Visão geral da análise de risco para a categoria UEBA
Este documento contém uma visão geral dos conjuntos de regras na categoria Análise de risco para UEBA, a os dados necessários e a configuração usada para ajustar os alertas gerados por cada grupo de regras. Esses conjuntos de regras ajudam a identificar ameaças em ambientes do Google Cloud usando dados do Google Cloud.
Descrições do conjunto de regras
Os conjuntos de regras a seguir estão disponíveis na categoria "Análise de risco para UEBA" e são agrupados pelo tipo de padrões detectados:
Autenticação
- Novo login do usuário no dispositivo: um usuário fez login em um novo dispositivo.
- Eventos de autenticação anômalos por usuário: uma única entidade de usuário teve erros eventos de autenticação recentes, em comparação com o uso histórico.
- Autenticação com falha por dispositivo: uma única entidade de dispositivo teve várias tentativas de login malsucedidas recentemente, em comparação com o uso histórico.
- Falhas de autenticação por usuário: uma única entidade de usuário teve muitas tentativas de login malsucedidas recentemente, em comparação com o uso anterior.
Análise de tráfego de rede
- Bytes de entrada anômalos por dispositivo: quantidade significativa de dados recentemente enviado para uma única entidade de dispositivo, em comparação com o uso histórico.
- Bytes de saída anômalos por dispositivo: quantidade significativa de dados recentemente transferidos por download de uma única entidade de dispositivo, em comparação com o uso histórico.
- Total de bytes anômalo por dispositivo: uma entidade de dispositivo enviada recentemente e fez o download de uma quantidade significativa de dados, em comparação com o uso histórico.
- Bytes de entrada anômalos por usuário: o download de uma única entidade de usuário foi concluído recentemente. uma quantidade significativa de dados, em comparação com o uso histórico.
- Bytes totais anormais por usuário: uma entidade do usuário fez upload e download de uma quantidade significativa de dados recentemente, em comparação com o uso histórico.
- Força bruta e, em seguida, login bem-sucedido pelo usuário: uma única entidade de usuário de um O endereço IP apresentou várias tentativas de autenticação com falha para um determinado aplicativo antes de fazer login.
Detecções baseadas em grupo de apps semelhantes
Login de um país nunca antes visto para um grupo de usuários: a primeira autenticação bem-sucedida de um país para um grupo de usuários. Ele usa o nome de exibição do grupo, informações do departamento do usuário e do gerenciador de usuários dos dados de contexto do AD.
Fazer login em um aplicativo nunca visto para um grupo de usuários: o primeiro aplicativo autenticação em um aplicativo para um grupo de usuários. Isso usa informações de título do usuário, administrador do usuário e nome de exibição do grupo dos dados de contexto do AD.
Logins anômalos ou em excesso para um usuário recém-criado: anômalo ou excessivo atividade de autenticação de um usuário recém-criado. Isso usa o horário de criação do Dados de contexto do AD.
Ações suspeitas anormais ou excessivas de um usuário recém-criado: atividade anormal ou excessiva (incluindo, mas não se limitando a, telemetria HTTP, execução de processos e modificação de grupos) de um usuário recém-criado. Usa o horário de criação dos dados de contexto do AD.
Ações suspeitas
- Criação excessiva de contas por dispositivo: uma entidade de dispositivo criou várias contas de usuário novas.
- Alertas excessivos do usuário: um grande número de alertas de segurança de um antivírus.
ou dispositivo de endpoint (por exemplo, a conexão foi bloqueada, um malware foi detectado)
foram relatados sobre uma entidade usuário, o que foi muito maior do que os padrões históricos.
São eventos em que o campo UDM
security_result.action
está definido comoBLOCK
.
Detecções baseadas na prevenção contra perda de dados
- Processos anômalos ou excessivos com recursos de exfiltração de dados: anômalos ou atividade excessiva de processos associados a capacidades de exfiltração de dados como keyloggers, capturas de tela e acesso remoto. Ele usa o enriquecimento de metadados de arquivos do VirusTotal.
Dados obrigatórios necessários para a categoria de Análise de risco da UEBA
A seção a seguir descreve os dados necessários para os conjuntos de regras em cada categoria para obter o maior benefício. Para uma lista de todos os analisadores padrão aceitos, consulte Tipos de registro e analisadores padrão compatíveis.
Autenticação
Para usar qualquer um desses conjuntos de regras, colete dados de registro da
auditoria de diretório do Azure AD (AZURE_AD_AUDIT
) ou do evento do Windows (WINEVTLOG
).
Análise de tráfego de rede
Para usar qualquer um desses grupos de regras, colete dados de registros que capturam a atividade da rede.
Por exemplo, em dispositivos como FortiGate (FORTINET_FIREWALL
),
Check Point (CHECKPOINT_FIREWALL
), Zscaler (ZSCALER_WEBPROXY
), CrowdStrike Falcon (CS_EDR
),
ou Carbon Black (CB_EDR
).
Detecções baseadas em grupo de apps semelhantes
Para usar qualquer um desses conjuntos de regras, colete dados de registro da
auditoria de diretório do Azure AD (AZURE_AD_AUDIT
) ou do evento do Windows (WINEVTLOG
).
Ações suspeitas
Os conjuntos de regras neste grupo usam tipos diferentes de dados.
Conjunto de regras de criação excessiva de contas por dispositivo
Para usar esse conjunto de regras, colete dados de registro da
auditoria de diretório do Azure AD (AZURE_AD_AUDIT
) ou do evento do Windows (WINEVTLOG
).
Alertas excessivos por regra de usuário definida
Para usar esse conjunto de regras, colete dados de registro que capturem atividades do endpoint ou
dados de auditoria, como os registrados pelo CrowdStrike Falcon (CS_EDR
),
Carbon Black (CB_EDR
) ou Azure AD Directory Audit (AZURE_AD_AUDIT
).
Detecções baseadas na Prevenção contra perda de dados
Para usar qualquer um desses conjuntos de regras, colete dados de registro que capturem atividades de processo e arquivo,
como os registrados pelo CrowdStrike Falcon (CS_EDR
), Carbon Black (CB_EDR
)
ou SentinelOne EDR (SENTINEL_EDR
).
Os conjuntos de regras dessa categoria dependem de eventos com os seguintes valores de metadata.event_type
: PROCESS_LAUNCH
, PROCESS_OPEN
e PROCESS_MODULE_LOAD
.
Ajustar os alertas retornados pela regra define essa categoria
É possível reduzir o número de detecções geradas por uma regra ou um conjunto de regras usando regras de exclusão.
Uma exclusão de regra define os critérios usados para impedir que um evento seja avaliado pelo conjunto de regras ou por regras específicas. Crie uma ou mais regras de exclusão para reduzir o volume de detecções. Consulte Configurar exclusões de regras. para saber como fazer isso.