Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Menggunakan Grafik Konteks Entity (ECG)

Didukung di:

Google SecOps SIEM

Dokumen ini memberikan ringkasan Entity Context Graph (ECG), yang mencakup sumber data, pipeline pemrosesan, dan aplikasinya dalam aturan dan penelusuran. ECG adalah model data entitas inti yang memberikan konteks penting untuk deteksi, investigasi, dan perburuan ancaman tingkat lanjut dalam aturan deteksi, penelusuran, dan dasbor. Pipeline pemrosesan EKG (menggabungkan) informasi kontekstual dari setiap lingkungan Google SecOps.

ECG juga menghitung metrik ringkasan untuk entity. Hal ini mencakup prevalensi (seberapa sering entity tertentu muncul dalam data UDM Anda dibandingkan dengan entity lain), dan first-seen-time serta last-seen-time entity. Platform ini juga mengidentifikasi sumber pengayaan utama dan sumber indikator kompromi (IOC) seperti Google Threat Intelligence (GTI), Safe Browsing, WHOIS, dan data VirusTotal.

ECG menggunakan peristiwa UDM untuk melakukan hal berikut:

Membangun tampilan yang diperkaya, berkorelasi, dan komprehensif dari entitas internal (aset dan pengguna) dan entitas eksternal (IOC).
Identifikasi hubungan antara entitas ini.

Sumber data untuk EKG

Pipeline EKG menggabungkan data dari sumber berikut:

Sumber konteks	Sumber	Deskripsi
Konteks entitas	Disediakan pelanggan	Google SecOps secara langsung menyerap data organisasi terstruktur, seperti detail resmi tentang pengguna dan aset, dari sistem eksternal. Sumber ini mencakup Penyedia Identitas (IDP), sistem Configuration Management Database (CMDB) (seperti ServiceNow CMDB, Duo User Context), dan sistem pengelolaan kerentanan.
Konteks turunan	Dibuat oleh Google SecOps	Google SecOps menghasilkan data statistik berdasarkan analisis aktivitas yang di-ingest. Fitur ini memperkaya peristiwa dan entitas dari berbagai sumber dalam lingkungan Anda (misalnya, Windows AD, Azure AD, Okta, Google Cloud, IAM). Contoh: Menghitung dan memperkaya setiap entity dengan statistik prevalensi yang menunjukkan popularitasnya di lingkungan. Menghitung dan memperkaya waktu pertama kali terlihat dan waktu terakhir kali terlihat entitas.
Konteks global	Bersumber dari Google	Sumber global menyediakan data reputasi dan threat intelligence internal dan eksternal. Contoh: Menyerap dan menyimpan data Google Threat Intelligence. Memperkaya entitas dengan informasi dari daftar ancaman Safe Browsing. Memperkaya entity dengan data WHOIS.

Pipeline pemrosesan data EKG

Pipeline pemrosesan data EKG membangun profil yang kaya dan tepercaya untuk setiap entitas. Hal ini dilakukan dengan menggabungkan konteks dari beberapa asal (seperti penyedia identitas, Database Pengelolaan Konfigurasi (CMDB), feed intelijen ancaman, dan konteks turunan) ke dalam satu profil entitas gabungan. Penggabungan EKG memungkinkan hal berikut:

Menambahkan koneksi, properti, dan hubungan baru ke ECG.
Membuat dan memperbarui konteks turunan.

Proses keseluruhan melibatkan penormalan peristiwa keamanan mentah ke dalam struktur UDM menggunakan pengalihan nama dan pengayaan UDM, lalu menggabungkan data peristiwa ini dengan berbagai sumber kontekstual untuk membangun profil entitas yang kaya.

Penggabungan ECG dan pembuatan alias UDM

Pertama, pipeline penggabungan dan pengayaan UDM menyerap peristiwa keamanan mentah dan menormalisasinya ke dalam struktur UDM.

Entitas berwaktu dan abadi

ECG membuat entitas berwaktu (temporal) dan tidak berwaktu (non-temporal). Entitas berjangka waktu dievaluasi dalam aturan dan rentang waktu penelusuran yang ditentukan. Entitas abadi dievaluasi tanpa mempertimbangkan rentang waktu penelusuran atau aturan.

Kunci gabungan EKG

ECG menggabungkan rekaman konteks dengan mencocokkan ID kunci umum di berbagai sumber data. Contoh pengidentifikasi ini meliputi hostname, MAC address, user ID, atau email address. ECG menggabungkan catatan yang cocok di seluruh nilai ini untuk membangun satu tampilan entity yang komprehensif dan kaya.

Penyatuan EKG menggunakan kolom UDM berikut sebagai kunci penggabungan:

Asset
- entity.asset.product_object_id
- entity.asset.hostname
- entity.asset.asset_id
- entity.asset.mac
User
- entity.user.product_object_id
- entity.user.userid
- entity.user.windows_sid
- entity.user.email_addresses
- entity.user.employee_id
Resource
- entity.resource.product_object_id
- entity.resource.name
Group
- entity.group.product_object_id
- entity.group.email_addresses
- entity.group.windows_sid

Menggabungkan jenis entitas tertentu (File, URL, Domain)

Selain merge-keys, ECG menggabungkan konteks untuk jenis entitas tertentu (File, URL, dan Domain) menggunakan ID unik berikut:

File
- entity.file.md5
- entity.file.sha1
- entity.file.sha256
- (dan entity.file.product_object_id jika diberikan)
URL
- entity.url.url
- (dan entity.url.product_object_id jika diberikan)
Domain
- entity.domain.domain
- (dan entity.domain.product_object_id jika diberikan)

ECG hanya menggabungkan rekaman konteks entitas untuk File, URL, atau Domain dengan rekaman lain jika semua ID unik yang ada di kedua rekaman cocok.

Misalnya, jika EKG mempertimbangkan dua konteks entity File untuk penggabungan:

Jika keduanya memiliki hash md5, EKG mengharuskan keduanya cocok.
Jika salah satunya memiliki md5 dan yang lainnya memiliki sha256, EKG tidak akan menggabungkannya berdasarkan hash.
Jika product_object_id diberikan, EKG juga harus cocok jika ada dalam kedua catatan yang dibandingkan, selain ID berbasis konten (seperti md5, url, atau domain).

Artinya, untuk jenis ini, kolom seperti entity.file.md5, entity.url.url, dan entity.domain.domain harus ada dan cocok untuk proses penggabungan, selain product_object_id yang diberikan.

Penyelesaian konflik

Selama proses penggabungan, jika kolom memiliki nilai yang bertentangan, ECG akan memperbarui entitas dengan memilih nilai dengan waktu mulai terbaru. Saat EKG memperbarui atribut entitas dengan nilai baru, EKG akan mempertahankan nilai sebelumnya dalam hasil penelusuran untuk interval waktu selama nilai sebelumnya valid. Akibatnya, kueri penelusuran yang mencakup jangka waktu saat atribut berubah dapat menampilkan beberapa konteks entity untuk entity tersebut.

Penghapusan duplikat dan interval waktu

Untuk membuat entity gabungan umum, ECG menghilangkan data yang berlebihan melalui penghapusan duplikat. Duplikat diidentifikasi dengan mencocokkan semua ID unik yang relevan untuk suatu entitas di berbagai sumber konteks. Fitur ini menghasilkan interval waktu, bukan mencocokkan stempel waktu yang persis.

Misalnya, pertimbangkan dua entity e1 dan e2 dengan stempel waktu t1 dan t2. Jika e1 dan e2 identik, EKG akan menghapus duplikatnya dengan mengabaikan perbedaan stempel waktu di kolom berikut:

collected_timestamp
creation_timestamp
interval

Periode lihat balik

EKG membuat data berkonteks entity dengan periode lihat kembali lima hari. Proses ini membantu menangani data yang terlambat tiba dan menetapkan waktu aktif implisit untuk data konteks entitas.

ECG membedakan antara data kontekstual (assets, users, resources, groups) dan indikator penyusupan (IOC).

Contoh: Menggabungkan data pengguna dengan penggabungan EKG

Misalnya, Google SecOps menyerap data pengguna untuk jdoe dari tiga sumber: Okta, Azure AD, dan pemindai kerentanan. ECG menggabungkan ketiga catatan ini berdasarkan ID yang cocok (seperti jdoe@example.com). Hal ini akan membuat satu entity pengguna jdoe yang terpadu di ECG, yang berisi atribut dari ketiga sumber.

Sumber data EKG konteks peristiwa dan entitas penting

Google SecOps memerlukan beberapa sumber data tertentu untuk membuat dan memperbarui entitas.

Sumber data EKG konteks entitas penting

Sumber data tepercaya untuk pengguna dan aset lingkungan Anda menyediakan data log yang paling penting untuk membangun model data entitas. Contoh:

Kategori	Sumber data penting	Entitas yang diisi
Pengelolaan akses dan identitas	Active Directory, Azure AD, Okta, Google Cloud Identity	`user`, `group`
Inventaris aset	CMDB, JAMF, Microsoft Intune	`asset`
Threat intelligence	Feed kustom atau pihak ketiga, Google Threat Intelligence (GTI)	`ip_address`, `domain_name`, `file`

Contoh penelusuran

Untuk mencantumkan parser yang mendukung setiap kategori:

Buka Jenis log yang didukung dengan parser default.
Ketik kategori di kotak penelusuran, misalnya:
- Untuk parser yang relevan dengan inventaris aset, ketik inventory atau asset.
- Untuk parser yang relevan dengan pengelolaan identitas dan akses, ketik identity.
- Untuk parser yang relevan dengan intelijen ancaman, ketik IOC.

Sumber data dan kolom UDM penting untuk pembuatan profil entitas

Google SecOps meningkatkan kualitas profil entitas berdasarkan sumber data konteks entitas tepercaya dan kolom UDM penting:

Jenis Entitas	Sumber data	Kolom UDM penting (untuk pembuatan alias dan pengindeksan)
Proses	Log Endpoint menyediakan PSPI (`principal.process.product_specific_process_id`), ID stabil yang penting untuk aliasing proses yang andal. Contohnya mencakup CrowdStrike EDR (CS_EDR) dan Windows Sysmon (WINDOWS_SYSMON).	`source.process.product_specific_process_id`
User	Sumber ini menyediakan atribut pengguna dan informasi identitas. Misalnya, data konteks Entitas Duo (DUO_CONTEXT) dan Okta (OKTA).	`source.user.userid`, `source.user.email_address`, `source.user.windows_sid`, `source.user.product_object_id`
Aset atau Endpoint	Sumber ini memberikan informasi aset yang kredibel. Misalnya, ServiceNow CMDB (SERVICENOW_CMDB) dan Tanium Asset (TANIUM_ASSET).	`source.ip`, `source.hostname`, `source.asset_id`, `principal.asset.hostname`
Hash file	Menyediakan "sidik jari digital" unik dari konten data untuk memverifikasi integritas data.	`source.file.sha256`, `source.file.sha1`, `source.file.md5`

Kolom UDM data konteks peristiwa penting

Google SecOps memerlukan beberapa kolom UDM data konteks peristiwa penting.

Kolom UDM yang paling penting berfungsi sebagai pengidentifikasi yang stabil dan indikator hubungan (kolom principal.*, target.*, src_*, dan dst_*).
Lihat daftar kolom UDM utama yang termasuk dalam area fitur Entity graph.

Untuk membangun EKG yang komprehensif, prioritaskan sumber data yang memberikan data hubungan dan ID bernilai tinggi. Contoh:

Jenis entitas	Sumber data penting	Kolom UDM penting untuk pembuatan entity
Aset (host)	EDR dan XDR, DNS dan DHCP, Firewall, Google Cloud Log Audit konsol	`metadata.event_type`, `principal.asset.asset_id`, `principal.asset.hostname`, `principal.ip`
User	Log Penyedia Identitas (IdP), Feed HR (konteks), Log Cloud Identity, Email Gateway	`principal.user.userid`, `principal.user.email_addresses`, `target.user.userid`, `principal.ip`
Network	Firewall, VPN, DNS, Log Aliran VPC	`principal.ip`, `target.ip`, `src_ip`, `dst_ip`, `network.direction`
File dan proses	EDR dan XDR, Log Aplikasi	`target.file.full_path`, `target.process.file.full_path`, `target.process.command_line`

Contoh

ECG mengandalkan kolom UDM ini untuk menggabungkan data konteks entitas dan data peristiwa UDM dalam aturan, penelusuran, dan dasbor.

Misalnya, Anda dapat menggabungkan data konteks pengguna dalam aturan pemantauan "brute force" agar hanya memberikan pemberitahuan jika pengguna yang terlibat juga merupakan bagian dari grup "Admin Domain" dan aset yang terlibat adalah pengontrol domain:

events:
  $fail.metadata.event_type = "USER_LOGIN"
  $fail.metadata.vendor_name = "Microsoft"
  $fail.principal.hostname = $hostname
  $fail.target.user.userid = $target_user
  $fail.security_result.action = "BLOCK"
  $fail.metadata.product_event_type = "4625"
 
  $fail.metadata.event_timestamp.seconds < $success.metadata.event_timestamp.seconds
 
  $success.metadata.event_type = "USER_LOGIN"
  $success.metadata.vendor_name = "Microsoft"
  $success.target.user.userid = $target_user
  $success.principal.hostname = $hostname
  $success.security_result.action = "ALLOW"
  $success.metadata.product_event_type = "4624"
  $user.graph.entity.user.userid = $target_user
  $user.graph.metadata.entity_type = "USER"
  $user.graph.metadata.source_type = "ENTITY_CONTEXT"
  any $user.graph.relations.entity.group.group_display_name = "Domain Admins"

  $asset.graph.entity.asset.hostname = $hostname
  $asset.graph.metadata.entity_type = "ASSET"
  $asset.graph.metadata.source_type = "ENTITY_CONTEXT"
  any $asset.graph.relations.entity.group.group_display_name = "Domain Controllers"
 
match:
  $target_user, $hostname over 15m
condition:
  #fail > 4 and $success and $user and $asset

Peningkatan kualitas konteks turunan

Google SecOps menghasilkan data inferensi dinamis yang didorong peristiwa untuk setiap entitas di semua namespace dari data peristiwa organisasi Anda. Fitur ini menggunakan informasi alias, data dari proses pengayaan internal, dan data peristiwa keamanan untuk membuat hubungan (misalnya, asset yang dikaitkan dengan IP address).

Proses ini menambahkan konteks berharga untuk meningkatkan kualitas profil entitas. Contohnya termasuk menambahkan:

entity.file.sha256 hingga file (hash) entitas
(principal or target).ip_geo_artifact.location.country_or_region ke network (geolocation) entitas

Google SecOps menganalisis beberapa indikator dalam aktivitas yang di-ingest untuk memperkaya peristiwa dengan informasi konteks. Fungsi ini menjalankan fungsi pengayaan penting untuk menghasilkan, misalnya, metrik kelangkaan entitas seperti statistik prevalensi dan metrik temporal seperti first-seen-time dan last-seen-time.

Statistik prevalensi

Pipeline EKG menganalisis data yang ada dan masuk untuk menghitung serta menyimpan metrik prevalensi sebagai kolom konteks turunan. Metrik ini menampilkan nilai "popularitas" numerik untuk entity seperti domain, file hash, atau IP address dalam lingkungan Anda. Hal ini membantu Anda mengidentifikasi aktivitas langka atau tidak biasa, karena entitas yang lebih populer umumnya menimbulkan lebih sedikit risiko.

Google SecOps memperbarui statistik ini secara rutin dan menyimpannya dalam konteks entitas terpisah. Mesin deteksi dapat menggunakan nilai ini, dan Anda dapat menelusurinya menggunakan sintaksis kueri UDM. Namun, Konsol tidak menampilkan nilai ini dengan detail entitas lainnya.

Anda dapat menggunakan kolom berikut saat membuat aturan mesin deteksi.

Jenis entitas	Kolom UDM
Domain	`entity.domain.prevalence.day_count` `entity.domain.prevalence.day_max` `entity.domain.prevalence.day_max_sub_domains` `entity.domain.prevalence.rolling_max` `entity.domain.prevalence.rolling_max_sub_domains`
File (Hash)	`entity.file.prevalence.day_count` `entity.file.prevalence.day_max` `entity.file.prevalence.rolling_max`
Alamat IP	`entity.artifact.prevalence.day_count` `entity.artifact.prevalence.day_max` `entity.artifact.prevalence.rolling_max`

Google SecOps menghitung nilai day_max dan rolling_max secara berbeda, sebagai berikut:

day_max mewakili skor prevalensi maksimum untuk artefak selama hari tersebut (satu hari ditentukan sebagai 00.00.00 hingga 23.59.59 UTC).
rolling_max mewakili skor prevalensi per hari maksimum (yaitu, day_max) untuk artefak selama periode 10 hari sebelumnya.
day_count digunakan untuk menghitung rolling_max, dan nilainya selalu 10.

Saat nilai ini dihitung untuk domain, perbedaan antara day_max dan day_max_sub_domains (serta rolling_max versus rolling_max_sub_domains) adalah sebagai berikut:

rolling_max dan day_max menunjukkan jumlah alamat IP internal unik harian yang mengakses domain tertentu (tidak termasuk subdomain).
rolling_max_sub_domains dan day_max_sub_domains merepresentasikan jumlah alamat IP internal unik yang mengakses domain tertentu (termasuk subdomain).

Google SecOps menghitung statistik prevalensi menggunakan data entitas yang baru di-ingest. Google SecOps tidak melakukan penghitungan secara retroaktif pada data yang sebelumnya di-ingest. Perlu waktu sekitar 36 jam bagi Google SecOps untuk menghitung dan menyimpan statistik.

Contoh

Pipeline EKG memerlukan kolom UDM ini untuk menggabungkan data konteks yang relevan ke dalam aturan atau penelusuran. Anda harus secara eksplisit menggabungkan semua data terkait EKG ke data peristiwa UDM.

Misalnya, Anda dapat menggunakan data prevalence di EKG untuk menentukan koneksi ke domain "langka" dalam log keamanan Anda:

    $dns.metadata.event_type = "NETWORK_DNS"
    $dns.network.dns.questions.name != ""
    $dns.network.dns.questions.name = $domain
    $prevalence.graph.metadata.entity_type = "DOMAIN_NAME"
    $prevalence.graph.metadata.source_type = "DERIVED_CONTEXT"
    $prevalence.graph.entity.hostname = $domain
    $prevalence.graph.entity.domain.prevalence.day_count = 10
    $prevalence.graph.entity.domain.prevalence.rolling_max > 0
    $prevalence.graph.entity.domain.prevalence.rolling_max <= 3

  match:
    $domain over 5m
  condition:
    $dns and $prevalence

Waktu pertama dan terakhir kali entitas terlihat

Google SecOps menganalisis data yang masuk untuk memperkaya rekaman konteks entitas dengan kolom penting berikut:

first-seen-time: Tanggal dan waktu saat entitas pertama kali terlihat di lingkungan Anda.
last-seen-time: Tanggal dan waktu pengamatan terbaru.

Kolom turunan ini memungkinkan Anda mengorelasikan aktivitas di seluruh entitas domain, file hash, asset, user, atau IP address.

Nilai ini disimpan di kolom UDM berikut:

Jenis entitas	Kolom UDM
Domain	`entity.domain.first_seen_time` `entity.domain.last_seen_time`
File (hash)	`entity.file.first_seen_time` `entity.file.last_seen_time`
Alamat IP	`entity.artifact.first_seen_time` `entity.artifact.last_seen_time`
Aset	`entity.asset.first_seen_time`
Pengguna	`entity.user.first_seen_time`

Pengecualian untuk penghitungan waktu pertama kali terlihat dan waktu terakhir kali terlihat:

Untuk entitas asset dan user, Google SecOps hanya mengisi kolom first_seen_time, tetapi tidak mengisi kolom last_seen_time.
Google SecOps tidak menghitung statistik untuk setiap entitas dalam namespace individual.
Google SecOps tidak mengekspor statistik ini ke skema Google SecOps events di BigQuery.
Google SecOps tidak menghitung nilai ini untuk jenis entitas lain, seperti group atau resource.

Peningkatan konteks global

Sumber ini mencakup data reputasi dan threat intelligence eksternal dari sumber global internal dan pihak ketiga.

Menyerap data Google Threat Intelligence

Google SecOps menyerap data dari sumber data Google Threat Intelligence (GTI), yang memberikan informasi kontekstual untuk menyelidiki aktivitas di lingkungan Anda.

Buat kueri sumber data berikut:

Node Keluar Tor GTI: Alamat IP yang diketahui sebagai node keluar Tor.
Biner Tidak Berbahaya GTI: File yang merupakan bagian dari distribusi sistem operasi asli atau diperbarui oleh patch sistem operasi resmi. Beberapa biner sistem operasi resmi yang telah disalahgunakan oleh musuh melalui aktivitas umum dalam serangan living-off-the-land dikecualikan dari sumber data ini, seperti yang berfokus pada vektor entri awal.
Alat Akses Jarak Jauh GTI: File yang sering digunakan oleh pelaku kejahatan. Alat ini umumnya merupakan aplikasi yang sah yang terkadang disalahgunakan untuk terhubung dari jarak jauh ke sistem yang telah dibobol.

Data kontekstual disimpan secara global sebagai entity. Anda dapat mengkueri data menggunakan aturan mesin deteksi. Sertakan kolom dan nilai UDM berikut dalam aturan untuk membuat kueri entitas global ini:

graph.metadata.vendor_name = Google Threat Intelligence
graph.metadata.product_name = GTI Feed

Sumber data Google Threat Intelligence yang memiliki batas waktu versus yang tidak memiliki batas waktu

Sumber data Google Threat Intelligence mencakup jenis berjangka waktu atau abadi.

Setiap entri di sumber data berjangka waktu memiliki rentang waktu terkait. Misalnya, jika Google SecOps menghasilkan deteksi pada hari ke-1, deteksi yang sama diharapkan dihasilkan untuk hari ke-1 selama perburuan retro pada hari mendatang.

Sumber data abadi tidak memiliki rentang waktu terkait, karena hanya set data terbaru yang perlu dipertimbangkan. Sumber data ini biasanya digunakan untuk data yang tidak diharapkan berubah, seperti hash file. Jika Google SecOps tidak menghasilkan deteksi pada hari ke-1, deteksi mungkin masih dihasilkan untuk hari ke-1 selama retrohunt pada hari ke-2 jika entri baru ditambahkan ke sumber data abadi.

Data tentang alamat IP node keluar Tor

Google SecOps menyerap dan menyimpan alamat IP yang merupakan node keluar Tor yang diketahui. Node keluar Tor adalah titik tempat traffic keluar dari jaringan Tor. Data ini berjangka waktu.

Google SecOps menyimpan informasi yang diserap dari sumber data ini di kolom UDM berikut:

Kolom UDM	Deskripsi
`<variable_name>.graph.metadata.vendor_name`	Menyimpan nilai `Google Threat Intelligence`.
`<variable_name>.graph.metadata.product_name`	Menyimpan nilai `GTI Feed`.
`<variable_name>.graph.metadata.threat.threat_feed_name`	Menyimpan nilai `Tor Exit Nodes`.
`<variable_name>.graph.entity.artifact.ip`	Menyimpan alamat IP yang diserap dari sumber data GTI.

Contoh penelusuran

graph.metadata.source_type ="GLOBAL_CONTEXT"
graph.metadata.product_name = "GTI Feed"
graph.metadata.threat.threat_feed_name = "Tor Exit Nodes"

Data tentang file sistem operasi yang tidak berbahaya

Google SecOps menyerap dan menyimpan hash file dari sumber data Biner Aman GTI. Google SecOps menyimpan informasi yang diserap dari sumber data ini di kolom UDM berikut. Data biner tidak berbahaya tidak lekang oleh waktu.

Kolom UDM	Deskripsi
`<variable_name>.graph.metadata.vendor_name`	Menyimpan nilai `Google Threat Intelligence`.
`<variable_name>.graph.metadata.product_name`	Menyimpan nilai `GTI Feed`.
`<variable_name>.graph.metadata.threat.threat_feed_name`	Menyimpan nilai `Benign Binaries`.
`<variable_name>.graph.entity.file.sha256`	Menyimpan nilai hash SHA256 file.
`<variable_name>.graph.entity.file.sha1`	Menyimpan nilai hash SHA-1 file.
`<variable_name>.graph.entity.file.md5`	Menyimpan nilai hash MD5 file.

Contoh penelusuran

graph.metadata.source_type ="GLOBAL_CONTEXT"
graph.metadata.product_name = "GTI Feed"
graph.metadata.threat.threat_feed_name = "Benign Binaries"

Data tentang alat akses jarak jauh

Alat akses jarak jauh mencakup hash file untuk alat akses jarak jauh yang diketahui seperti klien VNC yang sering digunakan oleh pelaku berbahaya. Alat ini umumnya merupakan aplikasi sah yang terkadang disalahgunakan untuk terhubung ke sistem yang terkompromi dari jarak jauh. Google SecOps menyimpan informasi yang diserap dari sumber data ini di kolom UDM berikut. Data alat akses jarak jauh tidak memiliki batas waktu.

Kolom UDM	Deskripsi
`<variable_name>.graph.metadata.vendor_name`	Menyimpan nilai `Google Threat Intelligence`.
`<variable_name>.graph.metadata.product_name`	Menyimpan nilai `GTI Feed`.
`<variable_name>.graph.metadata.threat.threat_feed_name`	Menyimpan nilai `Remote Access Tools`.
`<variable_name>.graph.entity.file.sha256`	Menyimpan nilai hash SHA256 file.
`<variable_name>.graph.entity.file.sha1`	Menyimpan nilai hash SHA-1 file.
`<variable_name>.graph.entity.file.md5`	Menyimpan nilai hash MD5 file.

Contoh penelusuran

graph.metadata.source_type ="GLOBAL_CONTEXT"
graph.metadata.product_name = "GTI Feed"
graph.metadata.threat.threat_feed_name = "Remote Access Tools"

Memperkaya entitas dengan informasi dari daftar ancaman Safe Browsing

Google SecOps menyerap data dari Safe Browsing yang terkait dengan hash file. Google SecOps menyimpan data untuk setiap file sebagai entitas dan memberikan konteks tambahan tentang file tersebut. Anda dapat membuat aturan mesin deteksi yang membuat kueri data konteks entitas ini untuk membangun analisis yang sadar konteks.

Google SecOps menyimpan informasi berikut dengan catatan konteks entity.

Kolom UDM	Deskripsi
`entity.metadata.product_entity_id`	ID unik untuk entitas.
`entity.metadata.entity_type`	Nilai ini adalah `FILE`, yang menunjukkan bahwa entity menjelaskan file.
`entity.metadata.collected_timestamp`	Tanggal dan waktu entitas diamati atau peristiwa terjadi.
`entity.metadata.interval`	Menyimpan waktu mulai dan waktu berakhir yang valid untuk data ini. Karena konten daftar ancaman berubah dari waktu ke waktu, `start_time` dan `end_time` mencerminkan interval waktu selama data tentang entitas tersebut valid. Misalnya, hash file diamati berbahaya atau mencurigakan antara `start_time` dan `end_time`.
`entity.metadata.threat.category`	`SecurityCategory` Google SecOps ditetapkan ke satu atau beberapa nilai berikut: `SOFTWARE_MALICIOUS`: menunjukkan bahwa ancaman terkait dengan malware. `SOFTWARE_PUA`: menunjukkan bahwa ancaman terkait dengan software yang tidak diinginkan.
`entity.metadata.threat.severity`	Ini adalah `ProductSeverity` Google SecOps. Jika nilainya `CRITICAL`, ini menunjukkan bahwa artefak tersebut tampak berbahaya. Jika nilai tidak ditentukan, tidak ada cukup keyakinan untuk menunjukkan bahwa artefak tersebut berbahaya.
`entity.metadata.product_name`	Menyimpan nilai `Google Safe Browsing`.
`entity.file.sha256`	Nilai hash SHA256 untuk file.

Contoh aturan

events:
    // find a process launch event, match on hostname
    $execution.metadata.event_type = "PROCESS_LAUNCH"
    $execution.target.process.file.sha256 != ""
    $execution.principal.hostname = $hostname

    // join execution event with Safe Browsing graph
    $sb.graph.entity.file.sha256 = $execution.target.process.file.sha256

    // look for files deemed malicious
    $sb.graph.metadata.entity_type = "FILE"
    $sb.graph.metadata.threat.severity = "CRITICAL"
    $sb.graph.metadata.product_name = "Google Safe Browsing"

  match:
    $hostname over 5m

  condition:
    $execution and $sb

Memperkaya entitas dengan data WHOIS

Google SecOps melakukan pelengkapan data WHOIS harian, sebuah fungsi penting, menggunakan data yang berjangka waktu dan abadi.

Selama penyerapan data perangkat, Google SecOps mengevaluasi domain berdasarkan data WHOIS. Jika domain cocok, Google SecOps akan menyimpan data WHOIS terkait dalam catatan entitas domain. Untuk setiap entitas dengan entity.metadata.entity_type = DOMAIN_NAME, Google SecOps memperkaya data dengan informasi WHOIS.

Google SecOps mengisi catatan entitas dengan data WHOIS yang telah di-enrich di kolom berikut:

entity.domain.admin.attribute.labels
entity.domain.audit_update_time
entity.domain.billing.attribute.labels
entity.domain.billing.office_address.country_or_region
entity.domain.contact_email
entity.domain.creation_time
entity.domain.expiration_time
entity.domain.iana_registrar_id
entity.domain.name_server
entity.domain.private_registration
entity.domain.registrant.company_name
entity.domain.registrant.office_address.state
entity.domain.registrant.office_address.country_or_region
entity.domain.registrant.email_addresses
entity.domain.registrant.user_display_name
entity.domain.registrar
entity.domain.registry_data_raw_text
entity.domain.status
entity.domain.tech.attribute.labels
entity.domain.update_time
entity.domain.whois_record_raw_text
entity.domain.whois_server
entity.domain.zone

Google SecOps memperkaya entitas domain (entity.metadata.entity_type = "DOMAIN_NAME") dengan data registrant, creation, dan expiration time dari catatan WHOIS global context.

Untuk mengetahui deskripsi kolom ini, lihat dokumen daftar kolom Model Data Terpadu.

Contoh penelusuran

graph.metadata.source_type ="GLOBAL_CONTEXT"
graph.metadata.product_name = "WHOISXMLAPI Simple Whois"
graph.entity.domain.registry_data_raw_text != b""

Praktik terbaik: Mengidentifikasi sumber data yang diperkaya dengan konteks global

Untuk meningkatkan performa aturan, sertakan filter dalam aturan yang menggunakan data dari Sumber pengayaan konteks global. Filter ini harus mengidentifikasi jenis atau sumber pengayaan tertentu.

Parameter filter berikut mengidentifikasi jenis atau sumber pengayaan: entity_type, product_name, dan vendor_name.

Misalnya, sertakan kolom filter berikut di bagian events aturan yang menggabungkan data WHOIS:

$enrichment.graph.metadata.entity_type = "DOMAIN_NAME"
$enrichment.graph.metadata.product_name = "WHOISXMLAPI Simple Whois"
$enrichment.graph.metadata.vendor_name = "WHOIS"

Praktik terbaik ECG

Saat menggunakan data yang diperkaya secara kontekstual, pertimbangkan praktik terbaik ECG berikut:

Jangan menambahkan interval ke data entitas; biarkan pipeline EKG membuatnya. Google SecOps menghasilkan interval selama penghapusan duplikat, kecuali jika ditentukan lain.
Jika Anda menentukan interval, Google SecOps hanya akan menghapus duplikat peristiwa yang identik dan mempertahankan entitas terbaru.
Untuk memastikan aturan aktif dan retrohunt berfungsi seperti yang diharapkan, Anda harus menyerap entitas setidaknya sekali sehari.
Jika Anda tidak menyerap entitas setiap hari, tetapi hanya sekali setiap dua hari atau lebih, aturan aktif mungkin masih berfungsi seperti yang diharapkan. Namun, retrohunt mungkin kehilangan beberapa konteks peristiwa.
Jika Anda menyerap entitas identik lebih dari sekali sehari, Google SecOps akan menghapus duplikatnya menjadi satu entitas.
Jika data peristiwa tidak ada selama satu hari, Google SecOps akan menggunakan data dari hari sebelumnya untuk sementara guna memastikan aturan aktif berfungsi dengan benar.

Untuk mengetahui detail tentang batas layanan Google SecOps umum, lihat Batas layanan.

Konten eksternal terkait

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.