エンティティのみのルールを使用したリスクベースのアラート
以下でサポートされています。
Google SecOps
SIEM
ENTITY_RISK_CHANGE 統合データモデル(UDM)イベントタイプを使用すると、取り込まれたイベントとは無関係にトリガーされる YARA-L 検出ルールを記述できます。この機能を使用すると、エンティティのリスクスコアの変化に焦点を当てることができるため、Google Security Operations がエンティティのリスクレベルの変化を検知してアラートを発行するのに必要な時間を大幅に短縮できます。このドキュメントでは、ルールでこの UDM イベントタイプを使用してリスクスコアをモニタリングする方法について説明します。
検索では、次の YARA-L 構文を使用して ENTITY_RISK_CHANGE でタグ付けされたイベントを表示できます。未加工ログ検索ではエンティティ検索はサポートされていません。
metadata.event_type = "ENTITY_RISK_CHANGE"
例: ENTITY_RISK_CHANGE ルール
このセクションでは、効率的なリスク トラッキングのための単一イベントルールの例を 2 つ示します。これにより、マルチイベントルールの複雑さと下限を回避できます。ルールの割り当てについては、ルールの割り当てを確認するをご覧ください。
エンティティのリスクスコアが 100 を超えたときに検出する
次のルール例では、ENTITY_RISK_CHANGE イベントタイプを使用して、エンティティのリスクスコアが 100 を超えた場合を検出します。
rule entity_only_risk_change {
meta:
author = "test@google.com"
description = "Alert on entities crossing a threshold"
events:
// Check only Entity Risk Change events
$e1.metadata.event_type = "ENTITY_RISK_CHANGE"
// Check for a Risk Score change with 100 as the threshold
$e1.extensions.entity_risk.risk_score >= 100
outcome:
// Reset risk score to prevent feedback
$risk_score = 0
condition:
$e1
}
リスクスコアが 0 より大きいエンティティをフィルタする
次のルール例では、ENTITY_RISK_CHANGE イベントタイプを使用して、エンティティのリスクスコアが 0 を超えたタイミングを追跡します。
rule entity_only_risk {
meta:
author = "test@google.com"
description = "Track changing risk per hostname"
events:
// Filter for Risk Change events with risk scores greater than 0
$e1.metadata.event_type = "ENTITY_RISK_CHANGE"
$e1.extensions.entity_risk.risk_score > 0
// Deduplication
$e1.extensions.entity_risk.risk_window_has_new_detections = true
// Aggregation data
$hostname = $e1.about.hostname
$risk_score = $e1.extensions.entity_risk.risk_score
match:
$hostname over 5m
outcome:
$calculated_risk_score = sum($risk_score)
$single_risk_score = max($risk_score)
condition:
$e1
}
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。