Übersicht über die Risikoanalyse für die UEBA-Kategorie

Unterstützt in:

Dieses Dokument enthält einen Überblick über die Regelsätze in der Kategorie „Risikoanalyse für UEBA“, die erforderlichen Daten und die Konfiguration, mit der Sie die von den einzelnen Regelsätzen generierten Benachrichtigungen optimieren können. Diese Regelsätze helfen bei der Identifizierung von Bedrohungen in Google Cloud mit Google Cloud-Daten.

Regelsatzbeschreibungen

Die folgenden Regelsätze stehen in der Kategorie Risikoanalyse für UEBA zur Verfügung und werden gruppiert nach dem Typ der erkannten Muster:

Authentifizierung

  • Neue Anmeldung durch Nutzer auf Gerät: Ein Nutzer hat sich auf einem neuen Gerät angemeldet.
  • Ungewöhnliche Authentifizierungsereignisse durch Nutzer: Eine einzelne Nutzerentität war ungewöhnlich. Authentifizierungsereignisse der jüngsten Zeit im Vergleich zur bisherigen Nutzung.
  • Fehlgeschlagene Authentifizierungen nach Gerät: Eine einzelne Geräteentität hatte viele fehlgeschlagene Anmeldeversuche im Vergleich zur bisherigen Nutzung.
  • Fehlgeschlagene Authentifizierungen durch Nutzer: Bei einer einzelnen Nutzerentität sind viele fehlgeschlagen. der letzten Anmeldeversuche im Vergleich zur bisherigen Nutzung.

Analyse des Netzwerktraffics

  • Ungewöhnliche eingehende Bytes nach Gerät: erhebliche Datenmengen in letzter Zeit Daten, die in ein einzelnes Gerät hochgeladen wurden, im Vergleich zur bisherigen Nutzung.
  • Ungewöhnliche ausgehende Bytes nach Gerät: erhebliche Datenmengen in letzter Zeit von einem einzelnen Geräteobjekt im Vergleich zur bisherigen Nutzung heruntergeladen wurden.
  • Anomalous Total Bytes by Device (Anomale Gesamtzahl der Byte nach Gerät): eine Geräteentität, die vor Kurzem hochgeladen wurde und eine erhebliche Datenmenge heruntergeladen.
  • Ungewöhnliche eingehende Bytes nach Nutzer: eine einzelne Nutzerentität, die kürzlich heruntergeladen wurde große Datenmengen im Vergleich zur bisherigen Nutzung erhalten.
  • Ungewöhnliche Gesamtzahl von Byte nach Nutzer: Eine Nutzerentität, die vor Kurzem hochgeladen und in letzter Zeit eine erhebliche Menge an Daten im Vergleich zur bisherigen Nutzung heruntergeladen.
  • Brute-Force-Angriff und anschließende erfolgreiche Anmeldung eines Nutzers: Eine einzelne Nutzerentität von einer IP-Adresse hat mehrere fehlgeschlagene Authentifizierungsversuche bei einer bestimmten Anwendung unternommen, bevor sie sich erfolgreich angemeldet hat.

Erkennungsgruppen auf der Grundlage von Gruppen ähnlicher Apps

  • Anmeldung in einem Land, das für eine Nutzergruppe noch nie zuvor verwendet wurde: Die erste erfolgreiche Authentifizierung in einem Land für eine Nutzergruppe. Hier werden Gruppenanzeigename, Informationen zu User-Abteilung und User-Manager aus AD-Kontextdaten.

  • Anmeldung in einer Nutzergruppe, die noch nie in Anwendung war: die erste erfolgreiche Anmeldung Authentifizierung bei einer Anwendung für eine Nutzergruppe. Dabei werden der Nutzertitel, Informationen zum Nutzermanager und zum Anzeigenamen der Gruppe aus AD-Kontextdaten.

  • Ungewöhnliche oder übermäßige Anmeldungen eines neu erstellten Nutzers: ungewöhnliche oder übermäßige Anmeldungen Authentifizierungsaktivität eines kürzlich erstellten Nutzers. Hier wird die Erstellungszeit vom AD-Kontextdaten.

  • Ungewöhnliche oder übermäßige verdächtige Aktionen bei einem neu erstellten Nutzer: ungewöhnliche oder übermäßige Aktivitäten, einschließlich, aber nicht beschränkt auf, HTTP-Telemetrie, Prozessausführung und Gruppenänderung) für ein kürzlich erstelltes Nutzer. Dabei wird die Erstellungszeit aus AD-Kontextdaten verwendet.

Verdächtige Aktionen

  • Übermäßige Kontoerstellung nach Gerät: Eine Geräteentität hat mehrere neue Nutzerkonten.
  • Übermäßige Benachrichtigungen von Nutzern: Es wurden eine große Anzahl von Sicherheitswarnungen von einem Antivirenprogramm oder Endpunktgerät (z. B. Verbindung wurde blockiert, Malware wurde erkannt) für eine Nutzerentität gemeldet, die deutlich über den bisherigen Mustern lag. Bei diesen Ereignissen ist das UDM-Feld security_result.action auf BLOCK gesetzt.

Erkennung von Datenverlust anhand des Schutzes

  • Ungewöhnliche oder übermäßige Prozesse mit Daten-Exfiltrationsfunktionen: Ungewöhnliche oder übermäßige Aktivitäten für Prozesse, die mit Daten-Exfiltrationsfunktionen wie Keyloggern, Screenshots und Remotezugriff verbunden sind. Dazu werden Dateimetadaten von VirusTotal verwendet.

Erforderliche Daten, die von Risk Analytics für die UEBA-Kategorie benötigt werden

Im folgenden Abschnitt werden die Daten beschrieben, die von Regelsätzen in den einzelnen Kategorien benötigt werden. um den größtmöglichen Nutzen zu erzielen. Eine Liste aller unterstützten Standardparser finden Sie unter Unterstützte Logtypen und Standardparser.

Authentifizierung

Um einen dieser Regelsätze zu verwenden, erfassen Sie Protokolldaten von einer der folgenden Azure AD-Verzeichnisprüfung (AZURE_AD_AUDIT) oder Windows-Ereignis (WINEVTLOG).

Analyse des Netzwerktraffics

Erfassen Sie zur Verwendung dieser Regelsätze Protokolldaten, die die Netzwerkaktivität erfassen. Beispiele: von Geräten wie FortiGate (FORTINET_FIREWALL) Check Point (CHECKPOINT_FIREWALL), Zscaler (ZSCALER_WEBPROXY), CrowdStrike Falcon (CS_EDR), oder Carbon Black (CB_EDR).

Erkennungen auf Basis von Peer-Gruppen

Um einen dieser Regelsätze zu verwenden, erfassen Sie Protokolldaten von einer der folgenden Azure AD-Verzeichnisprüfung (AZURE_AD_AUDIT) oder Windows-Ereignis (WINEVTLOG).

Verdächtige Aktionen

Für die Regelsätze in dieser Gruppe wird jeweils ein anderer Datentyp verwendet.

Übermäßige Kontoerstellung durch Geräteregelsatz

Erfassen Sie zur Verwendung dieses Regelsatzes Protokolldaten von einer der folgenden Azure AD-Verzeichnisprüfung (AZURE_AD_AUDIT) oder Windows-Ereignis (WINEVTLOG).

Übermäßige Benachrichtigungen nach Nutzerregelsatz

Erfassen Sie zur Verwendung dieses Regelsatzes Protokolldaten, die Endpunktaktivitäten erfassen oder Auditdaten wie die von CrowdStrike Falcon (CS_EDR) aufgezeichneten Carbon Black (CB_EDR) oder Azure AD Directory Audit (AZURE_AD_AUDIT).

Erkennung von Datenverlust anhand des Schutzes

Erfassen Sie zur Verwendung dieser Regelsätze Protokolldaten, die Prozess- und Dateiaktivitäten erfassen, wie das von CrowdStrike Falcon (CS_EDR), Carbon Black (CB_EDR), oder EDR bei SentinelOne (SENTINEL_EDR).

Regelsätze in dieser Kategorie hängen von Ereignissen mit den folgenden metadata.event_type-Werten ab: PROCESS_LAUNCH, PROCESS_OPEN, PROCESS_MODULE_LOAD.

Von Regelsätzen zurückgegebene Abstimmungsbenachrichtigungen für diese Kategorie

Sie können die Anzahl der Erkennungen, die durch eine Regel oder einen Regelsatz generiert werden, mithilfe Regelausschlüsse festzulegen.

Mit einem Regelausschluss werden die Kriterien definiert, anhand derer ein Ereignis von der Auswertung durch Regelsatz oder nach bestimmten Regeln im Regelsatz erfolgen. Erstellen Sie eine oder mehrere Regelausschlüsse, um die Anzahl der erkannten Probleme zu reduzieren. Weitere Informationen dazu finden Sie unter Regelausschlüsse konfigurieren.

Nächste Schritte