Ringkasan Analisis Risiko untuk kategori UEBA

Dokumen ini memberikan ringkasan tentang kumpulan aturan dalam kategori Analisis Risiko untuk UEBA, data yang diperlukan, dan konfigurasi yang dapat Anda gunakan untuk menyesuaikan pemberitahuan yang dihasilkan oleh setiap kumpulan aturan. Kumpulan aturan ini membantu mengidentifikasi ancaman di lingkungan Google Cloud menggunakan data Google Cloud.

Deskripsi kumpulan aturan

Kumpulan aturan berikut tersedia di kategori Analisis Risiko untuk UEBA dan dikelompokkan berdasarkan jenis pola yang terdeteksi:

Authentication

  • Login Baru oleh Pengguna ke Perangkat: pengguna login ke perangkat baru.
  • Peristiwa Autentikasi Tidak Wajar oleh Pengguna: satu entity pengguna baru-baru ini mengalami peristiwa autentikasi yang tidak wajar, dibandingkan dengan penggunaan historis.
  • Autentikasi yang Gagal dari Perangkat: satu entity perangkat mengalami banyak upaya login yang gagal akhir-akhir ini, dibandingkan dengan penggunaan historis.
  • Autentikasi yang Gagal dari Pengguna: satu entitas pengguna mengalami banyak upaya login yang gagal akhir-akhir ini, dibandingkan dengan penggunaan historis.

Analisis traffic jaringan

  • Byte Masuk yang Tidak Wajar menurut Perangkat: jumlah data yang baru-baru ini diupload ke satu entitas perangkat, dibandingkan dengan penggunaan historis.
  • Byte Keluar Tidak Wajar menurut Perangkat: jumlah data yang signifikan baru saja didownload dari satu entity perangkat, dibandingkan dengan penggunaan historis.
  • Total Byte yang Tidak Wajar menurut Perangkat: entity perangkat baru-baru ini mengupload dan mendownload data dalam jumlah yang signifikan, dibandingkan dengan penggunaan historis.
  • Byte Masuk yang Tidak Wajar menurut Pengguna: satu entitas pengguna baru-baru ini mendownload data dalam jumlah yang signifikan, dibandingkan dengan penggunaan historis.
  • Total Byte yang Tidak Wajar berdasarkan Pengguna: entity pengguna baru-baru ini mengupload dan mendownload sejumlah besar data baru-baru ini, dibandingkan dengan penggunaan historis.
  • Brute Force kemudian Login Berhasil oleh Pengguna: satu entity pengguna dari satu alamat IP mengalami beberapa kali upaya autentikasi yang gagal ke aplikasi tertentu sebelum berhasil login.

Deteksi berbasis grup pembanding

  • Login dari Negara yang Belum Pernah Dilihat untuk Grup Pengguna: autentikasi pertama yang berhasil dari negara untuk grup pengguna. Nama tampilan grup, departemen pengguna, dan informasi pengelola pengguna dari data AD Context digunakan.

  • Login ke Aplikasi yang Belum Pernah Dilihat untuk Grup Pengguna: autentikasi pertama yang berhasil ke aplikasi untuk grup pengguna. Parameter ini menggunakan judul pengguna, pengelola pengguna, dan informasi nama tampilan grup dari data AD Context.

  • Login yang Tidak Wajar atau Berlebihan untuk Pengguna yang Baru Dibuat: aktivitas autentikasi yang tidak wajar atau berlebihan untuk pengguna yang baru dibuat. Cara ini menggunakan waktu pembuatan dari data AD Context.

  • Tindakan Mencurigakan yang Anomali atau Berlebihan untuk Pengguna yang Baru Dibuat: aktivitas anomali atau berlebihan (termasuk, tetapi tidak terbatas pada, telemetri HTTP, eksekusi proses, dan modifikasi grup) untuk pengguna yang baru saja dibuat. Proses ini menggunakan waktu pembuatan dari data AD Context.

Tindakan mencurigakan

  • Pembuatan Akun Berlebihan oleh Perangkat: entity perangkat membuat beberapa akun pengguna baru.
  • Notifikasi Berlebihan oleh Pengguna: sejumlah besar notifikasi keamanan dari perangkat antivirus atau endpoint (misalnya, koneksi diblokir, malware terdeteksi) dilaporkan tentang entity pengguna, yang jauh lebih besar daripada pola historis. Ini adalah peristiwa dengan kolom UDM security_result.action disetel ke BLOCK.

Deteksi berbasis pencegahan kebocoran data

  • Proses yang Tidak Wajar atau Berlebihan dengan Kemampuan Pemindahan Data yang Tidak Sah: aktivitas yang tidak wajar atau berlebihan untuk proses yang terkait dengan kemampuan pemindahan data yang tidak sah seperti keylogger, screenshot, dan akses jarak jauh. Tindakan ini menggunakan pengayaan metadata file dari VirusTotal.

Data yang diperlukan oleh Analisis Risiko untuk kategori UEBA

Bagian berikut menjelaskan data yang diperlukan oleh kumpulan aturan di setiap kategori untuk mendapatkan manfaat terbesar. Untuk daftar semua parser default yang didukung, lihat Jenis log dan parser default yang didukung.

Authentication

Untuk menggunakan salah satu kumpulan aturan ini, kumpulkan data log dari Azure AD Directory Audit (AZURE_AD_AUDIT) atau Windows Event (WINEVTLOG).

Analisis traffic jaringan

Untuk menggunakan salah satu set aturan ini, kumpulkan data log yang mencatat aktivitas jaringan. Misalnya, dari perangkat seperti FortiGate (FORTINET_FIREWALL), Check Point (CHECKPOINT_FIREWALL), Zscaler (ZSCALER_WEBPROXY), CrowdStrike Falcon (CS_EDR), atau Carbon Black (CB_EDR).

Deteksi berbasis grup pembanding

Untuk menggunakan salah satu kumpulan aturan ini, kumpulkan data log dari Azure AD Directory Audit (AZURE_AD_AUDIT) atau Windows Event (WINEVTLOG).

Tindakan mencurigakan

Kumpulan aturan dalam grup ini masing-masing menggunakan jenis data yang berbeda.

Pembuatan Akun Berlebihan berdasarkan kumpulan aturan Perangkat

Untuk menggunakan kumpulan aturan ini, kumpulkan data log dari Azure AD Directory Audit (AZURE_AD_AUDIT) atau Windows Event (WINEVTLOG).

Notifikasi Berlebihan berdasarkan Kumpulan aturan pengguna

Untuk menggunakan kumpulan aturan ini, kumpulkan data log yang merekam aktivitas endpoint atau data audit, seperti yang direkam oleh CrowdStrike Falcon (CS_EDR), Carbon Black (CB_EDR), atau Azure AD Directory Audit (AZURE_AD_AUDIT).

Deteksi berbasis pencegahan kebocoran data

Untuk menggunakan salah satu set aturan ini, kumpulkan data log yang mencatat aktivitas proses dan file, seperti yang direkam oleh CrowdStrike Falcon (CS_EDR), Carbon Black (CB_EDR), atau SentinelOne EDR (SENTINEL_EDR).

Kumpulan aturan dalam kategori ini bergantung pada peristiwa dengan nilai metadata.event_type berikut: PROCESS_LAUNCH, PROCESS_OPEN, PROCESS_MODULE_LOAD.

Menyesuaikan notifikasi yang ditampilkan oleh aturan akan menetapkan kategori ini

Anda dapat mengurangi jumlah deteksi yang dihasilkan oleh suatu aturan atau kumpulan aturan menggunakan pengecualian aturan.

Pengecualian aturan menentukan kriteria yang digunakan untuk mengecualikan peristiwa agar tidak dievaluasi oleh kumpulan aturan, atau oleh aturan tertentu dalam kumpulan aturan. Buat satu atau beberapa pengecualian aturan untuk membantu mengurangi volume deteksi. Lihat Mengonfigurasi pengecualian aturan untuk mengetahui informasi tentang cara melakukannya.

Langkah selanjutnya