Alias
L'assegnazione di alias consente l'arricchimento. Ad esempio, l'assegnazione di alias consente di trovare indirizzi IP e MAC per un nome host o titoli di lavoro e stato occupazionale per un ID utente.
Come altre funzionalità di Google Security Operations, l'assegnazione di alias richiede l'importazione e l'indicizzazione dei dati. Include le seguenti categorie:
- Dati specifici del cliente: dati univoci per un cliente. Ad esempio, solo
Cymbalpuò fornire dati pertim.smith@cymbal.com. I tipi di aliasing specifici per il cliente includono asset, utenti e processi. - Dati globali: dati che si applicano a tutti i clienti. Google acquisisce e indicizza questi dati per tuo conto. Ad esempio, puoi utilizzare i dati di Google Threat Intelligence su un file dannoso per verificarne la presenza nella tua azienda utilizzando un valore hash del file corrispondente. Per ulteriori informazioni, vedi Arricchire gli eventi con i metadati dei file di VirusTotal. Google SecOps fornisce anche dati GeoIP per mappare gli indirizzi IP trovati nei dati specifici del cliente in posizioni geografiche. Per saperne di più, consulta Arricchimento della geolocalizzazione IP.
Alias degli asset
L'assegnazione di alias alle risorse collega nomi host, indirizzi IP, indirizzi MAC, ID risorsa e altri metadati. che include i seguenti passaggi:
- Alias DHCP: utilizza gli eventi DHCP per collegare nomi host, indirizzi MAC e indirizzi IP.
- Alias EDR: mappa gli ID prodotto (ID risorsa) ai nomi host.
I campi di mappatura EDR derivano esclusivamente dal tipo di log
CS_EDR. - Alias del contesto delle risorse: associa un indicatore di asset ai dati delle entità, come nome host, indirizzo IP, indirizzo MAC, versione del software e stato di implementazione.
Campi DHCP indicizzati
Google SecOps indicizza i record DHCP per generare alias che collegano nomi host, indirizzi IP e indirizzi MAC.
La seguente tabella elenca i campi UDM e i relativi tipi di indicatori utilizzati per l'assegnazione di alias delle risorse:
| Campo UDM | Tipo di indicatore |
|---|---|
| principal.ip e principal.asset.ip | ASSET_IP_ADDRESS |
| principal.mac e principal.asset.mac | MAC |
| principal.hostname e principal.asset.hostname | HOSTNAME |
| principal.asset_id e principal.asset.asset_id | PRODUCT_SPECIFIC_ID |
| network.dhcp.yiaddr su ACK, OFFER, WIN_DELETED e WIN_EXPIRED | ASSET_IP_ADDRESS |
| network.dhcp.ciaddr su INFORM, RELEASE e REQUEST | ASSET_IP_ADDRESS |
| network.dhcp.requested_address su DECLINE | ASSET_IP_ADDRESS |
| network.dhcp.chaddr | MAC |
| network.dhcp.client_hostname | HOSTNAME |
Campi indicizzati della mappatura delle richieste di divulgazione di dati per emergenze
Google SecOps indicizza i campi di mapping EDR per generare alias che collegano nomi host e ID specifici del prodotto.
La tabella seguente elenca i campi UDM e i relativi tipi di indicatori:
| Campo UDM | Tipo di indicatore |
|---|---|
| principal.hostname e principal.asset.hostname | HOSTNAME |
| principal.asset_id e principal.asset.asset_id | PRODUCT_SPECIFIC_ID |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.