Descripción general del análisis de riesgos para la categoría UEBA

En este documento, se proporciona una descripción general de los conjuntos de reglas de la categoría Estadísticas de riesgos para UEBA, los datos necesarios y la configuración que puedes usar para ajustar las alertas que genera cada conjunto de reglas. Estos conjuntos de reglas ayudan a identificar amenazas en los entornos de Google Cloud con datos.

Descripciones de conjuntos de reglas

Los siguientes conjuntos de reglas están disponibles en la categoría Análisis de riesgos para UEBA y se agrupan por el tipo de patrones detectados:

Autenticación

  • Nuevo acceso del usuario al dispositivo: un usuario accedió a un dispositivo nuevo.
  • Eventos de autenticación anómalos por usuario: Una sola entidad de usuario tuvo eventos de autenticación anómalos recientemente, en comparación con el uso histórico.
  • Autenticación con errores por dispositivo: Una entidad de dispositivo único tuvo muchos intentos de acceso fallidos recientemente, en comparación con el uso histórico.
  • Autenticación con errores por usuario: una sola entidad de usuario tuvo muchos intentos de acceso fallidos recientemente, en comparación con el uso histórico.

Análisis del tráfico de la red

  • Bytes de entrada anómalos por dispositivo: Cantidad significativa de datos subidos recientemente a una entidad de dispositivo único, en comparación con el uso histórico.
  • Bytes salientes anómalos por dispositivo: Una cantidad significativa de datos que se descargaron recientemente de una entidad de dispositivo, en comparación con el uso histórico.
  • Total de bytes anómalos por dispositivo: una entidad de dispositivo subió y descargó una cantidad significativa de datos recientemente, en comparación con el uso histórico.
  • Bytes de entrada anómalos por usuario: una sola entidad de usuario descargó recientemente una cantidad significativa de datos, en comparación con el uso histórico.
  • Total de bytes anómalos por usuario: una entidad de usuario subió y descargó una cantidad significativa de datos recientemente, en comparación con el uso histórico.
  • Fuerza bruta y acceso exitoso por parte del usuario: una sola entidad de usuario de una dirección IP tuvo varios intentos de autenticación fallidos en una aplicación determinada antes de acceder con éxito.

Detecciones basadas en grupos de apps similares

  • Acceder desde un país nunca antes visto para un grupo de usuarios: La primera autenticación exitosa de un país para un grupo de usuarios. Usa el nombre visible del grupo, el departamento de usuarios y la información del administrador de usuarios de los datos de AD Context.

  • Acceder a una aplicación nunca antes vista para un grupo de usuarios: la primera autenticación exitosa de una aplicación para un grupo de usuarios. Usa la información de título del usuario, administrador de usuarios y nombre visible de grupo de los datos de AD Context.

  • Accesos anómalos o excesivos para un usuario recién creado: actividad de autenticación anómala o excesiva para un usuario creado recientemente. Usa el tiempo de creación de los datos de AD Context.

  • Acciones sospechosas como anómalas o excesivas para un usuario recién creado: Actividad anómala o excesiva (incluidas, sin limitaciones, telemetría HTTP, ejecución de procesos y modificación de grupo) de un usuario creado recientemente. Usa el tiempo de creación de los datos del contexto de AD.

Acciones sospechosas

  • Creación excesiva de cuentas por dispositivo: Una entidad de dispositivo creó varias cuentas de usuario nuevas.
  • Alertas excesivas por parte del usuario: Se informaron una gran cantidad de alertas de seguridad de un antivirus o un dispositivo de extremo (por ejemplo, se bloqueó la conexión o se detectó software malicioso) sobre una entidad de usuario, lo que es mucho mayor que los patrones históricos. Estos son eventos en los que el campo UDM security_result.action se establece en BLOCK.

Detecciones basadas en la Prevención de pérdida de datos

  • Procesos anómalos o excesivos con capacidades de robo de datos: Actividad anómala o excesiva para los procesos asociados con capacidades de robo de datos, como capturadores de teclado, capturas de pantalla y acceso remoto. Usa el enriquecimiento de metadatos de archivos de VirusTotal.

Datos obligatorios que requiere el análisis de riesgos para la categoría UEBA

En la siguiente sección, se describen los datos que necesitan los conjuntos de reglas de cada categoría para obtener el mayor beneficio. Para obtener una lista de todos los analizadores predeterminados admitidos, consulta Tipos de registros compatibles y analizadores predeterminados.

Autenticación

Para usar cualquiera de estos conjuntos de reglas, recopila datos de registro de la auditoría del directorio de Azure AD (AZURE_AD_AUDIT) o del evento de Windows (WINEVTLOG).

Análisis del tráfico de la red

Para usar cualquiera de estos conjuntos de reglas, recopila datos de registro que capturen la actividad de red. Por ejemplo, desde dispositivos como FortiGate (FORTINET_FIREWALL), Check Point (CHECKPOINT_FIREWALL), Zscaler (ZSCALER_WEBPROXY), CrowdStrike Falcon (CS_EDR) o Carbon Black (CB_EDR).

Detecciones basadas en grupos de apps similares

Para usar cualquiera de estos conjuntos de reglas, recopila datos de registro de la auditoría del directorio de Azure AD (AZURE_AD_AUDIT) o del evento de Windows (WINEVTLOG).

Acciones sospechosas

Cada conjunto de reglas de este grupo usa un tipo de datos diferente.

Se estableció la regla de creación excesiva de cuentas por dispositivo

Para usar este conjunto de reglas, recopila datos de registro de la auditoría del directorio de Azure AD (AZURE_AD_AUDIT) o del evento de Windows (WINEVTLOG).

Alertas excesivas por conjunto de reglas del usuario

Para usar este conjunto de reglas, recopila datos de registro que capturen actividades de extremos o datos de auditoría, como los que registran CrowdStrike Falcon (CS_EDR), Carbon Black (CB_EDR) o Azure AD Directory Audit (AZURE_AD_AUDIT).

Detecciones basadas en la Prevención de pérdida de datos

Para usar cualquiera de estos conjuntos de reglas, recopila datos de registro que capturen actividades de procesos y archivos, como los que registran CrowdStrike Falcon (CS_EDR), Carbon Black (CB_EDR) o SentinelOne EDR (SENTINEL_EDR).

Los conjuntos de reglas de esta categoría dependen de eventos con los siguientes valores de metadata.event_type: PROCESS_LAUNCH, PROCESS_OPEN, PROCESS_MODULE_LOAD.

El ajuste de las alertas que devuelven las reglas establece esta categoría.

Puedes reducir la cantidad de detecciones que genera una regla o un conjunto de reglas mediante las exclusiones de reglas.

Una exclusión de reglas define los criterios que se usan para excluir un evento, de modo que no sea evaluado por el conjunto de reglas o por reglas específicas del conjunto de reglas. Crea una o más exclusiones de reglas para reducir el volumen de detecciones. Consulta Configura exclusiones de reglas para obtener más información sobre cómo hacerlo.

¿Qué sigue?