Esta página se ha traducido con Cloud Translation API.

Alertas basadas en riesgos con reglas solo de entidades

Disponible en:

SecOps de Google SIEM

Con el tipo de evento ENTITY_RISK_CHANGE Modelo de datos unificado (UDM), puedes escribir reglas de detección de YARA-L que se activen independientemente de los eventos ingeridos. Esta función te permite centrarte específicamente en los cambios en la puntuación de riesgo de una entidad, lo que reduce significativamente el tiempo que tarda Google Security Operations en detectar y alertar sobre los cambios en los niveles de riesgo de las entidades. En este documento se explica cómo monitorizar las puntuaciones de riesgo mediante este tipo de evento de UDM en sus reglas.

En la Búsqueda, puede mostrar los eventos etiquetados con ENTITY_RISK_CHANGE mediante la siguiente sintaxis de YARA-L. Ten en cuenta que la búsqueda de registros sin procesar no admite la búsqueda de entidades.

metadata.event_type = "ENTITY_RISK_CHANGE"

Ejemplos: reglas de ENTITY_RISK_CHANGE

En esta sección se muestran dos ejemplos de reglas de un solo evento para hacer un seguimiento eficiente de los riesgos, lo que te ayudará a evitar la complejidad y los límites inferiores de las reglas de varios eventos. Para obtener información sobre tu cuota de reglas, consulta Cuota de reglas de display.

Detectar cuándo la puntuación de riesgo de una entidad supera 100

La siguiente regla de ejemplo usa el tipo de evento ENTITY_RISK_CHANGE para detectar cuándo la puntuación de riesgo de una entidad supera 100:

rule entity_only_risk_change {
  meta:
    author = "test@google.com"
    description = "Alert on entities crossing a threshold"
  events:
    // Check only Entity Risk Change events
    $e1.metadata.event_type = "ENTITY_RISK_CHANGE"

    // Check for a Risk Score change with 100 as the threshold 
    $e1.extensions.entity_risk.risk_score >= 100

  outcome:
    // Reset risk score to prevent feedback
    $risk_score = 0

  condition:
    $e1
}

Filtrar entidades con puntuaciones de riesgo superiores a 0

La siguiente regla de ejemplo usa el tipo de evento ENTITY_RISK_CHANGE para registrar cuándo superan las puntuaciones de riesgo de las entidades el valor 0:

rule entity_only_risk {
  meta:
     author = "test@google.com"
     description = "Track changing risk per hostname"
  events:
     // Filter for Risk Change events with risk scores greater than 0
     $e1.metadata.event_type = "ENTITY_RISK_CHANGE"
     $e1.extensions.entity_risk.risk_score > 0

     // Deduplication
     $e1.extensions.entity_risk.risk_window_has_new_detections = true

     // Aggregation data
     $hostname = $e1.about.hostname
     $risk_score = $e1.extensions.entity_risk.risk_score
  match:
     $hostname over 5m
  outcome:
     $calculated_risk_score = sum($risk_score)
     $single_risk_score = max($risk_score)
  condition:
     $e1
}

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.