Panoramica dell'analisi del rischio per la categoria UEBA
Questo documento fornisce una panoramica delle serie di regole della categoria Analisi del rischio per la categoria UEBA, e la configurazione richiesti per ottimizzare gli avvisi generati per ogni serie di regole. Queste serie di regole aiutano a identificare le minacce in Google Cloud ambienti di lavoro con i dati di Google Cloud.
Descrizioni dei set di regole
Le seguenti serie di regole sono disponibili nella categoria Analisi del rischio per UEBA e sono raggruppati per tipo di pattern rilevati:
Autenticazione
- Nuovo accesso dell'utente al dispositivo: un utente ha eseguito l'accesso su un nuovo dispositivo.
- Eventi di autenticazione anomali per utente: di recente una singola entità utente ha registrato eventi di autenticazione anomali rispetto all'utilizzo storico.
- Autentiche non riuscite per dispositivo: una singola entità di dispositivo ha ricevuto molte tentativi di accesso recenti non riusciti in confronto all'utilizzo storico.
- Autentiche non riuscite per utente: una singola entità utente ha registrato molti errori. di accesso recenti rispetto all'utilizzo storico.
Analisi del traffico di rete
- Byte in entrata anomali per dispositivo: quantità significativa di dati caricati di recente in un'entità di singolo dispositivo, rispetto all'utilizzo storico.
- Byte in uscita anomali per dispositivo: quantità significativa di dati di recente scaricate da un'entità singola per dispositivo, rispetto all'utilizzo storico.
- Byte totali anomali per dispositivo: un'entità dispositivo caricata di recente e scaricato una quantità significativa di dati rispetto all'utilizzo storico.
- Byte in entrata anomali per utente: una singola entità utente ha scaricato di recente una quantità significativa di dati rispetto all'utilizzo storico.
- Byte totali anomali per utente: un'entità utente ha caricato e scaricato di recente una quantità significativa di dati, rispetto all'utilizzo storico.
- Accesso forzato e poi accesso riuscito da parte dell'utente: una singola entità utente da un indirizzo IP ha effettuato diversi tentativi di autenticazione non riusciti per una determinata applicazione prima di accedere correttamente.
Rilevamento basato su gruppi di pari
Accesso da un paese mai visto prima per un gruppo utenti: il primo accesso l'autenticazione da un paese per un gruppo di utenti. Vengono utilizzati il nome visualizzato del gruppo, il reparto dell'utente e le informazioni sul gestore dell'utente dai dati del contesto AD.
Accesso a un'applicazione mai utilizzata prima per un gruppo di utenti: la prima autenticazione riuscita a un'applicazione per un gruppo di utenti. Vengono utilizzati il titolo dell'utente, il gestore dell'utente e le informazioni sul nome visualizzato del gruppo dai dati del contesto AD.
Accessi anomali o eccessivi per un utente appena creato: attività di autenticazione anomale o eccessive per un utente creato di recente. Viene utilizzata la data di creazione dei dati del contesto AD.
Azioni sospette anomale o eccessive per un utente appena creato: attività anomala o eccessiva (tra cui, a titolo esemplificativo, telemetria HTTP, esecuzione in un processo e modifica di gruppo) per un modello creato di recente utente. Viene utilizzata la data e l'ora di creazione dei dati del contesto AD.
Azioni sospette
- Creazione di account eccessiva da parte del dispositivo: un'entità dispositivo ha creato diversi nuovi account utente.
- Avvisi eccessivi da parte dell'utente: per un'entità utente è stato segnalato un numero elevato di avvisi di sicurezza da un antivirus o da un dispositivo endpoint (ad esempio Connessione bloccata, È stato rilevato malware), molto più elevato rispetto ai modelli storici.
Si tratta di eventi in cui il campo UDM
security_result.action
è impostato suBLOCK
.
Rilevamenti basati sulla prevenzione della perdita di dati
- Processi anomali o eccessivi con funzionalità di esfiltrazione di dati: attività anomale o eccessive per i processi associati a funzionalità di esfiltrazione di dati come keylogger, screenshot e accesso remoto. Utilizza l'arricchimento dei metadati dei file di VirusTotal.
Dati richiesti dall'analisi del rischio per la categoria UEBA
La sezione seguente descrive i dati necessari per gli insiemi di regole in ogni categoria per ottenere il massimo vantaggio. Per un elenco di tutti i parser predefiniti supportati, consulta Tipi di log supportati e parser predefiniti.
Autenticazione
Per utilizzare uno di questi insiemi di regole, raccogli i dati dei log da Audit di directory Azure AD (AZURE_AD_AUDIT
) o da Eventi di Windows (WINEVTLOG
).
Analisi del traffico di rete
Per utilizzare una qualsiasi di queste serie di regole, raccogli i dati di log che acquisiscono l'attività di rete.
Ad esempio, da dispositivi come FortiGate (FORTINET_FIREWALL
), Check Point (CHECKPOINT_FIREWALL
), Zscaler (ZSCALER_WEBPROXY
), CrowdStrike Falcon (CS_EDR
) o Carbon Black (CB_EDR
).
Rilevamenti basati su gruppi di app peer
Per utilizzare uno di questi insiemi di regole, raccogli i dati dei log da Audit di directory Azure AD (AZURE_AD_AUDIT
) o da Eventi di Windows (WINEVTLOG
).
Azioni sospette
I set di regole in questo gruppo utilizzano ciascuno un tipo di dati diverso.
Serie di regole eccessiva per la creazione di account da parte del dispositivo
Per utilizzare questo insieme di regole, raccogli i dati dei log da Audit di directory Azure AD (AZURE_AD_AUDIT
) o da Eventi di Windows (WINEVTLOG
).
Avvisi eccessivi per serie di regole utente
Per utilizzare questa serie di regole, raccogli i dati dei log che acquisiscono le attività dell'endpoint o
come quelli registrati da CrowdStrike Falcon (CS_EDR
),
Carbon Black (CB_EDR
) o Azure AD Directory Audit (AZURE_AD_AUDIT
).
Rilevamento basato sulla prevenzione della perdita di dati
Per utilizzare una qualsiasi di queste serie di regole, raccogli i dati di log che acquisiscono le attività di processi e file,
come quello registrato da CrowdStrike Falcon (CS_EDR
), Carbon Black (CB_EDR
),
o SentinelOne EDR (SENTINEL_EDR
).
Le serie di regole di questa categoria dipendono dagli eventi con i seguenti metadata.event_type
valori: PROCESS_LAUNCH
, PROCESS_OPEN
, PROCESS_MODULE_LOAD
.
Avvisi di ottimizzazione restituiti dalle serie di regole in questa categoria
Puoi ridurre il numero di rilevamenti generati da una regola o da un insieme di regole utilizzando le esclusioni di regole.
Un'esclusione di regole definisce i criteri utilizzati per impedire la valutazione di un evento da parte del insieme di regole o da regole specifiche al suo interno. Crea una o più esclusioni di regole per ridurre il volume dei rilevamenti. Per informazioni su come eseguire questa operazione, consulta Configurare le esclusioni delle regole.