Specifica il punteggio di rischio dell'entità nelle regole

Questo documento descrive come utilizzare le informazioni sul punteggio di rischio delle entità nelle regole. Questa procedura è simile all'utilizzo del contesto delle entità nelle regole. Per ulteriori informazioni, consulta la sezione Creazione di analisi sensibili al contesto.

Per recuperare un punteggio di rischio dell'entità, unisci un'entità con un evento UDM e recupera il campo specificato da EntityRisk.

L'esempio seguente mostra come verificare se un'entità con un nome utente corrispondente all'evento UDM ha un punteggio di rischio normalizzato maggiore di 100.

rule EntityRiskScore {
  meta:
  events:
    $log_in.metadata.event_type = "USER_LOGIN"
    $log_in.principal.hostname = $host

    $risk_score.graph.entity.hostname = $host
    $risk_score.graph.risk_score.risk_window_size.seconds = 604800

  match:
    $host over 2m

  outcome:
    $entity_risk_score = max($risk_score.graph.risk_score.normalized_risk_score)

  condition:
    $log_in and $risk_score and $entity_risk_score > 100
}

Le uniche finestre di rischio possibili per le regole del punteggio di rischio dell'entità sono di 24 ore o 7 giorni (rispettivamente 86.400 o 604.800 secondi). Se non includi la dimensione della finestra di rischio nella regola, la regola restituirà risultati imprecisi.

I dati relativi al punteggio di rischio entità sono archiviati separatamente dai dati contestuali delle entità. Per utilizzare entrambe le regole in una regola, la regola deve avere due eventi di entità separati, uno per il contesto dell'entità e uno per il punteggio di rischio dell'entità, come mostrato nell'esempio seguente:

rule EntityContextAndRiskScore {
  meta:
  events:
    $log_in.metadata.event_type = "USER_LOGIN"
    $log_in.principal.hostname = $host

    $context.graph.entity.hostname = $host
    $context.graph.metadata.entity_type = "ASSET"

    $risk_score.graph.entity.hostname = $host
    $risk_score.graph.risk_score.risk_window_size.seconds = 604800

  match:
    $host over 2m

  outcome:
    $entity_risk_score = max($risk_score.graph.risk_score.normalized_risk_score)

  condition:
    $log_in and $context and $risk_score and $entity_risk_score > 100
}