에일리어싱
다음에서 지원:
Google secops
SIEM
별칭을 사용하면 보강이 가능합니다. 예를 들어 별칭을 사용하면 호스트 이름의 IP 및 MAC 주소 또는 사용자 ID의 직책 및 고용 상태를 찾을 수 있습니다.
Google Security Operations의 다른 기능과 마찬가지로 별칭을 사용하려면 데이터 수집 및 색인 생성이 필요합니다. 여기에는 다음 카테고리가 포함됩니다.
- 고객별 데이터: 고객에게 고유한 데이터입니다. 예를 들어
Cymbal만tim.smith@cymbal.com의 데이터를 제공할 수 있습니다. 고객별 별칭 유형에는 애셋, 사용자, 프로세스가 포함됩니다. - 전역 데이터: 모든 고객에게 적용되는 데이터입니다. Google은 사용자를 대신하여 이 데이터를 수집하고 색인을 생성합니다. 예를 들어 악성 파일에 관한 Google 위협 인텔리전스 데이터를 사용하여 일치하는 파일 해시 값을 통해 기업에 해당 파일이 있는지 확인할 수 있습니다. 자세한 내용은 VirusTotal 파일 메타데이터로 이벤트 보강을 참고하세요. Google SecOps는 고객별 데이터에서 발견된 IP 주소를 지리적 위치에 매핑하는 GeoIP 데이터도 제공합니다. 자세한 내용은 IP 지리정보 보강을 참고하세요.
애셋 별칭 지정
애셋 별칭 지정은 호스트 이름, IP 주소, MAC 주소, 애셋 ID, 기타 메타데이터를 연결합니다. 여기에는 다음 단계가 포함됩니다.
- DHCP 별칭: DHCP 이벤트를 사용하여 호스트 이름, MAC 주소, IP 주소를 연결합니다.
- EDR 별칭 지정: 제품 ID (애셋 ID)를 호스트 이름에 매핑합니다.
EDR 매핑 필드는
CS_EDR로그 유형에서만 파생됩니다. - 애셋 컨텍스트 별칭 지정: 애셋 표시기를 호스트 이름, IP 주소, MAC 주소, 소프트웨어 버전, 배포 상태와 같은 항목 데이터와 연결합니다.
DHCP 색인이 지정된 필드
Google SecOps는 DHCP 레코드를 색인화하여 호스트 이름, IP 주소, MAC 주소를 연결하는 별칭을 생성합니다.
다음 표에는 애셋 별칭에 사용되는 UDM 필드와 해당 표시기 유형이 나와 있습니다.
| UDM 필드 | 지표 유형 |
|---|---|
| principal.ip 및 principal.asset.ip | ASSET_IP_ADDRESS |
| principal.mac 및 principal.asset.mac | MAC |
| principal.hostname 및 principal.asset.hostname | HOSTNAME |
| principal.asset_id 및 principal.asset.asset_id | PRODUCT_SPECIFIC_ID |
| ACK, OFFER, WIN_DELETED, WIN_EXPIRED에서 network.dhcp.yiaddr | ASSET_IP_ADDRESS |
| INFORM, RELEASE, REQUEST의 network.dhcp.ciaddr | ASSET_IP_ADDRESS |
| 거절 시 network.dhcp.requested_address | ASSET_IP_ADDRESS |
| network.dhcp.chaddr | MAC |
| network.dhcp.client_hostname | HOSTNAME |
EDR 매핑 색인이 생성된 필드
Google SecOps는 EDR 매핑 필드를 색인화하여 호스트 이름과 제품별 ID를 연결하는 별칭을 생성합니다.
다음 표에는 UDM 필드와 해당 표시기 유형이 나와 있습니다.
| UDM 필드 | 지표 유형 |
|---|---|
| principal.hostname 및 principal.asset.hostname | HOSTNAME |
| principal.asset_id 및 principal.asset.asset_id | PRODUCT_SPECIFIC_ID |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.