항목 전용 규칙을 사용하는 위험 기반 알림
다음에서 지원:
Google secops
SIEM
ENTITY_RISK_CHANGE 통합 데이터 모델 (UDM) 이벤트 유형을 사용하면 수집된 이벤트와 독립적으로 트리거되는 YARA-L 감지 규칙을 작성할 수 있습니다. 이 기능을 사용하면 엔티티의 위험 점수 변화에만 집중할 수 있으므로 Google Security Operations에서 엔티티 위험 수준의 변화를 감지하고 알리는 데 필요한 시간이 크게 줄어듭니다. 이 문서에서는 규칙에서 이 UDM 이벤트 유형을 사용하여 위험 점수를 모니터링하는 방법을 설명합니다.
검색에서 다음 YARA-L 문법을 사용하여 ENTITY_RISK_CHANGE 태그가 지정된 이벤트를 표시할 수 있습니다. 원시 로그 검색은 엔티티 검색을 지원하지 않습니다.
metadata.event_type = "ENTITY_RISK_CHANGE"
예: ENTITY_RISK_CHANGE 규칙
이 섹션에서는 효율적인 위험 추적을 위한 두 가지 단일 이벤트 규칙 예를 보여줍니다. 이를 통해 멀티 이벤트 규칙의 복잡성과 하한을 피할 수 있습니다. 규칙 할당량에 대한 자세한 내용은 디스플레이 규칙 할당량을 참고하세요.
항목의 위험 점수가 100을 초과하는 경우 감지
다음 예시 규칙은 ENTITY_RISK_CHANGE 이벤트 유형을 사용하여 항목의 위험 점수가 100을 초과하는 경우를 감지합니다.
rule entity_only_risk_change {
meta:
author = "test@google.com"
description = "Alert on entities crossing a threshold"
events:
// Check only Entity Risk Change events
$e1.metadata.event_type = "ENTITY_RISK_CHANGE"
// Check for a Risk Score change with 100 as the threshold
$e1.extensions.entity_risk.risk_score >= 100
outcome:
// Reset risk score to prevent feedback
$risk_score = 0
condition:
$e1
}
위험 점수가 0보다 큰 항목 필터링
다음 예시 규칙은 ENTITY_RISK_CHANGE 이벤트 유형을 사용하여 항목의 위험 점수가 0을 초과하는 시점을 추적합니다.
rule entity_only_risk {
meta:
author = "test@google.com"
description = "Track changing risk per hostname"
events:
// Filter for Risk Change events with risk scores greater than 0
$e1.metadata.event_type = "ENTITY_RISK_CHANGE"
$e1.extensions.entity_risk.risk_score > 0
// Deduplication
$e1.extensions.entity_risk.risk_window_has_new_detections = true
// Aggregation data
$hostname = $e1.about.hostname
$risk_score = $e1.extensions.entity_risk.risk_score
match:
$hostname over 5m
outcome:
$calculated_risk_score = sum($risk_score)
$single_risk_score = max($risk_score)
condition:
$e1
}
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.