Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

מדרוג עקומות (Aliasing)

נתמך ב:

Google secops SIEM

הוספת כינויים מאפשרת העשרה. לדוגמה, שימוש בכינויים מאפשר לכם למצוא כתובות IP ו-MAC של שם מארח, או תפקידים וסטטוס העסקה של מזהה משתמש.

בדומה לתכונות אחרות ב-Google Security Operations, כדי להשתמש בכינויים צריך להטמיע נתונים וליצור אינדקסים. הוא כולל את הקטגוריות הבאות:

נתונים ספציפיים ללקוח: נתונים שייחודיים ללקוח. לדוגמה, רק Cymbal יכול לספק נתונים לגבי tim.smith@cymbal.com. סוגי כינויים ספציפיים ללקוח כוללים נכסים, משתמשים ותהליכים.
נתונים גלובליים: נתונים שרלוונטיים לכל הלקוחות. ‫Google קולטת את הנתונים האלה ומבצעת בהם אינדוקס בשמכם. לדוגמה, אפשר להשתמש בנתונים של Google Threat Intelligence על קובץ זדוני כדי לבדוק אם הוא קיים בארגון, באמצעות ערך hash תואם של הקובץ. מידע נוסף זמין במאמר בנושא הוספת מטא-נתונים של קבצים מ-VirusTotal לאירועים. ‫Google SecOps מספקת גם נתוני GeoIP למיפוי כתובות IP שנמצאות בנתונים הספציפיים ללקוח למיקומים גיאוגרפיים. מידע נוסף זמין במאמר בנושא העשרה של מיקום גיאוגרפי לפי כתובת IP.

כינוי נכסים

כינוי נכסים מקשר בין שמות מארחים, כתובות IP, כתובות MAC, מזהי נכסים ומטא-נתונים אחרים. התהליך כולל את השלבים הבאים:

כינוי DHCP: משתמש באירועי DHCP כדי לקשר בין שמות מארחים, כתובות MAC וכתובות IP.
כינוי EDR: מיפוי של מזהי מוצרים (מזהי נכסים) לשמות מארחים. שדות המיפוי של EDR נגזרים באופן בלעדי מסוג היומן CS_EDR.
כינוי של הקשר של נכס: שיוך של אינדיקטור של נכס לנתוני ישות, כמו שם מארח, כתובת IP, כתובת MAC, גרסת תוכנה וסטטוס פריסה.

‫Google SecOps מבצע אינדוקס של רשומות DHCP כדי ליצור כינויים שמקשרים בין שמות מארחים, כתובות IP וכתובות MAC.

בטבלה הבאה מפורטים השדות של UDM וסוגי האינדיקטורים התואמים שמשמשים לכינוי נכסים:

שדה UDM	סוג האינדיקטור
‫principal.ip ו-principal.asset.ip	`ASSET_IP_ADDRESS`
‫principal.mac ו-principal.asset.mac	`MAC`
‫principal.hostname ו-principal.asset.hostname	`HOSTNAME`
‫principal.asset_id ו-principal.asset.asset_id	`PRODUCT_SPECIFIC_ID`
‫network.dhcp.yiaddr ב-ACK,‏ OFFER,‏ WIN_DELETED ו-WIN_EXPIRED	`ASSET_IP_ADDRESS`
‫network.dhcp.ciaddr ב-INFORM,‏ RELEASE ו-REQUEST	`ASSET_IP_ADDRESS`
‫network.dhcp.requested_address ב-DECLINE	`ASSET_IP_ADDRESS`
network.dhcp.chaddr	`MAC`
network.dhcp.client_hostname	`HOSTNAME`

מערכת Google SecOps יוצרת אינדקס של שדות מיפוי EDR כדי ליצור כינויים שמקשרים בין שמות מארחים לבין מזהים ספציפיים למוצר.

בטבלה הבאה מפורטים השדות של UDM וסוגי האינדיקטורים התואמים:

שדה UDM	סוג האינדיקטור
‫principal.hostname ו-principal.asset.hostname	`HOSTNAME`
‫principal.asset_id ו-principal.asset.asset_id	`PRODUCT_SPECIFIC_ID`

הבעיה עדיין לא נפתרה? קבלת תשובות מחברי הקהילה וממומחי Google SecOps.