Menentukan skor risiko entitas dalam aturan

Dokumen ini menjelaskan cara menggunakan informasi skor risiko entitas dalam aturan. Proses ini mirip dengan menggunakan konteks entity dalam aturan. Untuk mengetahui informasi selengkapnya, lihat Membuat analisis kontekstual.

Untuk mengambil skor risiko entity, bergabunglah dengan entity yang memiliki peristiwa UDM dan ambil kolom yang ditentukan dari EntityRisk.

Contoh berikut menunjukkan cara memeriksa apakah entity dengan nama pengguna yang cocok dengan peristiwa UDM memiliki skor risiko yang dinormalisasi lebih besar dari 100.

rule EntityRiskScore {
  meta:
  events:
    $log_in.metadata.event_type = "USER_LOGIN"
    $log_in.principal.hostname = $host

    $risk_score.graph.entity.hostname = $host
    $risk_score.graph.risk_score.risk_window_size.seconds = 604800

  match:
    $host over 2m

  outcome:
    $entity_risk_score = max($risk_score.graph.risk_score.normalized_risk_score)

  condition:
    $log_in and $risk_score and $entity_risk_score > 100
}

Satu-satunya periode risiko yang mungkin untuk aturan skor risiko entitas adalah 24 jam atau 7 hari (masing-masing 86.400 atau 604.800 detik). Jika Anda tidak menyertakan ukuran jendela risiko dalam aturan, aturan akan menampilkan hasil yang tidak akurat.

Data skor risiko entitas disimpan secara terpisah dari data konteks entitas. Untuk menggunakan keduanya dalam aturan, aturan harus memiliki dua peristiwa entity terpisah, satu untuk konteks entity dan satu lagi untuk skor risiko entity, seperti yang ditunjukkan pada contoh berikut:

rule EntityContextAndRiskScore {
  meta:
  events:
    $log_in.metadata.event_type = "USER_LOGIN"
    $log_in.principal.hostname = $host

    $context.graph.entity.hostname = $host
    $context.graph.metadata.entity_type = "ASSET"

    $risk_score.graph.entity.hostname = $host
    $risk_score.graph.risk_score.risk_window_size.seconds = 604800

  match:
    $host over 2m

  outcome:
    $entity_risk_score = max($risk_score.graph.risk_score.normalized_risk_score)

  condition:
    $log_in and $context and $risk_score and $entity_risk_score > 100
}