Arricchimento
L'arricchimento utilizza i seguenti metodi per aggiungere contesto a un indicatore o evento UDM:
- Identifica le entità alias che descrivono un indicatore, in genere un campo UDM.
- Compila il messaggio UDM con dettagli aggiuntivi dagli alias o dalle entità identificati.
- Aggiunge dati di arricchimento globali, come GeoIP e VirusTotal, agli eventi UDM.
Per garantire la copertura completa dei dati per regole, ricerche o dashboard che dipendono da campi arricchiti, utilizza l'arricchimento in tempo reale con le unioni di tabelle di dati e grafici delle entità.
Arricchimento degli asset
Per ogni evento asset, la pipeline estrae i seguenti campi UDM dalle entità
principal, src e target:
| Campo UDM | Tipo di indicatore |
|---|---|
| hostname | HOSTNAME |
| asset_id | PRODUCT_SPECIFIC_ID |
| mac | MAC |
| ip | IP |
Arricchimento degli utenti
Per ogni evento utente, la pipeline estrae i seguenti campi UDM da
principal, src e target:
| Campo UDM | Tipo di indicatore |
|---|---|
| email_addresses | EMAIL |
| userid | USERNAME |
| windows_sid | WINDOWS_SID |
| employee_id | EMPLOYEE_ID |
| product_object_id | PRODUCT_OBJECT_ID |
Per ogni indicatore, la pipeline esegue le seguenti azioni:
- Recupera un elenco di entità utente. Ad esempio, le entità di
principal.email_addresseprincipal.useridpotrebbero essere uguali o diverse. - Sceglie gli alias dal tipo di indicatore con la priorità più alta, utilizzando questo ordine di priorità:
WINDOWS_SID,EMAIL,USERNAME,EMPLOYEE_IDePRODUCT_OBJECT_ID. - Compila
noun.usercon l'entità il cui intervallo di validità interseca l'ora dell'evento.
Arricchimento del processo
Utilizza l'arricchimento dei processi per mappare un ID processo specifico del prodotto
(product_specific_process_id) o PSPI al processo effettivo e recuperare
i dettagli sul processo principale. Questo processo si basa sul tipo di batch di eventi EDR.
Per ogni evento UDM, la pipeline estrae le informazioni PSPI dai seguenti campi:
principalsrctargetprincipal.process.parent_processsrc.process.parent_processtarget.process.parent_process
La pipeline utilizza l'aliasing dei processi per identificare il processo effettivo dal PSPI
e recupera informazioni sul processo padre. Quindi, unisce questi dati
nel campo noun.process corrispondente all'interno del messaggio arricchito.
Campi indicizzati EDR per l'assegnazione di alias ai processi
Quando viene avviato un processo, il sistema raccoglie i metadati (ad esempio, righe di comando, hash dei file e dettagli del processo padre). Il software EDR in esecuzione sulla macchina assegna un UUID di processo specifico del fornitore.
La tabella seguente elenca i campi indicizzati durante un evento di avvio del processo:
| Campo UDM | Tipo di indicatore |
|---|---|
| target.product_specific_process_id | PROCESS_ID |
| target.process | L'intero processo, non solo l'indicatore |
Oltre al campo target.process dell'evento normalizzato,
Google SecOps raccoglie e indicizza le informazioni sul processo padre.
Arricchimento degli artefatti
L'arricchimento degli artefatti aggiunge i metadati hash dei file di VirusTotal e i dati di geolocalizzazione
per gli indirizzi IP. Per ogni evento UDM, la pipeline estrae ed esegue query sui dati di contesto
per i seguenti indicatori di artefatti dalle entità principal, src e
target:
- Indirizzo IP: esegue query sui dati solo se sono pubblici o instradabili.
- Hash dei file: esegue query sugli hash nel seguente ordine:
file.sha256file.sha1file.md5process.file.sha256process.file.sha1process.file.md5
La pipeline utilizza l'epoca UNIX e l'ora dell'evento per definire l'intervallo di tempo per le query sugli artefatti dei file. Se sono disponibili dati di geolocalizzazione, la pipeline sovrascrive
i seguenti campi UDM per le entità principal, src e target,
in base all'origine dei dati di geolocalizzazione:
artifact.ipartifact.locationartifact.network(solo se i dati includono il contesto della rete IP)location(solo se i dati originali non includono questo campo)
Se la pipeline trova metadati hash del file, li aggiunge al file o ai campi process.file, a seconda dell'origine dell'indicatore. La pipeline
conserva tutti i valori esistenti che non si sovrappongono ai nuovi dati.
Arricchimento della geolocalizzazione IP
L'aliasing geografico fornisce dati di geolocalizzazione per indirizzi IP esterni. Per
ogni indirizzo IP senza alias nel campo principal, target o src per un evento UDM, viene creato un buffer del sottoprogramma ip_geo_artifact
con le informazioni su posizione e ASN associate.
L'aliasing geografico non utilizza la ricerca a ritroso o la memorizzazione nella cache. A causa dell'elevato volume di eventi, Google SecOps mantiene un indice in memoria.
Arricchire gli eventi con i metadati dei file VirusTotal
Google SecOps arricchisce gli hash dei file negli eventi UDM e fornisce un contesto aggiuntivo durante un'indagine. L'assegnazione di alias hash arricchisce gli eventi UDM combinando tutti i tipi di hash di file e fornendo informazioni su un hash di file durante una ricerca.
Google SecOps integra i metadati dei file VirusTotal e l'arricchimento delle relazioni per identificare i pattern di attività dannose e monitorare i movimenti del malware in una rete.
Un log non elaborato fornisce informazioni limitate sul file. VirusTotal arricchisce l'evento con i metadati del file, inclusi i dettagli su hash e file dannosi. I metadati includono informazioni quali nomi dei file, tipi, funzioni importate e tag. Puoi utilizzare queste informazioni nel motore di ricerca e rilevamento UDM con YARA-L per comprendere gli eventi dei file dannosi e durante la ricerca delle minacce. Ad esempio, puoi rilevare modifiche al file originale che utilizzano i metadati del file per il rilevamento delle minacce.
Le seguenti informazioni vengono archiviate con il record. Per un elenco di tutti i campi UDM, consulta l'elenco dei campi Unified Data Model.
| Tipo di dati | Campo UDM |
|---|---|
| sha-256 | ( principal | target | src | observer ).file.sha256 |
| md5 | ( principal | target | src | observer ).file.md5 |
| sha-1 | ( principal | target | src | observer ).file.sha1 |
| dimensioni | ( principal | target | src | observer ).file.size |
| ssdeep | ( principal | target | src | observer ).file.ssdeep |
| vhash | ( principal | target | src | observer ).file.vhash |
| authentihash | ( principal | target | src | observer ).file.authentihash |
| Imphash dei metadati del file PE | ( principal | target | src | observer ).file.pe_file.imphash |
| security_result.threat_verdict | ( principal | target | src | observer ).(process | file).security_result.threat_verdict |
| security_result.severity | ( principal | target | src | observer ).(process | file).security_result.severity |
| last_modification_time | ( principal | target | src | observer ).file.last_modification_time |
| first_seen_time | ( principal | target | src | observer ).file.first_seen_time |
| last_seen_time | ( principal | target | src | observer ).file.last_seen_time |
| last_analysis_time | ( principal | target | src | observer ).file.last_analysis_time |
| exif_info.original_file | ( principal | target | src | observer ).file.exif_info.original_file |
| exif_info.product | ( principal | target | src | observer ).file.exif_info.product |
| exif_info.company | ( principal | target | src | observer ).file.exif_info.company |
| exif_info.file_description | ( principal | target | src | observer ).file.exif_info.file_description |
| signature_info.codesign.id | ( principal | target | src | observer ).file.signature_info.codesign.id |
| signature_info.sigcheck.verfied | ( principal | target | src | observer ).file.signature_info.sigcheck.verified |
| signature_info.sigcheck.verification_message | ( principal | target | src | observer ).file.signature_info.sigcheck.verification_message |
| signature_info.sigcheck.signers.name | ( principal | target | src | observer ).file.signature_info.sigcheck.signers.name |
| signature_info.sigcheck.status | ( principal | target | src | observer ).file.signature_info.sigcheck.signers.status |
| signature_info.sigcheck.valid_usage | ( principal | target | src | observer ).file.signature_info.sigcheck.signers.valid_usage |
| signature_info.sigcheck.cert_issuer | ( principal | target | src | observer ).file.signature_info.sigcheck.signers.cert_issuer |
| file_type | ( principal | target | src | observer ).file.file_type |
Passaggi successivi
Per informazioni su come utilizzare i dati arricchiti con altre funzionalità di Google SecOps, consulta quanto segue:
- Utilizza dati arricchiti dal contesto nella ricerca UDM.
- Utilizzare dati arricchiti dal contesto nelle regole.
- Utilizzare i dati arricchiti di contesto nei report.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.