Descripción general del análisis de riesgos para la categoría UEBA

Este documento proporciona una descripción general de los conjuntos de reglas de la categoría Análisis de riesgos para UEBA, los datos requeridos y la configuración que puedes usar para ajustar las alertas generadas por cada regla establecida. Estos conjuntos de reglas ayudan a identificar amenazas en Google Cloud entornos con datos de Google Cloud.

Descripciones de conjuntos de reglas

Los siguientes conjuntos de reglas están disponibles en la categoría Análisis de riesgos para UEBA y se agrupados por el tipo de patrones detectados:

Autenticación

  • Nuevo acceso del usuario al dispositivo: un usuario accedió a un dispositivo nuevo.
  • Eventos de autenticación anómalos por usuario: una única entidad de usuario tuvo resultados anómalos de autenticación de usuarios recientemente, en comparación con el uso histórico.
  • Autenticación con errores por dispositivo: una sola entidad de dispositivo tuvo muchas intentos de acceso fallidos recientemente, en comparación con el uso histórico.
  • Autenticaciones con errores por usuario: Una sola entidad de usuario tuvo muchas fallas. intentos de acceso recientes, en comparación con el uso histórico.

Análisis del tráfico de la red

  • Bytes de entrada anómalos por dispositivo: Cantidad significativa de datos recientemente subir a una entidad de dispositivo único, en comparación con el uso histórico.
  • Bytes de salida anómalos por dispositivo: Cantidad significativa de datos recientemente descargados de una entidad de dispositivo único, en comparación con el uso histórico.
  • Total de bytes anómalos por dispositivo: una entidad de dispositivo que se subió recientemente y descargaron una cantidad significativa de datos, en comparación con el uso histórico.
  • Bytes entrantes anómalos por usuario: una sola entidad de usuario descargada recientemente una cantidad significativa de datos en comparación con el uso histórico.
  • Total de bytes anómalos por usuario: una entidad de usuario subió y descargaron una cantidad significativa de datos recientemente, en comparación con el uso histórico.
  • Fuerza bruta y acceso exitoso por usuario: una única entidad de usuario. La dirección IP tuvo varios intentos de autenticación fallidos con respecto a una aplicación determinada antes de acceder correctamente.

Detecciones basadas en grupos de apps similares

  • Acceder desde un país nunca antes visto para un grupo de usuarios: el primer acceso exitoso autenticación desde un país para un grupo de usuarios. Usa el nombre visible del grupo, el departamento de usuarios y la información del administrador de usuarios a partir de datos de AD Context.

  • Acceder a una aplicación nunca antes vista para un grupo de usuarios: La primera vez que se realiza correctamente autenticación en una aplicación para un grupo de usuarios. Esto utiliza el título de usuario, el administrador de usuarios y la información del nombre visible del grupo a partir de los datos de AD Context.

  • Accesos anómalos o excesivos para un usuario recién creado: anómalos o excesivos de autenticación de un usuario creado recientemente. Usa la hora de creación desde Datos de contexto de AD.

  • Acciones anómalas o excesivas y sospechosas para un usuario recién creado: actividad anómala o excesiva (incluida, entre otras, telemetría de HTTP, ejecución de procesos y modificación de grupo) para una campaña creada recientemente usuario. Usa el tiempo de creación de los datos del contexto de AD.

Acciones sospechosas

  • Creación excesiva de cuentas por dispositivo: una entidad de dispositivo creó varias nuevas cuentas de usuario.
  • Alertas excesivas por usuario: Una gran cantidad de alertas de seguridad de un antivirus o dispositivo de extremo (por ejemplo, se bloqueó la conexión, se detectó software malicioso) sobre una entidad de usuario, lo que es mucho mayor que los patrones históricos. Estos son eventos en los que el campo UDM security_result.action se establece en BLOCK.

Detecciones basadas en la Prevención de pérdida de datos

  • Procesos anómalos o excesivos con las funciones de robo de datos: Actividad excesiva para los procesos asociados con las capacidades de robo de datos como capturadores de teclas digitadas, capturas de pantalla y acceso remoto. Usa el enriquecimiento de los metadatos del archivo de VirusTotal.

Datos obligatorios que requiere el análisis de riesgos para la categoría UEBA

En la siguiente sección, se describen los datos que necesitan los conjuntos de reglas de cada categoría para obtener el mayor beneficio. Para obtener una lista de todos los analizadores predeterminados admitidos, consulta Tipos de registros compatibles y analizadores predeterminados.

Autenticación

Para usar cualquiera de estos conjuntos de reglas, debes recopilar datos de registro de Auditoría del directorio de Azure AD (AZURE_AD_AUDIT) o evento de Windows (WINEVTLOG).

Análisis del tráfico de la red

Para usar cualquiera de estos conjuntos de reglas, recopila datos de registro que capturen la actividad de red. Por ejemplo, desde dispositivos como FortiGate (FORTINET_FIREWALL), Check Point (CHECKPOINT_FIREWALL), Zscaler (ZSCALER_WEBPROXY), CrowdStrike Falcon (CS_EDR), o Carbon Black (CB_EDR).

Detecciones basadas en grupos de apps similares

Para usar cualquiera de estos conjuntos de reglas, debes recopilar datos de registro de Auditoría del directorio de Azure AD (AZURE_AD_AUDIT) o evento de Windows (WINEVTLOG).

Acciones sospechosas

Cada conjunto de reglas de este grupo usa un tipo de datos diferente.

Se estableció la regla de creación excesiva de cuentas por dispositivo

Para usar este conjunto de reglas, debes recopilar datos de registro de Auditoría del directorio de Azure AD (AZURE_AD_AUDIT) o evento de Windows (WINEVTLOG).

Alertas excesivas por conjunto de reglas del usuario

Para usar este conjunto de reglas, recopila datos de registro que capturen actividades del endpoint o datos de auditoría, como los que registra CrowdStrike Falcon (CS_EDR), Carbon Black (CB_EDR) o Azure AD Directory Audit (AZURE_AD_AUDIT).

Detecciones basadas en la Prevención de pérdida de datos

Para usar cualquiera de estos conjuntos de reglas, recopila datos de registro que capturen actividades, como la que registró CrowdStrike Falcon (CS_EDR), Carbon Black (CB_EDR), o SentinelOne EDR (SENTINEL_EDR).

Los conjuntos de reglas de esta categoría dependen de eventos con los siguientes metadata.event_type: valores: PROCESS_LAUNCH, PROCESS_OPEN, PROCESS_MODULE_LOAD.

El ajuste de las alertas que devuelven las reglas establece esta categoría.

Puedes reducir la cantidad de detecciones que genera una regla o un conjunto de reglas usando exclusiones de reglas.

Una exclusión de reglas define los criterios que se usan para excluir un evento de que no sea evaluado por el conjunto de reglas o según reglas específicas en el conjunto. Cree una o más exclusiones de reglas para reducir el volumen de detecciones. Consulta Configura exclusiones de reglas. para obtener información sobre cómo hacerlo.

¿Qué sigue?