보강
강화에서는 다음 방법을 사용하여 UDM 표시기 또는 이벤트에 컨텍스트를 추가합니다.
- 일반적으로 UDM 필드인 지표를 설명하는 별칭 항목을 식별합니다.
- 식별된 별칭 또는 항목의 추가 세부정보로 UDM 메시지를 채웁니다.
- UDM 이벤트에 GeoIP, VirusTotal과 같은 전역 보강 데이터를 추가합니다.
강화된 필드를 사용하는 규칙, 검색 또는 대시보드의 데이터가 모두 포함되도록 하려면 데이터 테이블 및 엔티티 그래프 조인으로 실시간 강화를 사용하세요.
애셋 보강
각 애셋 이벤트에 대해 파이프라인은 principal, src, target 항목에서 다음 UDM 필드를 추출합니다.
| UDM 필드 | 지표 유형 |
|---|---|
| 호스트 이름 | HOSTNAME |
| asset_id | PRODUCT_SPECIFIC_ID |
| mac | MAC |
| ip | IP |
사용자 보강
각 사용자 이벤트에 대해 파이프라인은 principal, src, target에서 다음 UDM 필드를 추출합니다.
| UDM 필드 | 지표 유형 |
|---|---|
| email_addresses | EMAIL |
| userid | USERNAME |
| windows_sid | WINDOWS_SID |
| employee_id | EMPLOYEE_ID |
| product_object_id | PRODUCT_OBJECT_ID |
파이프라인은 각 지표에 대해 다음 작업을 실행합니다.
- 사용자 항목 목록을 가져옵니다. 예를 들어
principal.email_address및principal.userid의 항목은 동일할 수도 있고 다를 수도 있습니다. - 이 우선순위 순서(
WINDOWS_SID,EMAIL,USERNAME,EMPLOYEE_ID,PRODUCT_OBJECT_ID)를 사용하여 우선순위가 가장 높은 표시기 유형에서 별칭을 선택합니다. - 유효성 간격이 이벤트 시간과 교차하는 항목으로
noun.user를 채웁니다.
프로세스 보강
프로세스 보강을 사용하여 제품별 프로세스 ID(product_specific_process_id) 또는 PSPI를 실제 프로세스에 매핑하고 상위 프로세스에 관한 세부정보를 가져옵니다. 이 프로세스는 EDR 이벤트 일괄 처리 유형을 사용합니다.
각 UDM 이벤트에 대해 파이프라인은 다음 필드에서 PSPI를 추출합니다.
principalsrctargetprincipal.process.parent_processsrc.process.parent_processtarget.process.parent_process
파이프라인은 프로세스 별칭을 사용하여 PSPI에서 실제 프로세스를 식별하고 상위 프로세스에 관한 정보를 가져옵니다. 그런 다음 이 데이터를 보강된 메시지 내의 해당 noun.process 필드로 병합합니다.
프로세스 별칭 지정의 EDR 색인 생성 필드
프로세스가 시작되면 시스템은 메타데이터 (예: 명령줄, 파일 해시, 상위 프로세스 세부정보)를 수집합니다. 머신에서 실행되는 EDR 소프트웨어는 공급업체별 프로세스 UUID를 할당합니다.
다음 표에는 프로세스 실행 이벤트 중에 색인이 생성되는 필드가 나와 있습니다.
| UDM 필드 | 지표 유형 |
|---|---|
| target.product_specific_process_id | PROCESS_ID |
| target.process | 전체 프로세스(표시기에만 해당하지 않음) |
정규화된 이벤트의 target.process 필드 외에도 Google SecOps는 상위 프로세스 정보를 수집하고 색인을 생성합니다.
아티팩트 보강
아티팩트 보강은 VirusTotal의 파일 해시 메타데이터와 IP 주소의 위치정보 데이터를 추가합니다. 각 UDM 이벤트에 대해 파이프라인은 principal, src, target 항목에서 다음 아티팩트 표시기의 컨텍스트 데이터를 추출하고 쿼리합니다.
- IP 주소: 공개되거나 라우팅 가능한 경우에만 데이터를 쿼리합니다.
- 파일 해시: 다음 순서로 해시를 쿼리합니다.
file.sha256file.sha1file.md5process.file.sha256process.file.sha1process.file.md5
파이프라인은 UNIX 에포크 및 이벤트 시간을 사용하여 파일 아티팩트 쿼리의 기간을 정의합니다. 위치정보 데이터를 사용할 수 있는 경우 파이프라인은 위치정보 데이터의 출처에 따라 principal, src, target 엔티티의 다음 UDM 필드를 덮어씁니다.
artifact.ipartifact.locationartifact.network(데이터에 IP 네트워크 컨텍스트가 포함된 경우에만)location(원본 데이터에 이 필드가 포함되지 않은 경우에만)
파이프라인에서 파일 해시 메타데이터를 찾으면 표시기의 출처에 따라 해당 메타데이터를 파일 또는 process.file 필드에 추가합니다. 파이프라인은 새 데이터와 중복되지 않는 기존 값을 유지합니다.
IP 위치정보 보강
지리적 별칭은 외부 IP 주소에 대한 위치정보 데이터를 제공합니다. UDM 이벤트의 principal, target 또는 src 필드에 있는 별칭이 지정되지 않은 각 IP 주소에 대해 연결된 위치 및 ASN 정보가 포함된 ip_geo_artifact 하위 프로토콜 버퍼가 생성됩니다.
지리적 별칭은 되돌아보기 또는 캐싱을 사용하지 않습니다. 이벤트가 많기 때문에 Google SecOps는 메모리에 색인을 유지합니다.
VirusTotal 파일 메타데이터로 이벤트 보강
Google SecOps는 파일 해시를 UDM 이벤트로 보강하고 조사 중 추가 컨텍스트를 제공합니다. 해시 별칭은 모든 유형의 파일 해시를 결합하고 검색 중 파일 해시에 대한 정보를 제공하여 UDM 이벤트를 보강합니다.
Google SecOps는 VirusTotal 파일 메타데이터 및 관계 보강을 통합하여 악성 활동의 패턴을 식별하고 네트워크 전반에서 멀웨어 이동을 추적합니다.
원시 로그는 파일에 관한 제한된 정보만 제공합니다. VirusTotal은 악성 해시 및 파일에 관한 세부정보를 포함한 파일 메타데이터로 이벤트를 보강합니다. 메타데이터에는 파일 이름, 유형, 가져온 함수, 태그와 같은 정보가 포함됩니다. 이 정보를 YARA-L과 함께 UDM 검색 및 탐지 엔진에 사용하여 악성 파일 이벤트를 파악하고 위협 헌팅 중에 사용할 수 있습니다. 예를 들어 위협 감지를 위해 파일 메타데이터를 사용하는 원본 파일의 수정사항을 감지할 수 있습니다.
다음 정보가 레코드와 함께 저장됩니다. 모든 UDM 필드 목록은 통합 데이터 모델 필드 목록을 참조하세요.
| 데이터 유형 | UDM 필드 |
|---|---|
| sha-256 | ( principal | target | src | observer ).file.sha256 |
| md5 | ( principal | target | src | observer ).file.md5 |
| sha-1 | ( principal | target | src | observer ).file.sha1 |
| 크기 | ( principal | target | src | observer ).file.size |
| ssdeep | ( principal | target | src | observer ).file.ssdeep |
| vhash | ( principal | target | src | observer ).file.vhash |
| authentihash | ( principal | target | src | observer ).file.authentihash |
| PE 파일 메타데이터 Imphash | ( principal | target | src | observer ).file.pe_file.imphash |
| security_result.threat_verdict | ( principal | target | src | observer ).(process | file).security_result.threat_verdict |
| security_result.severity | ( principal | target | src | observer ).(process | file).security_result.severity |
| last_modification_time | ( principal | target | src | observer ).file.last_modification_time |
| first_seen_time | ( principal | target | src | observer ).file.first_seen_time |
| last_seen_time | ( principal | target | src | observer ).file.last_seen_time |
| last_analysis_time | ( principal | target | src | observer ).file.last_analysis_time |
| exif_info.original_file | ( principal | target | src | observer ).file.exif_info.original_file |
| exif_info.product | ( principal | target | src | observer ).file.exif_info.product |
| exif_info.company | ( principal | target | src | observer ).file.exif_info.company |
| exif_info.file_description | ( principal | target | src | observer ).file.exif_info.file_description |
| signature_info.codesign.id | ( principal | target | src | observer ).file.signature_info.codesign.id |
| signature_info.sigcheck.verfied | ( principal | target | src | observer ).file.signature_info.sigcheck.verified |
| signature_info.sigcheck.verification_message | ( principal | target | src | observer ).file.signature_info.sigcheck.verification_message |
| signature_info.sigcheck.signers.name | ( principal | target | src | observer ).file.signature_info.sigcheck.signers.name |
| signature_info.sigcheck.status | ( principal | target | src | observer ).file.signature_info.sigcheck.signers.status |
| signature_info.sigcheck.valid_usage | ( principal | target | src | observer ).file.signature_info.sigcheck.signers.valid_usage |
| signature_info.sigcheck.cert_issuer | ( principal | target | src | observer ).file.signature_info.sigcheck.signers.cert_issuer |
| file_type | ( principal | target | src | observer ).file.file_type |
다음 단계
다른 Google SecOps 기능과 함께 보강된 데이터를 사용하는 방법은 다음을 참고하세요.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.