UEBA 类别风险分析概览

本文档将大略介绍 UEBA 风险分析类别中的规则集, 所需数据,以及可用于调整所生成的提醒的配置 每个规则集都存在哪些差异这些规则集有助于识别 Google Cloud 中的威胁 部署和管理环境

规则集说明

以下规则集可在 UEBA 风险分析类别中找到, 按检测到的模式类型分组:

身份验证

  • 首次登录设备的用户:登录了新设备的用户。
  • 用户身份验证事件异常:单个用户实体出现异常 与历史使用量相比,最近发生的身份验证事件数。
  • 失败的身份验证(按设备):单个设备实体具有多个 与历史使用情况相比,最近的登录尝试失败次数。
  • 用户身份验证失败次数:单个用户实体出现多次失败 最近的登录尝试次数(与历史使用情况相比)。

网络流量分析

  • 异常入站字节数(按设备):最近有大量数据 上传到单个设备实体的数据(与历史使用情况相比)。
  • 异常出站字节数(按设备划分):最近有大量数据 从单个设备实体下载的应用数量与历史使用情况的对比。
  • 异常总字节数(按设备):最近上传的设备实体 相较于历史使用情况,下载并下载了大量数据。
  • 用户异常入站字节数:最近下载的单个用户实体 大量数据。
  • 用户异常总字节数:最近上传且 与历史使用情况相比,最近下载了大量数据。
  • 用户先使用暴力破解登录,然后成功登录:使用单个用户实体 IP 地址向特定应用发起了多次身份验证失败 然后才能成功登录。

基于类似应用群组的检测

  • 用户群组从未从从未见过的国家/地区登录:首次成功登录 从某个国家/地区对用户群组进行身份验证。这会使用群组显示名称 用户部门和用户经理信息。

  • 登录用户群组从未见过的应用:首次成功登录 向应用授予用户群组身份验证。这会使用用户名称 用户管理器以及 AD 上下文数据中的群组显示名称信息。

  • 新创建的用户的异常登录或过多登录:异常或过多 最近创建的用户的身份验证活动。所用时间的创建时间自以下日期起算: AD 上下文数据。

  • 新用户的异常或可疑操作: 异常或过度活动(包括但不限于 HTTP 遥测、 进程执行和组修改)。 用户。这会使用 AD 上下文数据中的创建时间。

可疑操作

  • 设备创建账号过多:设备实体创建了多个 新用户账号。
  • 用户发出的过多提醒:大量来自杀毒软件的安全提醒 或端点设备(例如,连接被阻止检测到恶意软件) 报告的关于用户实体,这远远大于历史模式。 这些是 security_result.action UDM 字段设为 BLOCK 的事件。

基于数据泄露防护的检测

  • 具有数据渗漏功能的异常或过多进程:异常或 与数据渗漏功能相关的进程出现过多活动 例如击键记录程序、屏幕截图和远程访问。这会使用文件元数据扩充功能 来自 VirusTotal

UEBA 类别风险分析所需的数据

以下部分介绍了每个类别的规则集所需的数据 以便获得最大收益如需查看所有支持的默认解析器的列表,请参阅 支持的日志类型和默认解析器

身份验证

要使用其中任何规则集,请从以下任一位置收集日志数据: Azure AD 目录审核 (AZURE_AD_AUDIT) 或 Windows 事件 (WINEVTLOG)。

网络流量分析

要使用其中任何规则集,请收集捕获网络活动的日志数据。 例如,对于 FortiGate (FORTINET_FIREWALL) 等设备, Check Point (CHECKPOINT_FIREWALL)、Zscaler (ZSCALER_WEBPROXY)、CrowdStrike Falcon (CS_EDR)、 或碳黑 (CB_EDR)。

基于类似应用群组的检测

要使用其中任何规则集,请从以下任一位置收集日志数据: Azure AD 目录审核 (AZURE_AD_AUDIT) 或 Windows 事件 (WINEVTLOG)。

可疑操作

此组中的规则集各自使用不同类型的数据。

根据设备规则集创建账号过多

如需使用此规则集,请从以下任一位置收集日志数据: Azure AD 目录审核 (AZURE_AD_AUDIT) 或 Windows 事件 (WINEVTLOG)。

按用户规则集设置过多提醒

如需使用此规则集,请收集捕获端点活动或 审核数据,例如由 CrowdStrike Falcon (CS_EDR) 记录的数据, Carbon Black (CB_EDR) 或 Azure AD Directory Audit (AZURE_AD_AUDIT)。

基于数据泄露防护的检测

要使用其中任何规则集,请收集记录进程和文件活动的日志数据, 例如由 CrowdStrike Falcon (CS_EDR)、Carbon Black (CB_EDR) 录制的 或 SentinelOne EDR (SENTINEL_EDR)。

此类别中的规则集依赖于具有以下metadata.event_type的事件 值:PROCESS_LAUNCHPROCESS_OPENPROCESS_MODULE_LOAD

此类别的规则集返回的调整提醒

您可以使用以下方法减少规则或规则集生成的检测数量: 规则排除项

规则排除可定义用于将事件排除在被 或按规则集中的特定规则创建创建一个或多个规则排除项 以帮助减少检测量。请参阅配置规则排除对象 了解有关具体操作方法的信息。

后续步骤