Daten zum Schutz sensibler Daten in kontextbezogenen Analysen verwenden
In diesem Dokument wird gezeigt, wie Sie Daten zum Entitätskontext aus dem Schutz sensibler Daten und zusätzlichen Protokollquellen verwenden, um bei der Durchführung einer Untersuchung Kontextinformationen zur Auswirkung und zum Umfang einer potenziellen Bedrohung zu erhalten.
Der in diesem Dokument beschriebene Anwendungsfall erkennt die Ausführung einer schädlichen Datei durch einen Nutzer (MITRE ATT&CK-Technik T1204.002) und ob dieser Nutzer auch Zugriff auf vertrauliche Daten an anderer Stelle im Netzwerk hat.
Für dieses Beispiel müssen die folgenden Daten in Google Security Operations aufgenommen und normalisiert worden sein:
- Daten zu Nutzeraktivitäten mithilfe von Netzwerk- und EDR-Protokollen
- Ressourcenbeziehungen aus Datenquellen wie der Google Cloud IAM-Analyse
- Protokolle für den Schutz sensibler Daten, die Labels zum Typ und zur Sensibilität der gespeicherten Daten enthalten.
Google Security Operations muss die Rohdaten in Entitäts- und Ereignisdatensätze des Unified Data Model (UDM) parsen können.
Informationen zum Aufnehmen von Daten zum Schutz sensibler Daten in Google Security Operations finden Sie unter Daten zum Schutz sensibler Daten in Google Security Operations exportieren.
Google Cloud IAM-Analysedaten
In den Protokolldaten der Google Cloud IAM-Analyse in diesem Beispiel werden Nutzer in der Organisation identifiziert und die Beziehungen der einzelnen Nutzer zu anderen Systemen im Netzwerk erfasst. Im Folgenden finden Sie ein Snippet eines IAM-Analyselogs, das als UDM-Entitätsdatensatz gespeichert ist. Es werden Informationen zum Nutzer mikeross gespeichert, der die BigQuery-Tabelle analytics:claim.patients verwaltet.
metadata.vendor_name: "Google Cloud Platform"
metadata.product_name: "GCP IAM Analysis"
metadata.entity_type: "USER"
entity.user.userid: "mikeross"
relations[2].entity.resource.name: "analytics:claim.patients"
relations[2].entity.resource.resource_type: "TABLE"
relations[2].entity_type: "RESOURCE"
relations[2].relationship: "ADMINISTERS"
Daten zum Schutz sensibler Daten
In den Protokolldaten zum Schutz sensibler Daten in diesem Beispiel werden Informationen zu einer BigQuery-Tabelle gespeichert. Im Folgenden finden Sie ein Snippet eines Sensitive Data Protection-Logs, das als UDM-Entitätseintrag gespeichert ist. Es stellt die BigQuery-Tabelle analytics:claim.patients mit dem Predicted InfoType-Label US_SOCIAL_SECURITY_NUMBER dar, was bedeutet, dass in der Tabelle US-amerikanische Sozialversicherungsnummern gespeichert sind.
metadata.vendor_name: "Google Cloud Platform"
metadata.product_name: "GCP DLP CONTEXT"
metadata.entity_type: "RESOURCE"
metadata.description: "RISK_HIGH"
entity.resource.resource_type: "TABLE"
entity.resource.resource_subtype: "BigQuery Table"
entity.resource.attribute.cloud.environment"GOOGLE_CLOUD_PLATFORM"
entity.resource.attribute.labels[0].key: "Sensitivity Score"
entity.resource.attribute.labels[0].value: "SENSITIVITY_HIGH"
entity.resource.attribute.labels[1].key: "Predicted InfoType"
entity.resource.attribute.labels[1].value: "US_SOCIAL_SECURITY_NUMBER"
entity.resource.product_object_id: "analytics:claim.patients"
Web-Proxy-Ereignisse
Das Webproxy-Ereignis in diesem Beispiel erfasst Netzwerkaktivitäten. Im folgenden Snippet ist ein Zscaler-Webproxy-Log zu sehen, das als UDM-Ereignisabsatz gespeichert ist. Es wird ein Netzwerkdownloadereignis einer ausführbaren Datei durch den Nutzer mit dem userid-Wert mikeross erfasst, wobei der received_bytes-Wert 514605 ist.
metadata.log_type = "ZSCALER_WEBPROXY"
metadata.product_name = "NSS"
metadata.vendor_name = "Zscaler"
metadata.event_type = "NETWORK_HTTP"
network.http.response_code = 200
network.received_bytes = 514605
principal.user.userid = "mikeross"
target.url = "http://manygoodnews.com/dow/Client%20Update.exe"
EDR-Ereignisse
Das EDR-Ereignis in diesem Beispiel erfasst Aktivitäten auf einem Endpunktgerät. Das folgende Snippet ist ein CrowdStrike Falcon-EDR-Log, das als UDM-Ereignisprotokoll gespeichert ist. Es wird ein Netzwerkereignis erfasst, das die Microsoft Excel-Anwendung und einen Nutzer mit dem userid-Wert mikeross umfasst.
metadata.log_type = "CS_EDR"
metadata.product_name = "Falcon"
metadata.vendor_name = "Crowdstrike"
metadata.event_type = "NETWORK_HTTP"
target.process.file.full_path = "\\Device\\HarddiskVolume1\\Program Files\\C:\\Program Files\\Microsoft Office\\Office16\\EXCEL.exe"
target.url = "http://manygoodnews.com/dow/Client%20Update.exe"
target.user.userid = "mikeross"
Beachten Sie, dass diese Einträge gemeinsame Informationen enthalten, sowohl die Nutzer-ID mikeross als auch den Tabellennamen analytics:claim.patients. Im nächsten Abschnitt dieses Dokuments wird gezeigt, wie diese Werte in der Regel zum Zusammenführen der Datensätze verwendet werden.
Erkennungs-Engine-Regel in diesem Beispiel
Diese Beispielregel erkennt die Ausführung einer schädlichen Datei durch einen Nutzer (MITRE ATT&CK-Technik T1204.002).
Die Regel weist einer Erkennung einen höheren Risikowert zu, wenn der Nutzer auch an anderer Stelle im Netzwerk auf vertrauliche Daten zugreifen kann. Die Regel korreliert die folgenden Informationen:
- Nutzeraktivitäten, z. B. der Download oder das Starten einer ausführbaren Datei.
- Die Beziehung zwischen Ressourcen, z. B. die Beziehung des Nutzers zu einer BigQuery-Tabelle.
- Vorhandensein vertraulicher Daten in der Ressource, auf die ein Nutzer Zugriff hat, z. B. der Datentyp, der in der BigQuery-Tabelle gespeichert ist.
Im Folgenden finden Sie eine Beschreibung der einzelnen Abschnitte der Beispielregel.
Im Abschnitt
eventswird das Datenmuster angegeben, nach dem die Regel sucht. Er enthält Folgendes:- In Gruppe 1 und Gruppe 2 werden Netzwerk- und EDR-Ereignisse erfasst, die den Download einer großen Datenmenge oder einer ausführbaren Datei erfassen, die sich auch auf Aktivitäten in der Excel-Anwendung beziehen.
- In Gruppe 3 werden Datensätze identifiziert, bei denen der in den Netzwerk- und EDR-Ereignissen angegebene Nutzer auch Berechtigungen für eine BigQuery-Tabelle hat.
- In Gruppe 4 werden Datensätze zum Schutz sensibler Daten für die BigQuery-Tabelle angegeben, auf die der Nutzer Zugriff hat.
In jeder Ausdrucksgruppe wird entweder die Variable
$table_nameoder die Variable$userverwendet, um Datensätze zu verknüpfen, die sich auf denselben Nutzer und dieselbe Datenbanktabelle beziehen.Im Abschnitt
outcomewird durch die Regel eine$risk_score-Variable erstellt und ein Wert festgelegt, der von der Sensibilität der Daten in der Tabelle abhängt. In diesem Fall wird geprüft, ob die Daten mit demUS_SOCIAL_SECURITY_NUMBER-infoType für den Schutz sensibler Daten gekennzeichnet sind.Im Abschnitt
outcomewerden auch zusätzliche Variablen wie$principalHostnameund$entity_resource_namefestgelegt. Diese Variablen werden zurückgegeben und zusammen mit der Erkennung gespeichert. Wenn Sie sie in Google Security Operations aufrufen, können Sie die Variablenwerte auch als Spalten anzeigen.Im Abschnitt
conditionwird angegeben, dass das Muster nach allen UDM-Einträgen sucht, die im Abschnitteventsangegeben sind.
rule high_risk_user_download_executable_from_macro {
meta:
author = "Google Cloud Security Demos"
description = "Executable downloaded by Microsoft Excel from High Risk User"
severity = "High"
technique = "T1204.002"
events:
//Group 1. identify a proxy event with suspected executable download
$proxy_event.principal.user.userid = $user
$proxy_event.target.url = /.*\.exe$/ or
$proxy_event.network.received_bytes > 102400
//Group 2. correlate with an EDR event indicating Excel activity
$edr_event.target.user.userid = $user
$edr_event.target.process.file.full_path = /excel/ nocase
$edr_event.metadata.event_type = "NETWORK_HTTP"
//Group 3. Use the entity to find the permissions
$user_entity.graph.entity.user.userid = $user
$user_entity.graph.relations.entity.resource.name = $table_name
//Group 4. the entity is from Cloud DLP data
$table_context.graph.entity.resource.product_object_id = $table_name
$table_context.graph.metadata.product_name = "GCP DLP CONTEXT"
match:
$user over 5m
outcome:
//calculate risk score
$risk_score = max(
if( $table_context.graph.entity.resource.attribute.labels.value = "US_SOCIAL_SECURITY_NUMBER", 80)
)
$technique = array_distinct("T1204.002")
$principalHostname = array_distinct($proxy_event.principal.hostname)
$principalIp = array_distinct($proxy_event.principal.ip)
$principalMac = array_distinct($proxy_event.principal.mac)
$targetHostname = array_distinct($proxy_event.target.hostname)
$target_url = array_distinct($proxy_event.target.url)
$targetIp = array_distinct($proxy_event.target.ip)
$principalUserUserid = array_distinct($proxy_event.principal.user.userid)
$entity_resource_name = array_distinct($table_context.graph.entity.resource.name)
condition:
$proxy_event and $edr_event and $user_entity and $table_context
}
Informationen zur Erkennung
Wenn Sie die Regel anhand vorhandener Daten testen und das in der Definition angegebene Aktivitätsmuster erkannt wird, wird eine Erkennung generiert. Im Bereich Erkennung wird die Erkennung angezeigt, die nach dem Testen der Regel generiert wurde. Im Bereich Erkennung werden auch die Ereignis- und Entitätseinträge angezeigt, die dazu geführt haben, dass die Regel eine Erkennung erstellt hat. In diesem Beispiel werden die folgenden Einträge angezeigt:
- UDM-Entität für Google Cloud IAM-Analyse
- UDM-Entität für den Schutz sensibler Daten
- UDM-Ereignis „Zscaler Web Proxy“
- CrowdStrike Falcon EDR-UDM-Ereignis
Wählen Sie im Bereich Erkennung einen Ereignis- oder Entitätseintrag aus, um Details zu sehen.
Bei der Erkennung werden auch die im Abschnitt outcome der Regel definierten Variablen gespeichert. Wenn Sie die Variablen im Bereich Erkennung anzeigen möchten, wählen Sie Spalten und dann einen oder mehrere Variablennamen aus dem Menü Spalten aus. Die ausgewählten Spalten werden im Bereich Erkennung angezeigt.
Nächste Schritte
Informationen zum Erstellen benutzerdefinierter Regeln finden Sie unter Übersicht über die Sprache YARA-L 2.0.
Informationen zum Erstellen benutzerdefinierter kontextbezogener Analysen finden Sie unter Kontextbezogene Analysen erstellen.
Informationen zur Verwendung vordefinierter Bedrohungsanalysen finden Sie unter Von Google Security Operations ausgewählte Erkennungen verwenden.