Sensitive Data Protection-Daten für kontextsensitive Analysen verwenden
In diesem Dokument wird gezeigt, wie Sie Daten zum Entitätskontext aus dem Schutz sensibler Daten und zusätzlichen Protokollquellen verwenden, um bei der Durchführung einer Untersuchung Kontextinformationen zur Auswirkung und zum Umfang einer potenziellen Bedrohung zu erhalten.
Der in diesem Dokument beschriebene Anwendungsfall erkennt die Ausführung einer Datei von einem Nutzer (MITRE ATT&CK-Technik T1204.002) und ob dieser Nutzer auch Zugriff auf sensible Daten an anderer Stelle auf der Netzwerk.
In diesem Beispiel müssen die folgenden Daten aufgenommen und normalisiert wurden in Google Security Operations:
- Daten zur Nutzeraktivität anhand von Netzwerk- und EDR-Protokollen.
- Ressourcenbeziehungen aus Datenquellen wie Google Cloud IAM Analysis.
- Protokolle für den Schutz sensibler Daten, die Labels zum Typ und zur Sensibilität der gespeicherten Daten enthalten.
Google Security Operations muss in der Lage sein, die Rohdaten in ein Unified Data Model (UDM) zu parsen. Entitäts- und Ereignisdatensätze.
Informationen zur Aufnahme von Schutzdaten sensibler Daten in Google Security Operations finden Sie unter Daten zum Schutz sensibler Daten nach Google Security Operations exportieren
Google Cloud IAM-Analysedaten
In den Protokolldaten der Google Cloud IAM-Analyse in diesem Beispiel werden Nutzer in der Organisation identifiziert und die Beziehungen der einzelnen Nutzer zu anderen Systemen im Netzwerk erfasst. Im Folgenden finden Sie ein Snippet eines IAM-Analyselogs, das als UDM-Entitätsdatensatz gespeichert ist. Es werden Informationen zum Nutzer mikeross gespeichert, der die BigQuery-Tabelle analytics:claim.patients verwaltet.
metadata.vendor_name: "Google Cloud Platform"
metadata.product_name: "GCP IAM Analysis"
metadata.entity_type: "USER"
entity.user.userid: "mikeross"
relations[2].entity.resource.name: "analytics:claim.patients"
relations[2].entity.resource.resource_type: "TABLE"
relations[2].entity_type: "RESOURCE"
relations[2].relationship: "ADMINISTERS"
Sensitive Data Protection-Daten
In den Protokolldaten zum Schutz sensibler Daten in diesem Beispiel werden Informationen zu einer BigQuery-Tabelle gespeichert. Im Folgenden finden Sie einen Ausschnitt aus einem Protokoll für den Schutz sensibler Daten, das als UDM-Entität gespeichert ist.
Datensatz. Sie stellt die BigQuery-Tabelle analytics:claim.patients mit
das Predicted InfoType-Label US_SOCIAL_SECURITY_NUMBER, was bedeutet, dass die
Tabelle mit US-amerikanischen Sozialversicherungsnummern.
metadata.vendor_name: "Google Cloud Platform"
metadata.product_name: "GCP DLP CONTEXT"
metadata.entity_type: "RESOURCE"
metadata.description: "RISK_HIGH"
entity.resource.resource_type: "TABLE"
entity.resource.resource_subtype: "BigQuery Table"
entity.resource.attribute.cloud.environment"GOOGLE_CLOUD_PLATFORM"
entity.resource.attribute.labels[0].key: "Sensitivity Score"
entity.resource.attribute.labels[0].value: "SENSITIVITY_HIGH"
entity.resource.attribute.labels[1].key: "Predicted InfoType"
entity.resource.attribute.labels[1].value: "US_SOCIAL_SECURITY_NUMBER"
entity.resource.product_object_id: "analytics:claim.patients"
Web-Proxy-Ereignisse
Das Webproxy-Ereignis in diesem Beispiel erfasst Netzwerkaktivitäten. Im folgenden Snippet ist ein Zscaler-Webproxy-Log zu sehen, das als UDM-Ereignisabsatz gespeichert wurde. Es wird ein Netzwerkdownloadereignis einer ausführbaren Datei durch den Nutzer mit dem userid-Wert mikeross erfasst, wobei der received_bytes-Wert 514605 ist.
metadata.log_type = "ZSCALER_WEBPROXY"
metadata.product_name = "NSS"
metadata.vendor_name = "Zscaler"
metadata.event_type = "NETWORK_HTTP"
network.http.response_code = 200
network.received_bytes = 514605
principal.user.userid = "mikeross"
target.url = "http://manygoodnews.com/dow/Client%20Update.exe"
EDR-Ereignisse
Das EDR-Ereignis in diesem Beispiel erfasst Aktivitäten auf einem Endpunktgerät. Das folgende Snippet ist ein CrowdStrike Falcon EDR-Log, das als UDM-Ereignisprotokoll gespeichert ist. Es erfasst ein Netzwerkereignis, das die Microsoft Excel-Anwendung betrifft.
und ein Nutzer mit dem userid-Wert mikeross.
metadata.log_type = "CS_EDR"
metadata.product_name = "Falcon"
metadata.vendor_name = "Crowdstrike"
metadata.event_type = "NETWORK_HTTP"
target.process.file.full_path = "\\Device\\HarddiskVolume1\\Program Files\\C:\\Program Files\\Microsoft Office\\Office16\\EXCEL.exe"
target.url = "http://manygoodnews.com/dow/Client%20Update.exe"
target.user.userid = "mikeross"
Beachten Sie, dass diese Einträge gemeinsame Informationen enthalten, sowohl die Nutzer-ID mikeross als auch den Tabellennamen analytics:claim.patients. Im nächsten Abschnitt dieses Dokuments wird gezeigt, wie diese Werte in der Regel zum Zusammenführen der Datensätze verwendet werden.
Regel der Erkennungs-Engine in diesem Beispiel
Diese Beispielregel erkennt die Ausführung einer schädlichen Datei durch einen Nutzer (MITRE) ATT&CK-Technik T1204.002:
Die Regel weist einer Erkennung einen höheren Risikowert zu, wenn der Nutzer auf sensible Daten an anderer Stelle im Netzwerk zugreifen. Die Regel korreliert die folgenden Informationen:
- Nutzeraktivität, z. B. das Herunterladen oder Starten einer ausführbaren Datei.
- Die Beziehung zwischen Ressourcen, zum Beispiel die Beziehung des Nutzers zu einem BigQuery-Tabelle.
- Vorhandensein vertraulicher Informationen in der Ressource, auf die ein Nutzer zugreifen kann, Beispiel für den in der BigQuery-Tabelle gespeicherten Datentyp.
Im Folgenden finden Sie eine Beschreibung der einzelnen Abschnitte der Beispielregel.
Im Abschnitt
eventswird das Datenmuster angegeben, nach dem die Regel sucht. Er enthält Folgendes:- In Gruppe 1 und Gruppe 2 werden Netzwerk- und EDR-Ereignisse erfasst, die den Download einer großen Datenmenge oder einer ausführbaren Datei erfassen, die sich auch auf Aktivitäten in der Excel-Anwendung beziehen.
- In Gruppe 3 werden Datensätze identifiziert, bei denen der in den Netzwerk- und EDR-Ereignissen angegebene Nutzer auch Berechtigungen für eine BigQuery-Tabelle hat.
- In Gruppe 4 werden Datensätze zum Schutz sensibler Daten für die BigQuery-Tabelle angegeben, auf die der Nutzer Zugriff hat.
In jeder Gruppe von Ausdrücken wird entweder die Variable
$table_nameoder$userverwendet um Einträge zu derselben Nutzer- und Datenbanktabelle zu verknüpfen.Im Abschnitt
outcomewird durch die Regel eine$risk_score-Variable erstellt und ein Wert festgelegt, der von der Vertraulichkeit der Daten in der Tabelle abhängt. In diesem Fall wird geprüft, sind die Daten mit demUS_SOCIAL_SECURITY_NUMBERinfoType für den Schutz sensibler Daten.Im Bereich
outcomewerden auch zusätzliche Variablen festgelegt, z. B.$principalHostnameund$entity_resource_name. Diese Variablen werden zurückgegeben und zusammen mit der Erkennung gespeichert. Wenn Sie sie in Google Security Operations aufrufen, können Sie die Variablenwerte auch als Spalten anzeigen.Im Abschnitt
conditionwird angegeben, dass das Muster nach allen UDM-Einträgen sucht, die im Abschnitteventsangegeben sind.
rule high_risk_user_download_executable_from_macro {
meta:
author = "Google Cloud Security Demos"
description = "Executable downloaded by Microsoft Excel from High Risk User"
severity = "High"
technique = "T1204.002"
events:
//Group 1. identify a proxy event with suspected executable download
$proxy_event.principal.user.userid = $user
$proxy_event.target.url = /.*\.exe$/ or
$proxy_event.network.received_bytes > 102400
//Group 2. correlate with an EDR event indicating Excel activity
$edr_event.target.user.userid = $user
$edr_event.target.process.file.full_path = /excel/ nocase
$edr_event.metadata.event_type = "NETWORK_HTTP"
//Group 3. Use the entity to find the permissions
$user_entity.graph.entity.user.userid = $user
$user_entity.graph.relations.entity.resource.name = $table_name
//Group 4. the entity is from Cloud DLP data
$table_context.graph.entity.resource.product_object_id = $table_name
$table_context.graph.metadata.product_name = "GCP DLP CONTEXT"
match:
$user over 5m
outcome:
//calculate risk score
$risk_score = max(
if( $table_context.graph.entity.resource.attribute.labels.value = "US_SOCIAL_SECURITY_NUMBER", 80)
)
$technique = array_distinct("T1204.002")
$principalHostname = array_distinct($proxy_event.principal.hostname)
$principalIp = array_distinct($proxy_event.principal.ip)
$principalMac = array_distinct($proxy_event.principal.mac)
$targetHostname = array_distinct($proxy_event.target.hostname)
$target_url = array_distinct($proxy_event.target.url)
$targetIp = array_distinct($proxy_event.target.ip)
$principalUserUserid = array_distinct($proxy_event.principal.user.userid)
$entity_resource_name = array_distinct($table_context.graph.entity.resource.name)
condition:
$proxy_event and $edr_event and $user_entity and $table_context
}
Informationen zur Erkennung
Wenn Sie die Regel mit vorhandenen Daten testen und das Muster definiert haben, wird eine Erkennung generiert. Die Erkennung zeigt die Erkennung an, die nach dem Testen der Regel generiert wurde. Die Im Bereich Erkennung werden außerdem die Ereignis- und Entitätseinträge angezeigt, die das Ereignis verursacht haben. zum Erstellen einer Erkennung. In diesem Beispiel werden die folgenden Einträge angezeigt:
- UDM-Entität in Google Cloud IAM Analysis
- UDM-Entität für den Schutz sensibler Daten
- UDM-Ereignis „Zscaler Web Proxy“
- CrowdStrike Falcon EDR-UDM-Ereignis
Wählen Sie im Bereich Erkennung einen Ereignis- oder Entitätseintrag aus, um Details zu sehen.
Bei der Erkennung werden auch die im Abschnitt outcome der Regel definierten Variablen gespeichert. Wenn Sie die Variablen im Bereich Erkennung anzeigen möchten, wählen Sie Spalten und dann einen oder mehrere Variablennamen aus dem Menü Spalten aus. Die ausgewählten Spalten werden im Bereich Erkennung angezeigt.
Nächste Schritte
Informationen zum Schreiben benutzerdefinierter Regeln finden Sie unter Übersicht über die Sprache YARA-L 2.0
Informationen zum Erstellen benutzerdefinierter kontextbezogener Analysen finden Sie unter Kontextbezogene Analysen erstellen.
Informationen zur Verwendung vordefinierter Bedrohungsanalysen finden Sie unter Von Google Security Operations ausgewählte Erkennungen verwenden.