Übersicht über die Risikoanalyse für die UEBA-Kategorie

Dieses Dokument bietet einen Überblick über die Regelsätze in der Kategorie „Risikoanalyse für UEBA“, die erforderlichen Daten und die Konfiguration, mit der Sie die von jedem Regelsatz generierten Benachrichtigungen optimieren können. Diese Regelsätze helfen bei der Identifizierung von Bedrohungen in Google Cloud-Umgebungen mithilfe von Google Cloud-Daten.

Regelsatzbeschreibungen

Die folgenden Regelsätze sind in der Kategorie Risikoanalyse für UEBA verfügbar und nach der Art der erkannten Muster gruppiert:

Authentifizierung

  • Neue Anmeldung durch Nutzer auf Gerät: Ein Nutzer hat sich auf einem neuen Gerät angemeldet.
  • Ungewöhnliche Authentifizierungsereignisse nach Nutzer: Bei einer einzelnen Nutzerentität sind kürzlich im Vergleich zur bisherigen Nutzung anormale Authentifizierungsereignisse aufgetreten.
  • Fehlgeschlagene Authentifizierungen nach Gerät: Bei einer einzelnen Geräteentität gab es in letzter Zeit im Vergleich zur bisherigen Nutzung viele fehlgeschlagene Anmeldeversuche.
  • Fehlgeschlagene Authentifizierungen durch Nutzer: Eine einzelne Nutzerentität hatte in letzter Zeit im Vergleich zur bisherigen Nutzung viele fehlgeschlagene Anmeldeversuche.

Analyse des Netzwerktraffics

  • Ungewöhnliche eingehende Bytes nach Gerät: erhebliche Menge an Daten, die kürzlich in eine einzelne Geräteentität hochgeladen wurden, im Vergleich zur bisherigen Nutzung.
  • Ungewöhnliche ausgehende Bytes nach Gerät: erhebliche Menge an Daten, die kürzlich von einer einzelnen Geräteentität im Vergleich zur bisherigen Nutzung heruntergeladen wurden.
  • Ungewöhnliche Gesamtzahl von Byte nach Gerät: Eine Geräteentität hat im Vergleich zur bisherigen Nutzung kürzlich eine erhebliche Datenmenge hochgeladen und heruntergeladen.
  • Ungewöhnliche eingehende Bytes nach Nutzer: Eine einzelne Nutzerentität hat kürzlich im Vergleich zur bisherigen Nutzung eine erhebliche Menge an Daten heruntergeladen.
  • Ungewöhnliche Gesamtzahl der Byte nach Nutzer: Eine Nutzerentität hat kürzlich eine erhebliche Menge an Daten im Vergleich zur bisherigen Nutzung hoch- und heruntergeladen.
  • Brute Force, dann erfolgreiche Anmeldung durch Nutzer: Bei einer einzelnen Nutzerentität von einer IP-Adresse sind vor der Anmeldung bei einer bestimmten Anwendung mehrere fehlgeschlagene Authentifizierungsversuche aufgetreten.

Erkennungsgruppen auf der Grundlage von Gruppen ähnlicher Apps

  • Anmeldung aus einem noch nie zuvor für eine Nutzergruppe stammenden Land: Die erste erfolgreiche Authentifizierung aus einem Land für eine Nutzergruppe. Dabei werden Informationen zum Anzeigenamen der Gruppe, zur Nutzerabteilung und zum Nutzermanager aus AD-Kontextdaten verwendet.

  • Anmeldung in einer Anwendung, die für eine Nutzergruppe noch nie stattgefunden hat: Die erste erfolgreiche Authentifizierung bei einer Anwendung für eine Nutzergruppe. Dabei werden Informationen zum Nutzertitel, zum Nutzermanager und zum Anzeigenamen der Gruppe aus AD-Kontextdaten verwendet.

  • Ungewöhnliche oder übermäßige Anmeldungen eines neu erstellten Nutzers: ungewöhnliche oder übermäßige Authentifizierungsaktivität bei einem kürzlich erstellten Nutzer. Dabei wird der Erstellungszeit aus den AD-Kontextdaten verwendet.

  • Ungewöhnliche oder übermäßige verdächtige Aktionen bei einem neu erstellten Nutzer: ungewöhnliche oder übermäßige Aktivitäten eines kürzlich erstellten Nutzers (einschließlich, aber nicht beschränkt auf HTTP-Telemetrie, Prozessausführung und Gruppenänderungen). Hiermit wird die Erstellungszeit aus AD-Kontextdaten verwendet.

Verdächtige Aktionen

  • Übermäßige Kontoerstellung nach Gerät: Eine Geräteentität hat mehrere neue Nutzerkonten erstellt.
  • Übermäßige Benachrichtigungen durch Nutzer: Zu einer Nutzerentität wurde eine große Anzahl von Sicherheitswarnungen von einem Antiviren- oder Endpunktgerät gemeldet, z. B. eine Verbindung wurde blockiert oder Malware erkannt. Diese Zahl war viel größer als die bisherigen Muster. Bei diesen Ereignissen ist das UDM-Feld security_result.action auf BLOCK gesetzt.

Erkennung von Datenverlust anhand des Schutzes

  • Ungewöhnliche oder übermäßige Prozesse mit Funktionen zur Daten-Exfiltration: Ungewöhnliche oder übermäßige Aktivitäten im Zusammenhang mit Prozessen im Zusammenhang mit Daten-Exfiltration, z. B. Keylogger, Screenshots und Remotezugriff. Dabei wird die Anreicherung von Dateimetadaten durch VirusTotal verwendet.

Erforderliche Daten, die von Risk Analytics für die UEBA-Kategorie benötigt werden

Im folgenden Abschnitt werden die Daten beschrieben, die von Regelsätzen in den einzelnen Kategorien benötigt werden, um den größtmöglichen Nutzen zu erzielen. Eine Liste aller unterstützten Standardparser finden Sie unter Unterstützte Logtypen und Standardparser.

Authentifizierung

Wenn Sie einen dieser Regelsätze verwenden möchten, erfassen Sie Logdaten aus dem Azure AD Directory-Audit (AZURE_AD_AUDIT) oder dem Windows-Ereignis (WINEVTLOG).

Analyse des Netzwerktraffics

Erfassen Sie zur Verwendung dieser Regelsätze Protokolldaten, die die Netzwerkaktivität erfassen. Beispiele für Geräte wie FortiGate (FORTINET_FIREWALL), Check Point (CHECKPOINT_FIREWALL), Zscaler (ZSCALER_WEBPROXY), CrowdStrike Falcon (CS_EDR) oder Carbon Black (CB_EDR).

Erkennungsgruppen auf der Grundlage von Gruppen ähnlicher Apps

Wenn Sie einen dieser Regelsätze verwenden möchten, erfassen Sie Logdaten aus dem Azure AD Directory-Audit (AZURE_AD_AUDIT) oder dem Windows-Ereignis (WINEVTLOG).

Verdächtige Aktionen

Für die Regelsätze in dieser Gruppe wird jeweils ein anderer Datentyp verwendet.

Übermäßige Kontoerstellung durch Geräteregelsatz

Erfassen Sie Logdaten entweder aus dem Azure AD Directory-Audit (AZURE_AD_AUDIT) oder dem Windows-Ereignis (WINEVTLOG), um diesen Regelsatz zu verwenden.

Übermäßige Benachrichtigungen nach Nutzerregelsatz

Erfassen Sie zur Verwendung dieses Regelsatzes Logdaten, in denen Endpunktaktivitäten oder Auditdaten erfasst werden, z. B. von CrowdStrike Falcon (CS_EDR), Carbon Black (CB_EDR) oder Azure AD Directory Audit (AZURE_AD_AUDIT).

Erkennung von Datenverlust anhand des Schutzes

Erfassen Sie zur Verwendung dieser Regelsätze Logdaten, die Prozess- und Dateiaktivitäten erfassen, z. B. die von CrowdStrike Falcon (CS_EDR), Carbon Black (CB_EDR) oder EDR von SentinelOne (SENTINEL_EDR).

Regelsätze in dieser Kategorie hängen von Ereignissen mit den folgenden metadata.event_type-Werten ab: PROCESS_LAUNCH, PROCESS_OPEN, PROCESS_MODULE_LOAD.

Von Regelsätzen zurückgegebene Abstimmungsbenachrichtigungen für diese Kategorie

Mithilfe von Regelausschlüssen können Sie die Anzahl der von einer Regel oder einem Regelsatz generierten Erkennungen reduzieren.

Mit einem Regelausschluss werden die Kriterien definiert, mit denen ein Ereignis von der Auswertung durch den Regelsatz oder bestimmte Regeln im Regelsatz ausgeschlossen wird. Erstellen Sie einen oder mehrere Regelausschlüsse, um die Anzahl der Erkennungen zu verringern. Weitere Informationen dazu finden Sie unter Regelausschlüsse konfigurieren.

Nächste Schritte