Übersicht über die Risikoanalyse für die UEBA-Kategorie

Unterstützt in:

Dieses Dokument bietet einen Überblick über die Regelsätze in der Kategorie Risikoanalyse für UEBA, der erforderliche Daten und die Konfiguration, mit der Sie die generierten Benachrichtigungen optimieren können nach jedem Regelsatz. Diese Regelsätze helfen bei der Identifizierung von Bedrohungen in Google Cloud mit Google Cloud-Daten.

Regelsatzbeschreibungen

Die folgenden Regelsätze stehen in der Kategorie Risikoanalyse für UEBA zur Verfügung und werden gruppiert nach dem Typ der erkannten Muster:

Authentifizierung

  • Neue Anmeldung eines Nutzers auf einem Gerät: Ein Nutzer hat sich auf einem neuen Gerät angemeldet.
  • Anomalie bei Authentifizierungsereignissen nach Nutzer: Für eine einzelne Nutzerinstanz wurden in letzter Zeit im Vergleich zur bisherigen Nutzung anormale Authentifizierungsereignisse erfasst.
  • Fehlgeschlagene Authentifizierungen nach Gerät: Eine einzelne Geräteentität hatte viele fehlgeschlagene Anmeldeversuche im Vergleich zur bisherigen Nutzung.
  • Fehlgeschlagene Authentifizierungen durch Nutzer: Bei einer einzelnen Nutzerentität sind viele fehlgeschlagen. der letzten Anmeldeversuche im Vergleich zur bisherigen Nutzung.

Netzwerkverkehrsanalyse

  • Anormale eingehende Bytes nach Gerät: Im Vergleich zur bisherigen Nutzung wurde vor Kurzem eine erhebliche Menge an Daten auf eine einzelne Geräteentität hochgeladen.
  • Ungewöhnliche ausgehende Bytes nach Gerät: erhebliche Datenmengen in letzter Zeit von einem einzelnen Geräteobjekt im Vergleich zur bisherigen Nutzung heruntergeladen wurden.
  • Außergewöhnliche Gesamtzahl der Byte nach Gerät: Eine Geräteentität hat im Vergleich zur bisherigen Nutzung vor Kurzem eine erhebliche Menge an Daten hoch- und heruntergeladen.
  • Anormale eingehende Bytes nach Nutzer: Eine einzelne Nutzerentität hat im Vergleich zur bisherigen Nutzung vor Kurzem eine erhebliche Menge an Daten heruntergeladen.
  • Anomaler Gesamtwert der Bytes pro Nutzer: Eine Nutzerentität hat im Vergleich zur bisherigen Nutzung in letzter Zeit eine erhebliche Menge an Daten hoch- und heruntergeladen.
  • Brute-Force-Angriff und anschließende erfolgreiche Anmeldung durch Nutzer: Eine einzelne Nutzerentität von einer IP-Adresse hat mehrere fehlgeschlagene Authentifizierungsversuche bei einer bestimmten Anwendung unternommen, bevor sie sich erfolgreich angemeldet hat.

Erkennungen auf Basis von Peer-Gruppen

  • Anmeldung aus einem noch nie zuvor gesehenen Land für eine Nutzergruppe: die erste erfolgreiche Anmeldung Authentifizierung aus einem Land für eine Nutzergruppe. Hier werden Gruppenanzeigename, Informationen zu User-Abteilung und User-Manager aus AD-Kontextdaten.

  • Anmeldung in einer Nutzergruppe, die noch nie in Anwendung war: die erste erfolgreiche Anmeldung Authentifizierung bei einer Anwendung für eine Nutzergruppe. Dazu werden Informationen zum Nutzertitel, zum Nutzermanager und zum Gruppen-Anzeigenamen aus AD-Kontextdaten verwendet.

  • Ungewöhnliche oder übermäßige Anmeldungen eines neu erstellten Nutzers: ungewöhnliche oder übermäßige Anmeldungen Authentifizierungsaktivität eines kürzlich erstellten Nutzers. Hier wird die Erstellungszeit vom AD-Kontextdaten.

  • Anomaler oder übermäßiger verdächtiger Traffic für einen neu erstellten Nutzer: Anomaler oder übermäßiger Traffic (einschließlich, aber nicht beschränkt auf HTTP-Telemetrie, Prozessausführung und Gruppenänderung) für einen vor Kurzem erstellten Nutzer. Dabei wird die Erstellungszeit aus AD-Kontextdaten verwendet.

Verdächtige Aktionen

  • Übermäßige Kontoerstellung über ein Gerät: Eine Geräteentität hat mehrere neue Nutzerkonten erstellt.
  • Übermäßige Benachrichtigungen von Nutzern: Es wurden eine große Anzahl von Sicherheitswarnungen von einem Antivirenprogramm oder Endpunktgerät (z. B. Verbindung wurde blockiert, Malware wurde erkannt) für eine Nutzerentität gemeldet, die deutlich über den bisherigen Mustern lag. Das sind Ereignisse, bei denen das UDM-Feld security_result.action auf BLOCK festgelegt ist.

Erkennung von Datenverlust anhand des Schutzes

  • Ungewöhnliche oder übermäßige Prozesse mit Daten-Exfiltrationsfunktionen: Ungewöhnliche oder übermäßige Aktivitäten für Prozesse, die mit Daten-Exfiltrationsfunktionen wie Keyloggern, Screenshots und Remotezugriff verbunden sind. Dazu werden Dateimetadaten von VirusTotal verwendet.

Erforderliche Daten für die Risikoanalyse für die Kategorie „UEBA“

Im folgenden Abschnitt werden die Daten beschrieben, die von Regelsätzen in den einzelnen Kategorien benötigt werden. um den größtmöglichen Nutzen zu erzielen. Eine Liste aller unterstützten Standardparser finden Sie unter Unterstützte Logtypen und Standardparser.

Authentifizierung

Um einen dieser Regelsätze zu verwenden, erfassen Sie Protokolldaten von einer der folgenden Azure AD-Verzeichnisprüfung (AZURE_AD_AUDIT) oder Windows-Ereignis (WINEVTLOG).

Netzwerkverkehrsanalyse

Wenn Sie eine dieser Regelsätze verwenden möchten, müssen Sie Protokolldaten erfassen, die Netzwerkaktivitäten erfassen. Beispiele: von Geräten wie FortiGate (FORTINET_FIREWALL) Check Point (CHECKPOINT_FIREWALL), Zscaler (ZSCALER_WEBPROXY), CrowdStrike Falcon (CS_EDR), oder Carbon Black (CB_EDR).

Erkennungen auf Basis von Peer-Gruppen

Um einen dieser Regelsätze zu verwenden, erfassen Sie Protokolldaten von einer der folgenden Azure AD-Verzeichnisprüfung (AZURE_AD_AUDIT) oder Windows-Ereignis (WINEVTLOG).

Verdächtige Aktionen

Für die Regelsätze in dieser Gruppe wird jeweils ein anderer Datentyp verwendet.

Regelsatz „Übermäßige Kontoerstellung nach Gerät“

Wenn Sie diesen Regelsatz verwenden möchten, erfassen Sie Protokolldaten entweder aus Azure AD-Verzeichnisaudits (AZURE_AD_AUDIT) oder Windows-Ereignissen (WINEVTLOG).

Zu viele Benachrichtigungen pro Nutzer

Erfassen Sie zur Verwendung dieses Regelsatzes Protokolldaten, die Endpunktaktivitäten erfassen oder Auditdaten wie die von CrowdStrike Falcon aufgezeichneten Daten (CS_EDR), Carbon Black (CB_EDR) oder Azure AD Directory Audit (AZURE_AD_AUDIT).

Erkennung von Datenverlust anhand des Schutzes

Erfassen Sie zur Verwendung dieser Regelsätze Protokolldaten, die Prozess- und Dateiaktivitäten erfassen, wie das von CrowdStrike Falcon (CS_EDR), Carbon Black (CB_EDR), oder EDR bei SentinelOne (SENTINEL_EDR).

Regelsätze in dieser Kategorie hängen von Ereignissen mit den folgenden metadata.event_type-Werten ab: PROCESS_LAUNCH, PROCESS_OPEN, PROCESS_MODULE_LOAD.

Von Regelsätzen zurückgegebene Abstimmungsbenachrichtigungen für diese Kategorie

Sie können die Anzahl der Erkennungen, die durch eine Regel oder einen Regelsatz generiert werden, mithilfe Regelausschlüsse festzulegen.

Mit einem Regelausschluss werden die Kriterien definiert, mit denen ein Ereignis von der Auswertung durch den Regelsatz oder durch bestimmte Regeln im Regelsatz ausgeschlossen wird. Erstellen Sie eine oder mehrere Regelausschlüsse, um die Anzahl der erkannten Probleme zu reduzieren. Weitere Informationen finden Sie unter Regelausschlüsse konfigurieren. .

Nächste Schritte