UEBA 类别风险分析概览

本文档简要介绍了 Risk Analytics for UEBA 类别中的规则集、所需的数据,以及可用于调整每个规则集生成的提醒的配置。这些规则集有助于使用 Google Cloud 数据识别 Google Cloud 环境中的威胁。

规则集说明

以下规则集在 Risk Analytics for UEBA 类别中提供,并按检测到的模式类型进行分组:

身份验证

  • 首次登录设备的用户:登录了新设备的用户。
  • 用户异常身份验证事件:与历史使用情况相比,单个用户实体最近发生了异常身份验证事件。
  • 失败的身份验证(按设备):与历史使用情况相比,单个设备实体最近多次失败的登录尝试。
  • 用户身份验证失败的次数:与历史使用情况相比,单个用户实体最近多次失败的登录尝试。

网络流量分析

  • 异常入站字节数(按设备):与历史使用情况相比,最近上传到单个设备实体的大量数据。
  • 按设备统计的异常出站字节数:与历史使用情况相比,最近从单个设备实体下载的大量数据。
  • 异常总字节数(按设备):与历史使用情况相比,最近上传和下载大量数据的设备实体。
  • 用户异常入站字节数:与历史使用情况相比,单个用户实体最近下载了大量数据。
  • 用户异常总字节数:与历史使用情况相比,最近上传和下载大量数据的用户实体。
  • 用户先尝试暴力破解再成功登录:来自某个 IP 地址的单个用户实体向特定应用多次尝试进行身份验证时失败,然后才成功登录。

基于类似应用群组的检测

  • 用户群组从未从某个国家/地区进行的登录:用户群组在某个国家/地区首次成功进行身份验证。这将使用 AD 上下文数据中的群组显示名称、用户部门和用户管理员信息。

  • 针对用户群组登录从未见过的应用:用户群组的首次成功身份验证。它使用来自 AD 上下文数据的用户名称、用户管理器和组显示名称信息。

  • 新创建的用户异常或过多的登录:最近创建的用户存在异常或过多的身份验证活动。这会使用 AD 上下文数据中的创建时间。

  • 新创建的用户的异常或过多的可疑操作:最近创建的用户的异常或过度活动(包括但不限于 HTTP 遥测、进程执行和组修改)。这会使用 AD 上下文数据中的创建时间。

可疑操作

  • 设备创建帐号过多:设备实体创建了多个新的用户帐号。
  • 用户发出的提醒过多:系统针对用户实体报告了大量来自杀毒软件或端点设备的安全提醒(例如连接被阻止检测到恶意软件),这远远大于历史模式。这些是 security_result.action UDM 字段设为 BLOCK 的事件。

基于数据泄露防护的检测

  • 具有数据渗漏功能的异常或过多进程:与数据渗漏功能(如键盘记录器、屏幕截图和远程访问)关联的进程存在异常或过多的活动。这会使用来自 VirusTotal 的文件元数据扩充项。

UEBA 类别风险分析所需的数据

以下部分介绍了每个类别中的规则集获得最大收益所需的数据。如需查看所有支持的默认解析器的列表,请参阅支持的日志类型和默认解析器

身份验证

如需使用其中任何规则集,请从 Azure AD 目录审核 (AZURE_AD_AUDIT) 或 Windows 事件 (WINEVTLOG) 收集日志数据。

网络流量分析

如需使用其中任何规则集,请收集捕获网络活动的日志数据。例如,在 FortiGate (FORTINET_FIREWALL)、Check Point (CHECKPOINT_FIREWALL)、Zscaler (ZSCALER_WEBPROXY)、CrowdStrike Falcon (CS_EDR) 或 Carbon Black (CB_EDR) 等设备中。

基于类似应用群组的检测

如需使用其中任何规则集,请从 Azure AD 目录审核 (AZURE_AD_AUDIT) 或 Windows 事件 (WINEVTLOG) 收集日志数据。

可疑操作

此组中的规则集各自使用不同类型的数据。

根据设备规则集创建账号过多

如需使用此规则集,请从 Azure AD 目录审核 (AZURE_AD_AUDIT) 或 Windows 事件 (WINEVTLOG) 收集日志数据。

按用户规则集设置过多提醒

如需使用此规则集,请收集捕获端点活动或审核数据的日志数据,例如由 CrowdStrike Falcon (CS_EDR)、Carbon Black (CB_EDR) 或 Azure AD Directory Audit (AZURE_AD_AUDIT) 记录的日志。

基于数据泄露防护的检测

如需使用上述任何规则集,请收集捕获进程和文件活动的日志数据,例如由 CrowdStrike Falcon (CS_EDR)、Carbon Black (CB_EDR) 或 SentinelOne EDR (SENTINEL_EDR) 记录的日志。

此类别中的规则集依赖于具有以下 metadata.event_type 值的事件:PROCESS_LAUNCHPROCESS_OPENPROCESS_MODULE_LOAD

此类别的规则集返回的调整提醒

您可以使用规则排除项来减少规则或规则集生成的检测数量。

规则排除项定义了用于将事件排除在规则集或规则集中特定规则评估范围之外的条件。创建一个或多个规则排除项有助于减少检测量。如需了解如何执行此操作,请参阅配置规则排除项

后续步骤