Se usó la API de Cloud Translation para traducir esta página.

Descripción general de la categoría de Análisis de riesgos para la UEBA

Compatible con:

Google SecOps SIEM

En este documento, se proporciona una descripción general de los conjuntos de reglas de la categoría de análisis de riesgos para la UEBA, los datos necesarios y la configuración que puedes usar para ajustar las alertas que genera cada conjunto de reglas. Estos conjuntos de reglas ayudan a identificar amenazas en Google Cloud entornos con datos de Google Cloud .

Descripciones de los conjuntos de reglas

Los siguientes conjuntos de reglas están disponibles en la categoría de análisis de riesgos para la UEBA y se agrupan según el tipo de patrones detectados:

Autenticación

Acceso nuevo de un usuario a un dispositivo: Un usuario accedió a un dispositivo nuevo.
Eventos de autenticación anómala por usuario: Una sola entidad de usuario tuvo eventos de autenticación anómalas recientemente, en comparación con el uso histórico.
Autenticaciones fallidas por dispositivo: Una entidad de un solo dispositivo tuvo muchos intentos de acceso fallidos recientemente, en comparación con el uso histórico.
Autenticaciones fallidas por usuario: Una entidad de un solo usuario tuvo muchos intentos de acceso fallidos recientemente, en comparación con el uso histórico.

Análisis del tráfico de red

Bytes entrantes anómalos por dispositivo: Cantidad significativa de datos subidos recientemente a una sola entidad de dispositivo, en comparación con el uso histórico.
Bytes salientes anómalos por dispositivo: Cantidad significativa de datos descargados recientemente desde una sola entidad de dispositivo, en comparación con el uso histórico.
Total de bytes anómalos por dispositivo: Una entidad de dispositivo subió y descargó recientemente una cantidad significativa de datos, en comparación con el uso histórico.
Bytes entrantes anómalos por usuario: Una entidad de un solo usuario descargó recientemente una cantidad significativa de datos en comparación con el uso histórico.
Bytes totales anómalos por usuario: Una entidad de usuario subió y descargó una cantidad significativa de datos recientemente, en comparación con el uso histórico.
Ataque de fuerza bruta y, luego, acceso exitoso del usuario: Una entidad de un solo usuario de una dirección IP tuvo varios intentos de autenticación fallidos en una aplicación determinada antes de acceder correctamente.

Detecciones basadas en grupos de apps similares

Accesos anómalos o excesivos de un usuario creado recientemente: Actividad de autenticación anómala o excesiva de un usuario creado recientemente. Para ello, se usa el tiempo de creación de los datos del contexto de anuncios.
Acciones sospechosas anómalas o excesivas para un usuario creado recientemente: Actividad anómala o excesiva (incluida, sin limitaciones, la telemetría HTTP, la ejecución de procesos y la modificación de grupos) para un usuario creado recientemente. Para ello, se usa la hora de creación de los datos del contexto de AD.

Acciones sospechosas

Creación excesiva de cuentas por dispositivo: Una entidad de dispositivo creó varias cuentas de usuario nuevas.
Alertas excesivas por usuario: Se informó una gran cantidad de alertas de seguridad de un antivirus o un dispositivo de extremo (por ejemplo, se bloqueó la conexión, se detectó software malicioso) sobre una entidad de usuario, que fue mucho mayor que los patrones históricos. Estos son eventos en los que el campo de la UDM security_result.action se establece en BLOCK.

Detecciones basadas en la prevención de pérdida de datos

Procesos anómalos o excesivos con capacidades de robo de datos: Actividad anómala o excesiva para procesos asociados con capacidades de robo de datos, como keyloggers, capturas de pantalla y acceso remoto. Para ello, se usa el enriquecimiento de metadatos de archivos de VirusTotal.

Datos obligatorios que necesita el análisis de riesgos para la categoría de UEBA

En la siguiente sección, se describen los datos que necesitan los conjuntos de reglas de cada categoría para obtener el mayor beneficio. Para obtener una lista de todos los analizadores predeterminados compatibles, consulta Tipos de registros y analizadores predeterminados compatibles.

Autenticación

Para usar cualquiera de estos conjuntos de reglas, recopila datos de registro de la auditoría de directorio de Azure AD (AZURE_AD_AUDIT) o del evento de Windows (WINEVTLOG).

Análisis del tráfico de red

Para usar cualquiera de estos conjuntos de reglas, recopila datos de registro que capturen la actividad de la red. Por ejemplo, desde dispositivos como FortiGate (FORTINET_FIREWALL), Check Point (CHECKPOINT_FIREWALL), Zscaler (ZSCALER_WEBPROXY), CrowdStrike Falcon (CS_EDR) o Carbon Black (CB_EDR).

Detecciones basadas en grupos de apps similares

Para usar cualquiera de estos conjuntos de reglas, recopila datos de registro de la auditoría de directorio de Azure AD (AZURE_AD_AUDIT) o del evento de Windows (WINEVTLOG).

Acciones sospechosas

Cada uno de los conjuntos de reglas de este grupo usa un tipo de datos diferente.

Conjunto de reglas de creación excesiva de cuentas por dispositivo

Para usar este conjunto de reglas, recopila datos de registro de la auditoría de directorio de Azure AD (AZURE_AD_AUDIT) o del evento de Windows (WINEVTLOG).

Conjunto de reglas de alertas excesivas por usuario

Para usar este conjunto de reglas, recopila datos de registro que capturen actividades de extremos o datos de auditoría, como los que registra CrowdStrike Falcon (CS_EDR), Carbon Black (CB_EDR) o la auditoría de directorios de Azure AD (AZURE_AD_AUDIT).

Detecciones basadas en la prevención de pérdida de datos

Para usar cualquiera de estos conjuntos de reglas, recopila datos de registro que capturen actividades de procesos y archivos, como los que registra CrowdStrike Falcon (CS_EDR), Carbon Black (CB_EDR) o SentinelOne EDR (SENTINEL_EDR).

Los conjuntos de reglas de esta categoría dependen de eventos con los siguientes valores de metadata.event_type: PROCESS_LAUNCH, PROCESS_OPEN y PROCESS_MODULE_LOAD.

Las alertas de ajuste que devuelve la regla establecen esta categoría.

Puedes reducir la cantidad de detecciones que genera una regla o un conjunto de reglas con las exclusiones de reglas.

Una exclusión de reglas define los criterios que se usan para excluir un evento de la evaluación del conjunto de reglas o de reglas específicas del conjunto. Crea una o más exclusiones de reglas para ayudar a reducir el volumen de detecciones. Consulta Configura exclusiones de reglas para obtener información sobre cómo hacerlo.

Ejemplo de una regla para la categoría de análisis de riesgos de la AUA

En el siguiente ejemplo, se muestra cómo crear una regla para generar detecciones en cualquier nombre de host de entidad cuya puntuación de riesgo sea superior a 100:

rule EntityRiskScore {
  meta:
  events:
    $e1.principal.hostname != ""
    $e1.principal.hostname = $hostname

    $e2.graph.entity.hostname = $hostname
    $e2.graph.risk_score.risk_window_size.seconds = 86400 // 24 hours
    $e2.graph.risk_score.risk_score >= 100

    // Run deduplication across the risk score.
    $rscore = $e2.graph.risk_score.risk_score

  match:
    // Dedup on hostname and risk score across a 4 hour window.
    $hostname, $rscore over 4h

  outcome:
    // Force these risk score based rules to have a risk score of zero to
    // prevent self feedback loops.
    $risk_score = 0

  condition:
    $e1 and $e2
}

Esta regla de ejemplo también realiza una autoduplicación con la sección de coincidencia. Si es posible que se active una detección de reglas, pero el nombre de host y la puntuación de riesgo no cambian dentro de un período de 4 horas, no se crean detecciones nuevas.

Los únicos períodos de riesgo posibles para las reglas de puntuación de riesgo de la entidad son de 24 horas o 7 días (86,400 o 604,800 segundos, respectivamente). Si no incluyes el tamaño de la ventana de riesgo en la regla, esta mostrará resultados imprecisos.

Los datos de la puntuación de riesgo de la entidad se almacenan por separado de los datos de contexto de la entidad. Para usar ambos en una regla, esta debe tener dos eventos de entidad separados, uno para el contexto de la entidad y otro para la puntuación de riesgo de la entidad, como se muestra en el siguiente ejemplo:

rule EntityContextAndRiskScore {
  meta:
  events:
    $log_in.metadata.event_type = "USER_LOGIN"
    $log_in.principal.hostname = $host

    $context.graph.entity.hostname = $host
    $context.graph.metadata.entity_type = "ASSET"

    $risk_score.graph.entity.hostname = $host
    $risk_score.graph.risk_score.risk_window_size.seconds = 604800

  match:
    $host over 2m

  outcome:
    $entity_risk_score = max($risk_score.graph.risk_score.normalized_risk_score)

  condition:
    $log_in and $context and $risk_score and $entity_risk_score > 100
}

¿Qué sigue?

Investiga el riesgo con el panel de análisis de riesgos

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.