Visão geral da análise de risco para a categoria UEBA
Este documento fornece uma visão geral dos conjuntos de regras na categoria "Análise de risco para UEBA", os dados necessários e a configuração que você pode usar para ajustar os alertas gerados por cada conjunto de regras. Esses conjuntos de regras ajudam a identificar ameaças em ambientes Google Cloud usando dados Google Cloud .
Descrições do conjunto de regras
Os conjuntos de regras a seguir estão disponíveis na categoria "Análise de risco para UEBA" e são agrupados pelo tipo de padrões detectados:
Autenticação
- Novo login do usuário no dispositivo: um usuário fez login em um novo dispositivo.
- Eventos de autenticação anormais por usuário: uma única entidade de usuário teve eventos de autenticação anormais recentemente, em comparação com o uso histórico.
- Falhas de autenticação por dispositivo: uma entidade de um único dispositivo teve muitas tentativas de login malsucedidas recentemente, em comparação com o uso histórico.
- Falhas de autenticação por usuário: uma entidade de usuário único teve muitas tentativas de login malsucedidas recentemente, em comparação com o uso anterior.
Análise de tráfego de rede
- Bytes de entrada anormais por dispositivo: quantidade significativa de dados enviados recentemente para a entidade de um único dispositivo em comparação com o uso histórico.
- Bytes de saída anormais por dispositivo: quantidade significativa de dados transferidos por download recentemente de uma única entidade de dispositivo, em comparação com o uso histórico.
- Total de bytes anormais por dispositivo: uma entidade de dispositivo fez upload e download de uma quantidade significativa de dados recentemente, em comparação com o uso histórico.
- Bytes de entrada anormais por usuário: uma entidade de usuário único fez o download de uma quantidade significativa de dados recentemente, em comparação com o uso histórico.
- Bytes totais anormais por usuário: uma entidade do usuário fez upload e download de uma quantidade significativa de dados recentemente, em comparação com o uso histórico.
- Força bruta e login bem-sucedido do usuário: uma entidade de usuário único de um endereço IP teve várias tentativas de autenticação com falha em um determinado aplicativo antes de fazer login.
Detecções baseadas em grupos de apps semelhantes
Logins anormais ou excessivos de um usuário recém-criado: atividade de autenticação anormal ou excessiva de um usuário recém-criado. Isso usa o horário de criação dos dados do contexto do AD.
Ações suspeitas anormais ou excessivas de um usuário recém-criado: atividade anormal ou excessiva (incluindo, mas não se limitando a, telemetria HTTP, execução de processo e modificação de grupo) de um usuário recém-criado. Ele usa o horário de criação dos dados do contexto do AD.
Ações suspeitas
- Criação excessiva de contas por dispositivo: uma entidade de dispositivo criou várias contas de usuário novas.
- Alertas excessivos por usuário: um grande número de alertas de segurança de um dispositivo antivírus
ou endpoint (por exemplo, a conexão foi bloqueada, malware foi detectado)
foi relatado sobre uma entidade de usuário, que foi muito maior do que os padrões históricos.
São eventos em que o campo UDM
security_result.actionestá definido comoBLOCK.
Detecções baseadas na Prevenção contra perda de dados
- Processos anormais ou excessivos com recursos de exfiltração de dados: atividade anormal ou excessiva para processos associados a recursos de exfiltração de dados, como keyloggers, capturas de tela e acesso remoto. Ele usa o enriquecimento de metadados de arquivos do VirusTotal.
Dados obrigatórios necessários para a categoria de Análise de risco da UEBA
A seção a seguir descreve os dados necessários para os conjuntos de regras em cada categoria para obter o maior benefício. Para conferir uma lista de todos os analisadores padrão compatíveis, consulte Tipos de registro e analisadores padrão compatíveis.
Autenticação
Para usar qualquer um desses conjuntos de regras, colete dados de registro da
auditoria de diretório do Azure AD (AZURE_AD_AUDIT) ou do evento do Windows (WINEVTLOG).
Análise de tráfego de rede
Para usar qualquer um desses conjuntos de regras, colete dados de registro que capturem a atividade de rede.
Por exemplo, de dispositivos como FortiGate (FORTINET_FIREWALL),
Check Point (CHECKPOINT_FIREWALL), Zscaler (ZSCALER_WEBPROXY), CrowdStrike Falcon (CS_EDR)
ou Carbon Black (CB_EDR).
Detecções baseadas em grupos de apps semelhantes
Para usar qualquer um desses conjuntos de regras, colete dados de registro da
auditoria de diretório do Azure AD (AZURE_AD_AUDIT) ou do evento do Windows (WINEVTLOG).
Ações suspeitas
Os conjuntos de regras neste grupo usam tipos diferentes de dados.
Conjunto de regras de criação de contas em excesso por dispositivo
Para usar esse conjunto de regras, colete dados de registro da
auditoria de diretório do Azure AD (AZURE_AD_AUDIT) ou do evento do Windows (WINEVTLOG).
Conjunto de regras de alertas excessivos por usuário
Para usar esse conjunto de regras, colete dados de registro que capturem atividades do endpoint ou
dados de auditoria, como os registrados pelo CrowdStrike Falcon (CS_EDR),
Carbon Black (CB_EDR) ou Azure AD Directory Audit (AZURE_AD_AUDIT).
Detecções baseadas na Prevenção contra perda de dados
Para usar qualquer um desses conjuntos de regras, colete dados de registro que capturem atividades de processo e arquivo,
como os registrados pelo CrowdStrike Falcon (CS_EDR), Carbon Black (CB_EDR)
ou SentinelOne EDR (SENTINEL_EDR).
Os conjuntos de regras dessa categoria dependem de eventos com os seguintes valores de metadata.event_type: PROCESS_LAUNCH, PROCESS_OPEN e PROCESS_MODULE_LOAD.
Ajustar os alertas retornados pela regra define essa categoria
É possível reduzir o número de detecções geradas por uma regra ou um conjunto de regras usando exclusões de regras.
Uma exclusão de regra define os critérios usados para impedir que um evento seja avaliado pelo conjunto de regras ou por regras específicas. Crie uma ou mais regras de exclusão para reduzir o volume de detecções. Consulte Configurar exclusões de regras para saber como fazer isso.
Exemplo de regra para a categoria de Análise de risco da UEBA
O exemplo a seguir mostra como criar uma regra para gerar detecções em
qualquer nome de host de entidade com pontuação de risco maior que 100:
rule EntityRiskScore {
meta:
events:
$e1.principal.hostname != ""
$e1.principal.hostname = $hostname
$e2.graph.entity.hostname = $hostname
$e2.graph.risk_score.risk_window_size.seconds = 86400 // 24 hours
$e2.graph.risk_score.risk_score >= 100
// Run deduplication across the risk score.
$rscore = $e2.graph.risk_score.risk_score
match:
// Dedup on hostname and risk score across a 4 hour window.
$hostname, $rscore over 4h
outcome:
// Force these risk score based rules to have a risk score of zero to
// prevent self feedback loops.
$risk_score = 0
condition:
$e1 and $e2
}
Essa regra de exemplo também realiza uma autoduplicação usando a seção de correspondência. Se uma detecção de regra for acionada, mas o nome do host e a pontuação de risco permanecerem inalterados em um período de quatro horas, nenhuma nova detecção será criada.
As únicas janelas de risco possíveis para regras de pontuação de risco da entidade são de 24 horas ou 7 dias (86.400 ou 604.800 segundos, respectivamente). Se você não incluir o tamanho da janela de risco na regra, ela vai retornar resultados imprecisos.
Os dados da pontuação de risco da entidade são armazenados separadamente dos dados do contexto da entidade. Para usar ambos em uma regra, ela precisa ter dois eventos de entidade separados, um para o contexto da entidade e outro para a pontuação de risco da entidade, conforme mostrado no exemplo a seguir:
rule EntityContextAndRiskScore {
meta:
events:
$log_in.metadata.event_type = "USER_LOGIN"
$log_in.principal.hostname = $host
$context.graph.entity.hostname = $host
$context.graph.metadata.entity_type = "ASSET"
$risk_score.graph.entity.hostname = $host
$risk_score.graph.risk_score.risk_window_size.seconds = 604800
match:
$host over 2m
outcome:
$entity_risk_score = max($risk_score.graph.risk_score.normalized_risk_score)
condition:
$log_in and $context and $risk_score and $entity_risk_score > 100
}
A seguir
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.