走样
支持的平台:
Google SecOps
SIEM
别名可实现丰富化。例如,通过别名,您可以查找主机名的 IP 和 MAC 地址,或用户 ID 的职位和雇佣状态。
与 Google Security Operations 中的其他功能一样,别名化需要进行数据提取和索引编制。它包括以下类别:
- 客户专属数据:客户独有的数据。例如,只有
Cymbal可以提供tim.smith@cymbal.com的数据。特定于客户的别名类型包括资产、用户和进程。 - 全局数据:适用于所有客户的数据。Google 会代表您提取并为这些数据编制索引。例如,您可以使用有关恶意文件的 Google Threat Intelligence 数据,通过匹配的文件哈希值来检查您的企业中是否存在该文件。如需了解详情,请参阅使用 VirusTotal 文件元数据丰富事件。Google SecOps 还提供 GeoIP 数据,以将客户特定数据中发现的 IP 地址映射到地理位置。如需了解详情,请参阅 IP 地理位置丰富化
资源别名
资产别名可关联主机名、IP 地址、MAC 地址、资产 ID 和其他元数据。这涉及以下步骤:
- DHCP 别名:使用 DHCP 事件来关联主机名、MAC 地址和 IP 地址。
- EDR 别名:将商品 ID(资源 ID)映射到主机名。
EDR 映射字段仅从
CS_EDR日志类型派生而来。 - 资产上下文别名:将资产指示器与实体数据(例如主机名、IP 地址、MAC 地址、软件版本和部署状态)相关联。
DHCP 编入索引的字段
Google SecOps 会对 DHCP 记录编制索引,以生成关联主机名、IP 地址和 MAC 地址的别名。
下表列出了 UDM 字段及其用于资产别名的相应指示器类型:
| UDM 字段 | 指示器类型 |
|---|---|
| principal.ip 和 principal.asset.ip | ASSET_IP_ADDRESS |
| principal.mac 和 principal.asset.mac | MAC |
| principal.hostname 和 principal.asset.hostname | HOSTNAME |
| principal.asset_id 和 principal.asset.asset_id | PRODUCT_SPECIFIC_ID |
| ACK、OFFER、WIN_DELETED 和 WIN_EXPIRED 上的 network.dhcp.yiaddr | ASSET_IP_ADDRESS |
| INFORM、RELEASE 和 REQUEST 上的 network.dhcp.ciaddr | ASSET_IP_ADDRESS |
| 在 DECLINE 上设置 network.dhcp.requested_address | ASSET_IP_ADDRESS |
| network.dhcp.chaddr | MAC |
| network.dhcp.client_hostname | HOSTNAME |
编入索引的 EDR 映射字段
Google SecOps 会对 EDR 映射字段编制索引,以生成关联主机名和产品特定 ID 的别名。
下表列出了 UDM 字段及其对应的指示器类型:
| UDM 字段 | 指示器类型 |
|---|---|
| principal.hostname 和 principal.asset.hostname | HOSTNAME |
| principal.asset_id 和 principal.asset.asset_id | PRODUCT_SPECIFIC_ID |
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。