Utilizzare le funzioni delle metriche per le regole di analisi del rischio

Questo documento descrive gli elementi principali delle funzionalità della sintassi YARA-L 2.0, progettate specificamente per l'analisi del rischio. Fornisce una panoramica dettagliata su come utilizzare le funzioni delle metriche specializzate per aggregare grandi quantità di dati storici, consentendo un rilevamento e un calcolo del rischio più sofisticati. Per saperne di più su YARA-L, consulta la panoramica di YARA-L 2.0.

Google Security Operations supporta una serie di funzioni di metrica, che possono aggregare grandi quantità di dati storici. Tutte le regole che utilizzano la funzione metrica vengono classificate automaticamente come regole multi-evento, anche se non hanno una sezione match e utilizzano una sola variabile evento. Ciò significa che vengono conteggiate ai fini della quota delle regole multievento.

Parametri della funzione di metrica

Puoi utilizzare le funzioni metriche per le regole che eseguono l'analisi comportamentale delle entità.

Esempio: calcolare il numero massimo di byte in uscita giornalieri per IP

L'esempio seguente mostra una regola che calcola il numero massimo di byte giornalieri inviati da un indirizzo IP specifico nell'ultimo mese. In questo caso, l'indirizzo IP è rappresentato dalla variabile segnaposto ($ip). Scopri di più sulle variabili segnaposto.

$max_bytes_per_day = max(metrics.network_bytes_outbound(
    period:1d, window:30d,
    metric:value_sum,
    agg:max,
    principal.asset.ip:$ip
))

A causa dell'elevato numero di argomenti utilizzati in queste funzioni, l'esempio utilizza parametri denominati, che possono essere specificati in qualsiasi ordine. I parametri sono i seguenti:

Periodo

Il periodo di tempo durante il quale i singoli eventi del log vengono combinati in un'unica osservazione. Gli unici valori consentiti sono 1h e 1d.

Finestra

Il periodo di tempo durante il quale le singole osservazioni vengono aggregate in un unico valore, come la media e il massimo. I valori consentiti per window si basano sul periodo della metrica. La mappatura valida è la seguente:

period:1h: window:today

period:1d: window:30d

Esempio: identificare i picchi giornalieri di autenticazioni non riuscite per un utente specifico

Esempio: identificazione del picco giornaliero di autenticazioni non riuscite per un utente specifico Il seguente esempio mostra una regola che identifica il maggior numero di tentativi di autenticazione non riusciti (max(metrics.auth_attempts_fail) registrati per un utente specifico (alice) in un solo giorno (1d), calcolato su un periodo di analisi di 30 giorni (30d):

$user = "alice"
$max_fail = max(metrics.auth_attempts_fail(
    period:1d, window:30d,
        metric:event_count_sum,
        agg:max,
        target.user.userid:$user
))

Esempio: rileva gli accessi degli utenti alla prima visualizzazione utilizzando le metriche orarie e giornaliere

Il seguente esempio mostra come combinare le funzioni delle metriche orarie e giornaliere per identificare i comportamenti "prima visualizzazione". Questa regola determina se un utente accede per la prima volta a un'applicazione specifica controllando sia gli incrementi orari del giorno corrente sia un intervallo storico più ampio di 30 giorni.

events:
    $e.metadata.event_type = "USER_LOGIN"
    $e.security_result.action = "ALLOW"
    $userid = $e.target.user.userid
    $app = $e.target.application
match:
    // find events from now - 4h ago, which is the recommended look-back period
    $userid, $app over 4h
outcome:
    // check hourly analytics until daily analytics are available
    $first_seen_today = max(metrics.auth_attempts_success(
        period:1h, window:today, metric:first_seen, agg:max,
        target.user.userid:$userid, target.application:$app))
    $first_seen_monthly = max(metrics.auth_attempts_success(
        period:1d, window:30d, metric:first_seen, agg:max,
        target.user.userid:$userid, target.application:$app))
condition:
    $e and ($first_seen_today = 0) and ($first_seen_monthly = 0)

Metrica

All'interno di ciascun periodo, a ciascuna osservazione è associata una serie di metriche. Una di queste deve essere selezionata per l'aggregazione nell'intera finestra. Sono supportati cinque tipi di metric:

• event_count_sum: numero di eventi di log unici in ogni periodo.
• first_seen: timestamp della prima visualizzazione di un evento di log corrispondente in ogni periodo.
• last_seen: il timestamp dell'ultima visualizzazione di un evento di log corrispondente in ogni periodo.
• value_sum: rappresenta la somma del numero di byte in tutti gli eventi di log combinati nel periodo. Puoi utilizzare questo valore solo per una funzione metrica con bytes nel nome.
• num_unique_filter_values: metrica non precalcolata da Google SecOps, ma che può essere calcolata durante l'esecuzione della regola. Per maggiori dettagli, vedi Conteggio delle metriche uniche.

Agg

Quale aggregazione viene applicata alla metrica. Le aggregazioni vengono applicate all'intera finestra (ad es. il valore giornaliero più alto negli ultimi 30 giorni). I valori consentiti sono:

avg: valore medio per periodo. Si tratta di una media statistica che non include valori pari a zero.

max: il valore più alto per periodo.

min: il valore più basso per periodo.

num_metric_periods: numero di periodi all'interno della finestra temporale che avevano un valore della metrica diverso da zero.

stddev: deviazione standard del valore per periodo. Questa è una deviazione standard statistica che non include valori pari a zero.

sum: somma di ogni valore per periodo, nell'intera finestra.

Ad esempio, la seguente regola indica il numero medio di tentativi di autenticazione non riusciti rilevati per un utente specifico (Alice) in un determinato giorno negli ultimi 30 giorni:

$user = "alice"
$avg_fail = max(metrics.auth_attempts_fail(
        period:1d, window:30d,
        metric:event_count_sum,
        agg:avg,
        target.user.userid:$user
))

La seguente regola indica il numero di autenticazioni riuscite di un utente specifico negli ultimi 30 giorni:

$total_success = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:event_count_sum,
        agg:sum,
        target.user.userid:$user
))

La seguente regola indica se un utente specifico ha eseguito l'accesso almeno una volta negli ultimi 30 giorni:

$days_success = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:event_count_sum,
        agg:num_metric_periods,
        target.user.userid:$user
))

La seguente regola indica la prima o l'ultima volta che un utente specifico ha eseguito l'accesso correttamente:

$first_seen = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:first_seen,
        agg:min,
        target.user.userid:$user
))
$last_seen = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:last_seen,
        agg:max,
        target.user.userid:$user
))

La seguente regola indica il numero massimo di byte inviati da un utente in un determinato giorno negli ultimi 30 giorni:

$max_daily_bytes = max(metrics.network_bytes_outbound(
        period:1d, window:30d,
        metric:value_sum,
        agg:max,
        target.user.userid:$user
))

Filtro

I filtri consentono di filtrare una metrica prima dell'aggregazione in base a un valore nella metrica precalcolata (vedi i valori in Metrica). I filtri possono essere qualsiasi espressione di eventi valida (una singola riga nella sezione degli eventi) che non contenga campi o segnaposto evento. Le uniche variabili che possono essere incluse in questa condizione sono i tipi di metrica.

La seguente regola include solo le metriche in cui value_sum > 10 AND event_count_sum > 2:

$max_bytes_per_day = max(metrics.network_bytes_outbound(
    period:1d, window:30d,
    metric:value_sum,
    agg:max,
    principal.asset.ip:$ip
    filter:value_sum > 10 AND event_count_sum > 2
))

Esempi validi di filtri

filter:value_sum > 10 AND event_count_sum != 5
filter:event_count_sum = 100 OR event_count_sum > 1000
filter:timestamp.get_day_of_week(first_seen) = 3

Esempi non validi di filtri

// No placeholders in filter expressions.
filter:value_sum > $ph

// No event fields in filter expressions.
filter:event_count_sum + $e.field > 10

// No event fields in filter expressions.
filter:timestamp.subtract(first_seen, $e.metadata.timestamp)

Campi UDM

Una metrica viene filtrata da 1, 2 o 3 campi UDM, a seconda della funzione. Per maggiori informazioni, consulta Funzioni.

Per le funzioni di metrica vengono utilizzati i seguenti tipi di campi UDM:

• Dimensioni (obbligatorio): in questa documentazione sono elencate diverse combinazioni. Non puoi unire una metrica con un valore predefinito ("" per stringa e 0 per int).
• Spazi dei nomi (facoltativo): puoi utilizzare gli spazi dei nomi solo per le entità che specifichi nelle dimensioni. Ad esempio, se utilizzi principal.asset.hostname filter, puoi utilizzare anche un principal.namespace filter. Se non includi un filtro dello spazio dei nomi, i dati di tutti gli spazi dei nomi vengono aggregati. Puoi utilizzare un valore predefinito come filtro dello spazio dei nomi.

Calcoli delle finestre

Google Security Operations calcola le metriche utilizzando una finestra di metriche giornaliera o oraria.

Finestre giornaliere

Tutte le finestre giornaliere, ad esempio 30d, vengono determinate allo stesso modo. Google Security Operations utilizza i dati delle metriche più recenti disponibili che sono stati generati e che non si sovrappongono all'intervallo di tempo della regola. Il calcolo delle metriche giornaliere può richiedere fino a 6 ore e non inizia prima della fine della giornata in UTC. I dati delle metriche per il giorno precedente saranno disponibili alle ore 06:00 UTC di ogni giorno o prima.

Ad esempio, per una regola in esecuzione sui dati degli eventi dal 31/10/2023 alle 04:00 UTC al 31/10/2023 alle 07:00 UTC, le metriche giornaliere per il 31/10/2023 saranno probabilmente state generate, quindi il calcolo delle metriche utilizzerà i dati dal 01/10/2023 al 30/10/2023 (incluso). Mentre per una regola che viene eseguita sui dati degli eventi dalle ore 1:00 UTC del 31/10/2023 alle ore 3:00 UTC del 31/10/2023, le metriche giornaliere per il 30/10/2023 probabilmente non saranno state generate, quindi il calcolo delle metriche utilizzerà i dati dal 30/09/2023 al 29/10/2023 (incluso).

Finestra oraria di today

La finestra delle metriche orarie viene calcolata in modo diverso rispetto a quella delle metriche giornaliere. La finestra delle metriche orarie di today non ha una dimensione statica come la finestra 30d per le metriche giornaliere. La finestra oraria della metrica today viene compilata con il maggior numero possibile di dati tra la fine della finestra giornaliera e l'inizio della finestra temporale della regola.

Ad esempio, per una regola che viene eseguita sui dati degli eventi dal 31/10/2023 alle 04:00:00 UTC al 31/10/2023 alle 07:00:00 UTC, il calcolo della metrica giornaliera utilizzerà i dati dal 01/10/2023 al 30/10/2023 (incluso) e la finestra della metrica oraria utilizzerà i dati dal 31/10/2023 alle 00:00:00 UTC al 31/10/2023 alle 04:00:00 UTC.

Metriche di conteggio univoco

Esiste un tipo speciale di metrica num_unique_filter_values che non viene precalcolata da Google SecOps e viene invece calcolata durante l'esecuzione di una regola. Questa operazione viene eseguita aggregando una dimensione esistente in una metrica precalcolata. Ad esempio, la metrica daily total count of distinct countries that a user attempted to authenticate può essere derivata dalla metrica precalcolata auth_attempts_total nelle dimensioni target.user.userid e principal.ip_geo_artifact.location.country_or_region eseguendo un'aggregazione univoca di conteggio nella seconda dimensione.

La seguente regola di esempio conteggia le metriche uniche:

$outcome_variable = max(metrics.auth_attempts_total(
    period: 1d,
    window: 30d,
    // This metric type indicates any filter with a wildcard value should be
    // aggregated over each day to produce a new metric on-the-fly.
    metric: num_unique_filter_values,
    agg: max,
    target.user.userid: $userid,
    // Filter whose value should be counted over each day to produce the
    // num_unique_filter_values metric.
    principal.ip_geo_artifact.location.country_or_region: *
))

Funzioni

Questa sezione include la documentazione sulle funzioni di metrica specifiche supportate da Google Security Operations.

Eventi di avviso

metrics.alert_event_name_count precalcola i valori storici per gli eventi UDM per i quali sono stati generati avvisi da Carbon Black, CrowdStrike Falcon, API Microsoft Graph Alerts o Microsoft Sentinel.

Tentativi di autenticazione

metrics.auth_attempts_total precalcola i valori storici per gli eventi UDM con un USER_LOGIN event type.

metrics.auth_attempts_success richiede inoltre che l'evento abbia avuto almeno un SecurityResult.Action di ALLOW.

metrics.auth_attempts_fail richiede invece che nessuno dei SecurityResult.Actions fosse ALLOW.

Byte in uscita DNS

metrics.dns_bytes_outbound precalcola i valori storici per gli eventi UDM in cui network.sent_bytes è maggiore di 0 e la porta di destinazione è 53/udp, 53/tcp o 3000/tcp. network.sent_bytes è disponibile come value_sum.

Query DNS

metrics.dns_queries_total precalcola i valori storici per gli eventi UDM che hanno un valore in network.dns.id.

metrics.dns_queries_success richiede inoltre che network.dns.response_code era 0 (NoError).

metrics.dns_queries_fail considera solo gli eventi con un network.dns.response_code maggiore di 0.

Esecuzioni di file

metrics.file_executions_total precalcola i valori storici per gli eventi UDM con un PROCESS_LAUNCH event type.

metrics.file_executions_success richiede inoltre che l'evento abbia avuto almeno un SecurityResult.Action di ALLOW.

metrics.file_executions_fail richiede invece che nessuno dei SecurityResult.Actions sia ALLOW.

Query HTTP

metrics.http_queries_total precalcola i valori storici per gli eventi UDM che hanno un valore in network.http.method.

metrics.http_queries_success richiede inoltre che network.http.response_code è inferiore a 400.

metrics.http_queries_fail considera solo gli eventi con un network.http.response_code è maggiore o uguale a 400.

Byte di rete

metrics.network_bytes_inbound precalcola i valori storici per gli eventi UDM che hanno un valore diverso da zero per network.received_bytes, e rende disponibile questo campo come value_sum.

metrics.network_bytes_outbound richiede un valore diverso da zero per network, sent_bytes e rende disponibile questo campo come value_sum.

metrics.network_bytes_total considera gli eventi che hanno un valore diverso da zero per network.received_bytes o network.sent_bytes (o entrambi) e rende disponibile la somma di questi due campi come value_sum.

Creazione di risorse

metrics.resource_creation_total precalcola i valori storici per gli eventi UDM con un RESOURCE_CREATION event type o un USER_RESOURCE_CREATION event type.

Per un elenco dei tipi di eventi equivalenti, vedi Tipi di eventi di metadati.

metrics.resource_creation_success richiede inoltre che l'evento abbia almeno un SecurityResult.Action di ALLOW.

Eliminazione delle risorse

metrics.resource_deletion_success precalcola i valori storici per gli eventi UDM con un RESOURCE_DELETION event type e richiede inoltre che l'evento abbia almeno un SecurityResult.Actions di ALLOW.

Lettura risorsa

metrics.resource_read_success precalcola i valori storici per gli eventi UDM con un RESOURCE_READ event type e richiede inoltre che l'evento abbia almeno un SecurityResult.Action di ALLOW.

metrics.resource_read_fail richiede invece che nessuno dei SecurityResult.Actions sia ALLOW.

Limitazioni relative alle metriche

Quando crei regole YARA-L con metriche, tieni presente le seguenti limitazioni:

• Non puoi unire una metrica con un valore predefinito ("" per la stringa e 0 per int).
• Valori predefiniti:
  • Se non sono presenti dati delle metriche corrispondenti a un evento, il valore restituito dalla funzione metrica è 0.
  • Se nel rilevamento è presente un evento senza dati delle metriche, l'utilizzo di min per l'aggregazione nella funzione potrebbe restituire 0.
  • Per verificare se sono presenti dati per un evento, puoi utilizzare l'aggregazione della metrica num_metric_periods sullo stesso evento con gli stessi filtri.
• Le funzioni delle metriche possono essere utilizzate solo nella sezione Risultato.
• Poiché le funzioni delle metriche vengono utilizzate solo nella sezione dei risultati, devono essere aggregate come qualsiasi altro valore nelle regole con una sezione di corrispondenza.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.