Alias
L'alias permet l'enrichissement. Par exemple, l'alias vous permet de trouver les adresses IP et MAC d'un nom d'hôte, ou les titres de poste et le statut d'emploi d'un ID utilisateur.
Comme les autres fonctionnalités de Google Security Operations, l'alias nécessite l'ingestion et l'indexation des données. Il comprend les catégories suivantes :
- Données spécifiques au client : données propres à un client. Par exemple, seul
Cymbalpeut fournir des données pourtim.smith@cymbal.com. Les types d'alias spécifiques aux clients incluent les composants, les utilisateurs et les processus. - Données globales : données qui s'appliquent à tous les clients. Google ingère et indexe ces données en votre nom. Par exemple, vous pouvez utiliser les données Google Threat Intelligence sur un fichier malveillant pour vérifier sa présence dans votre entreprise à l'aide d'une valeur de hachage de fichier correspondante. Pour en savoir plus, consultez Enrichir les événements avec les métadonnées de fichier VirusTotal. Google SecOps fournit également des données GeoIP pour mapper les adresses IP trouvées dans vos données spécifiques aux clients à des zones géographiques. Pour en savoir plus, consultez Enrichissement de la géolocalisation des adresses IP.
Alias d'éléments
L'alias d'actif associe des noms d'hôte, des adresses IP, des adresses MAC, des ID d'actifs et d'autres métadonnées. Voici les étapes à suivre :
- Alias DHCP : utilise les événements DHCP pour associer les noms d'hôte, les adresses MAC et les adresses IP.
- Alias EDR : mappe les ID de produits (ID d'éléments) aux noms d'hôte.
Les champs de mappage EDR sont dérivés exclusivement du type de journal
CS_EDR. - Alias de contexte d'asset : associe un indicateur d'asset à des données d'entité, telles que le nom d'hôte, l'adresse IP, l'adresse MAC, la version du logiciel et l'état du déploiement.
Champs indexés DHCP
Google SecOps indexe les enregistrements DHCP pour générer des alias qui associent les noms d'hôte, les adresses IP et les adresses MAC.
Le tableau suivant répertorie les champs UDM et les types d'indicateurs correspondants utilisés pour l'alias d'assets :
| Champ UDM | Type d'indicateur |
|---|---|
| principal.ip et principal.asset.ip | ASSET_IP_ADDRESS |
| principal.mac et principal.asset.mac | MAC |
| principal.hostname et principal.asset.hostname | HOSTNAME |
| principal.asset_id et principal.asset.asset_id | PRODUCT_SPECIFIC_ID |
| network.dhcp.yiaddr sur ACK, OFFER, WIN_DELETED et WIN_EXPIRED | ASSET_IP_ADDRESS |
| network.dhcp.ciaddr sur INFORM, RELEASE et REQUEST | ASSET_IP_ADDRESS |
| network.dhcp.requested_address sur DECLINE | ASSET_IP_ADDRESS |
| network.dhcp.chaddr | MAC |
| network.dhcp.client_hostname | HOSTNAME |
Champs indexés de mappage EDR
Google SecOps indexe les champs de mappage EDR pour générer des alias qui associent les noms d'hôte et les ID spécifiques aux produits.
Le tableau suivant liste les champs UDM et les types d'indicateurs correspondants :
| Champ UDM | Type d'indicateur |
|---|---|
| principal.hostname et principal.asset.hostname | HOSTNAME |
| principal.asset_id et principal.asset.asset_id | PRODUCT_SPECIFIC_ID |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.