Aprimoramento
O enriquecimento usa os seguintes métodos para adicionar contexto a um indicador ou evento da UDM:
- Identifica entidades de alias que descrevem um indicador, geralmente um campo da UDM.
- Preenche a mensagem da UDM com mais detalhes dos aliases ou entidades identificados.
- Adiciona dados de enriquecimento global, como GeoIP e VirusTotal, a eventos da UDM.
Para garantir a cobertura total de dados em regras, pesquisas ou painéis que dependem de campos enriquecidos, use o enriquecimento em tempo real com junções de tabelas de dados e gráficos de entidades.
Enriquecimento de recursos
Para cada evento de recurso, o pipeline extrai os seguintes campos da UDM das entidades principal, src e target:
| Campo de UDM | Tipo de indicador |
|---|---|
| hostname | HOSTNAME |
| asset_id | PRODUCT_SPECIFIC_ID |
| mac | MAC |
| ip | IP |
Enriquecimento de usuários
Para cada evento do usuário, o pipeline extrai os seguintes campos da UDM de principal, src e target:
| Campo do UDM | Tipo de indicador |
|---|---|
| email_addresses | EMAIL |
| userid | USERNAME |
| windows_sid | WINDOWS_SID |
| employee_id | EMPLOYEE_ID |
| product_object_id | PRODUCT_OBJECT_ID |
Para cada indicador, o pipeline executa as seguintes ações:
- Recupera uma lista de entidades de usuário. Por exemplo, as entidades de
principal.email_addresseprincipal.useridpodem ser iguais ou diferentes. - Escolhe os aliases do tipo de indicador de maior prioridade, usando esta ordem:
WINDOWS_SID,EMAIL,USERNAME,EMPLOYEE_IDePRODUCT_OBJECT_ID. - Preenche
noun.usercom a entidade cujo intervalo de validade se cruza com o horário do evento.
Enriquecimento de processos
Use o enriquecimento de processos para mapear um ID de processo específico do produto (product_specific_process_id), ou PSPI, para o processo real e recuperar detalhes sobre o processo principal. Esse processo depende do tipo de lote de eventos
EDR.
Para cada evento da UDM, o pipeline extrai as PSPIs dos seguintes campos:
principalsrctargetprincipal.process.parent_processsrc.process.parent_processtarget.process.parent_process
O pipeline usa o alias de processo para identificar o processo real do PSPI
e recupera informações sobre o processo pai. Em seguida, ele mescla esses dados no campo noun.process correspondente na mensagem enriquecida.
Campos indexados de EDR para alias de processo
Quando um processo é iniciado, o sistema coleta metadados (por exemplo, linhas de comando, hashes de arquivo e detalhes do processo pai). O software EDR em execução na máquina atribui um UUID de processo específico do fornecedor.
A tabela a seguir lista os campos indexados durante um evento de início de processo:
| Campo do UDM | Tipo de indicador |
|---|---|
| target.product_specific_process_id | PROCESS_ID |
| target.process | Todo o processo, não apenas o indicador |
Além do campo target.process do evento normalizado, a Google SecOps coleta e indexa informações do processo principal.
Enriquecimento de artefatos
O enriquecimento de artefatos adiciona metadados de hash de arquivo do VirusTotal e dados de geolocalização para endereços IP. Para cada evento da UDM, o pipeline extrai e consulta dados de contexto para os seguintes indicadores de artefato das entidades principal, src e target:
- Endereço IP: consulta dados somente se eles forem públicos ou roteáveis.
- Hashes de arquivo: consulta hashes na seguinte ordem:
file.sha256file.sha1file.md5process.file.sha256process.file.sha1process.file.md5
O pipeline usa a época UNIX e a hora do evento para definir o intervalo de tempo das consultas de artefato de arquivo. Se os dados de geolocalização estiverem disponíveis, o pipeline vai substituir os seguintes campos da UDM para as entidades principal, src e target com base na origem dos dados de geolocalização:
artifact.ipartifact.locationartifact.network(somente se os dados incluírem o contexto de rede IP)location(somente se os dados originais não incluírem esse campo)
Se o pipeline encontrar metadados de hash de arquivo, ele os adicionará aos campos de arquivo ou process.file, dependendo da origem do indicador. O pipeline mantém todos os valores atuais que não se sobrepõem aos novos dados.
Aprimoramento de geolocalização de IP
O aliasing geográfico fornece dados de geolocalização para endereços IP externo. Para
cada endereço IP sem alias nos campos principal, target ou src de um evento da UDM, um buffer de subprotocolo ip_geo_artifact é criado
com as informações de local e ASN associadas.
O aliasing geográfico não usa lookback nem cache. Devido ao grande volume de eventos, o Google SecOps mantém um índice na memória.
Enriquecer eventos com metadados de arquivos do VirusTotal
O Google SecOps enriquece os hashes de arquivo em eventos do UDM e fornece contexto adicional durante uma investigação. A inclusão de aliases de hash enriquece os eventos da UDM combinando todos os tipos de hashes de arquivo e fornecendo informações sobre um hash de arquivo durante uma pesquisa.
O Google SecOps integra metadados de arquivos do VirusTotal e o enriquecimento de relacionamentos para identificar padrões de atividades maliciosas e rastrear movimentos de malware em uma rede.
Um registro bruto fornece informações limitadas sobre o arquivo. O VirusTotal enriquece o evento com metadados de arquivos, incluindo detalhes sobre hashes e arquivos maliciosos. Os metadados incluem informações como nomes de arquivos, tipos, funções importadas e tags. Você pode usar essas informações no mecanismo de pesquisa e detecção da UDM com YARA-L para entender eventos de arquivos maliciosos e durante a busca de ameaças. Por exemplo, é possível detectar modificações no arquivo original que usam os metadados do arquivo para detecção de ameaças.
As seguintes informações são armazenadas com o registro. Para conferir uma lista de todos os campos do UDM, consulte Lista de campos do modelo de dados unificado.
| Tipos de dados | Campo do UDM |
|---|---|
| sha-256 | ( principal | target | src | observer ).file.sha256 |
| md5 | ( principal | target | src | observer ).file.md5 |
| sha-1 | ( principal | target | src | observer ).file.sha1 |
| tamanho | ( principal | target | src | observer ).file.size |
| ssdeep | ( principal | target | src | observer ).file.ssdeep |
| vhash | ( principal | target | src | observer ).file.vhash |
| authentihash | ( principal | target | src | observer ).file.authentihash |
| Imphash de metadados de arquivo PE | ( principal | target | src | observer ).file.pe_file.imphash |
| security_result.threat_verdict | ( principal | target | src | observer ).(process | file).security_result.threat_verdict |
| security_result.severity | ( principal | target | src | observer ).(process | file).security_result.severity |
| last_modification_time | ( principal | target | src | observer ).file.last_modification_time |
| first_seen_time | ( principal | target | src | observer ).file.first_seen_time |
| last_seen_time | ( principal | target | src | observer ).file.last_seen_time |
| last_analysis_time | ( principal | target | src | observer ).file.last_analysis_time |
| exif_info.original_file | ( principal | target | src | observer ).file.exif_info.original_file |
| exif_info.product | ( principal | target | src | observer ).file.exif_info.product |
| exif_info.company | ( principal | target | src | observer ).file.exif_info.company |
| exif_info.file_description | ( principal | target | src | observer ).file.exif_info.file_description |
| signature_info.codesign.id | ( principal | target | src | observer ).file.signature_info.codesign.id |
| signature_info.sigcheck.verfied | ( principal | target | src | observer ).file.signature_info.sigcheck.verified |
| signature_info.sigcheck.verification_message | ( principal | target | src | observer ).file.signature_info.sigcheck.verification_message |
| signature_info.sigcheck.signers.name | ( principal | target | src | observer ).file.signature_info.sigcheck.signers.name |
| signature_info.sigcheck.status | ( principal | target | src | observer ).file.signature_info.sigcheck.signers.status |
| signature_info.sigcheck.valid_usage | ( principal | target | src | observer ).file.signature_info.sigcheck.signers.valid_usage |
| signature_info.sigcheck.cert_issuer | ( principal | target | src | observer ).file.signature_info.sigcheck.signers.cert_issuer |
| file_type | ( principal | target | src | observer ).file.file_type |
A seguir
Para informações sobre como usar dados enriquecidos com outros recursos do Google SecOps, consulte o seguinte:
- Usar dados enriquecidos com contexto na pesquisa do UDM.
- Usar dados enriquecidos com contexto em regras.
- Usar dados enriquecidos com contexto em relatórios.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.