Especifica la puntuación de riesgo de la entidad en las reglas

En este documento, se describe cómo usar la información de puntuación de riesgo de la entidad en las reglas. Este proceso es similar al uso del contexto de la entidad en las reglas. Para obtener más información, consulta Cómo crear estadísticas contextuales.

Para recuperar una puntuación de riesgo de la entidad, une una entidad con un evento de UDM y recupera el campo especificado de EntityRisk.

En el siguiente ejemplo, se muestra cómo verificar si una entidad con un nombre de usuario que coincide con el evento de UDM tiene una puntuación de riesgo normalizada superior a 100.

rule EntityRiskScore {
  meta:
  events:
    $log_in.metadata.event_type = "USER_LOGIN"
    $log_in.principal.hostname = $host

    $risk_score.graph.entity.hostname = $host
    $risk_score.graph.risk_score.risk_window_size.seconds = 604800

  match:
    $host over 2m

  outcome:
    $entity_risk_score = max($risk_score.graph.risk_score.normalized_risk_score)

  condition:
    $log_in and $risk_score and $entity_risk_score > 100
}

Los únicos períodos de riesgo posibles para las reglas de puntuación de riesgo de la entidad son de 24 horas o 7 días (86,400 o 604,800 segundos, respectivamente). Si no incluyes el tamaño del período de riesgo en la regla, esta mostrará resultados imprecisos.

Los datos de la puntuación de riesgo de la entidad se almacenan por separado de los datos del contexto de la entidad. Para usar ambas reglas, esta debe tener dos eventos de entidad separados, uno para el contexto de la entidad y otro para la puntuación de riesgo de la entidad, como se muestra en el siguiente ejemplo:

rule EntityContextAndRiskScore {
  meta:
  events:
    $log_in.metadata.event_type = "USER_LOGIN"
    $log_in.principal.hostname = $host

    $context.graph.entity.hostname = $host
    $context.graph.metadata.entity_type = "ASSET"

    $risk_score.graph.entity.hostname = $host
    $risk_score.graph.risk_score.risk_window_size.seconds = 604800

  match:
    $host over 2m

  outcome:
    $entity_risk_score = max($risk_score.graph.risk_score.normalized_risk_score)

  condition:
    $log_in and $context and $risk_score and $entity_risk_score > 100
}