Ativar alertas com base em risco
Com o tipo de evento ENTITY_RISK_CHANGE do Modelo de dados unificado (UDM), é possível escrever regras de detecção da YARA-L que são acionadas de forma independente dos eventos ingeridos. Essa capacidade permite que você se concentre especificamente nas mudanças na pontuação de risco de uma entidade, diminuindo significativamente o tempo necessário para que o Google Security Operations detecte e alerte sobre as mudanças nos níveis de risco da entidade. Este documento explica como monitorar as pontuações de risco usando esse tipo de evento do UDM nas suas regras.
Na Pesquisa, é possível mostrar eventos marcados com ENTITY_RISK_CHANGE usando a seguinte sintaxe da YARA-L. A pesquisa de registros brutos não oferece suporte à pesquisa de entidades.
metadata.event_type = "ENTITY_RISK_CHANGE"
Exemplos: regras ENTITY_RISK_CHANGE
Esta seção mostra dois exemplos de regras de evento único para o rastreamento eficiente de riscos, o que ajuda a evitar a complexidade e os limites mais baixos das regras de vários eventos. Para informações sobre sua cota de regras, consulte Mostrar cota de regras.
Detectar quando a pontuação de risco de uma entidade exceder 100
A regra de exemplo a seguir usa o tipo de evento ENTITY_RISK_CHANGE para detectar quando a pontuação de risco de uma entidade exceder 100:
rule entity_only_risk_change {
meta:
author = "test@google.com"
description = "Alert on entities crossing a threshold"
events:
// Check only Entity Risk Change events
$e1.metadata.event_type = "ENTITY_RISK_CHANGE"
// Check for a Risk Score change with 100 as the threshold
$e1.extensions.entity_risk.risk_score >= 100
outcome:
// Reset risk score to prevent feedback
$risk_score = 0
condition:
$e1
}
Filtrar entidades com pontuações de risco acima de 0
A regra de exemplo a seguir usa o tipo de evento ENTITY_RISK_CHANGE para rastrear quando as pontuações de risco das entidades excederem 0:
rule entity_only_risk {
meta:
author = "test@google.com"
description = "Track changing risk per hostname"
events:
// Filter for Risk Change events with risk scores greater than 0
$e1.metadata.event_type = "ENTITY_RISK_CHANGE"
$e1.extensions.entity_risk.risk_score > 0
// Deduplication
$e1.extensions.entity_risk.risk_window_has_new_detections = true
// Aggregation data
$hostname = $e1.about.hostname
$risk_score = $e1.extensions.entity_risk.risk_score
match:
$hostname over 5m
outcome:
$calculated_risk_score = sum($risk_score)
$single_risk_score = max($risk_score)
condition:
$e1
}
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.