Visão geral da análise de risco para a categoria UEBA
Este documento fornece uma visão geral dos conjuntos de regras na categoria "Análise de risco para UEBA", os dados necessários e a configuração que você pode usar para ajustar os alertas gerados por cada conjunto de regras. Esses conjuntos de regras ajudam a identificar ameaças em ambientes do Google Cloud usando dados do Google Cloud.
Descrições do conjunto de regras
Os conjuntos de regras a seguir estão disponíveis na categoria "Análise de risco para UEBA" e são agrupados pelo tipo de padrões detectados:
Autenticação
- Novo login do usuário no dispositivo: um usuário fez login em um novo dispositivo.
- Eventos de autenticação anormais por usuário: uma única entidade de usuário teve eventos de autenticação anormais recentemente, em comparação com o uso histórico.
- Falhas de autenticação por dispositivo: uma única entidade de dispositivo teve muitas tentativas de login malsucedidas recentemente, em comparação com o uso histórico.
- Falhas de autenticação por usuário: uma única entidade de usuário teve muitas tentativas de login malsucedidas recentemente, em comparação com o uso anterior.
Análise de tráfego de rede
- Bytes de entrada anormais por dispositivo: quantidade significativa de dados enviados recentemente para a entidade de um único dispositivo em comparação com o uso histórico.
- Bytes de saída anormais por dispositivo: quantidade significativa de dados transferidos recentemente de uma única entidade de dispositivo em comparação com o uso histórico.
- Total de bytes anômalos por dispositivo: uma entidade do dispositivo fez upload e download de uma quantidade significativa de dados recentemente, em comparação com o uso histórico.
- Bytes de entrada anormais por usuário: uma única entidade de usuário fez o download de uma quantidade significativa de dados recentemente, em comparação com o uso histórico.
- Bytes totais anormais por usuário: uma entidade do usuário fez upload e download de uma quantidade significativa de dados recentemente, em comparação com o uso histórico.
- Força bruta e login bem-sucedido do usuário: uma única entidade de usuário de um endereço IP teve várias tentativas de autenticação falhadas em um determinado aplicativo antes de fazer login.
Detecções baseadas em grupos de apps semelhantes
Login de um país nunca antes visto para um grupo de usuários: a primeira autenticação bem-sucedida de um país para um grupo de usuários. Ele usa o nome de exibição do grupo, departamento do usuário e informações do administrador do usuário dos dados do contexto do AD.
Fazer login em um aplicativo nunca antes visto para um grupo de usuários: a primeira autenticação bem-sucedida em um aplicativo para um grupo de usuários. Isso usa informações de título do usuário, administrador do usuário e nome de exibição do grupo dos dados de contexto do AD.
Logins anormais ou excessivos de um usuário recém-criado: atividade de autenticação anormal ou excessiva de um usuário recém-criado. Isso usa o horário de criação dos dados do contexto do AD.
Ações suspeitas anormais ou excessivas de um usuário recém-criado: atividade anormal ou excessiva (incluindo, mas não se limitando a, telemetria HTTP, execução de processos e modificação de grupos) de um usuário recém-criado. Ele usa o horário de criação dos dados do contexto do AD.
Ações suspeitas
- Criação excessiva de contas por dispositivo: uma entidade de dispositivo criou várias contas de usuário novas.
- Alertas excessivos por usuário: um grande número de alertas de segurança de um dispositivo antivírus
ou endpoint (por exemplo, a conexão foi bloqueada, malware foi detectado)
foi relatado sobre uma entidade de usuário, que foi muito maior do que os padrões históricos.
São eventos em que o campo UDM
security_result.actionestá definido comoBLOCK.
Detecções baseadas na Prevenção contra perda de dados
- Processos anormais ou excessivos com recursos de exfiltração de dados: atividade anormal ou excessiva para processos associados a recursos de exfiltração de dados, como keyloggers, capturas de tela e acesso remoto. Ele usa o enriquecimento de metadados de arquivos do VirusTotal.
Dados obrigatórios necessários para a categoria de Análise de risco da UEBA
A seção a seguir descreve os dados necessários para os conjuntos de regras em cada categoria para obter o maior benefício. Para conferir uma lista de todos os analisadores padrão compatíveis, consulte Tipos de registro e analisadores padrão compatíveis.
Autenticação
Para usar qualquer um desses conjuntos de regras, colete dados de registro da
auditoria de diretório do Azure AD (AZURE_AD_AUDIT) ou do evento do Windows (WINEVTLOG).
Análise de tráfego de rede
Para usar qualquer um desses conjuntos de regras, colete dados de registro que capturem a atividade de rede.
Por exemplo, de dispositivos como FortiGate (FORTINET_FIREWALL),
Check Point (CHECKPOINT_FIREWALL), Zscaler (ZSCALER_WEBPROXY), CrowdStrike Falcon (CS_EDR)
ou Carbon Black (CB_EDR).
Detecções baseadas em grupos de apps semelhantes
Para usar qualquer um desses conjuntos de regras, colete dados de registro da
auditoria de diretório do Azure AD (AZURE_AD_AUDIT) ou do evento do Windows (WINEVTLOG).
Ações suspeitas
Os conjuntos de regras neste grupo usam tipos diferentes de dados.
Conjunto de regras de criação de contas em excesso por dispositivo
Para usar esse conjunto de regras, colete dados de registro da
auditoria de diretório do Azure AD (AZURE_AD_AUDIT) ou do evento do Windows (WINEVTLOG).
Alertas excessivos por conjunto de regras do usuário
Para usar esse conjunto de regras, colete dados de registro que capturem atividades do endpoint ou
dados de auditoria, como os registrados pelo CrowdStrike Falcon (CS_EDR),
Carbon Black (CB_EDR) ou Azure AD Directory Audit (AZURE_AD_AUDIT).
Detecções baseadas na Prevenção contra perda de dados
Para usar qualquer um desses conjuntos de regras, colete dados de registro que capturem atividades de processo e arquivo,
como os registrados pelo CrowdStrike Falcon (CS_EDR), Carbon Black (CB_EDR)
ou SentinelOne EDR (SENTINEL_EDR).
Os conjuntos de regras dessa categoria dependem de eventos com os seguintes valores de metadata.event_type: PROCESS_LAUNCH, PROCESS_OPEN e PROCESS_MODULE_LOAD.
Ajustar os alertas retornados pela regra define essa categoria
É possível reduzir o número de detecções geradas por uma regra ou um conjunto de regras usando exclusões de regras.
Uma exclusão de regra define os critérios usados para impedir que um evento seja avaliado pelo conjunto de regras ou por regras específicas nele. Crie uma ou mais regras de exclusão para reduzir o volume de detecções. Consulte Configurar exclusões de regras para saber como fazer isso.