Panoramica dell'analisi del rischio per la categoria UEBA
Questo documento fornisce una panoramica delle serie di regole nella categoria Risk Analytics per UEBA, i dati richiesti e la configurazione che puoi utilizzare per ottimizzare gli avvisi generati da ogni serie di regole. Le serie di regole aiutano a identificare le minacce negli ambienti Google Cloud utilizzando i dati di Google Cloud.
Descrizioni delle serie di regole
Le seguenti serie di regole sono disponibili nella categoria Analisi del rischio per UEBA e sono raggruppate per tipo di pattern rilevati:
Autenticazione
- Nuovo accesso per utente al dispositivo: un utente ha eseguito l'accesso a un nuovo dispositivo.
- Eventi di autenticazione anomali per utente: di recente una singola entità utente ha riscontrato eventi di autenticazione anomali rispetto all'utilizzo storico.
- Autenticazione non riuscita per dispositivo: di recente una singola entità dispositivo ha avuto molti tentativi di accesso non riusciti rispetto all'utilizzo storico.
- Autenticazione non riuscita per utente: una singola entità utente ha avuto di recente molti tentativi di accesso non riusciti rispetto all'utilizzo storico.
Analisi del traffico di rete
- Byte in entrata anomali per dispositivo: quantità significativa di dati caricati di recente su una singola entità dispositivo rispetto all'utilizzo storico.
- Byte in uscita anomali per dispositivo: quantità significativa di dati scaricati di recente da una singola entità dispositivo, rispetto all'utilizzo storico.
- Byte totali anomali per dispositivo: un'entità dispositivo di recente ha caricato e scaricato una quantità di dati significativa rispetto all'utilizzo storico.
- Byte in entrata anomali per utente: una singola entità utente ha recentemente scaricato una quantità di dati significativa rispetto all'utilizzo storico.
- Byte totali anomali per utente: un'entità utente di recente ha caricato e scaricato una quantità significativa di dati rispetto all'utilizzo storico.
- Forza bruta quindi accesso riuscito da parte dell'utente: una singola entità utente da un indirizzo IP ha avuto diversi tentativi di autenticazione non riusciti a una determinata applicazione prima di accedere.
Rilevamenti basati sul gruppo di peer
Accesso da un paese mai visto prima per un gruppo di utenti: la prima autenticazione riuscita da un paese per un gruppo di utenti. che utilizza il nome visualizzato del gruppo, il reparto utenti e le informazioni sul gestore utenti provenienti dai dati del contesto di AD.
Accesso a un'applicazione mai vista prima per un gruppo di utenti: la prima autenticazione riuscita a un'applicazione per un gruppo di utenti. Utilizza le informazioni su titolo utente, gestione utenti e nome visualizzato del gruppo ricavate dai dati del contesto di AD.
Accessi anomali o eccessivi per un nuovo utente: attività di autenticazione anomala o eccessiva per un utente creato di recente. Viene utilizzata l'ora di creazione dai dati del contesto AD.
Azioni sospette anomale o eccessive per un nuovo utente creato: attività anomala o eccessiva (inclusi, a titolo esemplificativo, telemetria HTTP, esecuzione di processi e modifica dei gruppi) per un utente creato di recente. Viene utilizzata l'ora di creazione dai dati del contesto AD.
Azioni sospette
- Creazione di account eccessiva per dispositivo: un'entità dispositivo ha creato diversi nuovi account utente.
- Avvisi di sicurezza eccessivi per utente: è stato segnalato un numero elevato di avvisi di sicurezza provenienti da un antivirus o da un dispositivo endpoint (ad esempio connessione bloccata o rilevamento di malware) per un'entità utente, con una frequenza molto maggiore rispetto ai pattern storici.
Questi sono eventi in cui il campo UDM
security_result.actionè impostato suBLOCK.
Rilevamenti basati sulla prevenzione della perdita di dati
- Processi anomali o eccessivi con capacità di esfiltrazione di dati: attività anomala o eccessiva per i processi associati alle funzionalità di esfiltrazione dei dati, come keylogger, screenshot e accesso remoto. Viene utilizzato l'arricchimento dei metadati dei file di VirusTotal.
Dati obbligatori richiesti da Analisi del rischio per la categoria UEBA
La sezione seguente descrive i dati necessari per le serie di regole di ogni categoria per ottenere il massimo vantaggio. Per un elenco di tutti i parser predefiniti supportati, consulta Tipi di log e parser predefiniti supportati.
Autenticazione
Per utilizzare una di queste serie di regole, raccogli i dati dei log da Controlli di Azure AD Directory (AZURE_AD_AUDIT) o Evento di Windows (WINEVTLOG).
Analisi del traffico di rete
Per utilizzare una di queste serie di regole, raccogli dati dei log che acquisiscano l'attività di rete.
Ad esempio, da dispositivi come FortiGate (FORTINET_FIREWALL), Check Point (CHECKPOINT_FIREWALL), Zscaler (ZSCALER_WEBPROXY), CrowdStrike Falcon (CS_EDR) o Carbon Black (CB_EDR).
Rilevamenti basati sul gruppo di peer
Per utilizzare una di queste serie di regole, raccogli i dati dei log da Controlli di Azure AD Directory (AZURE_AD_AUDIT) o Evento di Windows (WINEVTLOG).
Azioni sospette
Le serie di regole di questo gruppo utilizzano ciascuna un tipo diverso di dati.
Creazione di account eccessiva per serie di regole per dispositivo
Per utilizzare questa serie di regole, raccogli i dati dei log da Azure AD Directory Audit (AZURE_AD_AUDIT) o evento Windows (WINEVTLOG).
Avvisi eccessivi per serie di regole utente
Per utilizzare questa serie di regole, raccogli i dati dei log che acquisiscono le attività degli endpoint o i dati di controllo, come quelli registrati da CrowdStrike Falcon (CS_EDR), Carbon Black (CB_EDR) o Azure AD Directory Audit (AZURE_AD_AUDIT).
Rilevamenti basati sulla prevenzione della perdita di dati
Per utilizzare una di queste serie di regole, raccogli dati dei log che acquisiscano processi e attività con file,
ad esempio quelli registrati da CrowdStrike Falcon (CS_EDR), Carbon Black (CB_EDR)
o EDR SentinelOne (SENTINEL_EDR).
Le serie di regole in questa categoria dipendono dagli eventi con i seguenti valori metadata.event_type: PROCESS_LAUNCH, PROCESS_OPEN, PROCESS_MODULE_LOAD.
Ottimizzazione degli avvisi restituiti dalle serie di regole di questa categoria
Puoi ridurre il numero di rilevamenti generati da una regola o da una serie di regole utilizzando le esclusioni di regole.
Un'esclusione di regole definisce i criteri utilizzati per escludere un evento dalla valutazione da parte della serie di regole o di regole specifiche al suo interno. Crea una o più esclusioni di regole per ridurre il volume di rilevamenti. Per informazioni su come eseguire questa operazione, consulta Configurare le esclusioni di regole.