Esta página foi traduzida pela API Cloud Translation.

Alertas baseados no risco com regras apenas de entidades

Suportado em:

Google secops SIEM

Com o tipo de evento do ENTITY_RISK_CHANGEmodelo de dados unificado (UDM), pode escrever regras de deteção YARA-L que são acionadas independentemente dos eventos carregados. Esta capacidade permite-lhe focar-se especificamente nas alterações na pontuação de risco de uma entidade, diminuindo significativamente o tempo necessário para o Google Security Operations detetar e emitir alertas sobre os níveis de risco das entidades em mudança. Este documento explica como monitorizar as pontuações de risco através deste tipo de evento da UDM nas suas regras.

Na Pesquisa, pode apresentar eventos etiquetados com ENTITY_RISK_CHANGE através da seguinte sintaxe YARA-L. Tenha em atenção que a pesquisa de registos não processados não suporta a pesquisa de entidades.

metadata.event_type = "ENTITY_RISK_CHANGE"

Exemplos: regras ENTITY_RISK_CHANGE

Esta secção mostra dois exemplos de regras de evento único para uma monitorização de risco eficiente, o que ajuda a evitar a complexidade e os limites inferiores das regras de vários eventos. Para ver informações sobre a sua quota de regras, consulte o artigo Quota de regras de display.

Detetar quando a pontuação de risco de uma entidade excede 100

A regra de exemplo seguinte usa o tipo de evento ENTITY_RISK_CHANGE para detetar quando a pontuação de risco de uma entidade excede 100:

rule entity_only_risk_change {
  meta:
    author = "test@google.com"
    description = "Alert on entities crossing a threshold"
  events:
    // Check only Entity Risk Change events
    $e1.metadata.event_type = "ENTITY_RISK_CHANGE"

    // Check for a Risk Score change with 100 as the threshold 
    $e1.extensions.entity_risk.risk_score >= 100

  outcome:
    // Reset risk score to prevent feedback
    $risk_score = 0

  condition:
    $e1
}

Filtre entidades com pontuações de risco superiores a 0

A regra de exemplo seguinte usa o tipo de evento ENTITY_RISK_CHANGE para acompanhar quando as pontuações de risco das entidades excedem 0:

rule entity_only_risk {
  meta:
     author = "test@google.com"
     description = "Track changing risk per hostname"
  events:
     // Filter for Risk Change events with risk scores greater than 0
     $e1.metadata.event_type = "ENTITY_RISK_CHANGE"
     $e1.extensions.entity_risk.risk_score > 0

     // Deduplication
     $e1.extensions.entity_risk.risk_window_has_new_detections = true

     // Aggregation data
     $hostname = $e1.about.hostname
     $risk_score = $e1.extensions.entity_risk.risk_score
  match:
     $hostname over 5m
  outcome:
     $calculated_risk_score = sum($risk_score)
     $single_risk_score = max($risk_score)
  condition:
     $e1
}

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.