Pengayaan
Pengayaan menggunakan metode berikut untuk menambahkan konteks ke indikator atau peristiwa UDM:
- Mengidentifikasi entitas alias yang mendeskripsikan indikator, biasanya kolom UDM.
- Mengisi pesan UDM dengan detail tambahan dari alias atau entity yang diidentifikasi.
- Menambahkan data pengayaan global, seperti GeoIP dan VirusTotal, ke peristiwa UDM.
Untuk memastikan cakupan data penuh untuk aturan, penelusuran, atau dasbor yang bergantung pada kolom yang di-enrich, gunakan pengayaan real-time dengan gabungan tabel data dan grafik entitas.
Pengayaan aset
Untuk setiap peristiwa aset, pipeline mengekstrak kolom UDM berikut dari entitas
principal, src, dan target:
| Kolom UDM | Jenis Indikator |
|---|---|
| hostname | HOSTNAME |
| asset_id | PRODUCT_SPECIFIC_ID |
| mac | MAC |
| ip | IP |
Pengayaan pengguna
Untuk setiap peristiwa pengguna, pipeline mengekstrak kolom UDM berikut dari
principal, src, dan target:
| Kolom UDM | Jenis indikator |
|---|---|
| email_addresses | EMAIL |
| userid | USERNAME |
| windows_sid | WINDOWS_SID |
| employee_id | EMPLOYEE_ID |
| product_object_id | PRODUCT_OBJECT_ID |
Untuk setiap indikator, pipeline melakukan tindakan berikut:
- Mengambil daftar entity pengguna. Misalnya, entity
principal.email_addressdanprincipal.useridmungkin sama, atau mungkin berbeda. - Memilih alias dari jenis indikator prioritas tertinggi, menggunakan urutan prioritas ini:
WINDOWS_SID,EMAIL,USERNAME,EMPLOYEE_ID, danPRODUCT_OBJECT_ID. - Mengisi
noun.userdengan entitas yang interval validitasnya beririsan dengan waktu peristiwa.
Pengayaan proses
Gunakan pengayaan proses untuk memetakan ID proses khusus produk
(product_specific_process_id), atau PSPI, ke proses sebenarnya dan mengambil
detail tentang proses induk. Proses ini mengandalkan jenis batch peristiwa EDR.
Untuk setiap peristiwa UDM, pipeline mengekstrak PSPI dari kolom berikut:
principalsrctargetprincipal.process.parent_processsrc.process.parent_processtarget.process.parent_process
Pipeline menggunakan pengalihan proses untuk mengidentifikasi proses sebenarnya dari PSPI
dan mengambil informasi tentang proses induk. Kemudian, data ini digabungkan
ke dalam kolom noun.process yang sesuai dalam pesan yang diperkaya.
Kolom terindeks EDR untuk pengubahan nama proses
Saat proses diluncurkan, sistem mengumpulkan metadata (misalnya, baris perintah, hash file, dan detail proses induk). Software EDR yang berjalan di mesin menetapkan UUID proses khusus vendor.
Tabel berikut mencantumkan kolom yang diindeks selama peristiwa peluncuran proses:
| Kolom UDM | Jenis indikator |
|---|---|
| target.product_specific_process_id | PROCESS_ID |
| target.process | Seluruh proses; bukan hanya indikator |
Selain kolom target.process dari peristiwa yang dinormalisasi,
Google SecOps mengumpulkan dan mengindeks informasi proses induk.
Pengayaan artefak
Pengayaan artefak menambahkan metadata hash file dari VirusTotal dan data geolokasi untuk alamat IP. Untuk setiap peristiwa UDM, pipeline mengekstrak dan membuat kueri data
konteks untuk indikator artefak berikut dari entity principal, src, dan
target:
- Alamat IP: Mengirim kueri data hanya jika data tersebut bersifat publik atau dapat dirutekan.
- Hash file: Mengirimkan kueri hash dalam urutan berikut:
file.sha256file.sha1file.md5process.file.sha256process.file.sha1process.file.md5
Pipeline menggunakan epoch UNIX dan jam peristiwa untuk menentukan rentang waktu kueri artefak file. Jika data geolokasi tersedia, pipeline akan mengganti
kolom UDM berikut untuk entitas principal, src, dan target,
berdasarkan asal data geolokasi:
artifact.ipartifact.locationartifact.network(hanya jika data mencakup konteks jaringan IP)location(hanya jika data asli tidak menyertakan kolom ini)
Jika menemukan metadata hash file, pipeline akan menambahkan metadata tersebut ke file atau kolom process.file, bergantung pada asal indikator. Pipeline
mempertahankan nilai yang ada yang tidak tumpang-tindih dengan data baru.
Pengayaan geolokasi IP
Aliasing geografis menyediakan data geolokasi untuk alamat IP eksternal. Untuk
setiap alamat IP yang tidak memiliki alias di kolom principal, target, atau src untuk peristiwa UDM, buffer subprotokol ip_geo_artifact dibuat
dengan informasi lokasi dan ASN terkait.
Aliasing geografis tidak menggunakan pencarian kembali atau penyimpanan dalam cache. Karena volume peristiwa yang tinggi, Google SecOps mempertahankan indeks dalam memori.
Memperkaya peristiwa dengan metadata file VirusTotal
Google SecOps memperkaya hash file menjadi peristiwa UDM dan memberikan konteks tambahan selama investigasi. Penggabungan nama hash memperkaya peristiwa UDM dengan menggabungkan semua jenis hash file dan memberikan informasi tentang hash file selama penelusuran.
Google SecOps mengintegrasikan metadata file VirusTotal dan pengayaan hubungan untuk mengidentifikasi pola aktivitas berbahaya dan melacak pergerakan malware di seluruh jaringan.
Log mentah memberikan informasi terbatas tentang file. VirusTotal memperkaya peristiwa dengan metadata file, termasuk detail tentang hash dan file berbahaya. Metadata mencakup informasi, misalnya, nama file, jenis, fungsi yang diimpor, dan tag. Anda dapat menggunakan informasi ini di mesin penelusuran dan deteksi UDM dengan YARA-L untuk memahami peristiwa file berbahaya dan selama perburuan ancaman. Misalnya, Anda dapat mendeteksi modifikasi pada file asli yang menggunakan metadata file untuk deteksi ancaman.
Informasi berikut disimpan bersama data. Untuk mengetahui daftar semua kolom UDM, lihat Daftar kolom Model Data Terpadu.
| Jenis data | Kolom UDM |
|---|---|
| sha-256 | ( principal | target | src | observer ).file.sha256 |
| md5 | ( principal | target | src | observer ).file.md5 |
| sha-1 | ( principal | target | src | observer ).file.sha1 |
| ukuran | ( principal | target | src | observer ).file.size |
| ssdeep | ( principal | target | src | observer ).file.ssdeep |
| vhash | ( principal | target | src | observer ).file.vhash |
| authentihash | ( principal | target | src | observer ).file.authentihash |
| Imphash metadata file PE | ( principal | target | src | observer ).file.pe_file.imphash |
| security_result.threat_verdict | ( principal | target | src | observer ).(process | file).security_result.threat_verdict |
| security_result.severity | ( principal | target | src | observer ).(process | file).security_result.severity |
| last_modification_time | ( principal | target | src | observer ).file.last_modification_time |
| first_seen_time | ( principal | target | src | observer ).file.first_seen_time |
| last_seen_time | ( principal | target | src | observer ).file.last_seen_time |
| last_analysis_time | ( principal | target | src | observer ).file.last_analysis_time |
| exif_info.original_file | ( principal | target | src | observer ).file.exif_info.original_file |
| exif_info.product | ( principal | target | src | observer ).file.exif_info.product |
| exif_info.company | ( principal | target | src | observer ).file.exif_info.company |
| exif_info.file_description | ( principal | target | src | observer ).file.exif_info.file_description |
| signature_info.codesign.id | ( principal | target | src | observer ).file.signature_info.codesign.id |
| signature_info.sigcheck.verfied | ( principal | target | src | observer ).file.signature_info.sigcheck.verified |
| signature_info.sigcheck.verification_message | ( principal | target | src | observer ).file.signature_info.sigcheck.verification_message |
| signature_info.sigcheck.signers.name | ( principal | target | src | observer ).file.signature_info.sigcheck.signers.name |
| signature_info.sigcheck.status | ( principal | target | src | observer ).file.signature_info.sigcheck.signers.status |
| signature_info.sigcheck.valid_usage | ( principal | target | src | observer ).file.signature_info.sigcheck.signers.valid_usage |
| signature_info.sigcheck.cert_issuer | ( principal | target | src | observer ).file.signature_info.sigcheck.signers.cert_issuer |
| file_type | ( principal | target | src | observer ).file.file_type |
Langkah berikutnya
Untuk mengetahui informasi tentang cara menggunakan data yang diperkaya dengan fitur Google SecOps lainnya, lihat artikel berikut:
- Menggunakan data yang diperkaya konteks di Penelusuran UDM.
- Menggunakan data yang diperkaya konteks dalam aturan.
- Menggunakan data yang diperkaya konteks dalam laporan.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.