Descripción general de la categoría de Análisis de riesgos para la UEBA

Se admite en los siguientes países:

En este documento, se proporciona una descripción general de los conjuntos de reglas de la categoría Análisis de riesgos para la UEBA, los datos necesarios y la configuración que puedes usar para ajustar las alertas que genera cada conjunto de reglas. Estos conjuntos de reglas ayudan a identificar amenazas en los entornos de Google Cloud con datos de Google Cloud.

Descripciones de los conjuntos de reglas

Los siguientes conjuntos de reglas están disponibles en la categoría de análisis de riesgos para la UEBA y se agrupan según el tipo de patrones detectados:

Autenticación

  • Nuevo acceso de un usuario a un dispositivo: Un usuario accedió a un dispositivo nuevo.
  • Eventos de autenticación anómala por usuario: Una sola entidad de usuario tuvo eventos de autenticación anómalas recientemente, en comparación con el uso histórico.
  • Autenticaciones fallidas por dispositivo: Una entidad de un solo dispositivo tuvo muchos intentos de acceso fallidos recientemente, en comparación con el uso histórico.
  • Autenticaciones fallidas por usuario: Una sola entidad de usuario tuvo muchos intentos de acceso fallidos recientemente, en comparación con el uso histórico.

Análisis del tráfico de red

  • Bytes entrantes anómalos por dispositivo: Cantidad significativa de datos subidos recientemente a una sola entidad de dispositivo en comparación con el uso histórico.
  • Bytes salientes anómalos por dispositivo: Cantidad significativa de datos descargados recientemente desde una sola entidad de dispositivo, en comparación con el uso histórico.
  • Total de bytes anómalos por dispositivo: Una entidad de dispositivo subió y descargó recientemente una cantidad significativa de datos, en comparación con el uso histórico.
  • Bytes entrantes anómalos por usuario: Una sola entidad de usuario descargó recientemente una cantidad significativa de datos en comparación con el uso histórico.
  • Bytes totales anómalos por usuario: Una entidad de usuario subió y descargó una cantidad significativa de datos recientemente, en comparación con el uso histórico.
  • Ataque de fuerza bruta y, luego, acceso exitoso del usuario: Una sola entidad de usuario de una dirección IP tuvo varios intentos de autenticación fallidos en una aplicación determinada antes de acceder correctamente.

Detecciones basadas en grupos de apps similares

  • Acceso desde un país que nunca antes se había visto para un grupo de usuarios: La primera autenticación correcta desde un país para un grupo de usuarios. Para ello, se usa el nombre visible del grupo, el departamento del usuario y la información del administrador del usuario de los datos de contexto de AD.

  • Acceso a una aplicación que nunca se vio para un grupo de usuarios: La primera autenticación correcta a una aplicación para un grupo de usuarios. Para ello, se usa la información del título del usuario, el administrador de usuarios y el nombre visible del grupo de los datos de contexto de AD.

  • Accesos anómalos o excesivos de un usuario creado recientemente: Actividad de autenticación anómala o excesiva de un usuario creado recientemente. Para ello, se usa el tiempo de creación de los datos del contexto de anuncios.

  • Acciones sospechosas anómalas o excesivas para un usuario creado recientemente: Actividad anómala o excesiva (incluida, sin limitaciones, la telemetría HTTP, la ejecución de procesos y la modificación de grupos) para un usuario creado recientemente. Para ello, se usa la hora de creación de los datos de contexto de AD.

Acciones sospechosas

  • Creación excesiva de cuentas por dispositivo: Una entidad de dispositivo creó varias cuentas de usuario nuevas.
  • Alertas excesivas por usuario: Se informó una gran cantidad de alertas de seguridad de un antivirus o un dispositivo de extremo (por ejemplo, se bloqueó la conexión, se detectó software malicioso) sobre una entidad de usuario, que fue mucho mayor que los patrones históricos. Estos son eventos en los que el campo de la UDM security_result.action se establece en BLOCK.

Detecciones basadas en la prevención de pérdida de datos

  • Procesos anómalos o excesivos con capacidades de robo de datos: Actividad anómala o excesiva para procesos asociados con capacidades de robo de datos, como keyloggers, capturas de pantalla y acceso remoto. Para ello, se usa el enriquecimiento de metadatos de archivos de VirusTotal.

Datos obligatorios que necesita el análisis de riesgos para la categoría de UEBA

En la siguiente sección, se describen los datos que necesitan los conjuntos de reglas de cada categoría para obtener el mayor beneficio. Para obtener una lista de todos los analizadores predeterminados compatibles, consulta Tipos de registros y analizadores predeterminados compatibles.

Autenticación

Para usar cualquiera de estos conjuntos de reglas, recopila datos de registro de la auditoría de directorio de Azure AD (AZURE_AD_AUDIT) o del evento de Windows (WINEVTLOG).

Análisis del tráfico de red

Para usar cualquiera de estos conjuntos de reglas, recopila datos de registro que capturen la actividad de la red. Por ejemplo, desde dispositivos como FortiGate (FORTINET_FIREWALL), Check Point (CHECKPOINT_FIREWALL), Zscaler (ZSCALER_WEBPROXY), CrowdStrike Falcon (CS_EDR) o Carbon Black (CB_EDR).

Detecciones basadas en grupos de apps similares

Para usar cualquiera de estos conjuntos de reglas, recopila datos de registro de la auditoría de directorio de Azure AD (AZURE_AD_AUDIT) o del evento de Windows (WINEVTLOG).

Acciones sospechosas

Cada uno de los conjuntos de reglas de este grupo usa un tipo de datos diferente.

Conjunto de reglas de creación excesiva de cuentas por dispositivo

Para usar este conjunto de reglas, recopila datos de registro de la auditoría de directorio de Azure AD (AZURE_AD_AUDIT) o del evento de Windows (WINEVTLOG).

Conjunto de reglas Alertas excesivas por usuario

Para usar este conjunto de reglas, recopila datos de registro que capturen actividades de extremos o datos de auditoría, como los que registra CrowdStrike Falcon (CS_EDR), Carbon Black (CB_EDR) o la auditoría de directorios de Azure AD (AZURE_AD_AUDIT).

Detecciones basadas en la prevención de pérdida de datos

Para usar cualquiera de estos conjuntos de reglas, recopila datos de registro que capturen actividades de procesos y archivos, como los que registra CrowdStrike Falcon (CS_EDR), Carbon Black (CB_EDR) o SentinelOne EDR (SENTINEL_EDR).

Los conjuntos de reglas de esta categoría dependen de eventos con los siguientes valores de metadata.event_type: PROCESS_LAUNCH, PROCESS_OPEN y PROCESS_MODULE_LOAD.

Las alertas de ajuste que devuelve la regla establecen esta categoría.

Puedes reducir la cantidad de detecciones que genera una regla o un conjunto de reglas con las exclusiones de reglas.

Una exclusión de reglas define los criterios que se usan para excluir un evento de la evaluación del conjunto de reglas o de reglas específicas del conjunto. Crea una o más exclusiones de reglas para ayudar a reducir el volumen de detecciones. Consulta Configura exclusiones de reglas para obtener información sobre cómo hacerlo.

¿Qué sigue?