Messwertfunktionen für Risk Analytics-Regeln verwenden

In diesem Dokument werden die wichtigsten Elemente der YARA-L 2.0-Syntaxfunktionen beschrieben, die speziell für die Risikoanalyse entwickelt wurden. Dort finden Sie eine detaillierte Anleitung zur Verwendung spezieller Messwertfunktionen zum Aggregieren großer Mengen von Verlaufsdaten, die eine anspruchsvollere Erkennung und Risikobewertung ermöglichen. Weitere Informationen zu YARA-L finden Sie unter YARA-L 2.0 – Übersicht.

Google Security Operations unterstützt eine Reihe von Messwertfunktionen, mit denen große Mengen an Verlaufsdaten zusammengefasst werden können. Alle Regeln, für die die Messwertfunktion verwendet wird, werden automatisch als Regeln mit mehreren Ereignissen kategorisiert, auch wenn sie keinen match-Abschnitt haben und nur eine Ereignisvariable verwenden. Das bedeutet, dass sie auf das Kontingent für Regeln mit mehreren Ereignissen angerechnet werden.

Parameter von Messwertfunktionen

Sie können die Messwertfunktionen für Regeln verwenden, mit denen das Verhalten von Einheiten analysiert wird.

Beispiel: Maximale Anzahl ausgehender Byte pro IP-Adresse berechnen

Das folgende Beispiel zeigt eine Regel, mit der die maximale Anzahl der täglichen Byte berechnet wird, die im letzten Monat von einer bestimmten IP-Adresse gesendet wurden. In diesem Fall wird die IP-Adresse durch die Platzhaltervariable ($ip) dargestellt. Weitere Informationen zu Platzhaltervariablen

$max_bytes_per_day = max(metrics.network_bytes_outbound(
    period:1d, window:30d,
    metric:value_sum,
    agg:max,
    principal.asset.ip:$ip
))

Aufgrund der großen Anzahl von Argumenten, die in diesen Funktionen verwendet werden, werden im Beispiel benannte Parameter verwendet, die in beliebiger Reihenfolge angegeben werden können. Die Parameter sind:

Zeitraum

Die Dauer, in der einzelne Log-Ereignisse in eine einzelne Beobachtung kombiniert werden. Die einzigen zulässigen Werte sind 1h und 1d.

Fenster

Die Dauer, in der einzelne Beobachtungen in einen einzigen Wert zusammengefasst werden, wie Durchschnitt und Maximum. Die zulässigen Werte für window basieren auf dem Zeitraum des Messwerts. Die gültige Zuordnung sieht so aus:

period:1h: window:today

period:1d: window:30d

Beispiel: Höchste Anzahl fehlgeschlagener Authentifizierungen pro Tag für einen bestimmten Nutzer ermitteln

Beispiel: Höchste Anzahl fehlgeschlagener Authentifizierungen pro Tag für einen bestimmten Nutzer ermitteln Im folgenden Beispiel wird eine Regel veranschaulicht, mit der die höchste Anzahl fehlgeschlagener Authentifizierungsversuche (max(metrics.auth_attempts_fail) ermittelt wird, die für einen bestimmten Nutzer (alice) an einem einzelnen Tag (1d) aufgezeichnet wurden. Die Berechnung erfolgt über einen Rückblickzeitraum von 30 Tagen (30d):

$user = "alice"
$max_fail = max(metrics.auth_attempts_fail(
    period:1d, window:30d,
        metric:event_count_sum,
        agg:max,
        target.user.userid:$user
))

Beispiel: Erstanmeldungen von Nutzern mit stündlichen und täglichen Messwerten erkennen

Im folgenden Beispiel wird gezeigt, wie Sie stündliche und tägliche Messwertfunktionen kombinieren, um „first-seen“-Verhaltensweisen zu ermitteln. Mit dieser Regel wird ermittelt, ob sich ein Nutzer zum ersten Mal in einer bestimmten Anwendung anmeldet. Dazu werden sowohl die stündlichen Inkremente des aktuellen Tages als auch ein breiterer 30‑Tages-Verlauf betrachtet.

events:
    $e.metadata.event_type = "USER_LOGIN"
    $e.security_result.action = "ALLOW"
    $userid = $e.target.user.userid
    $app = $e.target.application
match:
    // find events from now - 4h ago, which is the recommended look-back period
    $userid, $app over 4h
outcome:
    // check hourly analytics until daily analytics are available
    $first_seen_today = max(metrics.auth_attempts_success(
        period:1h, window:today, metric:first_seen, agg:max,
        target.user.userid:$userid, target.application:$app))
    $first_seen_monthly = max(metrics.auth_attempts_success(
        period:1d, window:30d, metric:first_seen, agg:max,
        target.user.userid:$userid, target.application:$app))
condition:
    $e and ($first_seen_today = 0) and ($first_seen_monthly = 0)

Messwert

Innerhalb jedes Zeitraums hat jede Beobachtung eine Anzahl von Messwerten, die mit ihr verknüpft werden. Einer dieser Messwerte muss für die Zusammenfassung über das gesamte Fenster ausgewählt werden. Fünf metric-Typen werden unterstützt:

• event_count_sum: Anzahl der eindeutigen Log-Ereignisse in jedem Zeitraum.
• first_seen: Zeitstempel des ersten Auftretens eines übereinstimmenden Logereignisses in jedem Zeitraum.
• last_seen: Zeitstempel des letzten passenden Logereignisses in jedem Zeitraum.
• value_sum: Die Summe der Anzahl der Byte in allen Logereignissen im Zeitraum. Sie können diesen Wert nur für eine Messwertfunktion mit bytes im Namen verwenden.
• num_unique_filter_values: Messwert, der nicht von Google SecOps vorab berechnet wird, sondern während der Regelausführung berechnet werden kann. Weitere Informationen finden Sie unter Eindeutige Messwerte zählen.

Agg

Welche Aggregation auf den Messwert angewendet wird. Zusammenfassungen werden über das gesamte Fenster angewendet, z.B. der höchste Tageswert der letzten 30 Tage. Zulässige Werte:

avg: Durchschnittswert pro Zeitraum. Dies ist ein statistischer Mittelwert, der keine Werte von null enthält.

max: Größter Wert pro Zeitraum.

min: Kleinster Wert pro Zeitraum.

num_metric_periods: Anzahl der Zeiträume im Zeitfenster mit einem Messwert ungleich null.

stddev: Standardabweichung des Werts pro Zeitraum. Dies ist eine statistische Standardabweichung, die keine Nullwerte enthält.

sum: Summe der einzelnen Werte pro Zeitraum über den gesamten Zeitraum.

Die folgende Regel gibt beispielsweise die durchschnittliche Anzahl fehlgeschlagener Authentifizierungsversuche für einen bestimmten Nutzer (Alice) an einem beliebigen Tag in den letzten 30 Tagen an:

$user = "alice"
$avg_fail = max(metrics.auth_attempts_fail(
        period:1d, window:30d,
        metric:event_count_sum,
        agg:avg,
        target.user.userid:$user
))

Die folgende Regel gibt an, wie viele erfolgreiche Authentifizierungen ein bestimmter Nutzer in den letzten 30 Tagen hatte:

$total_success = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:event_count_sum,
        agg:sum,
        target.user.userid:$user
))

Die folgende Regel gibt an, ob sich ein bestimmter Nutzer in den letzten 30 Tagen mindestens einmal erfolgreich angemeldet hat:

$days_success = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:event_count_sum,
        agg:num_metric_periods,
        target.user.userid:$user
))

Die folgende Regel gibt an, wann sich ein bestimmter Nutzer zum ersten oder letzten Mal erfolgreich angemeldet hat:

$first_seen = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:first_seen,
        agg:min,
        target.user.userid:$user
))
$last_seen = max(metrics.auth_attempts_success(
        period:1d, window:30d,
        metric:last_seen,
        agg:max,
        target.user.userid:$user
))

Die folgende Regel gibt die maximale Anzahl von Byte an, die ein Nutzer an einem beliebigen Tag in den letzten 30 Tagen gesendet hat:

$max_daily_bytes = max(metrics.network_bytes_outbound(
        period:1d, window:30d,
        metric:value_sum,
        agg:max,
        target.user.userid:$user
))

Filter

Mit Filtern können Messwerte vor der Zusammenfassung nach einem Wert im vorberechneten Messwert gefiltert werden (siehe Werte unter Messwert). Filter können beliebige gültige Ereignisausdrücke (eine einzelne Zeile im Ereignisbereich) sein, die keine Ereignisfelder oder Platzhalter enthalten. In dieser Bedingung können nur Messwerttypen enthalten sein.

Die folgende Regel enthält nur Messwerte, bei denen value_sum > 10 AND event_count_sum > 2:

$max_bytes_per_day = max(metrics.network_bytes_outbound(
    period:1d, window:30d,
    metric:value_sum,
    agg:max,
    principal.asset.ip:$ip
    filter:value_sum > 10 AND event_count_sum > 2
))

Gültige Beispiele für Filter

filter:value_sum > 10 AND event_count_sum != 5
filter:event_count_sum = 100 OR event_count_sum > 1000
filter:timestamp.get_day_of_week(first_seen) = 3

Beispiele für ungültige Filter

// No placeholders in filter expressions.
filter:value_sum > $ph

// No event fields in filter expressions.
filter:event_count_sum + $e.field > 10

// No event fields in filter expressions.
filter:timestamp.subtract(first_seen, $e.metadata.timestamp)

UDM-Felder

Ein Messwert wird je nach Funktion nach 1, 2 oder 3 UDM-Feldern gefiltert. Weitere Informationen finden Sie unter Funktionen.

Die folgenden Arten von UDM-Feldern werden für Messwertfunktionen verwendet:

• Dimensionen: (Erforderlich) In dieser Dokumentation sind verschiedene Kombinationen aufgeführt. Sie können keinen Messwert mit einem Standardwert ("" für String und 0 für Integer) verknüpfen.
• Namespaces: Optional. Sie können Namespaces nur für Entitäten verwenden, die Sie in Dimensionen angeben. Wenn Sie beispielsweise principal.asset.hostname filter verwenden, können Sie auch principal.namespace filter verwenden. Wenn Sie keinen Namespace-Filter einfügen, werden die Daten aus allen Namespaces zusammengefasst. Sie können einen Standardwert als Namespace-Filter verwenden.

Berechnungen für Zeiträume

Google Security Operations berechnet Messwerte entweder mit einem täglichen oder stündlichen Messwertzeitraum.

Tägliche Fenster

Alle täglichen Zeiträume, z. B. 30d, werden auf dieselbe Weise bestimmt. Google Security Operations verwendet die neuesten verfügbaren Messwertdaten, die generiert wurden und sich nicht mit dem Zeitbereich der Regel überschneiden. Die Berechnung der täglichen Messwerte kann bis zu 6 Stunden dauern und beginnt erst am Ende des Tages in UTC. Messwertdaten für den Vortag sind täglich um 6:00 Uhr UTC oder früher verfügbar.

Bei einer Regel, die für Ereignisdaten vom 31.10.2023, 4:00 Uhr UTC bis zum 31.10.2023, 7:00 Uhr UTC ausgeführt wird, sind die täglichen Messwerte für den 31.10.2023 wahrscheinlich bereits generiert. Für die Messwertberechnung werden also die Daten vom 01.10.2023 bis zum 30.10.2023 (einschließlich) verwendet. Bei einer Regel, die für Ereignisdaten vom 31.10.2023, 1:00 Uhr UTC bis zum 31.10.2023, 3:00 Uhr UTC ausgeführt wird, sind die täglichen Messwerte für den 30.10.2023 wahrscheinlich noch nicht generiert. Für die Berechnung der Messwerte werden daher die Daten vom 30.09.2023 bis zum 29.10.2023 (einschließlich) verwendet.

Stündliches today-Zeitfenster

Das Zeitfenster für stündliche Messwerte wird anders berechnet als das für tägliche Messwerte. Das stündliche Messwertfenster von today hat keine statische Größe wie das 30d-Fenster für tägliche Messwerte. Das stündliche Messwertfenster today füllt so viele Daten wie möglich zwischen dem Ende des täglichen Fensters und dem Beginn des Zeitfensters für die Regel aus.

Bei einer Regel, die für Ereignisdaten vom 31.10.2023, 04:00:00 Uhr UTC bis zum 31.10.2023, 07:00:00 Uhr UTC ausgeführt wird, werden für die Berechnung der täglichen Messwerte die Daten vom 01.10.2023 bis zum 30.10.2023 (einschließlich) verwendet. Für das Fenster mit stündlichen Messwerten werden Daten vom 31.10.2023, 00:00:00 Uhr UTC bis zum 31.10.2023, 04:00:00 Uhr UTC verwendet.

Messwerte für eindeutige Nutzer zählen

Es gibt einen speziellen Messwerttyp num_unique_filter_values, der nicht von Google SecOps vorab berechnet, sondern während der Ausführung einer Regel berechnet wird. Dazu wird ein vorberechneter Messwert nach einer vorhandenen Dimension zusammengefasst. Der Messwert daily total count of distinct countries that a user attempted to authenticate kann beispielsweise aus dem vorberechneten Messwert auth_attempts_total für die Dimensionen target.user.userid und principal.ip_geo_artifact.location.country_or_region abgeleitet werden, indem eine „count unique“-Zusammenfassung für die letztere Dimension durchgeführt wird.

Mit der folgenden Beispielregel werden eindeutige Messwerte gezählt:

$outcome_variable = max(metrics.auth_attempts_total(
    period: 1d,
    window: 30d,
    // This metric type indicates any filter with a wildcard value should be
    // aggregated over each day to produce a new metric on-the-fly.
    metric: num_unique_filter_values,
    agg: max,
    target.user.userid: $userid,
    // Filter whose value should be counted over each day to produce the
    // num_unique_filter_values metric.
    principal.ip_geo_artifact.location.country_or_region: *
))

Funktionen

Dieser Abschnitt enthält Dokumentation zu den spezifischen Messwertfunktionen, die von Google Security Operations unterstützt werden.

Benachrichtigungsereignisse

metrics.alert_event_name_count berechnet historische Werte für UDM-Ereignisse vor, für die Warnungen von Carbon Black, CrowdStrike Falcon, Microsoft Graph API Alerts oder Microsoft Sentinel generiert wurden.

Authentifizierungsversuche

metrics.auth_attempts_total berechnet historische Werte für UDM-Ereignisse mit einem USER_LOGIN event type vor.

Für metrics.auth_attempts_success ist außerdem erforderlich, dass das Ereignis mindestens eine SecurityResult.Action von ALLOW hatte.

Bei metrics.auth_attempts_fail darf keines der SecurityResult.Actions ALLOW sein.

Ausgehende DNS-Bytes

metrics.dns_bytes_outbound berechnet historische Werte für UDM-Ereignisse vor, bei denen network.sent_bytes größer als 0 ist und der Zielport 53/udp, 53/tcp oder 3000/tcp ist. network.sent_bytes ist als value_sum verfügbar.

DNS-Abfragen

metrics.dns_queries_total berechnet historische Werte für UDM-Ereignisse vor, die einen Wert in network haben.dns.id.

metrics.dns_queries_success erfordert außerdem, dass die network.dns.response_code war 0 (NoError).

Bei metrics.dns_queries_fail werden nur Ereignisse mit einem network berücksichtigt.dns.response_code größer als 0.

Dateiausführungen

metrics.file_executions_total berechnet historische Werte für UDM-Ereignisse mit einem PROCESS_LAUNCH event type vor.

Für metrics.file_executions_success ist außerdem erforderlich, dass das Ereignis mindestens eine SecurityResult.Action von ALLOW hatte.

Für metrics.file_executions_fail darf keines der SecurityResult.Actions ALLOW sein.

HTTP-Anfragen

metrics.http_queries_total berechnet historische Werte für UDM-Ereignisse vor, die einen Wert in network haben.http.method.

metrics.http_queries_success erfordert außerdem, dass network.http.response_code ist kleiner als 400.

Bei metrics.http_queries_fail werden nur Ereignisse mit einem network berücksichtigt.http.response_code ist größer als oder gleich 400.

Netzwerk-Byte

metrics.network_bytes_inbound berechnet historische Werte für UDM-Ereignisse vor, die einen Wert ungleich null für network haben.received_bytes Das Feld ist dann als value_sum verfügbar.

metrics.network_bytes_outbound erfordert einen Wert ungleich null für network.sent_bytes und macht dieses Feld als value_sum verfügbar.

Bei metrics.network_bytes_total werden Ereignisse berücksichtigt, die einen Wert ungleich null für network.received_bytes oder network.sent_bytes (oder beides) haben. Die Summe dieser beiden Felder ist als value_sum verfügbar.

Ressourcenerstellung

metrics.resource_creation_total berechnet historische Werte für UDM-Ereignisse mit einem RESOURCE_CREATION event type oder einem USER_RESOURCE_CREATION event type vor.

Eine Liste der entsprechenden Ereignistypen finden Sie unter Metadaten-Ereignistypen.

Für metrics.resource_creation_success muss das Ereignis außerdem mindestens ein SecurityResult.Action von ALLOW haben.

Ressourcen löschen

metrics.resource_deletion_success berechnet historische Werte für UDM-Ereignisse mit einem RESOURCE_DELETION event type vorab und erfordert außerdem, dass das Ereignis mindestens einen SecurityResult.Actions von ALLOW hat.

Ressource lesen

metrics.resource_read_success berechnet historische Werte für UDM-Ereignisse mit einem RESOURCE_READ event type vorab und erfordert außerdem, dass das Ereignis mindestens einen SecurityResult.Action von ALLOW hat.

Für metrics.resource_read_fail darf keines der SecurityResult.Actions ALLOW sein.

Einschränkungen bei Messwerten

Beachten Sie beim Erstellen von YARA-L-Regeln mit Messwerten die folgenden Einschränkungen:

• Sie können keinen Messwert mit einem Standardwert ("" für String und 0 für Integer) verknüpfen.
• Standardwerte:
  • Wenn keine Messwertdaten für ein Ereignis vorhanden sind, ist der zurückgegebene Wert der Messwertfunktion 0.
  • Wenn ein Ereignis in der Erkennung keine Messwertdaten hat, kann die Aggregation über die Funktion mit min den Wert 0 zurückgeben.
  • Wenn Sie prüfen möchten, ob Daten für ein Ereignis vorhanden sind, können Sie die Aggregation num_metric_periods für dieses Ereignis mit denselben Filtern verwenden.
• Messwertfunktionen können nur im Ergebnisabschnitt verwendet werden.
• Da Messwertfunktionen nur im Ergebnisabschnitt verwendet werden, müssen sie wie alle anderen Werte in Regeln mit einem Abgleichsabschnitt aggregiert werden.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten