Halaman ini diterjemahkan oleh Cloud Translation API.

Pemberitahuan berbasis risiko dengan aturan hanya entity

Didukung di:

Google secops SIEM

Dengan jenis peristiwa ENTITY_RISK_CHANGE Unified Data Model (UDM), Anda dapat menulis aturan deteksi YARA-L yang dipicu secara independen dari peristiwa yang di-ingest. Kemampuan ini memungkinkan Anda berfokus secara khusus pada perubahan skor risiko entitas, sehingga mengurangi waktu yang diperlukan Google Security Operations untuk mendeteksi dan memberikan pemberitahuan tentang perubahan tingkat risiko entitas secara signifikan. Dokumen ini menjelaskan cara memantau skor risiko menggunakan jenis peristiwa UDM ini dalam aturan Anda.

Di Penelusuran, Anda dapat menampilkan acara yang diberi tag ENTITY_RISK_CHANGE menggunakan sintaks YARA-L berikut. Perhatikan bahwa penelusuran log mentah tidak mendukung penelusuran entitas.

metadata.event_type = "ENTITY_RISK_CHANGE"

Contoh: Aturan ENTITY_RISK_CHANGE

Bagian ini menunjukkan dua contoh aturan peristiwa tunggal untuk pelacakan risiko yang efisien, yang membantu Anda menghindari kompleksitas dan batas bawah aturan multi-peristiwa. Untuk mengetahui informasi tentang kuota Aturan, lihat Kuota Aturan Display.

Mendeteksi saat skor risiko entity melebihi 100

Contoh aturan berikut menggunakan jenis peristiwa ENTITY_RISK_CHANGE untuk mendeteksi saat skor risiko entitas melebihi 100:

rule entity_only_risk_change {
  meta:
    author = "test@google.com"
    description = "Alert on entities crossing a threshold"
  events:
    // Check only Entity Risk Change events
    $e1.metadata.event_type = "ENTITY_RISK_CHANGE"

    // Check for a Risk Score change with 100 as the threshold 
    $e1.extensions.entity_risk.risk_score >= 100

  outcome:
    // Reset risk score to prevent feedback
    $risk_score = 0

  condition:
    $e1
}

Memfilter entity dengan skor risiko di atas 0

Contoh aturan berikut menggunakan jenis peristiwa ENTITY_RISK_CHANGE untuk melacak saat skor risiko entitas melebihi 0:

rule entity_only_risk {
  meta:
     author = "test@google.com"
     description = "Track changing risk per hostname"
  events:
     // Filter for Risk Change events with risk scores greater than 0
     $e1.metadata.event_type = "ENTITY_RISK_CHANGE"
     $e1.extensions.entity_risk.risk_score > 0

     // Deduplication
     $e1.extensions.entity_risk.risk_window_has_new_detections = true

     // Aggregation data
     $hostname = $e1.about.hostname
     $risk_score = $e1.extensions.entity_risk.risk_score
  match:
     $hostname over 5m
  outcome:
     $calculated_risk_score = sum($risk_score)
     $single_risk_score = max($risk_score)
  condition:
     $e1
}

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.