エイリアシング

以下でサポートされています。

エイリアス設定により、エンリッチメントが可能になります。たとえば、エイリアスを使用すると、ホスト名の IP アドレスと MAC アドレス、またはユーザー ID の役職と雇用ステータスを検索できます。

Google Security Operations の他の機能と同様に、エイリアスにはデータの取り込みとインデックス登録が必要です。次のカテゴリが含まれます。

  • 顧客固有のデータ: 顧客に固有のデータ。たとえば、Cymbal のみが tim.smith@cymbal.com のデータを提供できます。お客様固有のエイリアス タイプには、アセット、ユーザー、プロセスなどがあります。
  • グローバル データ: すべてのお客様に適用されるデータ。Google は、お客様に代わってこのデータを取り込み、インデックス登録します。たとえば、悪意のあるファイルに関する Google Threat Intelligence データを使用して、一致するファイル ハッシュ値を使用して、企業内にそのファイルが存在するかどうかを確認できます。詳細については、VirusTotal ファイルのメタデータを使用してイベントを拡充するをご覧ください。Google SecOps は、顧客固有のデータで見つかった IP アドレスを地理的位置にマッピングするための GeoIP データも提供します。詳細については、IP 位置情報エンリッチメントをご覧ください。

アセットのエイリアス

アセットのエイリアス設定では、ホスト名、IP アドレス、MAC アドレス、アセット ID などのメタデータをリンクします。次の作業を行います。

  • DHCP エイリアス: DHCP イベントを使用して、ホスト名、MAC アドレス、IP アドレスをリンクします。
  • EDR エイリアス: プロダクト ID(アセット ID)をホスト名にマッピングします。EDR マッピング フィールドは、CS_EDR ログタイプからのみ取得されます。
  • アセット コンテキストのエイリアス設定: アセット インジケーターを、ホスト名、IP アドレス、MAC アドレス、ソフトウェア バージョン、デプロイ ステータスなどのエンティティ データに関連付けます。

DHCP インデックス フィールド

Google SecOps は DHCP レコードをインデックスに登録して、ホスト名、IP アドレス、MAC アドレスをリンクするエイリアスを生成します。

次の表に、アセット エイリアスに使用される UDM フィールドと対応するインジケーター タイプを示します。

UDM フィールド インジケーターのタイプ
principal.ipprincipal.asset.ip ASSET_IP_ADDRESS
principal.macprincipal.asset.mac MAC
principal.hostname principal.asset.hostname HOSTNAME
principal.asset_id principal.asset.asset_id PRODUCT_SPECIFIC_ID
ACK、OFFER、WIN_DELETED、WIN_EXPIRED の network.dhcp.yiaddr ASSET_IP_ADDRESS
INFORM、RELEASE、REQUEST の network.dhcp.ciaddr ASSET_IP_ADDRESS
DECLINE の network.dhcp.requested_address ASSET_IP_ADDRESS
network.dhcp.chaddr MAC
network.dhcp.client_hostname HOSTNAME

EDR マッピングのインデックス フィールド

Google SecOps は、EDR マッピング フィールドをインデックスに登録して、ホスト名とサービス固有の ID をリンクするエイリアスを生成します。

次の表に、UDM フィールドと対応するインジケーター タイプを示します。

UDM フィールド インジケーターのタイプ
principal.hostname principal.asset.hostname HOSTNAME
principal.asset_id principal.asset.asset_id PRODUCT_SPECIFIC_ID

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。