适用于 UEBA 类别的风险分析概览

支持以下语言:

本文档概要介绍了“适用于 UEBA 的风险分析”类别中的规则集、所需数据,以及您可以用来调整每个规则集生成的提醒的配置。这些规则集有助于识别 Google Cloud 中的威胁 部署和管理环境

规则集说明

以下规则集可在 UEBA 风险分析类别中找到, 按检测到的模式类型分组:

身份验证

  • 首次登录设备的用户:登录了新设备的用户。
  • 按用户显示异常身份验证事件:与历史使用情况相比,单个用户实体最近出现了异常身份验证事件。
  • 按设备划分的身份验证失败次数:与历史使用情况相比,单个设备实体最近有许多登录尝试失败。
  • 用户身份验证失败次数:与历史使用情况相比,单个用户实体最近的登录尝试失败次数很多。

网络流量分析

  • 按设备划分的异常入站字节数:与历史用量相比,最近有大量数据上传到单个设备实体。
  • 按设备划分的异常出站字节数:与历史使用情况相比,最近从单个设备实体下载了大量数据。
  • 按设备划分的异常总字节数:与历史使用情况相比,某个设备实体最近上传和下载了大量数据。
  • 用户异常入站字节数:最近下载的单个用户实体 大量数据。
  • 用户的总字节数异常:与历史用量相比,用户实体最近上传和下载了大量数据。
  • 用户先尝试暴力破解,然后成功登录:来自某个 IP 地址的单个用户实体在成功登录某个应用之前,曾对该应用尝试过多次身份验证失败。

基于同类群组的检测

  • 用户群组从未从从未见过的国家/地区登录:首次成功登录 从某个国家/地区对用户群组进行身份验证。此维度使用 AD 上下文数据中的群组显示名称、用户部门和用户经理信息。

  • 登录用户群组从未见过的应用:首次成功登录 向应用授予用户群组身份验证。此方法使用 AD 上下文数据中的用户标题、用户经理和群组显示名称信息。

  • 新创建的用户的异常登录或过多登录:异常或过多 最近创建的用户的身份验证活动。此维度使用的是广告内容上下文数据中的创建时间。

  • 新创建的用户存在异常或过多可疑操作:新创建的用户存在异常或过多活动(包括但不限于 HTTP 遥测、进程执行和群组修改)。这会使用 AD 上下文数据中的创建时间。

可疑操作

  • 设备创建账号过多:设备实体创建了多个新用户账号。
  • 用户收到的提醒过多:针对某个用户实体,杀毒软件或端点设备报告了大量安全提醒(例如连接被屏蔽检测到恶意软件),远远超出历史模式。这些事件的 security_result.action UDM 字段设置为 BLOCK

基于数据泄露防护的检测

  • 具有数据渗漏功能的异常或过多进程:异常或 与数据渗漏功能相关的进程执行过多的活动 例如击键记录程序、屏幕截图和远程访问。这会使用文件元数据扩充功能 来自 VirusTotal

UEBA 类别风险分析所需的数据

以下部分介绍了每个类别的规则集需要的数据,以便您充分利用这些规则集。如需查看所有支持的默认解析器的列表,请参阅支持的日志类型和默认解析器

身份验证

如需使用其中任何规则集,请从 Azure AD 目录审核 (AZURE_AD_AUDIT) 或 Windows 事件 (WINEVTLOG) 收集日志数据。

网络流量分析

要使用其中任何规则集,请收集捕获网络活动的日志数据。 例如,从 FortiGate (FORTINET_FIREWALL)、Check Point (CHECKPOINT_FIREWALL)、Zscaler (ZSCALER_WEBPROXY)、CrowdStrike Falcon (CS_EDR) 或 Carbon Black (CB_EDR) 等设备获取。

基于类似应用群组的检测

要使用其中任何规则集,请从以下任一位置收集日志数据: Azure AD 目录审核 (AZURE_AD_AUDIT) 或 Windows 事件 (WINEVTLOG)。

可疑操作

此组中的规则集各自使用不同的数据类型。

按设备规则集创建账号过多

如需使用此规则集,请从 Azure AD 目录审核 (AZURE_AD_AUDIT) 或 Windows 事件 (WINEVTLOG) 收集日志数据。

“按用户发送过多提醒”规则集

如需使用此规则集,请收集捕获端点活动或 审核数据,例如由 CrowdStrike Falcon (CS_EDR) 记录的数据, Carbon Black (CB_EDR) 或 Azure AD Directory Audit (AZURE_AD_AUDIT)。

基于数据泄露防护的检测

如需使用上述任一规则集,请收集捕获进程和文件活动的日志数据,例如 CrowdStrike Falcon (CS_EDR)、Carbon Black (CB_EDR) 或 SentinelOne EDR (SENTINEL_EDR) 记录的数据。

此类别中的规则集依赖于具有以下metadata.event_type的事件 值:PROCESS_LAUNCHPROCESS_OPENPROCESS_MODULE_LOAD

规则返回的调整提醒会归入此类别

您可以使用以下方法减少规则或规则集生成的检测数量: 规则排除项

规则排除可定义用于将事件排除在被 或按规则集中的特定规则创建创建一个或多个规则排除项 以帮助减少检测量。请参阅配置规则排除对象 了解有关具体操作方法的信息。

后续步骤