Ringkasan Analisis Risiko untuk kategori UEBA
Dokumen ini memberikan ringkasan kumpulan aturan dalam kategori Analisis Risiko untuk UEBA, data yang diperlukan, dan konfigurasi yang dapat Anda gunakan untuk menyesuaikan pemberitahuan yang dihasilkan oleh setiap kumpulan aturan. Kumpulan aturan ini membantu mengidentifikasi ancaman di lingkungan Google Cloud menggunakan data Google Cloud.
Deskripsi kumpulan aturan
Kumpulan aturan berikut tersedia di kategori Analisis Risiko untuk UEBA dan dikelompokkan menurut jenis pola yang terdeteksi:
Autentikasi
- Login Baru oleh Pengguna ke Perangkat: pengguna login ke perangkat baru.
- Peristiwa Autentikasi Anomal menurut Pengguna: satu entitas pengguna memiliki peristiwa autentikasi anomal baru-baru ini, dibandingkan dengan penggunaan historis.
- Autentikasi Gagal menurut Perangkat: satu entitas perangkat memiliki banyak upaya login yang gagal baru-baru ini, dibandingkan dengan penggunaan historis.
- Autentikasi Gagal oleh Pengguna: satu entitas pengguna memiliki banyak upaya login yang gagal baru-baru ini, dibandingkan dengan penggunaan historis.
Analisis traffic jaringan
- Anomalous Inbound Bytes by Device: jumlah data yang signifikan baru-baru ini diupload ke satu entitas perangkat, dibandingkan dengan penggunaan historis.
- Byte Keluar yang Anomal menurut Perangkat: jumlah data yang signifikan baru-baru ini didownload dari satu entitas perangkat, dibandingkan dengan penggunaan historis.
- Total Byte Anomali menurut Perangkat: entitas perangkat baru-baru ini mengupload dan mendownload data dalam jumlah yang signifikan, dibandingkan dengan penggunaan historis.
- Byte Masuk Anomali menurut Pengguna: satu entitas pengguna baru-baru ini mendownload data dalam jumlah yang signifikan, dibandingkan dengan penggunaan historis.
- Total Byte Anomali menurut Pengguna: entitas pengguna baru-baru ini mengupload dan mendownload data dalam jumlah yang signifikan, dibandingkan dengan penggunaan historis.
- Brute Force lalu Login Berhasil oleh Pengguna: satu entitas pengguna dari satu alamat IP mengalami beberapa upaya autentikasi yang gagal ke aplikasi tertentu sebelum berhasil login.
Deteksi berbasis grup pembanding
Login dari Negara yang Belum Pernah Dilihat untuk Grup Pengguna: autentikasi pertama yang berhasil dari negara untuk grup pengguna. Hal ini menggunakan nama tampilan grup, departemen pengguna, dan informasi pengelola pengguna dari data Konteks AD.
Login ke Aplikasi yang Belum Pernah Dilihat untuk Grup Pengguna: autentikasi pertama yang berhasil ke aplikasi untuk grup pengguna. Hal ini menggunakan informasi judul pengguna, pengelola pengguna, dan nama tampilan grup dari data Konteks AD.
Login Anomali atau Berlebihan untuk Pengguna yang Baru Dibuat: aktivitas autentikasi yang anomali atau berlebihan untuk pengguna yang baru dibuat. Ini menggunakan waktu pembuatan dari data Konteks AD.
Tindakan Mencurigakan yang Anomali atau Berlebihan untuk Pengguna yang Baru Dibuat: aktivitas yang anomali atau berlebihan (termasuk, tetapi tidak terbatas pada, telemetri HTTP, eksekusi proses, dan perubahan grup) untuk pengguna yang baru saja dibuat. Ini menggunakan waktu pembuatan dari data Konteks AD.
Tindakan yang mencurigakan
- Pembuatan Akun Berlebihan oleh Perangkat: entitas perangkat membuat beberapa akun pengguna baru.
- Notifikasi Berlebihan oleh Pengguna: sejumlah besar notifikasi keamanan dari antivirus
atau perangkat endpoint (misalnya, koneksi diblokir, malware terdeteksi)
dilaporkan tentang entitas pengguna, yang jauh lebih besar daripada pola historis.
Ini adalah peristiwa dengan kolom UDM
security_result.actionditetapkan keBLOCK.
Deteksi berbasis pencegahan kebocoran data
- Proses Anomal atau Berlebihan dengan Kemampuan Pemindahan Data: aktivitas abnormal atau berlebihan untuk proses yang terkait dengan kemampuan pemindahan data seperti keylogger, screenshot, dan akses jarak jauh. Hal ini menggunakan pengayaan metadata file dari VirusTotal.
Data yang diperlukan oleh Analisis Risiko untuk kategori UEBA
Bagian berikut menjelaskan data yang diperlukan oleh kumpulan aturan di setiap kategori untuk mendapatkan manfaat terbesar. Untuk mengetahui daftar semua parser default yang didukung, lihat Jenis log dan parser default yang didukung.
Autentikasi
Untuk menggunakan kumpulan aturan ini, kumpulkan data log dari
Audit Direktori Azure AD (AZURE_AD_AUDIT) atau Peristiwa Windows (WINEVTLOG).
Analisis traffic jaringan
Untuk menggunakan kumpulan aturan ini, kumpulkan data log yang merekam aktivitas jaringan.
Misalnya, dari perangkat seperti FortiGate (FORTINET_FIREWALL),
Check Point (CHECKPOINT_FIREWALL), Zscaler (ZSCALER_WEBPROXY), CrowdStrike Falcon (CS_EDR),
atau Carbon Black (CB_EDR).
Deteksi berbasis grup pembanding
Untuk menggunakan kumpulan aturan ini, kumpulkan data log dari
Audit Direktori Azure AD (AZURE_AD_AUDIT) atau Peristiwa Windows (WINEVTLOG).
Tindakan yang mencurigakan
Setiap kumpulan aturan dalam grup ini menggunakan jenis data yang berbeda.
Pembuatan Akun yang Berlebihan berdasarkan kumpulan aturan Perangkat
Untuk menggunakan kumpulan aturan ini, kumpulkan data log dari
Azure AD Directory Audit (AZURE_AD_AUDIT) atau Windows Event (WINEVTLOG).
Set aturan Pemberitahuan Berlebihan menurut Pengguna
Untuk menggunakan kumpulan aturan ini, kumpulkan data log yang merekam aktivitas endpoint atau data audit, seperti yang dicatat oleh CrowdStrike Falcon (CS_EDR), Carbon Black (CB_EDR), atau Azure AD Directory Audit (AZURE_AD_AUDIT).
Deteksi berbasis pencegahan kebocoran data
Untuk menggunakan kumpulan aturan ini, kumpulkan data log yang merekam aktivitas file dan proses,
seperti yang dicatat oleh CrowdStrike Falcon (CS_EDR), Carbon Black (CB_EDR),
atau SentinelOne EDR (SENTINEL_EDR).
Kumpulan aturan dalam kategori ini bergantung pada peristiwa dengan nilai metadata.event_type
berikut: PROCESS_LAUNCH, PROCESS_OPEN, PROCESS_MODULE_LOAD.
Notifikasi penyesuaian yang ditampilkan oleh aturan menetapkan kategori ini
Anda dapat mengurangi jumlah deteksi yang dihasilkan aturan atau kumpulan aturan menggunakan pengecualian aturan.
Pengecualian aturan menentukan kriteria yang digunakan untuk mengecualikan peristiwa agar tidak dievaluasi oleh kumpulan aturan, atau oleh aturan tertentu dalam kumpulan aturan. Buat satu atau beberapa pengecualian aturan untuk membantu mengurangi volume deteksi. Lihat Mengonfigurasi pengecualian aturan untuk mengetahui informasi tentang cara melakukannya.