Questa pagina è stata tradotta dall'API Cloud Translation.

Avvisi basati sul rischio con regole solo per le entità

Supportato in:

Google secops SIEM

Con il tipo di evento ENTITY_RISK_CHANGE Unified Data Model (UDM), puoi scrivere regole di rilevamento YARA-L che vengono attivate indipendentemente dagli eventi importati. Questa funzionalità ti consente di concentrarti in modo specifico sulle variazioni del punteggio di rischio di un'entità, riducendo significativamente il tempo necessario a Google Security Operations per rilevare e segnalare i livelli di rischio delle entità in evoluzione. Questo documento spiega come monitorare i punteggi di rischio utilizzando questo tipo di evento UDM nelle regole.

Nella Ricerca, puoi visualizzare gli eventi taggati con ENTITY_RISK_CHANGE utilizzando la seguente sintassi YARA-L. Tieni presente che la ricerca nei log non elaborati non supporta la ricerca di entità.

metadata.event_type = "ENTITY_RISK_CHANGE"

Esempi: regole ENTITY_RISK_CHANGE

Questa sezione mostra due esempi di regole per un singolo evento per un monitoraggio efficiente del rischio, che ti aiuta a evitare la complessità e i limiti inferiori delle regole per più eventi. Per informazioni sulla quota delle regole, consulta Quota delle regole di visualizzazione.

Rilevare quando il punteggio di rischio di un'entità supera 100

La seguente regola di esempio utilizza il tipo di evento ENTITY_RISK_CHANGE per rilevare quando il punteggio di rischio di un'entità supera 100:

rule entity_only_risk_change {
  meta:
    author = "test@google.com"
    description = "Alert on entities crossing a threshold"
  events:
    // Check only Entity Risk Change events
    $e1.metadata.event_type = "ENTITY_RISK_CHANGE"

    // Check for a Risk Score change with 100 as the threshold 
    $e1.extensions.entity_risk.risk_score >= 100

  outcome:
    // Reset risk score to prevent feedback
    $risk_score = 0

  condition:
    $e1
}

Filtra le entità con punteggi di rischio superiori a 0

La seguente regola di esempio utilizza il tipo di evento ENTITY_RISK_CHANGE per monitorare quando i punteggi di rischio delle entità superano 0:

rule entity_only_risk {
  meta:
     author = "test@google.com"
     description = "Track changing risk per hostname"
  events:
     // Filter for Risk Change events with risk scores greater than 0
     $e1.metadata.event_type = "ENTITY_RISK_CHANGE"
     $e1.extensions.entity_risk.risk_score > 0

     // Deduplication
     $e1.extensions.entity_risk.risk_window_has_new_detections = true

     // Aggregation data
     $hostname = $e1.about.hostname
     $risk_score = $e1.extensions.entity_risk.risk_score
  match:
     $hostname over 5m
  outcome:
     $calculated_risk_score = sum($risk_score)
     $single_risk_score = max($risk_score)
  condition:
     $e1
}

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.