風險分析規則的指標函式
支援以下發布途徑:
Google secops
Siem
本文將說明風險分析新版 YARA-L 語法功能的主要元素。如要進一步瞭解 YARA-L,請參閱「YARA-L 2.0 語言語法」一文。
YARA-L 指標函式
Google Security Operations 支援多個指標函式,可匯總大量歷來資料。
指標函式只能用於結果部分。所有範例函式呼叫都假設會在多事件規則中使用。
所有使用指標函式的規則都會自動歸類為多事件規則,即使沒有比對部分且只使用一個事件變數也一樣。這表示這些事件會計入多重事件規則配額。
指標函式參數
指標函式可用於執行實體行為分析的規則。
舉例來說,下列規則會告訴您特定 IP 位址在過去一個月內傳送的每日位元組上限。特定 IP 位址由預留位置變數表示,在本例中為 $ip。如要進一步瞭解預留位置變數,請參閱「變數宣告」。
$max_bytes_per_day = max(metrics.network_bytes_outbound(
period:1d, window:30d,
metric:value_sum,
agg:max,
principal.asset.ip:$ip
))
由於這些函式會使用大量引數,因此會使用具名參數,可按照任意順序指定。參數如下:
期間
個別記錄檔事件合併為一項觀察所需的時間長度。唯一允許的值為 1h 和 1d。
視窗
個別觀察匯總為一個值 (例如平均值和最大值) 所需的時間長度。window 的有效值取決於指標的期間。有效的對應方式如下:
period:1h :window:today
period:1d :window:30d
舉例來說,以下規則會告訴您,過去 30 天內,特定使用者 (Alice) 在特定一天內嘗試驗證失敗的次數:
$user = "alice"
$max_fail = max(metrics.auth_attempts_fail(
period:1d, window:30d,
metric:event_count_sum,
agg:max,
target.user.userid:$user
))
您可以將每小時和每日指標組合使用,用於偵測 first-seen 類型。舉例來說,下列規則可讓您瞭解使用者是否首次登入這個應用程式:
events:
$e.metadata.event_type = "USER_LOGIN"
$e.security_result.action = "ALLOW"
$userid = $e.target.user.userid
$app = $e.target.application
match:
// find events from now - 4h ago, which is the recommended look-back period
$userid, $app over 4h
outcome:
// check hourly analytics until daily analytics are available
$first_seen_today = max(metrics.auth_attempts_success(
period:1h, window:today, metric:first_seen, agg:max,
target.user.userid:$userid, target.application:$app))
$first_seen_monthly = max(metrics.auth_attempts_success(
period:1d, window:30d, metric:first_seen, agg:max,
target.user.userid:$userid, target.application:$app))
condition:
$e and ($first_seen_today = 0) and ($first_seen_monthly = 0)
指標
在每個期間內,每項觀察都有多項相關聯的指標。您必須選取其中一個指標,才能在整個期間內匯總資料。支援五種 metric 類型:
event_count_sum:每個期間內的不重複記錄事件數。
first_seen:在每個期間內,首次出現相符記錄事件的時間戳記。
last_seen:每個期間內,相符記錄事件的最後一次出現時間戳記。
value_sum:代表在指定期間內,所有記錄事件的位元組總數。您只能將這個值用於名稱中含有 bytes 的指標函式。
num_unique_filter_values:Google SecOps 不會預先計算的評估指標,但可在執行規則時計算。詳情和相關規定請參閱「計算不重複指標」。
Agg
要對指標套用哪種匯總。並在整個期間內發揮作用 (例如過去 30 天內最高的每日值)。允許的值如下:
avg:每個期間的平均值。這是統計平均值,不包含零值。
max:每個期間的最大值。
min:每個時間間隔的最小值。
num_metric_periods:時間範圍內有非零值指標的週期數。
stddev:每個週期的值標準差。這是統計標準差,不含零值。
sum:整個時間範圍內每個時間段的值總和。
舉例來說,以下規則會顯示特定使用者 (Alice) 在過去 30 天內,某一天的平均驗證失敗次數:
$user = "alice"
$avg_fail = max(metrics.auth_attempts_fail(
period:1d, window:30d,
metric:event_count_sum,
agg:avg,
target.user.userid:$user
))
以下規則會說明特定使用者在過去 30 天內成功驗證的次數:
$total_success = max(metrics.auth_attempts_success(
period:1d, window:30d,
metric:event_count_sum,
agg:sum,
target.user.userid:$user
))
下列規則可讓您瞭解特定使用者在過去 30 天內是否至少登入一次:
$days_success = max(metrics.auth_attempts_success(
period:1d, window:30d,
metric:event_count_sum,
agg:num_metric_periods,
target.user.userid:$user
))
下列規則會顯示特定使用者首次或最後一次成功登入的時間:
$first_seen = max(metrics.auth_attempts_success(
period:1d, window:30d,
metric:first_seen,
agg:min,
target.user.userid:$user
))
$last_seen = max(metrics.auth_attempts_success(
period:1d, window:30d,
metric:last_seen,
agg:max,
target.user.userid:$user
))
以下規則說明使用者在過去 30 天內,在任何特定日期傳送的位元組數量上限:
$max_daily_bytes = max(metrics.network_bytes_outbound(
period:1d, window:30d,
metric:value_sum,
agg:max,
target.user.userid:$user
))
篩選器
篩選器可在匯總指標之前,依據一個值篩選尚未計算的指標 (請參閱「指標」中的值)。篩選器可以是任何有效的事件運算式 (事件部分的單一行),但不得包含任何事件欄位或預留位置。這個條件中只能包含指標類型變數。
以下規則只會納入 value_sum > 10 AND
event_count_sum > 2 為下列值的指標:
$max_bytes_per_day = max(metrics.network_bytes_outbound(
period:1d, window:30d,
metric:value_sum,
agg:max,
principal.asset.ip:$ip
filter:value_sum > 10 AND event_count_sum > 2
))
有效的篩選器範例
filter:value_sum > 10 AND event_count_sum != 5
filter:event_count_sum = 100 OR event_count_sum > 1000
filter:timestamp.get_day_of_week(first_seen) = 3
無效的篩選器範例
// No placeholders in filter expressions.
filter:value_sum > $ph
// No event fields in filter expressions.
filter:event_count_sum + $e.field > 10
// No event fields in filter expressions.
filter:timestamp.subtract(first_seen, $e.metadata.timestamp)
UDM 欄位
視函式而定,指標會依據 1、2 或 3 個 UDM 欄位篩選。詳情請參閱「函式」一文。
下列 UDM 欄位類型可用於指標函式:
- 維度 (必要):本文件列出了不同的組合。您無法彙整含有預設值的指標 (
""為字串,0為 int)。 - 命名空間 (選用):您只能將命名空間用於在維度中指定的實體。舉例來說,如果您使用
principal.asset.hostname filter,也可以使用principal.namespace filter。如果您未加入命名空間篩選器,系統會將所有命名空間的資料匯總在一起。您可以使用預設值做為命名空間篩選器。
窗口計算
Google 安全作業團隊會使用每日或每小時的指標時間範圍來計算指標。
每日時段
所有每日時間窗格 (例如 30d) 都會以相同方式決定。Google Security Operations 會使用最新的資料指標資料,且該資料不與規則時間範圍重疊。每日指標的計算作業最多可能需要 6 小時才能完成,且必須等到當天結束 (以世界標準時間為準) 才會開始。前一天的指標資料會在每天世界標準時間 6 點或之前提供。
舉例來說,如果規則會針對 2023-10-31 04:00 到 2023-10-31 07:00 (含) 的事件資料執行,系統可能會產生 2023-10-31 的每日指標,因此指標計算會使用 2023-10-01 到 2023-10-30 (含) 的資料。不過,如果規則會在 2023-10-31 1:00 UTC 至 2023-10-31 3:00 UTC 期間處理事件資料,則 2023-10-30 的每日指標可能不會產生,因此指標計算會使用 2023-09-30 至 2023-10-29 (含) 的資料。
每小時 today 視窗
每小時指標視窗的計算方式與每日指標視窗不同。today 的每小時指標視窗大小並非固定值,不像每日指標的 30d 視窗。每小時指標視窗 today 會在每日視窗結束和規則時間視窗開始之間,盡可能填入大量資料。
舉例來說,如果規則會針對 2023-10-31 4:00:00 UTC 到 2023-10-31 7:00:00 UTC 的事件資料執行,每日指標計算會使用 2023-10-01 到 2023-10-30 (含) 的資料,而每小時指標時間區間會使用 2023-10-31 00:00:00 UTC 到 2023-10-31 4:00:00 UTC 的資料。
計算不重複指標
有一種特殊類型的指標 num_unique_filter_values,Google SecOps 不會預先計算這項指標,而是在執行規則時計算。這項操作是透過在已計算的指標中,匯總現有維度來完成。舉例來說,您可以針對 target.user.userid 和 principal.ip_geo_artifact.location.country_or_region 維度,在後者維度上執行計數唯一匯總,從而從預先計算的 auth_attempts_total 指標中衍生出 daily total count of distinct countries that a user attempted to authenticate 指標。
以下範例規則會計算不重複指標:
$outcome_variable = max(metrics.auth_attempts_total(
period: 1d,
window: 30d,
// This metric type indicates any filter with a wildcard value should be
// aggregated over each day to produce a new metric on-the-fly.
metric: num_unique_filter_values,
agg: max,
target.user.userid: $userid,
// Filter whose value should be counted over each day to produce the
// num_unique_filter_values metric.
principal.ip_geo_artifact.location.country_or_region: *
))
這項功能有以下限制:
- 計算獨特指標計數時,只能匯總 1 個篩選器維度。這可透過使用萬用字元符號
*做為篩選器值來表示。
函式
本節提供 Google Security Operations 支援的特定指標函式說明文件。
警報事件
metrics.alert_event_name_count 會針對 Carbon Black、CrowdStrike Falcon、Microsoft Graph API 警示或 Microsoft Sentinel 產生的 UDM 事件,預先計算歷史值。
可做為篩選器的所有 UDM 欄位完整清單
principal.asset.asset_id, principal.process.file.full_path, principal.user.email_addresses, security_result.rule_nameprincipal.asset.asset_id, principal.process.file.full_path, principal.user.employee_id, security_result.rule_nameprincipal.asset.asset_id, principal.process.file.full_path, principal.user.product_object_id, security_result.rule_nameprincipal.asset.asset_id, principal.process.file.full_path, principal.user.userid, security_result.rule_nameprincipal.asset.asset_id, principal.process.file.full_path, principal.user.windows_sid, security_result.rule_nameprincipal.asset.asset_id, principal.process.file.full_path, security_result.rule_nameprincipal.asset.asset_id, principal.process.file.sha256, principal.user.email_addresses, security_result.rule_nameprincipal.asset.asset_id, principal.process.file.sha256, principal.user.employee_id, security_result.rule_nameprincipal.asset.asset_id, principal.process.file.sha256, principal.user.product_object_id, security_result.rule_nameprincipal.asset.asset_id, principal.process.file.sha256, principal.user.userid, security_result.rule_nameprincipal.asset.asset_id, principal.process.file.sha256, principal.user.windows_sid, security_result.rule_nameprincipal.asset.asset_id, security_result.rule_nameprincipal.asset.hostname, principal.process.file.full_path, principal.user.email_addresses, security_result.rule_nameprincipal.asset.hostname, principal.process.file.full_path, principal.user.employee_id, security_result.rule_nameprincipal.asset.hostname, principal.process.file.full_path, principal.user.product_object_id, security_result.rule_nameprincipal.asset.hostname, principal.process.file.full_path, principal.user.userid, security_result.rule_nameprincipal.asset.hostname, principal.process.file.full_path, principal.user.windows_sid, security_result.rule_nameprincipal.asset.hostname, principal.process.file.full_path, security_result.rule_nameprincipal.asset.hostname, principal.process.file.sha256, principal.user.email_addresses, security_result.rule_nameprincipal.asset.hostname, principal.process.file.sha256, principal.user.employee_id, security_result.rule_nameprincipal.asset.hostname, principal.process.file.sha256, principal.user.product_object_id, security_result.rule_nameprincipal.asset.hostname, principal.process.file.sha256, principal.user.userid, security_result.rule_nameprincipal.asset.hostname, principal.process.file.sha256, principal.user.windows_sid, security_result.rule_nameprincipal.asset.hostname, security_result.rule_nameprincipal.asset.ip, principal.process.file.full_path, principal.user.email_addresses, security_result.rule_nameprincipal.asset.ip, principal.process.file.full_path, principal.user.employee_id, security_result.rule_nameprincipal.asset.ip, principal.process.file.full_path, principal.user.product_object_id, security_result.rule_nameprincipal.asset.ip, principal.process.file.full_path, principal.user.userid, security_result.rule_nameprincipal.asset.ip, principal.process.file.full_path, principal.user.windows_sid, security_result.rule_nameprincipal.asset.ip, principal.process.file.full_path, security_result.rule_nameprincipal.asset.ip, principal.process.file.sha256, principal.user.email_addresses, security_result.rule_nameprincipal.asset.ip, principal.process.file.sha256, principal.user.employee_id, security_result.rule_nameprincipal.asset.ip, principal.process.file.sha256, principal.user.product_object_id, security_result.rule_nameprincipal.asset.ip, principal.process.file.sha256, principal.user.userid, security_result.rule_nameprincipal.asset.ip, principal.process.file.sha256, principal.user.windows_sid, security_result.rule_nameprincipal.asset.ip, security_result.rule_nameprincipal.asset.mac, principal.process.file.full_path, principal.user.email_addresses, security_result.rule_nameprincipal.asset.mac, principal.process.file.full_path, principal.user.employee_id, security_result.rule_nameprincipal.asset.mac, principal.process.file.full_path, principal.user.product_object_id, security_result.rule_nameprincipal.asset.mac, principal.process.file.full_path, principal.user.userid, security_result.rule_nameprincipal.asset.mac, principal.process.file.full_path, principal.user.windows_sid, security_result.rule_nameprincipal.asset.mac, principal.process.file.full_path, security_result.rule_nameprincipal.asset.mac, principal.process.file.sha256, principal.user.email_addresses, security_result.rule_nameprincipal.asset.mac, principal.process.file.sha256, principal.user.employee_id, security_result.rule_nameprincipal.asset.mac, principal.process.file.sha256, principal.user.product_object_id, security_result.rule_nameprincipal.asset.mac, principal.process.file.sha256, principal.user.userid, security_result.rule_nameprincipal.asset.mac, principal.process.file.sha256, principal.user.windows_sid, security_result.rule_nameprincipal.asset.mac, security_result.rule_nameprincipal.asset.product_object_id, principal.process.file.full_path, principal.user.email_addresses, security_result.rule_nameprincipal.asset.product_object_id, principal.process.file.full_path, principal.user.employee_id, security_result.rule_nameprincipal.asset.product_object_id, principal.process.file.full_path, principal.user.product_object_id, security_result.rule_nameprincipal.asset.product_object_id, principal.process.file.full_path, principal.user.userid, security_result.rule_nameprincipal.asset.product_object_id, principal.process.file.full_path, principal.user.windows_sid, security_result.rule_nameprincipal.asset.product_object_id, principal.process.file.full_path, security_result.rule_nameprincipal.asset.product_object_id, principal.process.file.sha256, principal.user.email_addresses, security_result.rule_nameprincipal.asset.product_object_id, principal.process.file.sha256, principal.user.employee_id, security_result.rule_nameprincipal.asset.product_object_id, principal.process.file.sha256, principal.user.product_object_id, security_result.rule_nameprincipal.asset.product_object_id, principal.process.file.sha256, principal.user.userid, security_result.rule_nameprincipal.asset.product_object_id, principal.process.file.sha256, principal.user.windows_sid, security_result.rule_nameprincipal.asset.product_object_id, security_result.rule_name
驗證嘗試
metrics.auth_attempts_total 會使用 USER_LOGIN event
type 預先計算 UDM 事件的歷來值。
metrics.auth_attempts_success 還要求事件至少包含一個 ALLOW 的 SecurityResult.Action。
metrics.auth_attempts_fail 則要求所有 SecurityResult.Actions 都不是 ALLOW。
可做為篩選器的所有 UDM 欄位完整清單
principal.asset.asset_idprincipal.asset.asset_id、target.asset.asset_idprincipal.asset.asset_id、target.asset.hostnameprincipal.asset.asset_id、target.asset.ipprincipal.asset.asset_id、target.asset.macprincipal.asset.asset_id、target.asset.product_object_idprincipal.asset.hostnameprincipal.asset.hostname、target.asset.asset_idprincipal.asset.hostname、target.asset.hostnameprincipal.asset.hostname、target.asset.ipprincipal.asset.hostname、target.asset.macprincipal.asset.hostname、target.asset.product_object_idprincipal.asset.ipprincipal.asset.ip、target.asset.asset_idprincipal.asset.ip、target.asset.hostnameprincipal.asset.ip、target.asset.ipprincipal.asset.ip、target.asset.macprincipal.asset.ip、target.asset.product_object_idprincipal.asset.macprincipal.asset.mac、target.asset.asset_idprincipal.asset.mac、target.asset.hostnameprincipal.asset.mac、target.asset.ipprincipal.asset.mac、target.asset.macprincipal.asset.mac、target.asset.product_object_idprincipal.asset.product_object_idprincipal.asset.product_object_id、target.asset.asset_idprincipal.asset.product_object_id、target.asset.hostnameprincipal.asset.product_object_id、target.asset.ipprincipal.asset.product_object_id、target.asset.macprincipal.asset.product_object_id、target.asset.product_object_idprincipal.user.email_addressesprincipal.user.email_addresses、target.asset.asset_idprincipal.user.email_addresses、target.asset.hostnameprincipal.user.email_addresses、target.asset.ipprincipal.user.email_addresses、target.asset.macprincipal.user.email_addresses、target.asset.product_object_idprincipal.user.employee_idprincipal.user.employee_id、target.asset.asset_idprincipal.user.employee_id、target.asset.hostnameprincipal.user.employee_id、target.asset.ipprincipal.user.employee_id、target.asset.macprincipal.user.employee_id、target.asset.product_object_idprincipal.user.product_object_idprincipal.user.product_object_id、target.asset.asset_idprincipal.user.product_object_id、target.asset.hostnameprincipal.user.product_object_id、target.asset.ipprincipal.user.product_object_id、target.asset.macprincipal.user.product_object_id、target.asset.product_object_idprincipal.user.useridprincipal.user.userid、target.asset.asset_idprincipal.user.userid、target.asset.hostnameprincipal.user.userid、target.asset.ipprincipal.user.userid、target.asset.macprincipal.user.userid、target.asset.product_object_idprincipal.user.windows_sidprincipal.user.windows_sid、target.asset.asset_idprincipal.user.windows_sid、target.asset.hostnameprincipal.user.windows_sid、target.asset.ipprincipal.user.windows_sid、target.asset.macprincipal.user.windows_sid、target.asset.product_object_idtarget.applicationtarget.user.email_addressestarget.user.email_addresses、network.tls.client.certificate.sha256target.user.email_addresses、principal.ip_geo_artifact.location.country_or_regiontarget.user.email_addresses、principal.ip_geo_artifact.network.organization_nametarget.user.email_addresses、target.applicationtarget.user.employee_idtarget.user.employee_id、network.tls.client.certificate.sha256target.user.employee_id、principal.ip_geo_artifact.location.country_or_regiontarget.user.employee_id、principal.ip_geo_artifact.network.organization_nametarget.user.employee_id、target.applicationtarget.user.product_object_idtarget.user.product_object_id、network.tls.client.certificate.sha256target.user.product_object_id、principal.ip_geo_artifact.location.country_or_regiontarget.user.product_object_id、principal.ip_geo_artifact.network.organization_nametarget.user.product_object_id、target.applicationtarget.user.useridtarget.user.userid、network.tls.client.certificate.sha256target.user.userid、principal.ip_geo_artifact.location.country_or_regiontarget.user.userid、principal.ip_geo_artifact.network.organization_nametarget.user.userid、target.applicationtarget.user.windows_sidtarget.user.windows_sid、network.tls.client.certificate.sha256target.user.windows_sid、principal.ip_geo_artifact.location.country_or_regiontarget.user.windows_sid、principal.ip_geo_artifact.network.organization_nametarget.user.windows_sid、target.application
metrics.auth_attempts_total 有其他可做為篩選器的 UDM 欄位
target.application、target.asset.asset_idtarget.application、target.asset.hostnametarget.application、target.asset.iptarget.application、target.asset.mactarget.application、target.asset.product_object_id
metrics.auth_attempts_success 有其他可做為篩選器的 UDM 欄位
network.http.user_agentprincipal.asset.asset_id、metadata.event_typeprincipal.asset.hostname、metadata.event_typeprincipal.asset.ip、metadata.event_typeprincipal.asset.mac、metadata.event_typeprincipal.asset.product_object_id、metadata.event_type
DNS 位元組傳出
metrics.dns_bytes_outbound 會針對 network.sent_bytes 大於 0 且目標通訊埠為 53/udp、53/tcp 或 3000/tcp 的 UDM 事件,預先計算歷史值。network.sent_bytes 可用於 value_sum。
可做為篩選器的所有 UDM 欄位完整清單
principal.asset.asset_idprincipal.asset.asset_id、target.ipprincipal.asset.hostnameprincipal.asset.hostname、target.ipprincipal.asset.ipprincipal.asset.ip、target.ipprincipal.asset.macprincipal.asset.mac、target.ipprincipal.asset.product_object_idprincipal.asset.product_object_id、target.ipprincipal.user.email_addressesprincipal.user.email_addresses、target.ipprincipal.user.employee_idprincipal.user.employee_id、target.ipprincipal.user.product_object_idprincipal.user.product_object_id、target.ipprincipal.user.useridprincipal.user.userid、target.ipprincipal.user.windows_sidprincipal.user.windows_sid、target.iptarget.ip
DNS 查詢
metrics.dns_queries_total 會針對 network.dns.id 中具有值的 UDM 事件,預先計算歷史值。
metrics.dns_queries_success 還需要 network。dns.response_code 是 0 (NoError)。
metrics.dns_queries_fail 只會考量含有 network 的事件。dns.response_code 大於 0。
可做為篩選器的所有 UDM 欄位完整清單
principal.asset.asset_idprincipal.asset.asset_id、network.dns_domainprincipal.asset.asset_id、network.dns.questions.typeprincipal.asset.hostnameprincipal.asset.hostname、network.dns_domainprincipal.asset.hostname、network.dns.questions.typeprincipal.asset.ipprincipal.asset.ip、network.dns_domainprincipal.asset.ip、network.dns.questions.typeprincipal.asset.macprincipal.asset.mac、network.dns_domainprincipal.asset.mac、network.dns.questions.typeprincipal.asset.product_object_idprincipal.asset.product_object_id、network.dns_domainprincipal.asset.product_object_id、network.dns.questions.typeprincipal.user.email_addressesprincipal.user.email_addresses、network.dns_domainprincipal.user.email_addresses、network.dns.questions.typeprincipal.user.employee_idprincipal.user.employee_id、network.dns_domainprincipal.user.employee_id、network.dns.questions.typeprincipal.user.product_object_idprincipal.user.product_object_id、network.dns_domainprincipal.user.product_object_id、network.dns.questions.typeprincipal.user.useridprincipal.user.userid、network.dns_domainprincipal.user.userid、network.dns.questions.typeprincipal.user.windows_sidprincipal.user.windows_sid、network.dns_domainprincipal.user.windows_sid、network.dns.questions.type
檔案執行作業
metrics.file_executions_total 會使用 PROCESS_LAUNCH event
type 預先計算 UDM 事件的歷來值。
metrics.file_executions_success 還要求事件至少包含一個 ALLOW 的 SecurityResult.Action。
metrics.file_executions_fail 則要求所有 SecurityResult.Actions 都不是 ALLOW。
可做為篩選器的所有 UDM 欄位完整清單
metadata.event_type、principal.process.file.sha256metadata.event_type、principal.asset.asset_id、principal.process.file.sha256metadata.event_type、principal.asset.hostname、principal.process.file.sha256metadata.event_type、principal.asset.ip、principal.process.file.sha256metadata.event_type、principal.asset.mac、principal.process.file.sha256metadata.event_type、principal.asset.product_object_id、principal.process.file.sha256metadata.event_type、principal.user.email_addresses、principal.process.file.sha256metadata.event_type、principal.user.employee_id、principal.process.file.sha256metadata.event_type、principal.user.product_object_id、principal.process.file.sha256metadata.event_type、principal.user.userid、principal.process.file.sha256metadata.event_type、principal.user.windows_sid、principal.process.file.sha256
HTTP 查詢
metrics.http_queries_total 會針對 network.http.method 中具有值的 UDM 事件,預先計算歷史值。
metrics.http_queries_success 還需要 network。http.response_code 小於 400。
metrics.http_queries_fail 只會考量含有 network 的事件。http.response_code 大於或等於 400。
可做為篩選器的所有 UDM 欄位完整清單
principal.asset.asset_idprincipal.asset.asset_id、network.http.user_agentprincipal.asset.hostnameprincipal.asset.hostname、network.http.user_agentprincipal.asset.ipprincipal.asset.ip、network.http.user_agentprincipal.asset.macprincipal.asset.mac、network.http.user_agentprincipal.asset.product_object_idprincipal.asset.product_object_id、network.http.user_agentprincipal.user.email_addressesprincipal.user.email_addresses、network.http.user_agentprincipal.user.employee_idprincipal.user.employee_id、network.http.user_agentprincipal.user.product_object_idprincipal.user.product_object_id、network.http.user_agentprincipal.user.useridprincipal.user.userid、network.http.user_agentprincipal.user.windows_sidprincipal.user.windows_sid、network.http.user_agent
網路位元組數
metrics.network_bytes_inbound 會針對 network.received_bytes 的 received_bytes 值為非零值的 UDM 事件,預先計算歷史值,並將該欄位設為 value_sum。
metrics.network_bytes_outbound 會要求 network.sent_bytes 為非零值,並將該欄位設為 value_sum。
metrics.network_bytes_total 會考量 network.received_bytes 或 network.sent_bytes (或兩者皆是) 的值是否為非零值,並將這兩個欄位的總和設為 value_sum。
可做為篩選器的所有 UDM 欄位完整清單
principal.asset.asset_idprincipal.asset.asset_id、principal.ip_geo_artifact.location.country_or_regionprincipal.asset.asset_id、security_result.categoryprincipal.asset.asset_id、target.ip_geo_artifact.network.organization_nameprincipal.asset.hostnameprincipal.asset.hostname、principal.ip_geo_artifact.location.country_or_regionprincipal.asset.hostname、security_result.categoryprincipal.asset.hostname、target.ip_geo_artifact.network.organization_nameprincipal.asset.ipprincipal.asset.ip、principal.ip_geo_artifact.location.country_or_regionprincipal.asset.ip、security_result.categoryprincipal.asset.ip、target.ip_geo_artifact.network.organization_nameprincipal.asset.macprincipal.asset.mac、principal.ip_geo_artifact.location.country_or_regionprincipal.asset.mac、security_result.categoryprincipal.asset.mac、target.ip_geo_artifact.network.organization_nameprincipal.asset.product_object_idprincipal.asset.product_object_id、principal.ip_geo_artifact.location.country_or_regionprincipal.asset.product_object_id、security_result.categoryprincipal.asset.product_object_id、target.ip_geo_artifact.network.organization_nameprincipal.user.email_addressesprincipal.user.email_addresses、principal.ip_geo_artifact.location.country_or_regionprincipal.user.email_addresses、security_result.categoryprincipal.user.email_addresses、target.ip_geo_artifact.network.organization_nameprincipal.user.employee_idprincipal.user.employee_id、principal.ip_geo_artifact.location.country_or_regionprincipal.user.employee_id、security_result.categoryprincipal.user.employee_id、target.ip_geo_artifact.network.organization_nameprincipal.user.product_object_idprincipal.user.product_object_id、principal.ip_geo_artifact.location.country_or_regionprincipal.user.product_object_id、security_result.categoryprincipal.user.product_object_id、target.ip_geo_artifact.network.organization_nameprincipal.user.useridprincipal.user.userid、principal.ip_geo_artifact.location.country_or_regionprincipal.user.userid、security_result.categoryprincipal.user.userid、target.ip_geo_artifact.network.organization_nameprincipal.user.windows_sidprincipal.user.windows_sid、principal.ip_geo_artifact.location.country_or_regionprincipal.user.windows_sid、security_result.categoryprincipal.user.windows_sid、target.ip_geo_artifact.network.organization_name
建立資源
metrics.resource_creation_total 會使用 RESOURCE_CREATION event
type 或 USER_RESOURCE_CREATION event
type 預先計算 UDM 事件的歷來值。
如需等效事件類型的清單,請參閱「中繼資料事件類型」一節
metrics.resource_creation_success 還要求事件至少包含一個 ALLOW 的 SecurityResult.Action。
可做為篩選器的所有 UDM 欄位完整清單
principal.user.email_addresses、metadata.vendor_name、metadata.product_nameprincipal.user.employee_id、metadata.vendor_name、metadata.product_nameprincipal.user.product_object_id、metadata.vendor_name、metadata.product_nameprincipal.user.userid、metadata.vendor_name、metadata.product_nameprincipal.user.windows_sid、metadata.vendor_name、metadata.product_nameprincipal.user.email_addresses、principal.ip、metadata.vendor_name、metadata.product_nameprincipal.user.employee_id、principal.ip、metadata.vendor_name、metadata.product_nameprincipal.user.product_object_id、principal.ip、metadata.vendor_name、metadata.product_nameprincipal.user.userid、principal.ip、metadata.vendor_name、metadata.product_nameprincipal.user.windows_sid、principal.ip、metadata.vendor_name、metadata.product_nameprincipal.user.email_addresses、target.application、metadata.vendor_name、metadata.product_nameprincipal.user.employee_id、target.application、metadata.vendor_name、metadata.product_nameprincipal.user.product_object_id、target.application、metadata.vendor_name、metadata.product_nameprincipal.user.userid、target.application、metadata.vendor_name、metadata.product_nameprincipal.user.windows_sid、target.application、metadata.vendor_name、metadata.product_nameprincipal.user.email_addresses、target.application、target.location.name、metadata.vendor_name、metadata.product_nameprincipal.user.employee_id、target.application、target.location.name、metadata.vendor_name、metadata.product_nameprincipal.user.product_object_id、target.application、target.location.name、metadata.vendor_name、metadata.product_nameprincipal.user.userid、target.application、target.location.name、metadata.vendor_name、metadata.product_nameprincipal.user.windows_sid、target.application、target.location.name、metadata.vendor_name、metadata.product_nameprincipal.user.email_addresses、target.resource.name、metadata.vendor_name、metadata.product_nameprincipal.user.employee_id、target.resource.name、metadata.vendor_name、metadata.product_nameprincipal.user.product_object_id、target.resource.name、metadata.vendor_name、metadata.product_nameprincipal.user.userid、target.resource.name、metadata.vendor_name、metadata.product_nameprincipal.user.windows_sid、target.resource.name、metadata.vendor_name、metadata.product_nameprincipal.user.email_addresses、target.resource.name、target.resource_type、metadata.vendor_name、metadata.product_nameprincipal.user.employee_id、target.resource.name、target.resource_type、metadata.vendor_name、metadata.product_nameprincipal.user.product_object_id、target.resource.name、target.resource_type、metadata.vendor_name、metadata.product_nameprincipal.user.userid、target.resource.name、target.resource_type、metadata.vendor_name、metadata.product_nameprincipal.user.windows_sid、target.resource.name、target.resource_type、metadata.vendor_name、metadata.product_nametarget.user.email_addresses、metadata.vendor_name、metadata.product_nametarget.user.employee_id、metadata.vendor_name、metadata.product_nametarget.user.product_object_id、metadata.vendor_name、metadata.product_nametarget.user.userid、metadata.vendor_name、metadata.product_nametarget.user.windows_sid、metadata.vendor_name、metadata.product_name
刪除資源
metrics.resource_deletion_success 會使用 RESOURCE_DELETION event
type 為 UDM 事件預先計算歷史值,並進一步要求事件至少包含一個 ALLOW 的 SecurityResult.Actions。
可做為篩選器的所有 UDM 欄位完整清單
principal.user.email_addresses、metadata.vendor_name、metadata.product_nameprincipal.user.employee_id、metadata.vendor_name、metadata.product_nameprincipal.user.product_object_id、metadata.vendor_name、metadata.product_nameprincipal.user.userid、metadata.vendor_name、metadata.product_nameprincipal.user.windows_sid、metadata.vendor_name、metadata.product_nameprincipal.user.email_addresses、principal.ip、metadata.vendor_name、metadata.product_nameprincipal.user.employee_id、principal.ip、metadata.vendor_name、metadata.product_nameprincipal.user.product_object_id、principal.ip、metadata.vendor_name、metadata.product_nameprincipal.user.userid、principal.ip、metadata.vendor_name、metadata.product_nameprincipal.user.windows_sid、principal.ip、metadata.vendor_name、metadata.product_nameprincipal.user.email_addresses、target.application、metadata.vendor_name、metadata.product_nameprincipal.user.employee_id、target.application、metadata.vendor_name、metadata.product_nameprincipal.user.product_object_id、target.application、metadata.vendor_name、metadata.product_nameprincipal.user.userid、target.application、metadata.vendor_name、metadata.product_nameprincipal.user.windows_sid、target.application、metadata.vendor_name、metadata.product_nameprincipal.user.email_addresses、target.application、target.location.name、metadata.vendor_name、metadata.product_nameprincipal.user.employee_id、target.application、target.location.name、metadata.vendor_name、metadata.product_nameprincipal.user.product_object_id、target.application、target.location.name、metadata.vendor_name、metadata.product_nameprincipal.user.userid、target.application、target.location.name、metadata.vendor_name、metadata.product_nameprincipal.user.windows_sid、target.application、target.location.name、metadata.vendor_name、metadata.product_nameprincipal.user.email_addresses、target.resource.name、metadata.vendor_name、metadata.product_nameprincipal.user.employee_id、target.resource.name、metadata.vendor_name、metadata.product_nameprincipal.user.product_object_id、target.resource.name、metadata.vendor_name、metadata.product_nameprincipal.user.userid、target.resource.name、metadata.vendor_name、metadata.product_nameprincipal.user.windows_sid、target.resource.name、metadata.vendor_name、metadata.product_nameprincipal.user.email_addresses、target.resource.name、target.resource_type、metadata.vendor_name、metadata.product_nameprincipal.user.employee_id、target.resource.name、target.resource_type、metadata.vendor_name、metadata.product_nameprincipal.user.product_object_id、target.resource.name、target.resource_type、metadata.vendor_name、metadata.product_nameprincipal.user.userid、target.resource.name、target.resource_type、metadata.vendor_name、metadata.product_nameprincipal.user.windows_sid、target.resource.name、target.resource_type、metadata.vendor_name、metadata.product_nametarget.user.email_addresses、metadata.vendor_name、metadata.product_nametarget.user.employee_id、metadata.vendor_name、metadata.product_nametarget.user.product_object_id、metadata.vendor_name、metadata.product_nametarget.user.userid、metadata.vendor_name、metadata.product_nametarget.user.windows_sid、metadata.vendor_name、metadata.product_name
讀取資源
metrics.resource_read_success 會使用 RESOURCE_READ event
type 為 UDM 事件預先計算歷史值,並進一步要求事件至少包含一個 ALLOW 的 SecurityResult.Action。
metrics.resource_read_fail 則要求所有 SecurityResult.Actions 都不是 ALLOW。
可做為篩選器的所有 UDM 欄位完整清單
principal.user.email_addresses、metadata.vendor_name、metadata.product_nameprincipal.user.employee_id、metadata.vendor_name、metadata.product_nameprincipal.user.product_object_id、metadata.vendor_name、metadata.product_nameprincipal.user.userid、metadata.vendor_name、metadata.product_nameprincipal.user.windows_sid、metadata.vendor_name、metadata.product_nameprincipal.user.email_addresses、principal.ip、metadata.vendor_name、metadata.product_nameprincipal.user.employee_id、principal.ip、metadata.vendor_name、metadata.product_nameprincipal.user.product_object_id、principal.ip、metadata.vendor_name、metadata.product_nameprincipal.user.userid、principal.ip、metadata.vendor_name、metadata.product_nameprincipal.user.windows_sid、principal.ip、metadata.vendor_name、metadata.product_nameprincipal.user.email_addresses、target.application、metadata.vendor_name、metadata.product_nameprincipal.user.employee_id、target.application、metadata.vendor_name、metadata.product_nameprincipal.user.product_object_id、target.application、metadata.vendor_name、metadata.product_nameprincipal.user.userid、target.application、metadata.vendor_name、metadata.product_nameprincipal.user.windows_sid、target.application、metadata.vendor_name、metadata.product_nameprincipal.user.email_addresses、target.application、target.location.name、metadata.vendor_name、metadata.product_nameprincipal.user.employee_id、target.application、target.location.name、metadata.vendor_name、metadata.product_nameprincipal.user.product_object_id、target.application、target.location.name、metadata.vendor_name、metadata.product_nameprincipal.user.userid、target.application、target.location.name、metadata.vendor_name、metadata.product_nameprincipal.user.windows_sid、target.application、target.location.name、metadata.vendor_name、metadata.product_nameprincipal.user.email_addresses、target.resource.name、metadata.vendor_name、metadata.product_nameprincipal.user.employee_id、target.resource.name、metadata.vendor_name、metadata.product_nameprincipal.user.product_object_id、target.resource.name、metadata.vendor_name、metadata.product_nameprincipal.user.userid、target.resource.name、metadata.vendor_name、metadata.product_nameprincipal.user.windows_sid、target.resource.name、metadata.vendor_name、metadata.product_nameprincipal.user.email_addresses、target.resource.name、target.resource_type、metadata.vendor_name、metadata.product_nameprincipal.user.employee_id、target.resource.name、target.resource_type、metadata.vendor_name、metadata.product_nameprincipal.user.product_object_id、target.resource.name、target.resource_type、metadata.vendor_name、metadata.product_nameprincipal.user.userid、target.resource.name、target.resource_type、metadata.vendor_name、metadata.product_nameprincipal.user.windows_sid、target.resource.name、target.resource_type、metadata.vendor_name、metadata.product_nametarget.user.email_addresses、metadata.vendor_name、metadata.product_nametarget.user.employee_id、metadata.vendor_name、metadata.product_nametarget.user.product_object_id、metadata.vendor_name、metadata.product_nametarget.user.userid、metadata.vendor_name、metadata.product_nametarget.user.windows_sid、metadata.vendor_name、metadata.product_name
限制
使用指標建立 YARA-L 規則時,請注意下列限制:
- 您無法彙整含有預設值的資料指標 (字串為
"",整數為0)。 - 預設值:
- 如果沒有與事件相對應的指標資料,則指標函數會傳回 0。
- 如果偵測事件中沒有指標資料,使用
min匯總函數可能會傳回 0。 - 如要檢查事件是否有資料,您可以使用相同的篩選器,對同一事件使用指標
num_metric_periods匯總功能。
- 指標函式只能用於結果部分。
- 由於成效函式只會用於結果部分,因此必須像是規則中其他值一樣,與相符部分一起匯總。
還有其他問題嗎?向社群成員和 Google SecOps 專家尋求解答。