Aliasing
Pembuatan alias memungkinkan pengayaan. Misalnya, pembuatan alias memungkinkan Anda menemukan alamat IP dan MAC untuk nama host, atau jabatan dan status kepegawaian untuk ID pengguna.
Seperti fitur lainnya di Google Security Operations, pembuatan alias memerlukan penyerapan dan pengindeksan data. Isinya adalah kategori berikut:
- Data khusus pelanggan: Data yang unik untuk pelanggan. Misalnya, hanya
Cymbalyang dapat memberikan data untuktim.smith@cymbal.com. Jenis pemberian nama alternatif khusus pelanggan mencakup aset, pengguna, dan proses. - Data global: Data yang berlaku untuk semua pelanggan. Google akan menyerap dan mengindeks data ini atas nama Anda. Misalnya, Anda dapat menggunakan data Google Threat Intelligence tentang file berbahaya untuk memeriksa keberadaannya di perusahaan Anda dengan menggunakan nilai hash file yang cocok. Untuk mengetahui informasi selengkapnya, lihat Memperkaya peristiwa dengan metadata file VirusTotal. Google SecOps juga menyediakan data GeoIP untuk memetakan alamat IP yang ditemukan dalam data khusus pelanggan Anda ke lokasi geografis. Untuk mengetahui informasi selengkapnya, lihat Pengayaan geolokasi IP
Alias aset
Alias aset menautkan nama host, alamat IP, alamat MAC, ID aset, dan metadata lainnya. Proses ini mencakup langkah-langkah berikut:
- Pengalihan nama DHCP: Menggunakan peristiwa DHCP untuk menautkan nama host, alamat MAC, dan alamat IP.
- Pengalihan nama EDR: Memetakan ID produk (ID aset) ke nama host.
Kolom pemetaan EDR berasal secara eksklusif dari jenis log
CS_EDR. - Alias konteks aset: Mengaitkan indikator aset dengan data entity, seperti nama host, alamat IP, alamat MAC, versi software, dan status deployment.
Kolom terindeks DHCP
Google SecOps mengindeks catatan DHCP untuk membuat alias yang menautkan nama host, alamat IP, dan alamat MAC.
Tabel berikut mencantumkan kolom UDM dan jenis indikator terkait yang digunakan untuk pengalihan nama aset:
| Kolom UDM | Jenis indikator |
|---|---|
| principal.ip dan principal.asset.ip | ASSET_IP_ADDRESS |
| principal.mac dan principal.asset.mac | MAC |
| principal.hostname dan principal.asset.hostname | HOSTNAME |
| principal.asset_id dan principal.asset.asset_id | PRODUCT_SPECIFIC_ID |
| network.dhcp.yiaddr di ACK, OFFER, WIN_DELETED, dan WIN_EXPIRED | ASSET_IP_ADDRESS |
| network.dhcp.ciaddr pada INFORM, RELEASE, dan REQUEST | ASSET_IP_ADDRESS |
| network.dhcp.requested_address saat DECLINE | ASSET_IP_ADDRESS |
| network.dhcp.chaddr | MAC |
| network.dhcp.client_hostname | HOSTNAME |
Kolom terindeks pemetaan EDR
Google SecOps mengindeks kolom pemetaan EDR untuk membuat alias yang menautkan nama host dan ID khusus produk.
Tabel berikut mencantumkan kolom UDM dan jenis indikator yang sesuai:
| Kolom UDM | Jenis indikator |
|---|---|
| principal.hostname dan principal.asset.hostname | HOSTNAME |
| principal.asset_id dan principal.asset.asset_id | PRODUCT_SPECIFIC_ID |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.