규칙에 항목 위험 점수 지정

이 문서에서는 규칙에서 항목 위험 점수 정보를 사용하는 방법을 설명합니다. 이 프로세스는 규칙에서 항목 컨텍스트를 사용하는 것과 비슷한 방법입니다. 자세한 내용은 컨텍스트 인식 분석 만들기를 참조하세요.

항목 위험 점수를 검색하려면 항목을 UDM 이벤트에 조인하고 EntityRisk에서 지정된 필드를 검색합니다.

다음 예시는 사용자 이름이 UDM 이벤트와 일치하는 항목의 정규화된 위험 점수가 100보다 큰지 여부를 확인하는 방법을 보여줍니다.

rule EntityRiskScore {
  meta:
  events:
    $log_in.metadata.event_type = "USER_LOGIN"
    $log_in.principal.hostname = $host

    $risk_score.graph.entity.hostname = $host
    $risk_score.graph.risk_score.risk_window_size.seconds = 604800

  match:
    $host over 2m

  outcome:
    $entity_risk_score = max($risk_score.graph.risk_score.normalized_risk_score)

  condition:
    $log_in and $risk_score and $entity_risk_score > 100
}

항목 위험 점수 규칙에 사용 가능한 유일한 위험 기간은 24시간 또는 7일(각각 86,400 또는 604,800초)입니다. 규칙에 위험 기간 크기를 포함하지 않으면 규칙이 부정확한 결과를 반환합니다.

항목 위험 점수 데이터는 항목 컨텍스트 데이터와 별개로 저장됩니다. 규칙에서 둘 다 사용하려면 다음 예시에 표시된 것처럼 항목 컨텍스트와 항목 위험 점수 각각에 대해 하나씩 2개의 개별 항목 이벤트가 있어야 합니다.

rule EntityContextAndRiskScore {
  meta:
  events:
    $log_in.metadata.event_type = "USER_LOGIN"
    $log_in.principal.hostname = $host

    $context.graph.entity.hostname = $host
    $context.graph.metadata.entity_type = "ASSET"

    $risk_score.graph.entity.hostname = $host
    $risk_score.graph.risk_score.risk_window_size.seconds = 604800

  match:
    $host over 2m

  outcome:
    $entity_risk_score = max($risk_score.graph.risk_score.normalized_risk_score)

  condition:
    $log_in and $context and $risk_score and $entity_risk_score > 100
}