则集有助于识别 Google Cloud 中的威胁 部署和管理环境
规则集说明
以下规则集可在 UEBA 风险分析类别中找到, 按检测到的模式类型分组:
身份验证
- 首次登录设备的用户:登录了新设备的用户。
- 用户身份验证事件异常:单个用户实体出现异常 与历史使用量相比,最近发生的身份验证事件数。
- 失败的身份验证(按设备):单个设备实体具有多个 与历史使用情况相比,最近的登录尝试失败次数。
- 用户身份验证失败次数:单个用户实体出现多次失败 最近的登录尝试次数(与历史使用情况相比)。
网络流量分析
- 异常入站字节数(按设备):最近有大量数据 上传到单个设备实体的数据(与历史使用情况相比)。
- 异常出站字节数(按设备划分):最近有大量数据 从单个设备实体下载的应用数量与历史使用情况的对比。
- 异常总字节数(按设备):最近上传的设备实体 相较于历史使用情况,下载并下载了大量数据。
- 用户异常入站字节数:最近下载的单个用户实体 大量数据。
- 用户异常总字节数:最近上传且 与历史使用情况相比,最近下载了大量数据。
- 用户先使用暴力破解登录,然后成功登录:使用单个用户实体 IP 地址向特定应用发起了多次身份验证失败 然后才能成功登录。
基于类似应用群组的检测
用户群组从未从从未见过的国家/地区登录:首次成功登录 从某个国家/地区对用户群组进行身份验证。这会使用群组显示名称 用户部门和用户经理信息。
登录用户群组从未见过的应用:首次成功登录 向应用授予用户群组身份验证。这会使用用户名称 用户管理器以及 AD 上下文数据中的群组显示名称信息。
新创建的用户的异常登录或过多登录:异常或过多 最近创建的用户的身份验证活动。所用时间的创建时间自以下日期起算: AD 上下文数据。
新用户的异常或可疑操作: 异常或过度活动(包括但不限于 HTTP 遥测、 进程执行和组修改)。 用户。这会使用 AD 上下文数据中的创建时间。
可疑操作
- 设备创建账号过多:设备实体创建了多个 新用户账号。
- 用户发出的过多提醒:大量来自杀毒软件的安全提醒
或端点设备(例如,连接被阻止、检测到恶意软件)
报告的关于用户实体,这远远大于历史模式。
这些是
security_result.action
UDM 字段设为BLOCK
的事件。
基于数据泄露防护的检测
- 具有数据渗漏功能的异常或过多进程:异常或 与数据渗漏功能相关的进程出现过多活动 例如击键记录程序、屏幕截图和远程访问。这会使用文件元数据扩充功能 来自 VirusTotal
UEBA 类别风险分析所需的数据
以下部分介绍了每个类别的规则集所需的数据 以便获得最大收益如需查看所有支持的默认解析器的列表,请参阅 支持的日志类型和默认解析器。
身份验证
要使用其中任何规则集,请从以下任一位置收集日志数据:
Azure AD 目录审核 (AZURE_AD_AUDIT
) 或 Windows 事件 (WINEVTLOG
)。
网络流量分析
要使用其中任何规则集,请收集捕获网络活动的日志数据。
例如,对于 FortiGate (FORTINET_FIREWALL
) 等设备,
Check Point (CHECKPOINT_FIREWALL
)、Zscaler (ZSCALER_WEBPROXY
)、CrowdStrike Falcon (CS_EDR
)、
或碳黑 (CB_EDR
)。
基于类似应用群组的检测
要使用其中任何规则集,请从以下任一位置收集日志数据:
Azure AD 目录审核 (AZURE_AD_AUDIT
) 或 Windows 事件 (WINEVTLOG
)。
可疑操作
此组中的规则集各自使用不同类型的数据。
根据设备规则集创建账号过多
如需使用此规则集,请从以下任一位置收集日志数据:
Azure AD 目录审核 (AZURE_AD_AUDIT
) 或 Windows 事件 (WINEVTLOG
)。
按用户规则集设置过多提醒
如需使用此规则集,请收集捕获端点活动或
审核数据,例如由 CrowdStrike Falcon (CS_EDR
) 记录的数据,
Carbon Black (CB_EDR
) 或 Azure AD Directory Audit (AZURE_AD_AUDIT
)。
基于数据泄露防护的检测
要使用其中任何规则集,请收集记录进程和文件活动的日志数据,
例如由 CrowdStrike Falcon (CS_EDR
)、Carbon Black (CB_EDR
) 录制的
或 SentinelOne EDR (SENTINEL_EDR
)。
此类别中的规则集依赖于具有以下metadata.event_type
的事件
值:PROCESS_LAUNCH
、PROCESS_OPEN
、PROCESS_MODULE_LOAD
。
此类别的规则集返回的调整提醒
您可以使用以下方法减少规则或规则集生成的检测数量: 规则排除项。
规则排除可定义用于将事件排除在被 或按规则集中的特定规则创建创建一个或多个规则排除项 以帮助减少检测量。请参阅配置规则排除对象 了解有关具体操作方法的信息。