Diese Seite wurde von der Cloud Translation API übersetzt.

Risikobasierte Benachrichtigungen mit Regeln für Entitäten

Unterstützt in:

Google SecOps SIEM

Mit dem ENTITY_RISK_CHANGE-Ereignistyp des Unified Data Model (UDM) können Sie YARA-L-Erkennungsregeln schreiben, die unabhängig von aufgenommenen Ereignissen ausgelöst werden. Mit dieser Funktion können Sie sich speziell auf Änderungen am Risikowert einer Identität konzentrieren. So kann Google Security Operations Änderungen am Risikowert von Identitäten deutlich schneller erkennen und entsprechende Warnungen ausgeben. In diesem Dokument wird beschrieben, wie Sie Risikobewertungen mit diesem UDM-Ereignistyp in Ihren Regeln überwachen.

In Search können Sie Ereignisse, die mit ENTITY_RISK_CHANGE getaggt sind, mit der folgenden YARA-L-Syntax anzeigen: Die Rohlogsuche unterstützt keine Entitätssuche.

metadata.event_type = "ENTITY_RISK_CHANGE"

Beispiele: ENTITY_RISK_CHANGE-Regeln

In diesem Abschnitt finden Sie zwei Beispiele für Regeln für einzelne Ereignisse, mit denen Sie das Risiko effizient nachverfolgen können. So vermeiden Sie die Komplexität und die niedrigeren Grenzwerte von Regeln für mehrere Ereignisse. Informationen zu Ihrem Kontingent für Regeln finden Sie unter Kontingent für Displayregeln.

Erkennen, wenn der Risikowert einer Entität 100 überschreitet

In der folgenden Beispielregel wird der Ereignistyp ENTITY_RISK_CHANGE verwendet, um zu erkennen, wenn der Risikowert einer Identität 100 überschreitet:

rule entity_only_risk_change {
  meta:
    author = "test@google.com"
    description = "Alert on entities crossing a threshold"
  events:
    // Check only Entity Risk Change events
    $e1.metadata.event_type = "ENTITY_RISK_CHANGE"

    // Check for a Risk Score change with 100 as the threshold 
    $e1.extensions.entity_risk.risk_score >= 100

  outcome:
    // Reset risk score to prevent feedback
    $risk_score = 0

  condition:
    $e1
}

Entitäten mit Risikobewertungen über 0 filtern

In der folgenden Beispielregel wird der Ereignistyp ENTITY_RISK_CHANGE verwendet, um zu erfassen, wann die Risikobewertungen von Entitäten 0 überschreiten:

rule entity_only_risk {
  meta:
     author = "test@google.com"
     description = "Track changing risk per hostname"
  events:
     // Filter for Risk Change events with risk scores greater than 0
     $e1.metadata.event_type = "ENTITY_RISK_CHANGE"
     $e1.extensions.entity_risk.risk_score > 0

     // Deduplication
     $e1.extensions.entity_risk.risk_window_has_new_detections = true

     // Aggregation data
     $hostname = $e1.about.hostname
     $risk_score = $e1.extensions.entity_risk.risk_score
  match:
     $hostname over 5m
  outcome:
     $calculated_risk_score = sum($risk_score)
     $single_risk_score = max($risk_score)
  condition:
     $e1
}

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten