Wir haben unsere Navigationsstruktur neu organisiert, um sie direkt an Ihre Arbeitsabläufe anzupassen. Weitere Informationen finden Sie in den Versionshinweisen zu Google SecOps.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Risikobasierte Benachrichtigungen aktivieren

Unterstützt in:

Google SecOps SIEM

Mit dem UDM-Ereignistyp (ENTITY_RISK_CHANGE) können Sie YARA-L-Erkennungsregeln schreiben, die unabhängig von aufgenommenen Ereignissen ausgelöst werden. So können Sie sich speziell auf Änderungen der Risikobewertung einer Entität konzentrieren. Dadurch wird die Zeit, die Google Security Operations benötigt, um sich ändernde Risikostufen von Entitäten zu erkennen und Benachrichtigungen zu senden, erheblich verkürzt. In diesem Dokument wird erläutert, wie Sie Risikobewertungen mit diesem UDM-Ereignistyp in Ihren Regeln im Blick behalten.

In der Suche können Sie Ereignisse anzeigen, die mit ENTITY_RISK_CHANGE getaggt sind. Verwenden Sie dazu die folgende YARA-L-Syntax. Beachten Sie, dass die Suche in Rohlogs keine Entitätssuche unterstützt.

metadata.event_type = "ENTITY_RISK_CHANGE"

Beispiele: ENTITY_RISK_CHANGE-Regeln

In diesem Abschnitt werden zwei Beispiele für Regeln mit einem einzelnen Ereignis für eine effiziente Risikoverfolgung gezeigt. So können Sie die Komplexität und die niedrigeren Limits von Regeln mit mehreren Ereignissen vermeiden. Informationen zum Kontingent für Regeln finden Sie unter Kontingent für Regeln anzeigen.

Erkennen, wenn die Risikobewertung einer Entität 100 übersteigt

In der folgenden Beispielregel wird der Ereignistyp ENTITY_RISK_CHANGE verwendet, um zu erkennen, wenn die Risikobewertung einer Entität 100 übersteigt:

rule entity_only_risk_change {
  meta:
    author = "test@google.com"
    description = "Alert on entities crossing a threshold"
  events:
    // Check only Entity Risk Change events
    $e1.metadata.event_type = "ENTITY_RISK_CHANGE"

    // Check for a Risk Score change with 100 as the threshold 
    $e1.extensions.entity_risk.risk_score >= 100

  outcome:
    // Reset risk score to prevent feedback
    $risk_score = 0

  condition:
    $e1
}

Entitäten mit Risikobewertungen über 0 filtern

In der folgenden Beispielregel wird der Ereignistyp ENTITY_RISK_CHANGE verwendet, um zu verfolgen, wann die Risikobewertungen von Entitäten 0 übersteigen:

rule entity_only_risk {
  meta:
     author = "test@google.com"
     description = "Track changing risk per hostname"
  events:
     // Filter for Risk Change events with risk scores greater than 0
     $e1.metadata.event_type = "ENTITY_RISK_CHANGE"
     $e1.extensions.entity_risk.risk_score > 0

     // Deduplication
     $e1.extensions.entity_risk.risk_window_has_new_detections = true

     // Aggregation data
     $hostname = $e1.about.hostname
     $risk_score = $e1.extensions.entity_risk.risk_score
  match:
     $hostname over 5m
  outcome:
     $calculated_risk_score = sum($risk_score)
     $single_risk_score = max($risk_score)
  condition:
     $e1
}

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten