Panoramica dell'analisi del rischio per la categoria UEBA
Questo documento fornisce una panoramica delle serie di regole della categoria Analisi del rischio per la categoria UEBA, e la configurazione richiesti per ottimizzare gli avvisi generati per ogni serie di regole. Queste serie di regole aiutano a identificare le minacce in Google Cloud ambienti di lavoro con i dati di Google Cloud.
Descrizioni delle serie di regole
Le seguenti serie di regole sono disponibili nella categoria Analisi del rischio per UEBA e sono raggruppati per tipo di pattern rilevati:
Autenticazione
- Nuovo accesso dell'utente al dispositivo: un utente ha eseguito l'accesso su un nuovo dispositivo.
- Eventi di autenticazione anomali per utente: una singola entità utente ha riscontrato anomalie più recenti, rispetto all'uso storico.
- Autentiche non riuscite per dispositivo: una singola entità di dispositivo ha ricevuto molte tentativi di accesso recenti non riusciti in confronto all'utilizzo storico.
- Autentiche non riuscite per utente: una singola entità utente ha registrato molti errori. di accesso recenti rispetto all'utilizzo storico.
Analisi del traffico di rete
- Byte in entrata anomali per dispositivo: quantità significativa di dati di recente in un'entità con singolo dispositivo, rispetto all'utilizzo storico.
- Byte in uscita anomali per dispositivo: quantità significativa di dati di recente scaricate da un'entità singola per dispositivo, rispetto all'utilizzo storico.
- Byte totali anomali per dispositivo: un'entità dispositivo caricata di recente e scaricato una quantità significativa di dati rispetto all'utilizzo storico.
- Byte in entrata anomali per utente: una singola entità utente scaricata di recente. una quantità significativa di dati rispetto all'utilizzo storico.
- Byte totali anomali per utente: un'entità utente caricata di recente e scaricato una quantità significativa di dati di recente rispetto all'utilizzo storico.
- Forza bruta poi accesso riuscito da parte dell'utente: una singola entità utente da una Nell'indirizzo IP sono stati effettuati diversi tentativi di autenticazione non riusciti verso una determinata applicazione prima di accedere correttamente.
Rilevamenti basati su gruppi di app peer
Accesso da un paese mai visto prima per un gruppo utenti: il primo accesso l'autenticazione da un paese per un gruppo di utenti. Utilizza il nome visualizzato del gruppo, reparto utenti e gestore utenti dai dati sul contesto di AD.
Accesso a un'applicazione mai vista prima per un gruppo utenti: il primo accesso riuscito l'autenticazione in un'applicazione per un gruppo di utenti. Viene usato il titolo dell'utente, Gestione utenti e informazioni sul nome visualizzato dei gruppi dai dati contestuali AD.
Accessi anomali o eccessivi per un utente appena creato: anomali o eccessivi attività di autenticazione per un utente creato di recente. Utilizza l'ora di creazione dal giorno Dati contesto AD.
Azioni sospette anomale o eccessive per un utente appena creato: attività anomala o eccessiva (tra cui, a titolo esemplificativo, telemetria HTTP, esecuzione in un processo e modifica di gruppo) per un modello creato di recente utente. Utilizza l'ora di creazione dai dati del contesto AD.
Azioni sospette
- Creazione di account eccessiva da parte del dispositivo: un'entità dispositivo ha creato diversi nuovi account utente.
- Avvisi eccessivi per utente. Un numero elevato di avvisi di sicurezza inviati da un antivirus
o un dispositivo endpoint (ad esempio, la connessione è stata bloccata, è stato rilevato un malware)
relativi a un'entità utente, molto maggiore dei pattern storici.
Questi sono eventi in cui il campo UDM
security_result.actionè impostato suBLOCK.
Rilevamenti basati sulla prevenzione della perdita di dati
- Processi anomali o eccessivi con funzionalità di esfiltrazione di dati: anomali o attività eccessiva per i processi associati alle capacità di esfiltrazione di dati come keylogger, screenshot e accesso remoto. Utilizza l'arricchimento dei metadati dei file di VirusTotal.
Dati richiesti dall'analisi del rischio per la categoria UEBA
La seguente sezione descrive i dati necessari per le serie di regole di ciascuna categoria per ottenere i migliori vantaggi. Per un elenco di tutti i parser predefiniti supportati, consulta Tipi di log supportati e parser predefiniti.
Autenticazione
Per utilizzare una qualsiasi di queste serie di regole, raccogli i dati di log da
Controllo della directory di Azure AD (AZURE_AD_AUDIT) o evento di Windows (WINEVTLOG).
Analisi del traffico di rete
Per utilizzare una qualsiasi di queste serie di regole, raccogli i dati di log che acquisiscono l'attività di rete.
Ad esempio, da dispositivi come FortiGate (FORTINET_FIREWALL),
Check Point (CHECKPOINT_FIREWALL), Zscaler (ZSCALER_WEBPROXY), CrowdStrike Falcon (CS_EDR),
o Carbon Black (CB_EDR).
Rilevamenti basati su gruppi di app peer
Per utilizzare una qualsiasi di queste serie di regole, raccogli i dati di log da
Controllo della directory di Azure AD (AZURE_AD_AUDIT) o evento di Windows (WINEVTLOG).
Azioni sospette
Le serie di regole di questo gruppo utilizzano ciascuna un tipo diverso di dati.
Serie di regole eccessiva per la creazione di account da parte del dispositivo
Per utilizzare questa serie di regole, raccogli i dati di log da
Controllo della directory di Azure AD (AZURE_AD_AUDIT) o evento di Windows (WINEVTLOG).
Avvisi eccessivi per serie di regole utente
Per utilizzare questa serie di regole, raccogli i dati dei log che acquisiscono le attività dell'endpoint o
come quelli registrati da CrowdStrike Falcon (CS_EDR),
Carbon Black (CB_EDR) o Azure AD Directory Audit (AZURE_AD_AUDIT).
Rilevamenti basati sulla prevenzione della perdita di dati
Per utilizzare una qualsiasi di queste serie di regole, raccogli i dati di log che acquisiscono le attività di processi e file,
come quello registrato da CrowdStrike Falcon (CS_EDR), Carbon Black (CB_EDR),
o SentinelOne EDR (SENTINEL_EDR).
Le serie di regole di questa categoria dipendono dagli eventi con i seguenti metadata.event_type
valori: PROCESS_LAUNCH, PROCESS_OPEN, PROCESS_MODULE_LOAD.
Avvisi di ottimizzazione restituiti dalle serie di regole in questa categoria
È possibile ridurre il numero di rilevamenti generati da una regola o una serie di regole utilizzando esclusioni di regole.
Un'esclusione di regola definisce i criteri utilizzati per escludere un evento dalla valutazione dalla serie di regole o da regole specifiche al suo interno. Crea una o più esclusioni di regole per ridurre il volume dei rilevamenti. Consulta Configurare le esclusioni delle regole per informazioni su come fare.