Descripción general del análisis de riesgos para la categoría UEBA
En este documento, se proporciona una descripción general de los conjuntos de reglas en la categoría Estadísticas de riesgos para UEBA, los datos obligatorios y la configuración que puedes usar para ajustar las alertas que genera cada conjunto de reglas. Estos conjuntos de reglas ayudan a identificar amenazas en los entornos de Google Cloud mediante los datos de Google Cloud.
Descripciones del conjunto de reglas
Los siguientes conjuntos de reglas están disponibles en la categoría Estadísticas de riesgos para UEBA y se agrupan por tipo de patrones detectados:
Autenticación
- Nuevo acceso del usuario al dispositivo: Un usuario accedió a un nuevo dispositivo.
- Eventos de autenticación anómalos por usuario: Una entidad de usuario única tuvo eventos de autenticación anómalos recientemente, en comparación con el uso histórico.
- Autenticación fallidas por dispositivo: recientemente, una entidad de un solo dispositivo tuvo muchos intentos de acceso fallidos, en comparación con el uso histórico.
- Autenticación fallidas por usuario: una entidad de usuario única tuvo muchos intentos de acceso fallidos recientemente, en comparación con el uso histórico.
Análisis del tráfico de la red
- Bytes entrantes anómalos por dispositivo: Es una cantidad significativa de datos subidos recientemente a una entidad de dispositivo único, en comparación con el uso histórico.
- Bytes salientes anómalos por dispositivo: Cantidad significativa de datos descargados recientemente desde una sola entidad de dispositivo, en comparación con el uso histórico.
- Bytes totales anómalos por dispositivo: Una entidad de dispositivo subió y descargó una cantidad significativa de datos recientemente, en comparación con el uso histórico.
- Bytes entrantes anómalos por usuario: Una sola entidad de usuario descargó recientemente una cantidad significativa de datos, en comparación con el uso histórico.
- Bytes totales anómalos por usuario: Una entidad de usuario subió y descargó una cantidad significativa de datos recientemente, en comparación con el uso histórico.
- Fuerza bruta y luego acceso correcto del usuario: Una entidad de usuario único de una dirección IP tuvo varios intentos de autenticación fallidos en una aplicación determinada antes de acceder correctamente.
Detecciones basadas en grupos de apps similares
Acceso desde un país nunca antes visto para un grupo de usuarios: Es la primera autenticación exitosa de un país para un grupo de usuarios. Usa el nombre visible del grupo, el departamento de usuarios y la información del administrador de usuarios a partir de los datos de AD Context.
Acceder a una aplicación nunca antes vista para un grupo de usuarios: Es la primera autenticación exitosa a una aplicación para un grupo de usuarios. Usa la información del título del usuario, el administrador de usuarios y el nombre visible del grupo a partir de los datos de AD Context.
Accesos anómalos o excesivos para un usuario recién creado: Actividad de autenticación anómala o excesiva para un usuario creado recientemente. Usa la hora de creación a partir de los datos de contexto de AD.
Acciones anómalas o excesivas sospechosas para un usuario recién creado: Actividades anómalas o excesivas (incluidas, sin limitaciones, la telemetría de HTTP, la ejecución de procesos y las modificaciones de grupo) de un usuario creado recientemente Usa la hora de creación a partir de los datos de contexto de AD.
Acciones sospechosas
- Creación excesiva de cuentas por dispositivo: Una entidad de dispositivo creó varias cuentas de usuario nuevas.
- Alertas excesivas por usuario: Se informó una gran cantidad de alertas de seguridad provenientes de un dispositivo antivirus o de extremo (por ejemplo, se bloqueó la conexión o se detectó software malicioso) sobre una entidad del usuario, lo cual era mucho mayor que los patrones históricos.
Estos son eventos en los que el campo
security_result.actionde UDM se establece enBLOCK.
Detecciones basadas en la prevención de pérdida de datos
- Procesos anómalos o excesivos con funciones de robo de datos: Actividad anómala o excesiva para procesos asociados con capacidades de robo de datos, como capturadores de teclas digitadas, capturas de pantalla y acceso remoto. Esto usa el enriquecimiento de metadatos de archivos de VirusTotal.
Datos obligatorios que necesita el análisis de riesgos para la categoría UEBA
En la siguiente sección, se describen los datos que necesitan los conjuntos de reglas de cada categoría para obtener el mayor beneficio. Para obtener una lista de todos los analizadores predeterminados admitidos, consulta Tipos de registros y analizadores predeterminados compatibles.
Autenticación
Para usar cualquiera de estos conjuntos de reglas, recopila datos de registro de la auditoría del directorio de Azure AD (AZURE_AD_AUDIT) o del evento de Windows (WINEVTLOG).
Análisis del tráfico de la red
Para usar cualquiera de estos conjuntos de reglas, recopila datos de registro que capturen la actividad de red.
Por ejemplo, desde dispositivos como FortiGate (FORTINET_FIREWALL), Check Point (CHECKPOINT_FIREWALL), Zscaler (ZSCALER_WEBPROXY), CrowdStrike Falcon (CS_EDR) o Carbon Black (CB_EDR).
Detecciones basadas en grupos de apps similares
Para usar cualquiera de estos conjuntos de reglas, recopila datos de registro de la auditoría del directorio de Azure AD (AZURE_AD_AUDIT) o del evento de Windows (WINEVTLOG).
Acciones sospechosas
Los conjuntos de reglas de este grupo usan un tipo de datos diferente.
Conjunto de reglas de creación excesiva de cuentas por dispositivo
Para usar este conjunto de reglas, recopila datos de registro de la auditoría del directorio de Azure AD (AZURE_AD_AUDIT) o del evento de Windows (WINEVTLOG).
Alertas excesivas por conjunto de reglas del usuario
Para usar este conjunto de reglas, recopila datos de registro que capturen las actividades del extremo o los datos de auditoría, como los que registraron CrowdStrike Falcon (CS_EDR), Carbon Black (CB_EDR) o Azure AD Directory Audit (AZURE_AD_AUDIT).
Detecciones basadas en la prevención de pérdida de datos
Para usar cualquiera de estos conjuntos de reglas, recopila datos de registro que capturen las actividades de los procesos y archivos, como las que registraron CrowdStrike Falcon (CS_EDR), Carbon Black (CB_EDR) o SentinelOne EDR (SENTINEL_EDR).
Los conjuntos de reglas de esta categoría dependen de eventos con los siguientes valores de metadata.event_type: PROCESS_LAUNCH, PROCESS_OPEN y PROCESS_MODULE_LOAD.
Las alertas de ajuste que muestran las reglas establecen esta categoría
Puedes reducir la cantidad de detecciones que genera una regla o un conjunto de reglas mediante las exclusiones de reglas.
Una exclusión de reglas define los criterios que se usan para excluir un evento de modo que el conjunto de reglas o reglas específicas del conjunto de reglas no lo evalúen. Crea una o más exclusiones de reglas para ayudar a reducir el volumen de detecciones. Consulta Configura exclusiones de reglas para obtener información sobre cómo hacerlo.