擴充
強化功能會使用下列方法,為 UDM 指標或事件新增背景資訊:
- 識別描述指標的別名實體,通常是 UDM 欄位。
- 根據已識別的別名或實體,在 UDM 訊息中填入其他詳細資料。
- 將 GeoIP 和 VirusTotal 等全域擴充資料新增至 UDM 事件。
如要確保規則、搜尋或資訊主頁 (取決於經過擴充的欄位) 的資料涵蓋範圍完整,請使用資料表和實體圖形聯結,進行即時擴充。
素材資源強化
對於每個資產事件,管道會從 principal、src 和 target 實體中擷取下列 UDM 欄位:
| UDM 欄位 | 指標類型 |
|---|---|
| 主機名稱 | HOSTNAME |
| asset_id | PRODUCT_SPECIFIC_ID |
| mac | MAC |
| ip | IP |
使用者資訊擴充
針對每個使用者事件,管道會從
principal、src 和 target 中擷取下列 UDM 欄位:
| UDM 欄位 | 指標類型 |
|---|---|
| email_addresses | EMAIL |
| userid | USERNAME |
| windows_sid | WINDOWS_SID |
| employee_id | EMPLOYEE_ID |
| product_object_id | PRODUCT_OBJECT_ID |
管道會針對每個指標執行下列動作:
- 擷取使用者實體清單。舉例來說,
principal.email_address和principal.userid的實體可能相同,也可能不同。 - 系統會按照優先順序,從最高優先順序的指標類型中選擇別名,優先順序如下:
WINDOWS_SID、EMAIL、USERNAME、EMPLOYEE_ID和PRODUCT_OBJECT_ID。 - 系統會填入
noun.user,其中包含有效間隔與事件時間相交的實體。
程序擴增
使用程序擴充功能,將產品專屬程序 ID (product_specific_process_id) 或 PSPI 對應至實際程序,並擷取父項程序的詳細資料。這項程序會使用 EDR 事件批次類型。
對於每個 UDM 事件,管道會從下列欄位擷取 PSPI:
principalsrctargetprincipal.process.parent_processsrc.process.parent_processtarget.process.parent_process
管道會使用程序別名從 PSPI 識別實際程序,並擷取父項程序的相關資訊。然後將這項資料合併至經過擴充的訊息中,對應的 noun.process 欄位。
程序別名 EDR 索引欄位
程序啟動時,系統會收集中繼資料 (例如指令列、檔案雜湊和父項程序詳細資料)。電腦上執行的 EDR 軟體會指派廠商專屬的程序 UUID。
下表列出程序啟動事件期間建立索引的欄位:
| UDM 欄位 | 指標類型 |
|---|---|
| target.product_specific_process_id | PROCESS_ID |
| target.process | 整個程序,而不只是指標 |
除了正規化事件中的 target.process 欄位,Google SecOps 還會收集並建立父項程序資訊的索引。
構件強化
構件擴充功能會新增來自 VirusTotal 的檔案雜湊中繼資料,以及 IP 位址的地理位置資料。針對每個 UDM 事件,管道會從 principal、src 和 target 實體中,擷取並查詢下列構件指標的內容資料:
- IP 位址:只有在資料公開或可路由傳送時,才能查詢資料。
- 檔案雜湊:依下列順序查詢雜湊:
file.sha256file.sha1file.md5process.file.sha256process.file.sha1process.file.md5
管道會使用 UNIX 紀元和事件時間,定義檔案構件查詢的時間範圍。如有地理位置資料,管道會根據地理位置資料的來源,覆寫 principal、src 和 target 實體的下列 UDM 欄位:
artifact.ipartifact.locationartifact.network(僅限資料包含 IP 網路環境時)location(僅限原始資料未包含這個欄位的情況)
如果管道找到檔案雜湊中繼資料,會將該中繼資料新增至檔案或 process.file 欄位,視指標來源而定。如果現有值與新資料不重疊,管道會保留這些值。
IP 地理位置擴充
地理別名會提供外部 IP 位址的地理位置資料。針對 UDM 事件 principal、target 或 src 欄位中的每個未別名化的 IP 位址,系統會建立 ip_geo_artifact 子通訊協定緩衝區,其中包含相關聯的位置和 ASN 資訊。
地理別名不會使用回溯或快取。由於事件數量龐大,Google SecOps 會在記憶體中維護索引。
使用 VirusTotal 檔案中繼資料充實事件內容
Google SecOps 會將檔案雜湊值擴充為 UDM 事件,並在調查期間提供額外背景資訊。雜湊別名會結合所有類型的檔案雜湊,並在搜尋期間提供檔案雜湊的相關資訊,藉此擴充 UDM 事件。
Google SecOps 整合了 VirusTotal 檔案中繼資料和關係擴充功能,可識別惡意活動模式,並追蹤網路中的惡意軟體移動情形。
原始記錄檔提供的檔案資訊有限。VirusTotal 會提供檔案中繼資料,包括惡意雜湊和檔案的詳細資料,藉此擴充事件資訊。中繼資料包含檔案名稱、類型、匯入的函式和標記等資訊。您可以在 UDM 搜尋和偵測引擎中使用 YARA-L,瞭解惡意檔案事件,以及在威脅搜尋期間使用這項資訊。舉例來說,您可以偵測原始檔案的修改內容,並使用檔案中繼資料偵測威脅。
系統會將下列資訊與記錄一併儲存。 如需所有 UDM 欄位的清單,請參閱「整合式資料模型欄位清單」。
| 資料類型 | UDM 欄位 |
|---|---|
| sha-256 | ( principal | target | src | observer ).file.sha256 |
| md5 | ( principal | target | src | observer ).file.md5 |
| sha-1 | ( principal | target | src | observer ).file.sha1 |
| 大小 | ( principal | target | src | observer ).file.size |
| ssdeep | ( principal | target | src | observer ).file.ssdeep |
| vhash | ( principal | target | src | observer ).file.vhash |
| authentihash | ( principal | target | src | observer ).file.authentihash |
| PE 檔案中繼資料 Imphash | ( principal | target | src | observer ).file.pe_file.imphash |
| security_result.threat_verdict | ( principal | target | src | observer ).(process | file).security_result.threat_verdict |
| security_result.severity | ( principal | target | src | observer ).(process | file).security_result.severity |
| last_modification_time | ( principal | target | src | observer ).file.last_modification_time |
| first_seen_time | ( principal | target | src | observer ).file.first_seen_time |
| last_seen_time | ( principal | target | src | observer ).file.last_seen_time |
| last_analysis_time | ( principal | target | src | observer ).file.last_analysis_time |
| exif_info.original_file | ( principal | target | src | observer ).file.exif_info.original_file |
| exif_info.product | ( principal | target | src | observer ).file.exif_info.product |
| exif_info.company | ( principal | target | src | observer ).file.exif_info.company |
| exif_info.file_description | ( principal | target | src | observer ).file.exif_info.file_description |
| signature_info.codesign.id | ( principal | target | src | observer ).file.signature_info.codesign.id |
| signature_info.sigcheck.verfied | ( principal | target | src | observer ).file.signature_info.sigcheck.verified |
| signature_info.sigcheck.verification_message | ( principal | target | src | observer ).file.signature_info.sigcheck.verification_message |
| signature_info.sigcheck.signers.name | ( principal | target | src | observer ).file.signature_info.sigcheck.signers.name |
| signature_info.sigcheck.status | ( principal | target | src | observer ).file.signature_info.sigcheck.signers.status |
| signature_info.sigcheck.valid_usage | ( principal | target | src | observer ).file.signature_info.sigcheck.signers.valid_usage |
| signature_info.sigcheck.cert_issuer | ( principal | target | src | observer ).file.signature_info.sigcheck.signers.cert_issuer |
| file_type | ( principal | target | src | observer ).file.file_type |
後續步驟
如要瞭解如何搭配使用強化資料和其他 Google SecOps 功能,請參閱下列文章:
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。