Esta página foi traduzida pela API Cloud Translation.

Alertas baseados em risco com regras somente de entidade

Compatível com:

Google SecOps SIEM

Com o tipo de evento ENTITY_RISK_CHANGE Modelo de dados unificado (UDM), é possível escrever regras de detecção da YARA-L que são acionadas independentemente dos eventos ingeridos. Com esse recurso, você pode se concentrar especificamente nas mudanças na pontuação de risco de uma entidade, diminuindo significativamente o tempo necessário para que o Google Security Operations detecte e gere alertas sobre a mudança nos níveis de risco da entidade. Este documento explica como monitorar pontuações de risco usando esse tipo de evento da UDM nas suas regras.

Na Pesquisa, é possível mostrar eventos marcados com ENTITY_RISK_CHANGE usando a seguinte sintaxe YARA-L. A pesquisa de registros brutos não oferece suporte à pesquisa de entidades.

metadata.event_type = "ENTITY_RISK_CHANGE"

Exemplos: regras ENTITY_RISK_CHANGE

Esta seção mostra dois exemplos de regras de evento único para um rastreamento de risco eficiente, o que ajuda a evitar a complexidade e os limites mais baixos das regras de vários eventos. Para informações sobre sua cota de regras, consulte Cota de regras de exibição.

Detectar quando a pontuação de risco de uma entidade excede 100

A regra de exemplo a seguir usa o tipo de evento ENTITY_RISK_CHANGE para detectar quando a pontuação de risco de uma entidade excede 100:

rule entity_only_risk_change {
  meta:
    author = "test@google.com"
    description = "Alert on entities crossing a threshold"
  events:
    // Check only Entity Risk Change events
    $e1.metadata.event_type = "ENTITY_RISK_CHANGE"

    // Check for a Risk Score change with 100 as the threshold 
    $e1.extensions.entity_risk.risk_score >= 100

  outcome:
    // Reset risk score to prevent feedback
    $risk_score = 0

  condition:
    $e1
}

Filtrar entidades com pontuações de risco acima de zero

A regra de exemplo a seguir usa o tipo de evento ENTITY_RISK_CHANGE para rastrear quando as pontuações de risco das entidades excedem 0:

rule entity_only_risk {
  meta:
     author = "test@google.com"
     description = "Track changing risk per hostname"
  events:
     // Filter for Risk Change events with risk scores greater than 0
     $e1.metadata.event_type = "ENTITY_RISK_CHANGE"
     $e1.extensions.entity_risk.risk_score > 0

     // Deduplication
     $e1.extensions.entity_risk.risk_window_has_new_detections = true

     // Aggregation data
     $hostname = $e1.about.hostname
     $risk_score = $e1.extensions.entity_risk.risk_score
  match:
     $hostname over 5m
  outcome:
     $calculated_risk_score = sum($risk_score)
     $single_risk_score = max($risk_score)
  condition:
     $e1
}

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.