Enrichissement
L'enrichissement utilise les méthodes suivantes pour ajouter du contexte à un indicateur ou un événement UDM :
- Identifie les entités alias qui décrivent un indicateur, généralement un champ UDM.
- Renseigne le message UDM avec des informations supplémentaires provenant des alias ou entités identifiés.
- Ajoute des données d'enrichissement globales, telles que GeoIP et VirusTotal, aux événements UDM.
Pour garantir une couverture complète des données pour les règles, les recherches ou les tableaux de bord qui dépendent des champs enrichis, utilisez l'enrichissement en temps réel avec les jointures de tables de données et de graphiques d'entités.
Enrichissement des composants
Pour chaque événement d'asset, le pipeline extrait les champs UDM suivants des entités principal, src et target :
| Champ UDM | Type d'indicateur |
|---|---|
| hostname | HOSTNAME |
| asset_id | PRODUCT_SPECIFIC_ID |
| mac | MAC |
| ip | IP |
Enrichissement des utilisateurs
Pour chaque événement utilisateur, le pipeline extrait les champs UDM suivants de principal, src et target :
| Champ UDM | Type d'indicateur |
|---|---|
| email_addresses | EMAIL |
| userid | USERNAME |
| windows_sid | WINDOWS_SID |
| employee_id | EMPLOYEE_ID |
| product_object_id | PRODUCT_OBJECT_ID |
Pour chaque indicateur, le pipeline effectue les actions suivantes :
- Récupère une liste d'entités utilisateur. Par exemple, les entités de
principal.email_addressetprincipal.useridpeuvent être identiques ou différentes. - Sélectionne les alias du type d'indicateur de priorité la plus élevée, en utilisant l'ordre de priorité suivant :
WINDOWS_SID,EMAIL,USERNAME,EMPLOYEE_IDetPRODUCT_OBJECT_ID. - Renseigne
noun.useravec l'entité dont l'intervalle de validité croise l'heure de l'événement.
Enrichissement des processus
Utilisez l'enrichissement de processus pour mapper un ID de processus spécifique à un produit (product_specific_process_id), ou PSPI, au processus réel et récupérer des informations sur le processus parent. Ce processus repose sur le type de lot d'événements EDR.
Pour chaque événement UDM, le pipeline extrait le PSPI des champs suivants :
principalsrctargetprincipal.process.parent_processsrc.process.parent_processtarget.process.parent_process
Le pipeline utilise l'alias de processus pour identifier le processus réel à partir du PSPI et récupérer des informations sur le processus parent. Il fusionne ensuite ces données dans le champ noun.process correspondant du message enrichi.
Champs indexés EDR pour l'alias de processus
Lorsqu'un processus est lancé, le système collecte des métadonnées (par exemple, les lignes de commande, les hachages de fichiers et les détails du processus parent). Le logiciel EDR exécuté sur la machine attribue un UUID de processus spécifique au fournisseur.
Le tableau suivant liste les champs indexés lors d'un événement de lancement de processus :
| Champ UDM | Type d'indicateur |
|---|---|
| target.product_specific_process_id | PROCESS_ID |
| target.process | L'ensemble du processus, et pas seulement l'indicateur |
En plus du champ target.process de l'événement normalisé, Google SecOps collecte et indexe les informations sur le processus parent.
Enrichissement des artefacts
L'enrichissement des artefacts ajoute des métadonnées de hachage de fichier provenant de VirusTotal et des données de géolocalisation pour les adresses IP. Pour chaque événement UDM, le pipeline extrait et interroge les données de contexte pour les indicateurs d'artefact suivants à partir des entités principal, src et target :
- Adresse IP : interroge les données uniquement si elles sont publiques ou routables.
- Hachages de fichiers : les hachages de requêtes sont traités dans l'ordre suivant :
file.sha256file.sha1file.md5process.file.sha256process.file.sha1process.file.md5
Le pipeline utilise l'epoch UNIX et l'heure de l'événement pour définir la plage de dates des requêtes d'artefacts de fichier. Si des données de géolocalisation sont disponibles, le pipeline remplace les champs UDM suivants pour les entités principal, src et target, en fonction de l'origine des données de géolocalisation :
artifact.ipartifact.locationartifact.network(uniquement si les données incluent le contexte du réseau IP)location(uniquement si les données d'origine n'incluent pas ce champ)
Si le pipeline trouve des métadonnées de hachage de fichier, il les ajoute aux champs de fichier ou process.file, selon l'origine de l'indicateur. Le pipeline conserve toutes les valeurs existantes qui ne chevauchent pas les nouvelles données.
Enrichissement de la géolocalisation par adresse IP
L'alias géographique fournit des données de géolocalisation pour les adresses IP externes. Pour chaque adresse IP sans alias dans le champ principal, target ou src d'un événement UDM, un tampon de sous-protocole ip_geo_artifact est créé avec les informations de localisation et d'ASN associées.
L'alias géographique n'utilise pas de période d'analyse ni de mise en cache. En raison du volume élevé d'événements, Google SecOps conserve un index en mémoire.
Enrichir les événements avec les métadonnées de fichiers VirusTotal
Google SecOps enrichit les hachages de fichiers dans les événements UDM et fournit un contexte supplémentaire lors d'une investigation. L'alias de hachage enrichit les événements UDM en combinant tous les types de hachages de fichiers et en fournissant des informations sur un hachage de fichier lors d'une recherche.
Google SecOps intègre les métadonnées et l'enrichissement des relations des fichiers VirusTotal pour identifier les schémas d'activité malveillante et suivre les mouvements de logiciels malveillants sur un réseau.
Un journal brut fournit des informations limitées sur le fichier. VirusTotal enrichit l'événement avec des métadonnées de fichier, y compris des informations sur les hachages et les fichiers malveillants. Les métadonnées incluent des informations telles que les noms de fichiers, les types, les fonctions importées et les tags. Vous pouvez utiliser ces informations dans le moteur de recherche et de détection UDM avec YARA-L pour comprendre les événements de fichiers malveillants et lors de la chasse aux menaces. Par exemple, vous pouvez détecter les modifications apportées au fichier d'origine qui utilisent les métadonnées du fichier pour la détection des menaces.
Les informations suivantes sont stockées avec l'enregistrement. Pour obtenir la liste de tous les champs UDM, consultez Liste des champs UDM (Unified Data Model).
| Type de données | Champ UDM |
|---|---|
| sha-256 | ( principal | target | src | observer ).file.sha256 |
| md5 | ( principal | target | src | observer ).file.md5 |
| sha-1 | ( principal | target | src | observer ).file.sha1 |
| taille | ( principal | target | src | observer ).file.size |
| ssdeep | ( principal | target | src | observer ).file.ssdeep |
| vhash | ( principal | target | src | observer ).file.vhash |
| authentihash | ( principal | target | src | observer ).file.authentihash |
| Imphash des métadonnées du fichier PE | ( principal | target | src | observer ).file.pe_file.imphash |
| security_result.threat_verdict | ( principal | target | src | observer ).(process | file).security_result.threat_verdict |
| security_result.severity | ( principal | target | src | observer ).(process | file).security_result.severity |
| last_modification_time | ( principal | target | src | observer ).file.last_modification_time |
| first_seen_time | ( principal | target | src | observer ).file.first_seen_time |
| last_seen_time | ( principal | target | src | observer ).file.last_seen_time |
| last_analysis_time | ( principal | target | src | observer ).file.last_analysis_time |
| exif_info.original_file | ( principal | target | src | observer ).file.exif_info.original_file |
| exif_info.product | ( principal | target | src | observer ).file.exif_info.product |
| exif_info.company | ( principal | target | src | observer ).file.exif_info.company |
| exif_info.file_description | ( principal | target | src | observer ).file.exif_info.file_description |
| signature_info.codesign.id | ( principal | target | src | observer ).file.signature_info.codesign.id |
| signature_info.sigcheck.verfied | ( principal | target | src | observer ).file.signature_info.sigcheck.verified |
| signature_info.sigcheck.verification_message | ( principal | target | src | observer ).file.signature_info.sigcheck.verification_message |
| signature_info.sigcheck.signers.name | ( principal | target | src | observer ).file.signature_info.sigcheck.signers.name |
| signature_info.sigcheck.status | ( principal | target | src | observer ).file.signature_info.sigcheck.signers.status |
| signature_info.sigcheck.valid_usage | ( principal | target | src | observer ).file.signature_info.sigcheck.signers.valid_usage |
| signature_info.sigcheck.cert_issuer | ( principal | target | src | observer ).file.signature_info.sigcheck.signers.cert_issuer |
| file_type | ( principal | target | src | observer ).file.file_type |
Étapes suivantes
Pour savoir comment utiliser les données enrichies avec d'autres fonctionnalités Google SecOps, consultez les pages suivantes :
- Utiliser des données enrichies par le contexte dans la recherche UDM
- Utilisez des données enrichies par le contexte dans les règles.
- Utilisez des données enrichies par le contexte dans les rapports.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.