別名
支援的國家/地區:
Google SecOps
SIEM
別名可啟用擴充功能。舉例來說,別名可讓您找出主機名稱的 IP 和 MAC 位址,或是使用者 ID 的職稱和雇用狀態。
與 Google Security Operations 中的其他功能一樣,別名功能也需要擷取及建立索引資料。包括下列類別:
- 顧客專屬資料:顧客專屬資料。舉例來說,只有
Cymbal可以提供tim.smith@cymbal.com的資料。客戶專屬別名類型包括資產、使用者和程序。 - 全域資料:適用於所有顧客的資料。Google 會代您擷取並為這項資料建立索引。舉例來說,您可以利用惡意檔案的 Google 威脅情報資料,透過相符的檔案雜湊值,檢查企業中是否有該檔案。詳情請參閱「使用 VirusTotal 檔案中繼資料擴充事件」。 Google SecOps 也提供 GeoIP 資料,可將客戶專屬資料中的 IP 位址對應至地理位置。詳情請參閱「IP 位址地理位置資訊擴充功能」。
資產別名
資產別名會連結主機名稱、IP 位址、MAC 位址、資產 ID 和其他中繼資料。步驟如下:
- DHCP 別名:使用 DHCP 事件連結主機名稱、MAC 位址和 IP 位址。
- EDR 別名:將產品 ID (資產 ID) 對應至主機名稱。
EDR 對應欄位只會衍生自
CS_EDR記錄類型。 - 資產內容別名:將資產指標與實體資料建立關聯,例如主機名稱、IP 位址、MAC 位址、軟體版本和部署狀態。
已建立索引的 DHCP 欄位
Google SecOps 會為 DHCP 記錄建立索引,產生可連結主機名稱、IP 位址和 MAC 位址的別名。
下表列出 UDM 欄位,以及用於資產別名的對應指標類型:
| UDM 欄位 | 指標類型 |
|---|---|
| principal.ip 和 principal.asset.ip | ASSET_IP_ADDRESS |
| principal.mac 和 principal.asset.mac | MAC |
| principal.hostname 和 principal.asset.hostname | HOSTNAME |
| principal.asset_id 和 principal.asset.asset_id | PRODUCT_SPECIFIC_ID |
| network.dhcp.yiaddr (ACK、OFFER、WIN_DELETED 和 WIN_EXPIRED) | ASSET_IP_ADDRESS |
| INFORM、RELEASE 和 REQUEST 上的 network.dhcp.ciaddr | ASSET_IP_ADDRESS |
| network.dhcp.requested_address on DECLINE | ASSET_IP_ADDRESS |
| network.dhcp.chaddr | MAC |
| network.dhcp.client_hostname | HOSTNAME |
EDR 對應索引欄位
Google SecOps 會為 EDR 對應欄位建立索引,產生可連結主機名稱和產品專屬 ID 的別名。
下表列出 UDM 欄位和對應的指標類型:
| UDM 欄位 | 指標類型 |
|---|---|
| principal.hostname 和 principal.asset.hostname | HOSTNAME |
| principal.asset_id 和 principal.asset.asset_id | PRODUCT_SPECIFIC_ID |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。