Asignación de alias
El alias permite el enriquecimiento. Por ejemplo, el alias te permite encontrar direcciones IP y MAC para un nombre de host, o bien cargos y estado de empleo para un ID de usuario.
Al igual que otras funciones de Google Security Operations, la creación de alias requiere la indexación y la transferencia de datos. Incluye las siguientes categorías:
- Datos específicos del cliente: Son los datos exclusivos de un cliente. Por ejemplo, solo
Cymbalpuede proporcionar datos paratim.smith@cymbal.com. Los tipos de alias específicos del cliente incluyen activos, usuarios y procesos. - Datos globales: Son los datos que se aplican a todos los clientes. Google ingiere e indexa estos datos en tu nombre. Por ejemplo, puedes usar los datos de Inteligencia sobre amenazas de Google acerca de un archivo malicioso para verificar su presencia en tu empresa con un valor hash de archivo coincidente. Para obtener más información, consulta Enrich events with VirusTotal file metadata. Google SecOps también proporciona datos de GeoIP para asignar las direcciones IP que se encuentran en tus datos específicos del cliente a ubicaciones geográficas. Para obtener más información, consulta Enriquecimiento de la ubicación geográfica de la IP.
Creación de alias de recursos
El alias de activos vincula nombres de host, direcciones IP, direcciones MAC, IDs de activos y otros metadatos. Esto implica los siguientes pasos:
- DHCP aliasing: Usa eventos de DHCP para vincular nombres de host, direcciones MAC y direcciones IP.
- Creación de alias de EDR: Asigna IDs de productos (IDs de activos) a nombres de host.
Los campos de asignación de EDR se derivan exclusivamente del tipo de registro
CS_EDR. - Creación de alias del contexto del activo: Asocia un indicador de activo con datos de la entidad, como el nombre de host, la dirección IP, la dirección MAC, la versión de software y el estado de implementación.
Campos indexados de DHCP
Google SecOps indexa los registros DHCP para generar alias que vinculan nombres de host, direcciones IP y direcciones MAC.
En la siguiente tabla, se enumeran los campos del UDM y sus tipos de indicadores correspondientes que se usan para la creación de alias de activos:
| Campo de UDM | Tipo de indicador |
|---|---|
| principal.ip y principal.asset.ip | ASSET_IP_ADDRESS |
| principal.mac y principal.asset.mac | MAC |
| principal.hostname y principal.asset.hostname | HOSTNAME |
| principal.asset_id y principal.asset.asset_id | PRODUCT_SPECIFIC_ID |
| network.dhcp.yiaddr en ACK, OFFER, WIN_DELETED y WIN_EXPIRED | ASSET_IP_ADDRESS |
| network.dhcp.ciaddr en INFORM, RELEASE y REQUEST | ASSET_IP_ADDRESS |
| network.dhcp.requested_address en DECLINE | ASSET_IP_ADDRESS |
| network.dhcp.chaddr | MAC |
| network.dhcp.client_hostname | HOSTNAME |
Campos indexados de asignación de EDR
Google SecOps indexa los campos de asignación de EDR para generar alias que vinculan nombres de host y IDs específicos del producto.
En la siguiente tabla, se enumeran los campos del UDM y sus tipos de indicadores correspondientes:
| Campo de UDM | Tipo de indicador |
|---|---|
| principal.hostname y principal.asset.hostname | HOSTNAME |
| principal.asset_id y principal.asset.asset_id | PRODUCT_SPECIFIC_ID |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.