Aliasing
Durch Aliasing wird die Anreicherung ermöglicht. Mit Aliasing können Sie beispielsweise IP- und MAC-Adressen für einen Hostnamen oder Stellenbezeichnungen und den Beschäftigungsstatus für eine Nutzer-ID finden.
Wie bei anderen Funktionen in Google Security Operations sind für die Aliasierung Datenerfassung und ‑indexierung erforderlich. Sie umfasst die folgenden Kategorien:
- Kundenspezifische Daten: Daten, die für einen Kunden eindeutig sind. Beispiel: Nur
Cymbalkann Daten fürtim.smith@cymbal.comliefern. Zu den kundenspezifischen Alias-Typen gehören Assets, Nutzer und Prozesse. - Globale Daten: Daten, die für alle Kunden gelten. Google erfasst und indexiert diese Daten in Ihrem Namen. Sie können beispielsweise Google Threat Intelligence-Daten zu einer schädlichen Datei verwenden, um anhand eines übereinstimmenden Dateihashwerts zu prüfen, ob sie in Ihrem Unternehmen vorhanden ist. Weitere Informationen finden Sie unter Ereignisse mit VirusTotal-Dateimetadaten anreichern. Google SecOps bietet auch GeoIP-Daten, um IP-Adressen, die in Ihren kundenspezifischen Daten gefunden werden, geografischen Standorten zuzuordnen. Weitere Informationen finden Sie unter IP-Geolokalisierung.
Asset-Aliasing
Beim Asset-Aliasing werden Hostnamen, IP-Adressen, MAC-Adressen, Asset-IDs und andere Metadaten verknüpft. Dazu sind folgende Schritte erforderlich:
- DHCP-Aliasing: Hier werden DHCP-Ereignisse verwendet, um Hostnamen, MAC-Adressen und IP-Adressen zu verknüpfen.
- EDR-Aliasing: Ordnet Produkt-IDs (Asset-IDs) Hostnamen zu.
EDR-Zuordnungsfelder werden ausschließlich aus dem Logtyp
CS_EDRabgeleitet. - Alias für Asset-Kontext: Ordnet einen Asset-Indikator Entitätsdaten zu, z. B. Hostname, IP-Adresse, MAC-Adresse, Softwareversion und Bereitstellungsstatus.
DHCP-indexierte Felder
Google SecOps indexiert DHCP-Einträge, um Aliase zu generieren, die Hostnamen, IP-Adressen und MAC-Adressen verknüpfen.
In der folgenden Tabelle sind die UDM-Felder und die entsprechenden Indikatortypen aufgeführt, die für die Aliasbildung von Assets verwendet werden:
| UDM-Feld | Indikatortyp |
|---|---|
| principal.ip und principal.asset.ip | ASSET_IP_ADDRESS |
| principal.mac und principal.asset.mac | MAC |
| principal.hostname und principal.asset.hostname | HOSTNAME |
| principal.asset_id und principal.asset.asset_id | PRODUCT_SPECIFIC_ID |
| network.dhcp.yiaddr bei ACK, OFFER, WIN_DELETED und WIN_EXPIRED | ASSET_IP_ADDRESS |
| network.dhcp.ciaddr bei INFORM, RELEASE und REQUEST | ASSET_IP_ADDRESS |
| network.dhcp.requested_address bei DECLINE | ASSET_IP_ADDRESS |
| network.dhcp.chaddr | MAC |
| network.dhcp.client_hostname | HOSTNAME |
Indexierte Felder für die EDR-Zuordnung
Google SecOps indexiert EDR-Zuordnungsfelder, um Aliase zu generieren, die Hostnamen und produktspezifische IDs verknüpfen.
In der folgenden Tabelle sind die UDM-Felder und die entsprechenden Indikatortypen aufgeführt:
| UDM-Feld | Indikatortyp |
|---|---|
| principal.hostname und principal.asset.hostname | HOSTNAME |
| principal.asset_id und principal.asset.asset_id | PRODUCT_SPECIFIC_ID |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten