Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

התראות מבוססות-סיכון עם כללים של ישויות בלבד

נתמך ב:

Google secops SIEM

בעזרת סוג האירוע ENTITY_RISK_CHANGE Unified Data Model (UDM)‎, אפשר לכתוב כללי זיהוי של YARA-L שמופעלים באופן עצמאי מאירועים שהועברו. היכולת הזו מאפשרת לכם להתמקד באופן ספציפי בשינויים בציון הסיכון של ישות, ומקצרת באופן משמעותי את הזמן שנדרש ל-Google Security Operations כדי לזהות שינויים ברמות הסיכון של ישויות ולשלוח התראות לגביהם. במאמר הזה מוסבר איך לעקוב אחרי ציוני סיכון באמצעות סוג האירוע הזה של UDM בכללים שלכם.

בחיפוש, אפשר להציג אירועים שתויגו באמצעות ENTITY_RISK_CHANGE באמצעות תחביר YARA-L הבא. חשוב לדעת שחיפוש ביומן גולמי לא תומך בחיפוש ישויות.

metadata.event_type = "ENTITY_RISK_CHANGE"

דוגמאות: כללי ENTITY_RISK_CHANGE

בקטע הזה מוצגות שתי דוגמאות לכללים של אירוע יחיד למעקב יעיל אחרי סיכונים, כדי לעזור לכם להימנע מהמורכבות ומהמגבלות הנמוכות של כללים של כמה אירועים. מידע על המכסה של הכללים זמין במאמר בנושא הצגת המכסה של הכללים.

זיהוי מקרים שבהם דירוג הסיכון של ישות מסוימת גבוה מ-100

כלל לדוגמה שמשתמש בסוג האירוע ENTITY_RISK_CHANGE כדי לזהות מתי ציון הסיכון של ישות מסוימת חורג מ-100:

rule entity_only_risk_change {
  meta:
    author = "test@google.com"
    description = "Alert on entities crossing a threshold"
  events:
    // Check only Entity Risk Change events
    $e1.metadata.event_type = "ENTITY_RISK_CHANGE"

    // Check for a Risk Score change with 100 as the threshold 
    $e1.extensions.entity_risk.risk_score >= 100

  outcome:
    // Reset risk score to prevent feedback
    $risk_score = 0

  condition:
    $e1
}

סינון ישויות עם ציוני סיכון מעל 0

כלל לדוגמה שמשתמש בסוג האירוע ENTITY_RISK_CHANGE כדי לעקוב אחרי מקרים שבהם ציוני הסיכון של ישויות גבוהים מ-0:

rule entity_only_risk {
  meta:
     author = "test@google.com"
     description = "Track changing risk per hostname"
  events:
     // Filter for Risk Change events with risk scores greater than 0
     $e1.metadata.event_type = "ENTITY_RISK_CHANGE"
     $e1.extensions.entity_risk.risk_score > 0

     // Deduplication
     $e1.extensions.entity_risk.risk_window_has_new_detections = true

     // Aggregation data
     $hostname = $e1.about.hostname
     $risk_score = $e1.extensions.entity_risk.risk_score
  match:
     $hostname over 5m
  outcome:
     $calculated_risk_score = sum($risk_score)
     $single_risk_score = max($risk_score)
  condition:
     $e1
}

הבעיה עדיין לא נפתרה? קבלת תשובות מחברי הקהילה וממומחי Google SecOps.