Übersicht über die Risikoanalyse für die UEBA-Kategorie
Dieses Dokument bietet einen Überblick über die Regelsätze in der Kategorie Risikoanalyse für UEBA, der erforderliche Daten und die Konfiguration, mit der Sie die generierten Benachrichtigungen optimieren können nach jedem Regelsatz. Diese Regelsätze helfen bei der Identifizierung von Bedrohungen in Google Cloud mit Google Cloud-Daten.
Regelsatzbeschreibungen
Die folgenden Regelsätze stehen in der Kategorie Risikoanalyse für UEBA zur Verfügung und werden gruppiert nach dem Typ der erkannten Muster:
Authentifizierung
- Neue Anmeldung durch Nutzer auf Gerät: Ein Nutzer hat sich auf einem neuen Gerät angemeldet.
- Ungewöhnliche Authentifizierungsereignisse durch Nutzer: Eine einzelne Nutzerentität war ungewöhnlich. Authentifizierungsereignisse der jüngsten Zeit im Vergleich zur bisherigen Nutzung.
- Fehlgeschlagene Authentifizierungen nach Gerät: Eine einzelne Geräteentität hatte viele fehlgeschlagene Anmeldeversuche im Vergleich zur bisherigen Nutzung.
- Fehlgeschlagene Authentifizierungen durch Nutzer: Bei einer einzelnen Nutzerentität sind viele fehlgeschlagen. der letzten Anmeldeversuche im Vergleich zur bisherigen Nutzung.
Analyse des Netzwerktraffics
- Ungewöhnliche eingehende Bytes nach Gerät: erhebliche Datenmengen in letzter Zeit Daten, die in ein einzelnes Gerät hochgeladen wurden, im Vergleich zur bisherigen Nutzung.
- Ungewöhnliche ausgehende Bytes nach Gerät: erhebliche Datenmengen in letzter Zeit von einem einzelnen Geräteobjekt im Vergleich zur bisherigen Nutzung heruntergeladen wurden.
- Anomalous Total Bytes by Device (Anomale Gesamtzahl der Byte nach Gerät): eine Geräteentität, die vor Kurzem hochgeladen wurde und eine erhebliche Datenmenge heruntergeladen.
- Ungewöhnliche eingehende Bytes nach Nutzer: eine einzelne Nutzerentität, die kürzlich heruntergeladen wurde große Datenmengen im Vergleich zur bisherigen Nutzung erhalten.
- Ungewöhnliche Gesamtzahl von Byte nach Nutzer: Eine Nutzerentität, die vor Kurzem hochgeladen und in letzter Zeit eine erhebliche Menge an Daten im Vergleich zur bisherigen Nutzung heruntergeladen.
- Brute Force, dann erfolgreiche Anmeldung durch Nutzer: eine einzelne Nutzerentität aus einer Die IP-Adresse hatte mehrere fehlgeschlagene Authentifizierungsversuche bei einer bestimmten Anwendung bevor Sie sich erfolgreich anmelden.
Erkennungsgruppen auf der Grundlage von Gruppen ähnlicher Apps
Anmeldung aus einem noch nie zuvor gesehenen Land für eine Nutzergruppe: die erste erfolgreiche Anmeldung Authentifizierung aus einem Land für eine Nutzergruppe. Hier werden Gruppenanzeigename, Informationen zu User-Abteilung und User-Manager aus AD-Kontextdaten.
Anmeldung in einer Nutzergruppe, die noch nie in Anwendung war: die erste erfolgreiche Anmeldung Authentifizierung bei einer Anwendung für eine Nutzergruppe. Dabei werden der Nutzertitel, Informationen zum Nutzermanager und zum Anzeigenamen der Gruppe aus AD-Kontextdaten.
Ungewöhnliche oder übermäßige Anmeldungen eines neu erstellten Nutzers: ungewöhnliche oder übermäßige Anmeldungen Authentifizierungsaktivität eines kürzlich erstellten Nutzers. Hier wird die Erstellungszeit vom AD-Kontextdaten.
Ungewöhnliche oder übermäßige verdächtige Aktionen bei einem neu erstellten Nutzer: ungewöhnliche oder übermäßige Aktivitäten, einschließlich, aber nicht beschränkt auf, HTTP-Telemetrie, Prozessausführung und Gruppenänderung) für ein kürzlich erstelltes Nutzer. Hiermit wird die Erstellungszeit aus AD-Kontextdaten verwendet.
Verdächtige Aktionen
- Übermäßige Kontoerstellung nach Gerät: Eine Geräteentität hat mehrere neue Nutzerkonten.
- Übermäßig viele Benachrichtigungen durch Nutzer: Eine hohe Anzahl von Sicherheitswarnungen von einem Antivirenprogramm.
oder Endpunktgerät, z. B. eine Verbindung wurde blockiert oder Malware erkannt
über eine Nutzerentität gemeldet, die viel größer war als bisherige Muster.
Bei diesen Ereignissen ist das UDM-Feld
security_result.actionaufBLOCKgesetzt.
Erkennung von Datenverlust anhand des Schutzes
- Ungewöhnliche oder übermäßige Prozesse mit Funktionen zur Daten-Exfiltration: anomale oder übermäßige Aktivität bei Prozessen im Zusammenhang mit der Daten-Exfiltration wie Keylogger, Screenshots und Remotezugriff. Hierbei werden Dateimetadaten angereichert von VirusTotal.
Erforderliche Daten, die von Risk Analytics für die UEBA-Kategorie benötigt werden
Im folgenden Abschnitt werden die Daten beschrieben, die von Regelsätzen in den einzelnen Kategorien benötigt werden. um den größtmöglichen Nutzen zu erzielen. Eine Liste aller unterstützten Standardparser finden Sie unter Unterstützte Logtypen und Standardparser.
Authentifizierung
Um einen dieser Regelsätze zu verwenden, erfassen Sie Protokolldaten von einer der folgenden
Azure AD-Verzeichnisprüfung (AZURE_AD_AUDIT) oder Windows-Ereignis (WINEVTLOG).
Analyse des Netzwerktraffics
Erfassen Sie zur Verwendung dieser Regelsätze Protokolldaten, die die Netzwerkaktivität erfassen.
Beispiele: von Geräten wie FortiGate (FORTINET_FIREWALL)
Check Point (CHECKPOINT_FIREWALL), Zscaler (ZSCALER_WEBPROXY), CrowdStrike Falcon (CS_EDR),
oder Carbon Black (CB_EDR).
Erkennungsgruppen auf der Grundlage von Gruppen ähnlicher Apps
Um einen dieser Regelsätze zu verwenden, erfassen Sie Protokolldaten von einer der folgenden
Azure AD-Verzeichnisprüfung (AZURE_AD_AUDIT) oder Windows-Ereignis (WINEVTLOG).
Verdächtige Aktionen
Für die Regelsätze in dieser Gruppe wird jeweils ein anderer Datentyp verwendet.
Übermäßige Kontoerstellung durch Geräteregelsatz
Erfassen Sie zur Verwendung dieses Regelsatzes Protokolldaten von einer der folgenden
Azure AD-Verzeichnisprüfung (AZURE_AD_AUDIT) oder Windows-Ereignis (WINEVTLOG).
Übermäßige Benachrichtigungen nach Nutzerregelsatz
Erfassen Sie zur Verwendung dieses Regelsatzes Protokolldaten, die Endpunktaktivitäten erfassen oder
Auditdaten wie die von CrowdStrike Falcon (CS_EDR) aufgezeichneten
Carbon Black (CB_EDR) oder Azure AD Directory Audit (AZURE_AD_AUDIT).
Erkennung von Datenverlust anhand des Schutzes
Erfassen Sie zur Verwendung dieser Regelsätze Protokolldaten, die Prozess- und Dateiaktivitäten erfassen,
wie das von CrowdStrike Falcon (CS_EDR), Carbon Black (CB_EDR),
oder EDR bei SentinelOne (SENTINEL_EDR).
Regelsätze in dieser Kategorie hängen von Ereignissen mit den folgenden metadata.event_type ab
Werte: PROCESS_LAUNCH, PROCESS_OPEN, PROCESS_MODULE_LOAD.
Von Regelsätzen zurückgegebene Abstimmungsbenachrichtigungen für diese Kategorie
Sie können die Anzahl der Erkennungen, die durch eine Regel oder einen Regelsatz generiert werden, mithilfe Regelausschlüsse festzulegen.
Mit einem Regelausschluss werden die Kriterien definiert, anhand derer ein Ereignis von der Auswertung durch Regelsatz oder nach bestimmten Regeln im Regelsatz erfolgen. Einen oder mehrere Regelausschlüsse erstellen um die Anzahl der Erkennungsmechanismen zu reduzieren. Weitere Informationen finden Sie unter Regelausschlüsse konfigurieren. .