Anreichern
Bei der Anreicherung werden die folgenden Methoden verwendet, um einem UDM-Indikator oder -Ereignis Kontext hinzuzufügen:
- Kennzeichnet Alias-Entitäten, die einen Indikator beschreiben, in der Regel ein UDM-Feld.
- Fügt der UDM-Nachricht zusätzliche Details aus den identifizierten Aliasen oder Entitäten hinzu.
- Fügt UDM-Ereignissen globale Anreicherungsdaten wie GeoIP und VirusTotal hinzu.
Wenn Sie eine vollständige Datenabdeckung für Regeln, Suchvorgänge oder Dashboards sicherstellen möchten, die von angereicherten Feldern abhängen, verwenden Sie die Echtzeitanreicherung mit Daten- und Entity-Graph-Joins.
Asset-Anreicherung
Für jedes Asset-Ereignis werden die folgenden UDM-Felder aus den Entitäten principal, src und target extrahiert:
| UDM-Feld | Indikatortyp |
|---|---|
| hostname | HOSTNAME |
| asset_id | PRODUCT_SPECIFIC_ID |
| Mac | MAC |
| ip | IP |
Nutzeranreicherung
Für jedes Nutzerereignis werden die folgenden UDM-Felder aus principal, src und target extrahiert:
| UDM-Feld | Indikatortyp |
|---|---|
| email_addresses | EMAIL |
| userid | USERNAME |
| windows_sid | WINDOWS_SID |
| employee_id | EMPLOYEE_ID |
| product_object_id | PRODUCT_OBJECT_ID |
Für jeden Indikator führt die Pipeline die folgenden Aktionen aus:
- Ruft eine Liste von Nutzerentitäten ab. Beispielsweise können die Entitäten von
principal.email_addressundprincipal.userididentisch oder unterschiedlich sein. - Wählt die Aliase des Indikatortyps mit der höchsten Priorität aus. Die Prioritätsreihenfolge ist:
WINDOWS_SID,EMAIL,USERNAME,EMPLOYEE_IDundPRODUCT_OBJECT_ID. noun.userwird mit der Entität gefüllt, deren Gültigkeitszeitraum sich mit der Ereigniszeit überschneidet.
Prozessanreicherung
Verwenden Sie die Prozessanreicherung, um eine produktspezifische Prozess-ID (product_specific_process_id) oder PSPI dem tatsächlichen Prozess zuzuordnen und Details zum übergeordneten Prozess abzurufen. Dieser Prozess basiert auf dem EDR-Ereignis-Batchtyp.
Für jedes UDM-Ereignis wird die PSPI aus den folgenden Feldern extrahiert:
principalsrctargetprincipal.process.parent_processsrc.process.parent_processtarget.process.parent_process
Die Pipeline verwendet die Prozessaliasierung, um den tatsächlichen Prozess aus dem PSPI zu identifizieren und Informationen zum übergeordneten Prozess abzurufen. Anschließend werden diese Daten in das entsprechende Feld noun.process in der angereicherten Nachricht eingefügt.
EDR-indexierte Felder für Prozess-Aliasing
Wenn ein Prozess gestartet wird, erfasst das System Metadaten (z. B. Befehlszeilen, Dateihashes und Details zum übergeordneten Prozess). Die auf dem Computer ausgeführte EDR-Software weist eine anbieterspezifische Prozess-UUID zu.
In der folgenden Tabelle sind die Felder aufgeführt, die bei einem Prozessstart-Ereignis indexiert werden:
| UDM-Feld | Indikatortyp |
|---|---|
| target.product_specific_process_id | PROCESS_ID |
| target.process | Gesamter Prozess, nicht nur der Indikator |
Zusätzlich zum Feld target.process aus dem normalisierten Ereignis erfasst und indexiert Google SecOps Informationen zum übergeordneten Prozess.
Artefaktanreicherung
Bei der Artefaktanreicherung werden Metadaten für Dateihashes von VirusTotal und Geolocation-Daten für IP-Adressen hinzugefügt. Für jedes UDM-Ereignis werden mit der Pipeline Kontextdaten für die folgenden Artefaktindikatoren aus den Entitäten principal, src und target extrahiert und abgefragt:
- IP-Adresse: Es werden nur Daten abgefragt, wenn sie öffentlich oder routingfähig sind.
- Datei-Hashes: Hashes werden in der folgenden Reihenfolge abgefragt:
file.sha256file.sha1file.md5process.file.sha256process.file.sha1process.file.md5
In der Pipeline werden die UNIX-Epoche und die Ereigniszeit verwendet, um den Zeitraum für die Abfragen von Datei-Artefakten zu definieren. Wenn Daten zur Standortbestimmung verfügbar sind, werden die folgenden UDM-Felder für die Einheiten principal, src und target basierend auf dem Ursprung der Daten zur Standortbestimmung überschrieben:
artifact.ipartifact.locationartifact.network(nur, wenn die Daten den IP-Netzwerkkontext enthalten)location(nur, wenn die Originaldaten dieses Feld nicht enthalten)
Wenn in der Pipeline Metadaten zum Dateihash gefunden werden, werden diese Metadaten den Feldern „Datei“ oder process.file hinzugefügt, je nachdem, woher der Indikator stammt. In der Pipeline werden alle vorhandenen Werte beibehalten, die sich nicht mit den neuen Daten überschneiden.
Anreicherung mit IP-Standortdaten
Durch geografisches Aliasing werden Daten zur geografischen Position für externe IP-Adressen bereitgestellt. Für jede nicht aliasierte IP-Adresse im Feld principal, target oder src für ein UDM-Ereignis wird ein ip_geo_artifact-Unterprotokollpuffer mit den zugehörigen Standort- und ASN-Informationen erstellt.
Beim geografischen Aliasing werden weder Lookback noch Caching verwendet. Aufgrund der großen Anzahl von Ereignissen wird in Google SecOps ein Index im Arbeitsspeicher verwaltet.
Ereignisse mit VirusTotal-Dateimetadaten anreichern
In Google SecOps werden Dateihashes in UDM-Ereignisse eingebunden und zusätzlicher Kontext für die Untersuchung bereitgestellt. Durch Hash-Aliasing werden UDM-Ereignisse angereichert, indem alle Arten von Datei-Hashes kombiniert und Informationen zu einem Datei-Hash während einer Suche bereitgestellt werden.
Google SecOps integriert VirusTotal-Dateimetadaten und die Anreicherung von Beziehungen, um Muster schädlicher Aktivitäten zu erkennen und Malware-Bewegungen in einem Netzwerk nachzuverfolgen.
Ein Rohlog enthält nur begrenzte Informationen zur Datei. VirusTotal reichert das Ereignis mit Dateimetadaten an, einschließlich Details zu schädlichen Hashes und Dateien. Die Metadaten enthalten beispielsweise Informationen wie Dateinamen, Typen, importierte Funktionen und Tags. Sie können diese Informationen in der UDM-Such- und ‑Erkennungs-Engine mit YARA-L verwenden, um schädliche Dateiereignisse zu verstehen und bei der Suche nach Bedrohungen. So können Sie beispielsweise Änderungen an der Originaldatei erkennen, bei denen die Dateimetadaten zur Bedrohungserkennung verwendet werden.
Die folgenden Informationen werden mit dem Datensatz gespeichert. Eine Liste aller UDM-Felder finden Sie unter Liste der Felder für einheitliche Datenmodelle (Unified Data Model, UDM).
| Datentyp | UDM-Feld |
|---|---|
| sha-256 | ( principal | target | src | observer ).file.sha256 |
| md5 | ( principal | target | src | observer ).file.md5 |
| sha-1 | ( principal | target | src | observer ).file.sha1 |
| Größe | ( principal | target | src | observer ).file.size |
| ssdeep | ( principal | target | src | observer ).file.ssdeep |
| vhash | ( principal | target | src | observer ).file.vhash |
| authentihash | ( principal | target | src | observer ).file.authentihash |
| Imphash für PE-Dateimetadaten | ( principal | target | src | observer ).file.pe_file.imphash |
| security_result.threat_verdict | ( principal | target | src | observer ).(process | file).security_result.threat_verdict |
| security_result.severity | ( principal | target | src | observer ).(process | file).security_result.severity |
| last_modification_time | ( principal | target | src | observer ).file.last_modification_time |
| first_seen_time | ( principal | target | src | observer ).file.first_seen_time |
| last_seen_time | ( principal | target | src | observer ).file.last_seen_time |
| last_analysis_time | ( principal | target | src | observer ).file.last_analysis_time |
| exif_info.original_file | ( principal | target | src | observer ).file.exif_info.original_file |
| exif_info.product | ( principal | target | src | observer ).file.exif_info.product |
| exif_info.company | ( principal | target | src | observer ).file.exif_info.company |
| exif_info.file_description | ( principal | target | src | observer ).file.exif_info.file_description |
| signature_info.codesign.id | ( principal | target | src | observer ).file.signature_info.codesign.id |
| signature_info.sigcheck.verfied | ( principal | target | src | observer ).file.signature_info.sigcheck.verified |
| signature_info.sigcheck.verification_message | ( principal | target | src | observer ).file.signature_info.sigcheck.verification_message |
| signature_info.sigcheck.signers.name | ( principal | target | src | observer ).file.signature_info.sigcheck.signers.name |
| signature_info.sigcheck.status | ( principal | target | src | observer ).file.signature_info.sigcheck.signers.status |
| signature_info.sigcheck.valid_usage | ( principal | target | src | observer ).file.signature_info.sigcheck.signers.valid_usage |
| signature_info.sigcheck.cert_issuer | ( principal | target | src | observer ).file.signature_info.sigcheck.signers.cert_issuer |
| file_type | ( principal | target | src | observer ).file.file_type |
Nächste Schritte
Informationen zur Verwendung angereicherter Daten mit anderen Google SecOps-Funktionen finden Sie unter:
- Kontextbezogene Daten in UDM Search verwenden:
- Kontextbezogene Daten in Regeln verwenden
- Kontextbezogene Daten in Berichten verwenden
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten