僅含實體規則的風險警示
支援的國家/地區:
Google SecOps
SIEM
使用 ENTITY_RISK_CHANGE Unified Data Model (UDM) 事件類型,您可以編寫 YARA-L 偵測規則,獨立觸發擷取的事件。這項功能可讓您專注於實體風險分數的變化,大幅縮短 Google Security Operations 偵測及提醒實體風險等級變化的時間。本文說明如何在規則中使用這個 UDM 事件類型,監控風險分數。
在搜尋中,您可以使用下列 YARA-L 語法,顯示標記為 ENTITY_RISK_CHANGE 的事件。請注意,原始記錄檔搜尋不支援實體搜尋。
metadata.event_type = "ENTITY_RISK_CHANGE"
例如:ENTITY_RISK_CHANGE 規則
本節提供兩個單一事件規則範例,說明如何有效追蹤風險,避免多重事件規則的複雜度和限制。如要瞭解規則配額,請參閱「顯示規則配額」。
偵測實體風險分數何時超過 100 分
下列範例規則使用 ENTITY_RISK_CHANGE 事件類型,偵測實體的風險分數何時超過 100:
rule entity_only_risk_change {
meta:
author = "test@google.com"
description = "Alert on entities crossing a threshold"
events:
// Check only Entity Risk Change events
$e1.metadata.event_type = "ENTITY_RISK_CHANGE"
// Check for a Risk Score change with 100 as the threshold
$e1.extensions.entity_risk.risk_score >= 100
outcome:
// Reset risk score to prevent feedback
$risk_score = 0
condition:
$e1
}
篩選風險分數大於 0 的實體
以下範例規則使用 ENTITY_RISK_CHANGE 事件類型,追蹤實體風險分數何時超過 0:
rule entity_only_risk {
meta:
author = "test@google.com"
description = "Track changing risk per hostname"
events:
// Filter for Risk Change events with risk scores greater than 0
$e1.metadata.event_type = "ENTITY_RISK_CHANGE"
$e1.extensions.entity_risk.risk_score > 0
// Deduplication
$e1.extensions.entity_risk.risk_window_has_new_detections = true
// Aggregation data
$hostname = $e1.about.hostname
$risk_score = $e1.extensions.entity_risk.risk_score
match:
$hostname over 5m
outcome:
$calculated_risk_score = sum($risk_score)
$single_risk_score = max($risk_score)
condition:
$e1
}
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。