Enriquecimiento
El enriquecimiento usa los siguientes métodos para agregar contexto a un indicador o evento del UDM:
- Identifica las entidades de alias que describen un indicador, por lo general, un campo de UDM.
- Propaga el mensaje del UDM con detalles adicionales de los alias o las entidades identificados.
- Agrega datos de enriquecimiento globales, como GeoIP y VirusTotal, a los eventos del UDM.
Para garantizar la cobertura total de los datos en las reglas, las búsquedas o los paneles que dependen de campos enriquecidos, usa el enriquecimiento en tiempo real con uniones de tablas de datos y gráficos de entidades.
Enriquecimiento de recursos
Para cada evento de activo, la canalización extrae los siguientes campos del UDM de las entidades principal, src y target:
| Campo de UDM | Tipo de indicador |
|---|---|
| hostname | HOSTNAME |
| asset_id | PRODUCT_SPECIFIC_ID |
| mac | MAC |
| ip | IP |
Enriquecimiento del usuario
Para cada evento del usuario, la canalización extrae los siguientes campos de UDM de principal, src y target:
| Campo de UDM | Tipo de indicador |
|---|---|
| email_addresses | EMAIL |
| userid | USERNAME |
| windows_sid | WINDOWS_SID |
| employee_id | EMPLOYEE_ID |
| product_object_id | PRODUCT_OBJECT_ID |
Para cada indicador, la canalización realiza las siguientes acciones:
- Recupera una lista de entidades de usuario. Por ejemplo, las entidades de
principal.email_addressyprincipal.useridpodrían ser las mismas o diferentes. - Elige los alias del tipo de indicador de mayor prioridad, según este orden de prioridad:
WINDOWS_SID,EMAIL,USERNAME,EMPLOYEE_IDyPRODUCT_OBJECT_ID. - Propaga
noun.usercon la entidad cuyo intervalo de validez se cruza con la hora del evento.
Enriquecimiento de procesos
Usa el enriquecimiento del proceso para asignar un ID de proceso específico del producto (product_specific_process_id) o PSPI al proceso real y recuperar detalles sobre el proceso principal. Este proceso se basa en el tipo de lote de eventos del EDR.
Para cada evento del UDM, la canalización extrae el PSPI de los siguientes campos:
principalsrctargetprincipal.process.parent_processsrc.process.parent_processtarget.process.parent_process
La canalización usa el alias del proceso para identificar el proceso real del PSPI y recuperar información sobre el proceso principal. Luego, combina estos datos en el campo noun.process correspondiente dentro del mensaje enriquecido.
Campos indexados del EDR para la creación de alias de procesos
Cuando se inicia un proceso, el sistema recopila metadatos (por ejemplo, líneas de comandos, hashes de archivos y detalles del proceso principal). El software de EDR que se ejecuta en la máquina asigna un UUID de proceso específico del proveedor.
En la siguiente tabla, se enumeran los campos que se indexan durante un evento de inicio de proceso:
| Campo de UDM | Tipo de indicador |
|---|---|
| target.product_specific_process_id | PROCESS_ID |
| target.process | Todo el proceso, no solo el indicador |
Además del campo target.process del evento normalizado, SecOps de Google recopila e indexa información del proceso principal.
Enriquecimiento de artefactos
El enriquecimiento de artefactos agrega metadatos de hash de archivos de VirusTotal y datos de ubicación geográfica para direcciones IP. Para cada evento del UDM, la canalización extrae y consulta los datos de contexto de los siguientes indicadores de artefactos de las entidades principal, src y target:
- Dirección IP: Solo consulta los datos si son públicos o se pueden enrutar.
- Hashes de archivos: Se consultan los hashes en el siguiente orden:
file.sha256file.sha1file.md5process.file.sha256process.file.sha1process.file.md5
La canalización usa la hora del evento y la época de UNIX para definir el intervalo de tiempo de las consultas de artefactos de archivos. Si hay datos de ubicación geográfica disponibles, la canalización reemplaza los siguientes campos del UDM para las entidades principal, src y target según el origen de los datos de ubicación geográfica:
artifact.ipartifact.locationartifact.network(solo si los datos incluyen el contexto de la red IP)location(solo si los datos originales no incluyen este campo)
Si la canalización encuentra metadatos de hash de archivo, los agrega a los campos de archivo o process.file, según el origen del indicador. La canalización conserva los valores existentes que no se superponen con los datos nuevos.
Enriquecimiento de la ubicación geográfica de la IP
El alias geográfico proporciona datos de ubicación geográfica para las direcciones IP externas. Para cada dirección IP sin alias en el campo principal, target o src de un evento de UDM, se crea un búfer de subprotocolo ip_geo_artifact con la ubicación asociada y la información del ASN.
El alias geográfico no utiliza la búsqueda retrospectiva ni el almacenamiento en caché. Debido al gran volumen de eventos, Google SecOps mantiene un índice en la memoria.
Enriquece eventos con metadatos de archivos de VirusTotal
Google SecOps enriquece los hashes de archivos en eventos del UDM y proporciona contexto adicional durante una investigación. El alias de hash enriquece los eventos del UDM combinando todos los tipos de hashes de archivos y proporcionando información sobre un hash de archivo durante una búsqueda.
Las SecOps de Google integran los metadatos de archivos y el enriquecimiento de relaciones de VirusTotal para identificar patrones de actividad maliciosa y hacer un seguimiento de los movimientos de malware en una red.
Un registro sin procesar proporciona información limitada sobre el archivo. VirusTotal enriquece el evento con metadatos de archivos, incluidos detalles sobre archivos y hashes maliciosos. Los metadatos incluyen información, por ejemplo, nombres de archivos, tipos, funciones importadas y etiquetas. Puedes usar esta información en el motor de detección y búsqueda de UDM con YARA-L para comprender los eventos de archivos maliciosos y durante la búsqueda de amenazas. Por ejemplo, puedes detectar modificaciones en el archivo original que usan los metadatos del archivo para la detección de amenazas.
La siguiente información se almacena con el registro. Para obtener una lista de todos los campos del UDM, consulta Lista de campos del modelo de datos unificado.
| Tipo de datos | Campo de UDM |
|---|---|
| sha-256 | ( principal | target | src | observer ).file.sha256 |
| md5 | ( principal | target | src | observer ).file.md5 |
| sha-1 | ( principal | target | src | observer ).file.sha1 |
| tamaño | ( principal | target | src | observer ).file.size |
| ssdeep | ( principal | target | src | observer ).file.ssdeep |
| vhash | ( principal | target | src | observer ).file.vhash |
| authentihash | ( principal | target | src | observer ).file.authentihash |
| Imphash de metadatos del archivo PE | ( principal | target | src | observer ).file.pe_file.imphash |
| security_result.threat_verdict | ( principal | target | src | observer ).(process | file).security_result.threat_verdict |
| security_result.severity | ( principal | target | src | observer ).(process | file).security_result.severity |
| last_modification_time | ( principal | target | src | observer ).file.last_modification_time |
| first_seen_time | ( principal | target | src | observer ).file.first_seen_time |
| last_seen_time | ( principal | target | src | observer ).file.last_seen_time |
| last_analysis_time | ( principal | target | src | observer ).file.last_analysis_time |
| exif_info.original_file | ( principal | target | src | observer ).file.exif_info.original_file |
| exif_info.product | ( principal | target | src | observer ).file.exif_info.product |
| exif_info.company | ( principal | target | src | observer ).file.exif_info.company |
| exif_info.file_description | ( principal | target | src | observer ).file.exif_info.file_description |
| signature_info.codesign.id | ( principal | target | src | observer ).file.signature_info.codesign.id |
| signature_info.sigcheck.verfied | ( principal | target | src | observer ).file.signature_info.sigcheck.verified |
| signature_info.sigcheck.verification_message | ( principal | target | src | observer ).file.signature_info.sigcheck.verification_message |
| signature_info.sigcheck.signers.name | ( principal | target | src | observer ).file.signature_info.sigcheck.signers.name |
| signature_info.sigcheck.status | ( principal | target | src | observer ).file.signature_info.sigcheck.signers.status |
| signature_info.sigcheck.valid_usage | ( principal | target | src | observer ).file.signature_info.sigcheck.signers.valid_usage |
| signature_info.sigcheck.cert_issuer | ( principal | target | src | observer ).file.signature_info.sigcheck.signers.cert_issuer |
| file_type | ( principal | target | src | observer ).file.file_type |
¿Qué sigue?
Para obtener información sobre cómo usar datos enriquecidos con otras funciones de Google SecOps, consulta lo siguiente:
- Usa datos enriquecidos con contexto en la búsqueda de UDM.
- Usa datos enriquecidos con contexto en las reglas.
- Usa datos enriquecidos con contexto en los informes.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.