在规则中指定实体风险得分

支持的平台:

本文档介绍了如何在规则中使用实体风险信号。在规则中,实体风险信号的行为方式与实体情境类似。您可以编写 YARA-L 2.0 规则,以将风险得分用作主要检测方法。如需详细了解风险分析规则,请参阅为风险分析创建规则。如需详细了解更多基于风险的上下文,请参阅创建感知上下文的分析

如需检索实体风险得分,请将实体与 UDM 事件联接,然后从 EntityRisk 检索指定字段。

以下示例展示了如何创建规则,以便针对风险得分高于 100 的任何实体主机名生成检测结果。

rule EntityRiskScore {
  meta:
  events:
    $e1.principal.hostname != ""
    $e1.principal.hostname = $hostname

    $e2.graph.entity.hostname = $hostname
    $e2.graph.risk_score.risk_window_size.seconds = 86400 // 24 hours
    $e2.graph.risk_score.risk_score >= 100

    // Run deduplication across the risk score.
    $rscore = $e2.graph.risk_score.risk_score

  match:
    // Dedup on hostname and risk score across a 4 hour window.
    $hostname, $rscore over 4h

  outcome:
    // Force these risk score based rules to have a risk score of zero to
    // prevent self feedback loops.
    $risk_score = 0

  condition:
    $e1 and $e2
}

此示例规则还使用匹配部分执行了自去重操作。如果某个规则检测可能会触发,但主机名和风险信号在 4 小时内保持不变,则系统不会创建新的检测。

实体风险评分规则的唯一可能风险窗口期为 24 小时或 7 天(分别为 86,400 秒或 604,800 秒)。如果您未在规则中添加风险信号期大小,该规则将返回不准确的结果。

实体风险评分数据与实体情境数据分开存储。如需在规则中同时使用这两者,该规则必须包含两个单独的实体事件,一个用于实体情境,另一个用于实体风险评分,如以下示例所示:

rule EntityContextAndRiskScore {
  meta:
  events:
    $log_in.metadata.event_type = "USER_LOGIN"
    $log_in.principal.hostname = $host

    $context.graph.entity.hostname = $host
    $context.graph.metadata.entity_type = "ASSET"

    $risk_score.graph.entity.hostname = $host
    $risk_score.graph.risk_score.risk_window_size.seconds = 604800

  match:
    $host over 2m

  outcome:
    $entity_risk_score = max($risk_score.graph.risk_score.normalized_risk_score)

  condition:
    $log_in and $context and $risk_score and $entity_risk_score > 100
}

需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。