Visão geral da análise de risco da categoria UEBA
Este documento contém uma visão geral dos conjuntos de regras na categoria Análise de risco para UEBA, a os dados necessários e a configuração usada para ajustar os alertas gerados por cada grupo de regras. Esses conjuntos de regras ajudam a identificar ameaças no Google Cloud ambientes usando os dados do Google Cloud.
Descrições de conjuntos de regras
Os conjuntos de regras a seguir estão disponíveis na categoria "Análise de risco para UEBA" e agrupadas pelo tipo de padrões detectados:
Autenticação
- Novo login do usuário no dispositivo: um usuário fez login em um novo dispositivo.
- Eventos de autenticação anômalos por usuário: uma única entidade de usuário teve erros eventos de autenticação recentes, em comparação com o uso histórico.
- Autenticação com falha por dispositivo: uma única entidade de dispositivo teve várias tentativas de login malsucedidas recentemente, em comparação com o uso histórico.
- Falhas na autenticação do usuário: uma única entidade de usuário teve várias falhas tentativas de login recentes, em comparação com o uso histórico.
Análise de tráfego de rede
- Bytes de entrada anômalos por dispositivo: quantidade significativa de dados recentemente enviado para uma única entidade de dispositivo, em comparação com o uso histórico.
- Bytes de saída anômalos por dispositivo: quantidade significativa de dados recentemente transferidos por download de uma única entidade de dispositivo, em comparação com o uso histórico.
- Total de bytes anômalo por dispositivo: uma entidade de dispositivo enviada recentemente e fez o download de uma quantidade significativa de dados, em comparação com o uso histórico.
- Bytes de entrada anômalos por usuário: o download de uma única entidade de usuário foi concluído recentemente. uma quantidade significativa de dados, em comparação com o uso histórico.
- Total de bytes anômalos por usuário: o upload de uma entidade de usuário foi concluído e fez o download de uma quantidade significativa de dados recentemente, em comparação com o uso histórico.
- Força bruta e, em seguida, login bem-sucedido pelo usuário: uma única entidade de usuário de um O endereço IP apresentou várias tentativas de autenticação com falha para um determinado aplicativo antes de fazer login.
Detecções baseadas em grupo de apps semelhantes
Login em um país inédito para um grupo de usuários: o primeiro login concluído autenticação de um país para um grupo de usuários. Ele usa o nome de exibição do grupo, informações do departamento do usuário e do gerenciador de usuários dos dados de contexto do AD.
Fazer login em um aplicativo nunca visto para um grupo de usuários: o primeiro aplicativo autenticação em um aplicativo para um grupo de usuários. Isso usa o título do usuário, gerenciador de usuários e nome de exibição do grupo com base nos dados do contexto do AD.
Logins anômalos ou em excesso para um usuário recém-criado: anômalo ou excessivo atividade de autenticação de um usuário recém-criado. Usa o horário de criação do Dados de contexto do AD.
Ações suspeitas anômalas ou excessivas para um usuário recém-criado: atividades anômalas ou excessivas (incluindo, mas não se limitando a, telemetria HTTP, execução de processos e modificação de grupos) para um modelo usuário. Usa o horário de criação dos dados de contexto do AD.
Ações suspeitas
- Criação excessiva de contas por dispositivo: uma entidade de dispositivo criada várias novas contas de usuário.
- Alertas excessivos do usuário: um grande número de alertas de segurança de um antivírus.
ou dispositivo de endpoint (por exemplo, a conexão foi bloqueada, um malware foi detectado)
foram relatados sobre uma entidade usuário, o que foi muito maior do que os padrões históricos.
Esses são eventos em que o campo UDM
security_result.actionestá definido comoBLOCK.
Detecções baseadas na prevenção contra perda de dados
- Processos anômalos ou excessivos com recursos de exfiltração de dados: anômalos ou atividade excessiva de processos associados a capacidades de exfiltração de dados como keyloggers, capturas de tela e acesso remoto. Isso usa o aprimoramento de metadados de arquivos do VirusTotal.
Dados obrigatórios necessários para a análise de risco para a categoria UEBA
A seção a seguir descreve os dados necessários para os grupos de regras em cada categoria para ter o maior benefício. Para uma lista de todos os analisadores padrão aceitos, consulte Tipos de registro e analisadores padrão compatíveis.
Autenticação
Para usar qualquer um desses grupos de regras, colete dados de registro
Auditoria de diretório do Azure AD (AZURE_AD_AUDIT) ou evento do Windows (WINEVTLOG).
Análise de tráfego de rede
Para usar qualquer um desses conjuntos de regras, colete dados de registros que capturam a atividade da rede.
Por exemplo, em dispositivos como FortiGate (FORTINET_FIREWALL),
Check Point (CHECKPOINT_FIREWALL), Zscaler (ZSCALER_WEBPROXY), CrowdStrike Falcon (CS_EDR),
ou Carbon Black (CB_EDR).
Detecções baseadas em grupo de apps semelhantes
Para usar qualquer um desses grupos de regras, colete dados de registro
Auditoria de diretório do Azure AD (AZURE_AD_AUDIT) ou evento do Windows (WINEVTLOG).
Ações suspeitas
Cada conjunto de regras nesse grupo usa um tipo diferente de dados.
Conjunto de regras de criação excessiva de contas por dispositivo
Para usar esse conjunto de regras, colete dados de registro
Auditoria de diretório do Azure AD (AZURE_AD_AUDIT) ou evento do Windows (WINEVTLOG).
Alertas excessivos por regra de usuário definida
Para usar este conjunto de regras, colete dados de registro que capturam atividades de endpoint ou
dados de auditoria, como os registrados pela CrowdStrike Falcon (CS_EDR),
Carbon Black (CB_EDR) ou Auditoria de Diretório do Azure AD (AZURE_AD_AUDIT).
Detecções baseadas na prevenção contra perda de dados
Para usar qualquer um desses conjuntos de regras, colete dados de registro que capturam atividades de processos e arquivos,
como a gravada por CrowdStrike Falcon (CS_EDR), Carbon Black (CB_EDR),
ou SentinelOne EDR (SENTINEL_EDR).
Os conjuntos de regras nesta categoria dependem de eventos com os seguintes metadata.event_type
valores: PROCESS_LAUNCH, PROCESS_OPEN, PROCESS_MODULE_LOAD.
Ajustar alertas retornados por grupos de regras nesta categoria
É possível reduzir o número de detecções geradas por uma regra ou um conjunto de regras usando o exclusões de regras.
Uma exclusão de regra define os critérios usados para impedir que um evento seja avaliado pela pelo grupo de regras ou por regras específicas do grupo de regras. Crie uma ou mais exclusões de regras para reduzir o volume de detecções. Consulte Configurar exclusões de regras. para saber como fazer isso.