Panoramica di Risk Analytics per la categoria UEBA

Supportato in:

Questo documento fornisce una panoramica degli insiemi di regole nella categoria Risk Analytics per UEBA, i dati richiesti e la configurazione che puoi utilizzare per ottimizzare gli avvisi generati da ogni insieme di regole. Questi insiemi di regole consentono di identificare le minacce negli ambienti Google Cloud utilizzando i dati di Google Cloud.

Descrizioni dei set di regole

Nella categoria Analisi dei rischi per UEBA sono disponibili i seguenti insiemi di regole, raggruppati in base al tipo di pattern rilevato:

Autenticazione

  • Nuovo accesso da parte di un utente al dispositivo: un utente ha eseguito l'accesso a un nuovo dispositivo.
  • Eventi di autenticazione anomali per utente: di recente una singola entità utente ha registrato eventi di autenticazione anomali rispetto all'utilizzo storico.
  • Autenticazioni non riuscite per dispositivo: una singola entità dispositivo ha avuto molti tentativi di accesso non riusciti di recente, rispetto all'utilizzo storico.
  • Autenticazioni non riuscite da parte dell'utente: di recente una singola entità utente ha avuto molti tentativi di accesso non riusciti, rispetto all'utilizzo storico.

Analisi del traffico di rete

  • Byte in entrata anomali per dispositivo: quantità significativa di dati caricati di recente in un'entità di singolo dispositivo, rispetto all'utilizzo storico.
  • Byte in uscita anomali per dispositivo: quantità significativa di dati scaricati di recente da un'unica entità dispositivo, rispetto all'utilizzo storico.
  • Byte totali anomali per dispositivo: un'entità dispositivo ha caricato e scaricato di recente una quantità significativa di dati rispetto all'utilizzo storico.
  • Byte in entrata anomali per utente: una singola entità utente ha scaricato di recente una quantità significativa di dati rispetto all'utilizzo storico.
  • Byte totali anomali per utente: un'entità utente ha caricato e scaricato di recente una quantità significativa di dati, rispetto all'utilizzo storico.
  • Attacco di forza bruta seguito da accesso riuscito da parte dell'utente: una singola entità utente da un indirizzo IP ha effettuato diversi tentativi di autenticazione non riusciti per una determinata applicazione prima di accedere correttamente.

Rilevamento basato su gruppi di pari

  • Accesso da un paese mai visto prima per un gruppo di utenti: la prima autenticazione riuscita da un paese per un gruppo di utenti. Vengono utilizzati il nome visualizzato del gruppo, il reparto dell'utente e le informazioni sul gestore dell'utente dai dati del contesto AD.

  • Accesso a un'applicazione mai utilizzata prima per un gruppo di utenti: la prima autenticazione riuscita a un'applicazione per un gruppo di utenti. Vengono utilizzati il titolo dell'utente, il gestore dell'utente e le informazioni sul nome visualizzato del gruppo dai dati del contesto AD.

  • Accessi anomali o eccessivi per un utente appena creato: attività di autenticazione anomale o eccessive per un utente creato di recente. Viene utilizzata la data di creazione dei dati del contesto AD.

  • Azioni sospette anomale o eccessive per un utente appena creato: attività anomale o eccessive (incluse, a titolo esemplificativo, la telemetria HTTP, l'esecuzione dei processi e la modifica dei gruppi) per un utente creato di recente. Viene utilizzata l'ora di creazione dei dati del contesto dell'annuncio.

Azioni sospette

  • Creazione eccessiva di account per dispositivo: un'entità dispositivo ha creato diversi nuovi account utente.
  • Avvisi eccessivi da parte dell'utente: per un'entità utente è stato segnalato un numero elevato di avvisi di sicurezza da un antivirus o da un dispositivo endpoint (ad esempio Connessione bloccata, È stato rilevato malware), molto più elevato rispetto ai modelli storici. Si tratta di eventi in cui il campo UDM security_result.action è impostato su BLOCK.

Rilevamento basato sulla prevenzione della perdita di dati

  • Processi anomali o eccessivi con funzionalità di esfiltrazione di dati: attività anomale o eccessive per i processi associati a funzionalità di esfiltrazione di dati come keylogger, screenshot e accesso remoto. Viene utilizzato l'arricchimento dei metadati dei file da VirusTotal.

Dati richiesti da Risk Analytics per la categoria UEBA

La sezione seguente descrive i dati necessari per gli insiemi di regole in ogni categoria per ottenere il massimo vantaggio. Per un elenco di tutti gli analizzatori sintattici predefiniti supportati, consulta Tipi di log e analizzatori sintattici predefiniti supportati.

Autenticazione

Per utilizzare uno di questi insiemi di regole, raccogli i dati dei log da Audit di directory Azure AD (AZURE_AD_AUDIT) o da Eventi di Windows (WINEVTLOG).

Analisi del traffico di rete

Per utilizzare uno di questi insiemi di regole, raccogli i dati dei log che acquisiscono l'attività di rete. Ad esempio, da dispositivi come FortiGate (FORTINET_FIREWALL), Check Point (CHECKPOINT_FIREWALL), Zscaler (ZSCALER_WEBPROXY), CrowdStrike Falcon (CS_EDR) o Carbon Black (CB_EDR).

Rilevamento basato su gruppi di pari

Per utilizzare uno di questi insiemi di regole, raccogli i dati dei log da Audit di directory Azure AD (AZURE_AD_AUDIT) o da Eventi di Windows (WINEVTLOG).

Azioni sospette

Gli insiemi di regole in questo gruppo utilizzano ciascuno un tipo diverso di dati.

Regolaset per la creazione eccessiva di account per dispositivo

Per utilizzare questo insieme di regole, raccogli i dati dei log da Audit di directory Azure AD (AZURE_AD_AUDIT) o da Eventi di Windows (WINEVTLOG).

Set di regole Avvisi eccessivi per utente

Per utilizzare questo insieme di regole, raccogli i dati dei log che acquisiscono le attività degli endpoint o i dati di controllo, ad esempio quelli registrati da CrowdStrike Falcon (CS_EDR), Carbon Black (CB_EDR) o Azure AD Directory Audit (AZURE_AD_AUDIT).

Rilevamento basato sulla prevenzione della perdita di dati

Per utilizzare uno di questi insiemi di regole, raccogli i dati dei log che acquisiscono le attività dei processi e dei file, come quelli registrati da CrowdStrike Falcon (CS_EDR), Carbon Black (CB_EDR) o SentinelOne EDR (SENTINEL_EDR).

Gli insiemi di regole in questa categoria dipendono da eventi con i seguenti valori metadata.event_type: PROCESS_LAUNCH, PROCESS_OPEN, PROCESS_MODULE_LOAD.

Questa categoria definisce gli avvisi di ottimizzazione restituiti dalle regole

Puoi ridurre il numero di rilevamenti generati da una regola o da un insieme di regole utilizzando le esclusioni di regole.

Un'esclusione di regole definisce i criteri utilizzati per impedire la valutazione di un evento da parte del insieme di regole o da regole specifiche al suo interno. Crea una o più esclusioni di regole per contribuire a ridurre il volume dei rilevamenti. Per informazioni su come eseguire questa operazione, consulta Configurare le esclusioni delle regole.

Passaggi successivi