Sensitive Data Protection-Daten für kontextsensitive Analysen verwenden
In diesem Dokument wird gezeigt, wie Entitätskontextdaten aus Schutz sensibler Daten und zusätzliche Logquellen um Kontextinformationen zu den Auswirkungen und den Umfang einer potenziellen Bedrohung zu erkennen.
Der in diesem Dokument beschriebene Anwendungsfall erkennt die Ausführung einer Datei von einem Nutzer (MITRE ATT&CK-Technik T1204.002) und ob dieser Nutzer auch Zugriff auf sensible Daten an anderer Stelle auf der Netzwerk.
Für dieses Beispiel müssen die folgenden Daten in Google Security Operations aufgenommen und normalisiert worden sein:
- Daten zur Nutzeraktivität anhand von Netzwerk- und EDR-Protokollen.
- Ressourcenbeziehungen aus Datenquellen wie Google Cloud IAM Analysis.
- Sensitive Data Protection-Logs, die Labels über den Typ und die Vertraulichkeit der gespeicherten Daten enthalten.
Google Security Operations muss in der Lage sein, die Rohdaten in ein Unified Data Model (UDM) zu parsen. Entitäts- und Ereignisdatensätze.
Informationen zur Aufnahme von Schutzdaten sensibler Daten in Google Security Operations finden Sie unter Daten zum Schutz sensibler Daten nach Google Security Operations exportieren
Google Cloud IAM-Analysedaten
Die Google Cloud IAM Analysis-Logdaten in diesem Beispiel identifizieren Nutzer im
Organisation und erfasst die Beziehungen der einzelnen Nutzenden zu anderen Systemen auf dem
Netzwerk. Im Folgenden finden Sie ein Snippet eines IAM-Analyselogs, das als UDM gespeichert ist
Entitätseintrag. Es werden Informationen zum Nutzer mikeross gespeichert, der die BigQuery-Tabelle analytics:claim.patients verwaltet.
metadata.vendor_name: "Google Cloud Platform"
metadata.product_name: "GCP IAM Analysis"
metadata.entity_type: "USER"
entity.user.userid: "mikeross"
relations[2].entity.resource.name: "analytics:claim.patients"
relations[2].entity.resource.resource_type: "TABLE"
relations[2].entity_type: "RESOURCE"
relations[2].relationship: "ADMINISTERS"
Sensitive Data Protection-Daten
In den Protokolldaten für den Schutz sensibler Daten in diesem Beispiel werden Informationen
. Im Folgenden finden Sie einen Ausschnitt aus einem Protokoll für den Schutz sensibler Daten, das als UDM-Entität gespeichert ist.
Datensatz. Es stellt die BigQuery-Tabelle analytics:claim.patients mit dem Predicted InfoType-Label US_SOCIAL_SECURITY_NUMBER dar, was bedeutet, dass in der Tabelle US-amerikanische Sozialversicherungsnummern gespeichert sind.
metadata.vendor_name: "Google Cloud Platform"
metadata.product_name: "GCP DLP CONTEXT"
metadata.entity_type: "RESOURCE"
metadata.description: "RISK_HIGH"
entity.resource.resource_type: "TABLE"
entity.resource.resource_subtype: "BigQuery Table"
entity.resource.attribute.cloud.environment"GOOGLE_CLOUD_PLATFORM"
entity.resource.attribute.labels[0].key: "Sensitivity Score"
entity.resource.attribute.labels[0].value: "SENSITIVITY_HIGH"
entity.resource.attribute.labels[1].key: "Predicted InfoType"
entity.resource.attribute.labels[1].value: "US_SOCIAL_SECURITY_NUMBER"
entity.resource.product_object_id: "analytics:claim.patients"
Web-Proxy-Ereignisse
Mit dem Web-Proxy-Ereignis in diesem Beispiel wird die Netzwerkaktivität erfasst. Im folgenden Snippet ist ein Zscaler-Webproxy-Log zu sehen, das als UDM-Ereignisabsatz gespeichert wurde. Sie erfasst
Netzwerk-Download-Ereignis einer ausführbaren Datei durch einen Nutzer mit dem userid-Wert mikeross
Dabei ist der Wert für received_bytes 514605.
metadata.log_type = "ZSCALER_WEBPROXY"
metadata.product_name = "NSS"
metadata.vendor_name = "Zscaler"
metadata.event_type = "NETWORK_HTTP"
network.http.response_code = 200
network.received_bytes = 514605
principal.user.userid = "mikeross"
target.url = "http://manygoodnews.com/dow/Client%20Update.exe"
EDR-Ereignisse
Mit dem EDR-Ereignis in diesem Beispiel werden Aktivitäten auf einem Endpunktgerät erfasst. Die
Der folgende Ausschnitt stammt aus einem EDR-Protokoll von CrowdStrike Falcon, das als UDM-Ereignis gespeichert wurde.
Datensatz. Es erfasst ein Netzwerkereignis, das die Microsoft Excel-Anwendung betrifft.
und ein Nutzer mit dem userid-Wert mikeross.
metadata.log_type = "CS_EDR"
metadata.product_name = "Falcon"
metadata.vendor_name = "Crowdstrike"
metadata.event_type = "NETWORK_HTTP"
target.process.file.full_path = "\\Device\\HarddiskVolume1\\Program Files\\C:\\Program Files\\Microsoft Office\\Office16\\EXCEL.exe"
target.url = "http://manygoodnews.com/dow/Client%20Update.exe"
target.user.userid = "mikeross"
Beachten Sie, dass diese Einträge gemeinsame Informationen enthalten, sowohl die Nutzer-ID mikeross als auch den Tabellennamen analytics:claim.patients. Im nächsten Abschnitt dieses Dokuments
zeigt, wie diese Werte in der Regel verwendet werden, um die Datensätze zu verknüpfen.
Regel der Erkennungs-Engine in diesem Beispiel
Diese Beispielregel erkennt die Ausführung einer schädlichen Datei durch einen Nutzer (MITRE ATT&CK-Technik T1204.002).
Die Regel weist einer Erkennung einen höheren Risikowert zu, wenn der Nutzer auf sensible Daten an anderer Stelle im Netzwerk zugreifen. Die Regel korreliert die folgende Informationen:
- Nutzeraktivität, z. B. das Herunterladen oder Starten einer ausführbaren Datei.
- Die Beziehung zwischen Ressourcen, zum Beispiel die Beziehung des Nutzers zu einem BigQuery-Tabelle.
- Vorhandensein vertraulicher Informationen in der Ressource, auf die ein Nutzer zugreifen kann, Beispiel für den in der BigQuery-Tabelle gespeicherten Datentyp.
Im Folgenden finden Sie eine Beschreibung jedes Abschnitts in der Beispielregel.
Der Abschnitt
eventsgibt das Datenmuster der Regel an und umfasst Folgendes:- In Gruppe 1 und Gruppe 2 werden Netzwerk- und EDR-Ereignisse erfasst, die den Download einer großen Datenmenge oder einer ausführbaren Datei erfassen, die sich auch auf Aktivitäten in der Excel-Anwendung beziehen.
- Gruppe 3 identifiziert Datensätze, in denen der Nutzer Netzwerk- und EDR-Ereignissen auch die Berechtigung für eine BigQuery-Tabelle.
- Gruppe 4 identifiziert Einträge zum Schutz sensibler Daten für die BigQuery-Tabelle auf die der Nutzer Zugriff hat.
In jeder Ausdrucksgruppe wird entweder die Variable
$table_nameoder die Variable$userverwendet, um Datensätze zu verknüpfen, die sich auf denselben Nutzer und dieselbe Datenbanktabelle beziehen.Im Abschnitt
outcomeerstellt die Regel eine$risk_score-Variable und legt einen Wert fest basierend auf der Vertraulichkeit der Daten in der Tabelle. In diesem Fall wird geprüft, sind die Daten mit demUS_SOCIAL_SECURITY_NUMBERinfoType für Schutz sensibler Daten.Im Bereich
outcomewerden auch zusätzliche Variablen festgelegt, z. B.$principalHostnameund$entity_resource_name. Diese Variablen sind zurückgegeben und zusammen mit der Erkennung gespeichert, sodass Sie in Google Security Operations werden die Variablenwerte auch als Spalten dargestellt.Im Abschnitt
conditionwird angegeben, dass das Muster nach allen UDM-Einträgen sucht, die im Abschnitteventsangegeben sind.
rule high_risk_user_download_executable_from_macro {
meta:
author = "Google Cloud Security Demos"
description = "Executable downloaded by Microsoft Excel from High Risk User"
severity = "High"
technique = "T1204.002"
events:
//Group 1. identify a proxy event with suspected executable download
$proxy_event.principal.user.userid = $user
$proxy_event.target.url = /.*\.exe$/ or
$proxy_event.network.received_bytes > 102400
//Group 2. correlate with an EDR event indicating Excel activity
$edr_event.target.user.userid = $user
$edr_event.target.process.file.full_path = /excel/ nocase
$edr_event.metadata.event_type = "NETWORK_HTTP"
//Group 3. Use the entity to find the permissions
$user_entity.graph.entity.user.userid = $user
$user_entity.graph.relations.entity.resource.name = $table_name
//Group 4. the entity is from Cloud DLP data
$table_context.graph.entity.resource.product_object_id = $table_name
$table_context.graph.metadata.product_name = "GCP DLP CONTEXT"
match:
$user over 5m
outcome:
//calculate risk score
$risk_score = max(
if( $table_context.graph.entity.resource.attribute.labels.value = "US_SOCIAL_SECURITY_NUMBER", 80)
)
$technique = array_distinct("T1204.002")
$principalHostname = array_distinct($proxy_event.principal.hostname)
$principalIp = array_distinct($proxy_event.principal.ip)
$principalMac = array_distinct($proxy_event.principal.mac)
$targetHostname = array_distinct($proxy_event.target.hostname)
$target_url = array_distinct($proxy_event.target.url)
$targetIp = array_distinct($proxy_event.target.ip)
$principalUserUserid = array_distinct($proxy_event.principal.user.userid)
$entity_resource_name = array_distinct($table_context.graph.entity.resource.name)
condition:
$proxy_event and $edr_event and $user_entity and $table_context
}
Informationen zur Erkennung
Wenn Sie die Regel mit vorhandenen Daten testen und das Muster definiert haben, wird eine Erkennung generiert. Die Erkennung zeigt die Erkennung an, die nach dem Testen der Regel generiert wurde. Die Im Bereich Erkennung werden außerdem die Ereignis- und Entitätseinträge angezeigt, die das Ereignis verursacht haben. zum Erstellen einer Erkennung. In diesem Beispiel sind die folgenden Datensätze angezeigt:
- UDM-Entität für Google Cloud IAM-Analyse
- UDM-Entität für Sensitive Data Protection
- UDM-Ereignis „Zscaler Web Proxy“
- CrowdStrike Falcon EDR-UDM-Veranstaltung
Wählen Sie im Bereich Erkennung ein Ereignis oder einen Entitätseintrag aus, um Details aufzurufen.
Bei der Erkennung werden auch die im Abschnitt outcome der Regel definierten Variablen gespeichert. Wenn Sie die Variablen im Bereich Erkennung anzeigen möchten, wählen Sie Spalten und dann einen oder mehrere Variablennamen aus dem Menü Spalten aus. Die ausgewählten Spalten werden im Bereich Erkennung angezeigt.
Nächste Schritte
Informationen zum Schreiben benutzerdefinierter Regeln finden Sie unter Übersicht über die Sprache YARA-L 2.0
Informationen zum Erstellen benutzerdefinierter kontextsensitiver Analysen finden Sie unter Kontextsensitive Analysen erstellen.
Informationen zur Verwendung vordefinierter Bedrohungsanalysen finden Sie unter Verwendung ausgewählter Erkennungsmechanismen von Google Security Operations.