Criação de alias
O aliasing permite o enriquecimento. Por exemplo, o uso de alias permite encontrar endereços IP e MAC para um nome de host ou cargos e status de emprego para um ID de usuário.
Assim como outros recursos do Google Security Operations, a criação de alias exige ingestão e indexação de dados. Ela inclui as seguintes categorias:
- Dados específicos do cliente: dados exclusivos de um cliente. Por exemplo, somente
Cymbalpode fornecer dados paratim.smith@cymbal.com. Os tipos de alias específicos do cliente incluem ativos, usuários e processos. - Dados globais: dados que se aplicam a todos os clientes. O Google ingere e indexa esses dados em seu nome. Por exemplo, é possível usar dados do Google Threat Intelligence sobre um arquivo malicioso para verificar a presença dele na sua empresa usando um valor de hash de arquivo correspondente. Para mais informações, consulte Enriquecer eventos com metadados de arquivos do VirusTotal. O Google SecOps também fornece dados de GeoIP para mapear endereços IP encontrados nos dados específicos do cliente para locais geográficos. Para mais informações, consulte Enriquecimento de geolocalização de IP.
Alias de recursos
O alias de recursos vincula nomes de host, endereços IP, endereços MAC, IDs de recursos e outros metadados. Isso envolve as seguintes etapas:
- Alias do DHCP: usa eventos do DHCP para vincular nomes de host, endereços MAC e endereços IP.
- Alias de EDR: mapeia IDs de produtos (IDs de recursos) para nomes de host.
Os campos de mapeamento de EDR são derivados exclusivamente do tipo de registro
CS_EDR. - Criação de alias de contexto de recurso: associa um indicador de recurso a dados de entidade, como nome do host, endereço IP, endereço MAC, versão do software e status de implantação.
Campos indexados do DHCP
O Google SecOps indexa registros DHCP para gerar aliases que vinculam nomes de host, endereços IP e endereços MAC.
A tabela a seguir lista os campos da UDM e os tipos de indicadores correspondentes usados para o aliasing de recursos:
| Campo do UDM | Tipo de indicador |
|---|---|
| principal.ip e principal.asset.ip | ASSET_IP_ADDRESS |
| principal.mac e principal.asset.mac | MAC |
| principal.hostname e principal.asset.hostname | HOSTNAME |
| principal.asset_id e principal.asset.asset_id | PRODUCT_SPECIFIC_ID |
| network.dhcp.yiaddr em ACK, OFFER, WIN_DELETED e WIN_EXPIRED | ASSET_IP_ADDRESS |
| network.dhcp.ciaddr em INFORM, RELEASE e REQUEST | ASSET_IP_ADDRESS |
| network.dhcp.requested_address em DECLINE | ASSET_IP_ADDRESS |
| network.dhcp.chaddr | MAC |
| network.dhcp.client_hostname | HOSTNAME |
Campos indexados de mapeamento de EDR
O Google SecOps indexa campos de mapeamento de EDR para gerar aliases que vinculam nomes de host e IDs específicos de produtos.
A tabela a seguir lista os campos da UDM e os tipos de indicadores correspondentes:
| Campo do UDM | Tipo de indicador |
|---|---|
| principal.hostname e principal.asset.hostname | HOSTNAME |
| principal.asset_id e principal.asset.asset_id | PRODUCT_SPECIFIC_ID |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.