基于风险的提醒(仅限实体规则)

支持的平台:

借助 ENTITY_RISK_CHANGE 统一数据模型 (UDM) 事件类型,您可以编写独立于已提取事件触发的 YARA-L 检测规则。借助此功能,您可以专门关注实体风险得分的变化,从而显著缩短 Google Security Operations 检测和提醒实体风险等级变化所需的时间。本文档介绍了如何在规则中使用此 UDM 事件类型来监控风险得分。

在搜索中,您可以使用以下 YARA-L 语法显示标记为 ENTITY_RISK_CHANGE 的事件。请注意,原始日志搜索不支持实体搜索。

metadata.event_type = "ENTITY_RISK_CHANGE"

示例:ENTITY_RISK_CHANGE 规则

本部分展示了两个单事件规则示例,可用于高效跟踪风险,帮助您避免多事件规则的复杂性和较低的限值。如需了解规则配额,请参阅展示规则配额

检测实体的风险得分何时超过 100

以下示例规则使用 ENTITY_RISK_CHANGE 事件类型来检测实体的风险评分何时超过 100:

rule entity_only_risk_change {
  meta:
    author = "test@google.com"
    description = "Alert on entities crossing a threshold"
  events:
    // Check only Entity Risk Change events
    $e1.metadata.event_type = "ENTITY_RISK_CHANGE"

    // Check for a Risk Score change with 100 as the threshold 
    $e1.extensions.entity_risk.risk_score >= 100

  outcome:
    // Reset risk score to prevent feedback
    $risk_score = 0

  condition:
    $e1
}

过滤风险得分高于 0 的实体

以下示例规则使用 ENTITY_RISK_CHANGE 事件类型来跟踪实体的风险评分何时超过 0:

rule entity_only_risk {
  meta:
     author = "test@google.com"
     description = "Track changing risk per hostname"
  events:
     // Filter for Risk Change events with risk scores greater than 0
     $e1.metadata.event_type = "ENTITY_RISK_CHANGE"
     $e1.extensions.entity_risk.risk_score > 0

     // Deduplication
     $e1.extensions.entity_risk.risk_window_has_new_detections = true

     // Aggregation data
     $hostname = $e1.about.hostname
     $risk_score = $e1.extensions.entity_risk.risk_score
  match:
     $hostname over 5m
  outcome:
     $calculated_risk_score = sum($risk_score)
     $single_risk_score = max($risk_score)
  condition:
     $e1
}

需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。