使用實體背景資訊圖 (ECG)

支援的國家/地區:

本文將概略介紹實體內容圖 (ECG),包括資料來源、處理管道,以及在規則和搜尋中的應用。ECG 是核心實體資料模型,可在偵測規則、搜尋和資訊主頁中,提供進階威脅偵測、調查和威脅搜尋作業所需的重要背景資訊。心電圖處理管道會合併各個 Google SecOps 環境的脈絡資訊。

ECG 也會計算實體的摘要指標。包括普及度 (特定實體在 UDM 資料中出現的頻率與其他實體相比),以及實體的 first-seen-timelast-seen-time。此外,這項服務還會找出重要的擴充來源和入侵指標 (IOC) 來源,例如 Google Threat Intelligence (GTI)、安全瀏覽、WHOIS 和 VirusTotal 資料。

心電圖會使用 UDM 事件執行下列操作:

  • 建構內部實體 (資產和使用者) 和外部實體 (IOC) 的豐富、相互關聯且全面的檢視畫面。
  • 找出這些實體之間的關係。

心電圖的資料來源

心電圖管道會整合下列來源的資料:

內容來源 來源 說明
實體背景資訊 客戶提供 Google SecOps 會直接從外部系統擷取結構化機構資料,例如使用者和資產的權威詳細資料。這些來源包括身分識別提供者 (IDP)、設定管理資料庫 (CMDB) 系統 (例如 ServiceNow CMDB、Duo User Context) 和安全漏洞管理系統。
衍生情境 Google SecOps 生成 Google SecOps 會根據擷取的活動分析結果產生統計資料。這項服務會擴增您環境中各種來源的事件和實體 (例如 Windows AD、Azure AD、Okta、 Google Cloud、IAM)。
例如:
全球環境 Google 來源 全球來源提供內部和外部威脅情報與信譽資料。
例如:

心電圖資料處理管道

心電圖資料處理管道會為每個實體建立豐富且具權威性的設定檔。 具體做法是將多個來源的脈絡 (例如身分識別提供者、設定管理資料庫 (CMDB)、威脅情報動態消息和衍生脈絡) 合併為單一整合實體設定檔。心電圖合併功能可執行下列操作:

  • 在 ECG 中新增連結、屬性和關係。
  • 建立及更新衍生脈絡。

整個程序首先會使用 UDM 別名和擴充功能,將原始安全事件正規化為 UDM 結構,然後將這項事件資料與各種脈絡來源合併,建構豐富的實體設定檔。

UDM 別名和 ECG 合併

首先,UDM 別名和擴充管道會擷取原始安全事件,並將其正規化為 UDM 結構。

有時間限制和無時間限制的實體

ECG 會建構有時間性 (時間) 和無時間性 (非時間) 的實體。系統會在指定規則和搜尋時間範圍內評估「時間」實體。不限時間的實體評估時,不會考量搜尋或規則的時間範圍。

ECG 合併鍵

ECG 會比對不同資料來源的通用鍵 ID,合併內容記錄。這類 ID 的範例包括 hostnameMAC addressuser IDemail address。 ECG 會合併符合上述任一值的記錄,建立實體的全面強化檢視畫面。

ECG 別名會使用下列 UDM 欄位做為合併鍵

  • Asset
    • entity.asset.product_object_id
    • entity.asset.hostname
    • entity.asset.asset_id
    • entity.asset.mac
  • User
    • entity.user.product_object_id
    • entity.user.userid
    • entity.user.windows_sid
    • entity.user.email_addresses
    • entity.user.employee_id
  • Resource
    • entity.resource.product_object_id
    • entity.resource.name
  • Group
    • entity.group.product_object_id
    • entity.group.email_addresses
    • entity.group.windows_sid

合併特定實體類型 (檔案、網址、網域)

除了 merge-keys 之外,ECG 還會使用下列專屬 ID 合併特定實體類型 (檔案、網址和網域) 的內容:

  • File

    • entity.file.md5
    • entity.file.sha1
    • entity.file.sha256
    • (和 entity.file.product_object_id 如有提供)

  • URL

    • entity.url.url
    • (和 entity.url.product_object_id 如有提供)

  • Domain

    • entity.domain.domain
    • (和 entity.domain.product_object_id 如有提供)

只有當兩個記錄中所有專屬 ID 都相符時,ECG 才會將 FileURLDomain 的實體內容記錄與其他記錄合併。

舉例來說,如果 ECG 考慮合併兩個 File 實體內容:

  • 如果兩者都有 md5 雜湊值,ECG 會要求兩者相符。
  • 如果其中一個有 md5,另一個有 sha256,心電圖不會根據雜湊值合併。
  • 如果提供 product_object_id,且比較的兩筆記錄中都有心電圖,則心電圖也必須與 product_object_id 相符,此外還須符合內容型 ID (例如 md5urldomain)。

也就是說,除了提供的 product_object_id 之外,這些類型的 entity.file.md5entity.url.urlentity.domain.domain 等欄位也必須存在且相符,才能進行合併程序。

解決衝突

在合併過程中,如果欄位的值有衝突,ECG 會選取開始時間最新的值,藉此更新實體。當 ECG 使用新值更新實體屬性時,系統會在先前值有效的時間間隔內,保留搜尋結果中的先前值。因此,如果搜尋查詢涵蓋屬性變更的時間範圍,該實體可能會傳回多個實體內容。

重複項目和時間間隔

為建立常見的合併實體,ECG 會透過重複資料刪除功能,移除多餘資料。系統會比對不同情境來源中實體所有相關的專屬 ID,找出重複項目。系統會生成時間間隔,而非比對確切的時間戳記。

舉例來說,假設有兩個實體 e1e2,時間戳記分別為 t1t2。如果 e1e2 完全相同,ECG 會忽略下列欄位中的時間戳記差異,藉此將兩者重複資料刪除:

  • collected_timestamp
  • creation_timestamp
  • interval

回溯期

心電圖會建立實體內容資料,回溯期為五天。這個程序有助於處理延遲抵達的資料,並為實體內容資料建立隱含的存留時間。

ECG 會區分內容資料 (assetsusersresourcesgroups) 和入侵指標 (IOC)。

示例:合併使用者資料與心電圖資料

舉例來說,Google SecOps 會從三個來源 (Okta、Azure AD 和弱點掃描器) 擷取 jdoe 的使用者資料。ECG 會根據相符的 ID (例如 jdoe@example.com) 合併這三筆記錄,在 ECG 中建立一個包含所有三種來源屬性的統一jdoe使用者實體。

重要實體和事件情境心電圖資料來源

Google SecOps 需要多個特定資料來源,才能建立及更新實體。

重要實體內容心電圖資料來源

環境中使用者和資產的權威資料來源,可提供建構實體資料模型最關鍵的記錄資料。例如:

類別 重要資料來源 已填入實體
身分與存取權管理 Active Directory、Azure AD、Okta、 Google Cloud Identity user
group
資產清單 CMDB、JAMF、Microsoft Intune asset
威脅情報 自訂或第三方動態饋給、Google Threat Intelligence (GTI) ip_address
domain_name
file

如要列出支援各類別的剖析器,請執行下列操作:

  1. 請參閱「支援的記錄檔類型和預設剖析器」。

  2. 在搜尋列中輸入類別,例如:

    • 如要使用與資產目錄相關的剖析器,請輸入 inventoryasset
    • 如要查看與身分與存取權管理相關的剖析器,請輸入 identity
    • 如要查看與威脅情報相關的剖析器,請輸入 IOC

實體剖析的資料來源和重要 UDM 欄位

Google SecOps 會根據權威實體比對內容資料來源和重要 UDM 欄位,強化實體設定檔:

實體類型 資料來源 重要 UDM 欄位 (用於別名和建立索引)
流程 端點記錄會提供 PSPI (`principal.process.product_specific_process_id`),這是穩定的 ID,對於健全的程序別名至關重要。
例如 CrowdStrike EDR (CS_EDR) 和 Windows Sysmon (WINDOWS_SYSMON)。		 source.process.product_specific_process_id
使用者 這些來源會提供使用者屬性和身分資訊。
例如,Duo 實體比對內容資料 (DUO_CONTEXT) 和 Okta (OKTA)。		 source.user.userid
source.user.email_address
source.user.windows_sid
source.user.product_object_id
資產或端點 這些來源會提供權威的資產資訊。
例如 ServiceNow CMDB (SERVICENOW_CMDB) 和 Tanium Asset (TANIUM_ASSET)。		 source.ip
source.hostname
source.asset_id
principal.asset.hostname
檔案雜湊 提供資料內容的專屬「數位指紋」,以驗證資料完整性。 source.file.sha256
source.file.sha1
source.file.md5

重要事件內容資料 UDM 欄位

Google SecOps 需要多個重要事件比對內容資料 UDM 欄位。

  • 最重要的 UDM 欄位是穩定的識別碼關係指標 (principal.*target.*src_*dst_* 欄位)。

  • 請參閱Entity graph功能領域的重要 UDM 欄位清單。

  • 如要建構完整的 ECG,請優先處理可提供高價值 ID 和關係資料的資料來源。例如:

    實體類型 重要資料來源 實體建構的重要 UDM 欄位
    資產 (主機) EDR 和 XDR、DNS 和 DHCP、防火牆、 Google Cloud 控制台稽核記錄 metadata.event_type
    principal.asset.asset_id
    principal.asset.hostname
    principal.ip
    使用者 識別資訊提供者 (IdP) 記錄、人資動態消息 (背景資訊)、Cloud Identity 記錄、電子郵件閘道 principal.user.userid
    principal.user.email_addresses
    target.user.userid
    principal.ip
    網路 防火牆、VPN、DNS、虛擬私有雲流量記錄 principal.ip
    target.ip
    src_ip
    dst_ip
    network.direction
    檔案和程序 EDR 和 XDR、應用程式記錄 target.file.full_path
    target.process.file.full_path
    target.process.command_line

範例

ECG 會依據這些 UDM 欄位,在規則、搜尋和資訊主頁中,聯結實體比對內容資料和 UDM 事件資料。

舉例來說,您可以在「暴力破解」監控規則中彙整使用者比對內容資料,只在涉及的使用者也是「網域管理員」群組的成員,且涉及的資產是網域控制站時發出快訊:

events:
  $fail.metadata.event_type = "USER_LOGIN"
  $fail.metadata.vendor_name = "Microsoft"
  $fail.principal.hostname = $hostname
  $fail.target.user.userid = $target_user
  $fail.security_result.action = "BLOCK"
  $fail.metadata.product_event_type = "4625"
 
  $fail.metadata.event_timestamp.seconds < $success.metadata.event_timestamp.seconds
 
  $success.metadata.event_type = "USER_LOGIN"
  $success.metadata.vendor_name = "Microsoft"
  $success.target.user.userid = $target_user
  $success.principal.hostname = $hostname
  $success.security_result.action = "ALLOW"
  $success.metadata.product_event_type = "4624"
  $user.graph.entity.user.userid = $target_user
  $user.graph.metadata.entity_type = "USER"
  $user.graph.metadata.source_type = "ENTITY_CONTEXT"
  any $user.graph.relations.entity.group.group_display_name = "Domain Admins"

  $asset.graph.entity.asset.hostname = $hostname
  $asset.graph.metadata.entity_type = "ASSET"
  $asset.graph.metadata.source_type = "ENTITY_CONTEXT"
  any $asset.graph.relations.entity.group.group_display_name = "Domain Controllers"
 
match:
  $target_user, $hostname over 15m
condition:
  #fail > 4 and $success and $user and $asset

衍生情境強化功能

Google SecOps 會根據貴機構的事件資料,為所有命名空間中的每個實體產生動態的事件導向推論資料。這項功能會使用別名資訊、內部擴充程序資料和安全性事件資料,建立關聯 (例如將 assetIP address 建立關聯)。

這個過程會加入重要背景資訊,提升實體設定檔的品質。例如:

  • entity.file.sha256file (hash) 個實體
  • (principal or target).ip_geo_artifact.location.country_or_regionnetwork (geolocation) 個實體

Google SecOps 會分析擷取的活動中的多個指標,為事件提供背景資訊。這項服務會執行重要的擴充功能,產生實體稀有度指標 (例如普及度統計資料) 和時間指標 (例如 first-seen-timelast-seen-time)。

普及度統計資料

心電圖管道會分析現有和傳入的資料,計算並儲存普及度指標做為衍生內容欄位。這些指標代表環境中實體 (例如 domainfile hashIP address) 的「熱門程度」數值。這有助於您發現罕見或異常活動,因為較熱門的實體通常風險較低。

Google SecOps 會定期更新這些統計資料,並儲存在個別實體環境中。偵測引擎可以使用這些值,您也可以使用 UDM 查詢語法搜尋這些值。不過,控制台不會與其他實體詳細資料一併顯示這些值。

建立偵測引擎規則時,可以使用下列欄位。

實體類型 UDM 欄位
網域 entity.domain.prevalence.day_count
entity.domain.prevalence.day_max
entity.domain.prevalence.day_max_sub_domains
entity.domain.prevalence.rolling_max
entity.domain.prevalence.rolling_max_sub_domains
檔案 (雜湊) entity.file.prevalence.day_count
entity.file.prevalence.day_max
entity.file.prevalence.rolling_max
IP 位址 entity.artifact.prevalence.day_count
entity.artifact.prevalence.day_max
entity.artifact.prevalence.rolling_max

Google SecOps 計算 day_maxrolling_max 值的方式不同,如下所示:

  • day_max 代表該天 (世界標準時間凌晨 12:00:00 至晚上 11:59:59) 期間,構件的最高普及度分數。
  • rolling_max 代表過去 10 天內,構件每日盛行率分數 (即 day_max) 的最大值。
  • day_count 用於計算 rolling_max,且值一律為 10。

計算 domain 的這些值時,day_maxday_max_sub_domains (以及 rolling_maxrolling_max_sub_domains) 之間的差異如下:

  • rolling_maxday_max 代表存取特定網域 (不含子網域) 的每日不重複內部 IP 位址數量。
  • rolling_max_sub_domainsday_max_sub_domains 代表存取特定網域 (包括子網域) 的不重複內部 IP 位址數量。

Google SecOps 會使用新擷取的實體資料計算普及度統計資料。Google SecOps 不會對先前擷取的資料進行回溯計算。Google SecOps 大約需要 36 小時才能計算及儲存統計資料。

範例

ECG 管道需要這些 UDM 欄位,才能將相關比對內容資料併入規則或搜尋查詢。您必須明確將所有心電圖相關資料加入 UDM 事件資料。

舉例來說,您可以使用心電圖中的 prevalence 資料,判斷安全性記錄檔中與「罕見」網域的連線:

    $dns.metadata.event_type = "NETWORK_DNS"
    $dns.network.dns.questions.name != ""
    $dns.network.dns.questions.name = $domain
    $prevalence.graph.metadata.entity_type = "DOMAIN_NAME"
    $prevalence.graph.metadata.source_type = "DERIVED_CONTEXT"
    $prevalence.graph.entity.hostname = $domain
    $prevalence.graph.entity.domain.prevalence.day_count = 10
    $prevalence.graph.entity.domain.prevalence.rolling_max > 0
    $prevalence.graph.entity.domain.prevalence.rolling_max <= 3

  match:
    $domain over 5m
  condition:
    $dns and $prevalence

實體的首次出現和上次出現時間

Google SecOps 會分析傳入資料,並在實體背景資訊記錄中填入下列重要欄位:

  • first-seen-time實體首次出現在您環境中的日期和時間。
  • last-seen-time最近一次觀測的日期和時間。

您可以使用這些衍生欄位,關聯 domainfile hashassetuserIP address 實體的活動。

這些值會儲存在下列 UDM 欄位中:

實體類型 UDM 欄位
網域 entity.domain.first_seen_time
entity.domain.last_seen_time
檔案 (雜湊) entity.file.first_seen_time
entity.file.last_seen_time
IP 位址 entity.artifact.first_seen_time
entity.artifact.last_seen_time
資產 entity.asset.first_seen_time
使用者 entity.user.first_seen_time

首次和上次出現時間計算的例外狀況:

  • 對於 assetuser 實體,Google SecOps 只會填入 first_seen_time 欄位,不會填入 last_seen_time 欄位。
  • Google SecOps 不會計算個別命名空間中每個實體的統計資料。
  • Google SecOps 不會將這些統計資料匯出至 BigQuery 中的 Google SecOps events 結構定義
  • Google SecOps 不會為其他實體類型 (例如 groupresource) 計算這些值。

全域情境擴充功能

這些來源包括來自內部和第三方全球來源的外部威脅情報和信譽資料。

擷取 Google Threat Intelligence 資料

Google SecOps 會從 Google Threat Intelligence (GTI) 資料來源擷取資料,提供環境中活動的調查背景資訊。

查詢下列資料來源:

  • GTI Tor 結束節點:已知的 Tor 結束節點 IP 位址。
  • GTI 良性二進位檔:屬於原始作業系統發行版本或由官方作業系統修補程式更新的檔案。這個資料來源會排除一些遭攻擊者濫用的官方作業系統二進位檔,這些二進位檔通常用於「以土地為生」攻擊,例如著重於初始進入向量的二進位檔。
  • GTI 遠端存取工具:惡意行為人經常使用的檔案。這些工具通常是正當的應用程式,但有時會遭到濫用,用來遠端連線至遭入侵的系統。

系統會以實體形式在全球各地儲存情境資料。您可以使用偵測引擎規則查詢資料。在規則中加入下列 UDM 欄位和值,即可查詢這些全域實體:

  • graph.metadata.vendor_name = Google Threat Intelligence
  • graph.metadata.product_name = GTI Feed

有時間限制與無時間限制的 Google Threat Intelligence 資料來源

Google Threat Intelligence 資料來源包括「有時間性」或「無時間性」類型。

時間資料來源中的每個項目都有相關聯的時間範圍。舉例來說,如果 Google SecOps 在第 1 天產生偵測結果,在任何未來的回溯搜尋期間,系統預期會為第 1 天產生相同的偵測結果。

無時間性資料來源沒有相關聯的時間範圍,因為只需要考慮最新的資料集。這些資料來源通常用於預期不會變更的資料,例如檔案雜湊。如果 Google SecOps 在第 1 天未產生偵測結果,但無時效性資料來源在第 2 天新增了項目,則第 2 天的追溯搜尋仍可能產生第 1 天的偵測結果。

Tor 結束節點 IP 位址的相關資料

Google SecOps 會擷取並儲存已知的 Tor 結束節點 IP 位址。Tor 結束節點是流量離開 Tor 網路的點。這項資料是限時的。

Google SecOps 會將從這個資料來源擷取的資訊儲存在下列 UDM 欄位中:

UDM 欄位 說明
<variable_name>.graph.metadata.vendor_name 儲存 Google Threat Intelligence 值。
<variable_name>.graph.metadata.product_name 儲存 GTI Feed 值。
<variable_name>.graph.metadata.threat.threat_feed_name 儲存 Tor Exit Nodes 值。
<variable_name>.graph.entity.artifact.ip 儲存從 GTI 資料來源擷取的 IP 位址。
範例搜尋
graph.metadata.source_type ="GLOBAL_CONTEXT"
graph.metadata.product_name = "GTI Feed"
graph.metadata.threat.threat_feed_name = "Tor Exit Nodes"

良性作業系統檔案的資料

Google SecOps 會從 GTI Benign Binaries 資料來源擷取及儲存檔案雜湊值。Google SecOps 會將從這個資料來源擷取的資訊儲存在下列 UDM 欄位中。良性二進位檔資料是永久的。

UDM 欄位 說明
<variable_name>.graph.metadata.vendor_name 儲存 Google Threat Intelligence 值。
<variable_name>.graph.metadata.product_name 儲存 GTI Feed 值。
<variable_name>.graph.metadata.threat.threat_feed_name 儲存 Benign Binaries 值。
<variable_name>.graph.entity.file.sha256 儲存檔案的 SHA256 雜湊值。
<variable_name>.graph.entity.file.sha1 儲存檔案的 SHA-1 雜湊值。
<variable_name>.graph.entity.file.md5 儲存檔案的 MD5 雜湊值。
範例搜尋
graph.metadata.source_type ="GLOBAL_CONTEXT"
graph.metadata.product_name = "GTI Feed"
graph.metadata.threat.threat_feed_name = "Benign Binaries"

遠端存取工具相關資料

遠端存取工具包括已知遠端存取工具的檔案雜湊值,例如惡意行為者經常使用的 VNC 用戶端。這些工具通常是正當應用程式,但有時會遭到濫用,用來從遠端連線至遭入侵的系統。Google SecOps 會將從這個資料來源擷取的資訊儲存在下列 UDM 欄位。遠端存取工具資料沒有時間限制

UDM 欄位 說明
<variable_name>.graph.metadata.vendor_name 儲存 Google Threat Intelligence 值。
<variable_name>.graph.metadata.product_name 儲存 GTI Feed 值。
<variable_name>.graph.metadata.threat.threat_feed_name 儲存 Remote Access Tools 值。
<variable_name>.graph.entity.file.sha256 儲存檔案的 SHA256 雜湊值。
<variable_name>.graph.entity.file.sha1 儲存檔案的 SHA-1 雜湊值。
<variable_name>.graph.entity.file.md5 儲存檔案的 MD5 雜湊值。
範例搜尋
graph.metadata.source_type ="GLOBAL_CONTEXT"
graph.metadata.product_name = "GTI Feed"
graph.metadata.threat.threat_feed_name = "Remote Access Tools"

運用安全瀏覽威脅清單中的資訊擴充實體

Google SecOps 會擷取與檔案雜湊值相關的安全瀏覽資料。 Google SecOps 會將每個檔案的資料儲存為實體,並提供檔案的額外背景資訊。 您可以建立偵測引擎規則,查詢這個實體內容資料,建構具備內容感知能力的分析。

Google SecOps 會將下列資訊與實體內容記錄一併儲存。

UDM 欄位 說明
entity.metadata.product_entity_id 實體的專屬 ID。
entity.metadata.entity_type 這個值為 FILE,表示實體描述的是檔案。
entity.metadata.collected_timestamp 觀察到實體或事件發生的日期和時間。
entity.metadata.interval 儲存這項資料的有效開始時間和結束時間。由於威脅清單內容會隨時間變更,因此 start_timeend_time 會反映實體資料的有效時間間隔。舉例來說,系統在 start_timeend_time 之間發現惡意或可疑的檔案雜湊值。
entity.metadata.threat.category Google SecOps SecurityCategory 設為下列一或多個值:
  • SOFTWARE_MALICIOUS:表示威脅與惡意軟體有關。
  • SOFTWARE_PUA:表示威脅與垃圾軟體有關。
entity.metadata.threat.severity 這是 Google SecOps ProductSeverity。 如果值為 CRITICAL,表示構件疑似惡意。如未指定值,表示系統沒有足夠的信心指出構件是否惡意。
entity.metadata.product_name 儲存 Google Safe Browsing 值。
entity.file.sha256 檔案的 SHA256 雜湊值。

規則範例

events:
    // find a process launch event, match on hostname
    $execution.metadata.event_type = "PROCESS_LAUNCH"
    $execution.target.process.file.sha256 != ""
    $execution.principal.hostname = $hostname

    // join execution event with Safe Browsing graph
    $sb.graph.entity.file.sha256 = $execution.target.process.file.sha256

    // look for files deemed malicious
    $sb.graph.metadata.entity_type = "FILE"
    $sb.graph.metadata.threat.severity = "CRITICAL"
    $sb.graph.metadata.product_name = "Google Safe Browsing"

  match:
    $hostname over 5m

  condition:
    $execution and $sb

使用 WHOIS 資料擴充實體

Google SecOps 每天都會使用有時間性無時間性的資料,執行重要的 WHOIS 資料擴充功能。

在擷取裝置資料期間,Google SecOps 會根據 WHOIS 資料評估網域。如果網域相符,Google SecOps 會將相關 WHOIS 資料儲存在網域的實體記錄中。對於每個含有 entity.metadata.entity_type = DOMAIN_NAME 的實體,Google SecOps 會使用 WHOIS 資訊擴充記錄。

Google SecOps 會在實體記錄中填入下列欄位,並提供豐富的 WHOIS 資料:

  • entity.domain.admin.attribute.labels
  • entity.domain.audit_update_time
  • entity.domain.billing.attribute.labels
  • entity.domain.billing.office_address.country_or_region
  • entity.domain.contact_email
  • entity.domain.creation_time
  • entity.domain.expiration_time
  • entity.domain.iana_registrar_id
  • entity.domain.name_server
  • entity.domain.private_registration
  • entity.domain.registrant.company_name
  • entity.domain.registrant.office_address.state
  • entity.domain.registrant.office_address.country_or_region
  • entity.domain.registrant.email_addresses
  • entity.domain.registrant.user_display_name
  • entity.domain.registrar
  • entity.domain.registry_data_raw_text
  • entity.domain.status
  • entity.domain.tech.attribute.labels
  • entity.domain.update_time
  • entity.domain.whois_record_raw_text
  • entity.domain.whois_server
  • entity.domain.zone

Google SecOps 會從 global context WHOIS 記錄中,擷取 registrantcreationexpiration time 資料,並用來擴充 domain 實體 (entity.metadata.entity_type = "DOMAIN_NAME")。

如需這些欄位的說明,請參閱整合式資料模型欄位清單文件

範例搜尋

graph.metadata.source_type ="GLOBAL_CONTEXT"
graph.metadata.product_name = "WHOISXMLAPI Simple Whois"
graph.entity.domain.registry_data_raw_text != b""

最佳做法:找出全球情境豐富的資料來源

如要提升規則效能,請在規則中加入篩選器,使用全域環境擴充來源的資料。這個篩選器應可識別特定擴充類型或來源。

下列篩選器參數可識別擴充類型或來源:entity_typeproduct_namevendor_name

舉例來說,在規則的 events 區段中加入下列篩選條件欄位,即可聯結 WHOIS 資料:

$enrichment.graph.metadata.entity_type = "DOMAIN_NAME"
$enrichment.graph.metadata.product_name = "WHOISXMLAPI Simple Whois"
$enrichment.graph.metadata.vendor_name = "WHOIS"

ECG 最佳做法

使用情境豐富的資料時,請考慮下列心電圖最佳做法:

  • 請勿在實體資料中新增間隔,而是讓心電圖管道建立間隔。除非另有指定,否則 Google SecOps 會在重複資料刪除期間產生間隔。
  • 如果您指定間隔,Google SecOps 只會重複資料刪除完全相同的事件,並保留最近的實體。
  • 為確保即時規則和回溯搜尋功能正常運作,您必須每天至少擷取一次實體。
  • 如果不是每天擷取實體,而是每隔兩天以上才擷取一次,即時規則可能仍會正常運作。不過,回溯搜尋可能會遺失部分事件脈絡。
  • 如果每天多次擷取相同實體,Google SecOps 會將這些實體重複資料刪除,只保留一個實體。
  • 如果某天的事件資料遺失,Google SecOps 會暫時使用前一天的資料,確保即時規則正常運作。

如要瞭解一般 Google SecOps 服務限制,請參閱「服務限制」。

相關外部內容

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。