Cette page a été traduite par l'API Cloud Translation.

Alertes basées sur le risque avec des règles d'entité uniquement

Compatible avec :

Google SecOps SIEM

Avec le type d'événement ENTITY_RISK_CHANGE Unified Data Model (UDM), vous pouvez écrire des règles de détection YARA-L qui se déclenchent indépendamment des événements ingérés. Cette fonctionnalité vous permet de vous concentrer spécifiquement sur les variations du score de risque d'une entité, ce qui réduit considérablement le temps nécessaire à Google Security Operations pour détecter et signaler les changements de niveau de risque des entités. Ce document explique comment surveiller les scores de risque à l'aide de ce type d'événement UDM dans vos règles.

Dans la recherche, vous pouvez afficher les événements tagués avec ENTITY_RISK_CHANGE à l'aide de la syntaxe YARA-L suivante. Notez que la recherche dans les journaux bruts n'est pas compatible avec la recherche d'entités.

metadata.event_type = "ENTITY_RISK_CHANGE"

Exemples : règles ENTITY_RISK_CHANGE

Cette section présente deux exemples de règles à événement unique pour un suivi efficace des risques. Cela vous permet d'éviter la complexité et les limites inférieures des règles multi-événements. Pour en savoir plus sur votre quota de règles, consultez Quota de règles d'affichage.

Détecter quand le score de risque d'une entité dépasse 100

L'exemple de règle suivant utilise le type d'événement ENTITY_RISK_CHANGE pour détecter quand le score de risque d'une entité dépasse 100 :

rule entity_only_risk_change {
  meta:
    author = "test@google.com"
    description = "Alert on entities crossing a threshold"
  events:
    // Check only Entity Risk Change events
    $e1.metadata.event_type = "ENTITY_RISK_CHANGE"

    // Check for a Risk Score change with 100 as the threshold 
    $e1.extensions.entity_risk.risk_score >= 100

  outcome:
    // Reset risk score to prevent feedback
    $risk_score = 0

  condition:
    $e1
}

Filtrer les entités dont le score de risque est supérieur à 0

L'exemple de règle suivant utilise le type d'événement ENTITY_RISK_CHANGE pour suivre le moment où les scores de risque des entités dépassent 0 :

rule entity_only_risk {
  meta:
     author = "test@google.com"
     description = "Track changing risk per hostname"
  events:
     // Filter for Risk Change events with risk scores greater than 0
     $e1.metadata.event_type = "ENTITY_RISK_CHANGE"
     $e1.extensions.entity_risk.risk_score > 0

     // Deduplication
     $e1.extensions.entity_risk.risk_window_has_new_detections = true

     // Aggregation data
     $hostname = $e1.about.hostname
     $risk_score = $e1.extensions.entity_risk.risk_score
  match:
     $hostname over 5m
  outcome:
     $calculated_risk_score = sum($risk_score)
     $single_risk_score = max($risk_score)
  condition:
     $e1
}

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.