Se usó la API de Cloud Translation para traducir esta página.

Alertas basadas en el riesgo con reglas solo para entidades

Se admite en los siguientes sistemas operativos:

Google SecOps SIEM

Con el tipo de evento ENTITY_RISK_CHANGE del Modelo de datos unificado (UDM), puedes escribir reglas de detección de YARA-L que se activen de forma independiente de los eventos transferidos. Esta capacidad te permite enfocarte específicamente en los cambios en la puntuación de riesgo de una entidad, lo que disminuye significativamente el tiempo que Google Security Operations necesita para detectar y generar alertas sobre los cambios en los niveles de riesgo de las entidades. En este documento, se explica cómo supervisar las puntuaciones de riesgo con este tipo de evento de UDM en tus reglas.

En la Búsqueda, puedes mostrar los eventos etiquetados con ENTITY_RISK_CHANGE con la siguiente sintaxis de YARA-L. Ten en cuenta que la búsqueda de registros sin procesar no admite la búsqueda de entidades.

metadata.event_type = "ENTITY_RISK_CHANGE"

Ejemplos: Reglas de ENTITY_RISK_CHANGE

En esta sección, se muestran dos ejemplos de reglas de un solo evento para el seguimiento eficiente del riesgo, lo que te ayuda a evitar la complejidad y los límites inferiores de las reglas de varios eventos. Para obtener información sobre tu cuota de reglas, consulta Cuota de reglas de visualización.

Detecta cuando la puntuación de riesgo de una entidad supera el 100

La siguiente regla de ejemplo usa el tipo de evento ENTITY_RISK_CHANGE para detectar cuándo la puntuación de riesgo de una entidad supera el valor 100:

rule entity_only_risk_change {
  meta:
    author = "test@google.com"
    description = "Alert on entities crossing a threshold"
  events:
    // Check only Entity Risk Change events
    $e1.metadata.event_type = "ENTITY_RISK_CHANGE"

    // Check for a Risk Score change with 100 as the threshold 
    $e1.extensions.entity_risk.risk_score >= 100

  outcome:
    // Reset risk score to prevent feedback
    $risk_score = 0

  condition:
    $e1
}

Filtrar entidades con puntuaciones de riesgo superiores a 0

La siguiente regla de ejemplo usa el tipo de evento ENTITY_RISK_CHANGE para hacer un seguimiento de cuándo las puntuaciones de riesgo de las entidades superan el 0:

rule entity_only_risk {
  meta:
     author = "test@google.com"
     description = "Track changing risk per hostname"
  events:
     // Filter for Risk Change events with risk scores greater than 0
     $e1.metadata.event_type = "ENTITY_RISK_CHANGE"
     $e1.extensions.entity_risk.risk_score > 0

     // Deduplication
     $e1.extensions.entity_risk.risk_window_has_new_detections = true

     // Aggregation data
     $hostname = $e1.about.hostname
     $risk_score = $e1.extensions.entity_risk.risk_score
  match:
     $hostname over 5m
  outcome:
     $calculated_risk_score = sum($risk_score)
     $single_risk_score = max($risk_score)
  condition:
     $e1
}

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.