Menggunakan Grafik Konteks Entity (ECG)

Didukung di:

Google secops SIEM

Dokumen ini adalah ringkasan komprehensif tentang Entity Context Graph (ECG), sumber datanya, pipeline pemrosesan, dan aplikasinya dalam aturan dan penelusuran. ECG adalah model data entitas inti yang memberikan konteks penting untuk deteksi, investigasi, dan perburuan ancaman tingkat lanjut dalam aturan deteksi, penelusuran, dan dasbor. Pipeline pemrosesan EKG (menggabungkan) informasi kontekstual di setiap lingkungan Google SecOps.

Selain itu, EKG menghitung metrik ringkasan untuk entitas seperti prevalensi (seberapa sering entitas tertentu muncul dalam data UDM Anda dibandingkan dengan entitas lain), first-seen-time dan last-seen-time entitas, serta sumber pengayaan utama dan sumber indikator kompromi (IOC) seperti data Google Threat Intelligence (GTI), Safe Browsing, WHOIS, dan VirusTotal.

ECG menggunakan peristiwa UDM untuk melakukan hal berikut:

Buat tampilan yang diperkaya, berkorelasi, dan komprehensif tentang entitas internal (aset dan pengguna) dan entitas eksternal (IOC).
Identifikasi hubungan antara entity ini.

Sumber data untuk EKG

EKG menggabungkan data dari sumber berikut:

Sumber konteks	Sumber	Deskripsi
Konteks entitas	Disediakan pelanggan	Google SecOps secara langsung menyerap data organisasi terstruktur, seperti detail resmi tentang pengguna dan aset, dari sistem eksternal. Sumber ini mencakup Sistem Penyedia Identitas (IDP), sistem Configuration Management Database (CMDB) (seperti ServiceNow CMDB, Duo User Context), dan sistem pengelolaan kerentanan.
Konteks turunan	Dibuat oleh Google SecOps	Google SecOps menghasilkan data statistik berdasarkan analisis aktivitas yang di-ingest. Fitur ini memperkaya peristiwa dan entitas dari berbagai sumber dalam lingkungan Anda (misalnya, Windows AD, Azure AD, Okta, Google Cloud, IAM). Contoh: Menghitung dan memperkaya setiap entity dengan statistik prevalensi yang menunjukkan popularitasnya di lingkungan. Menghitung dan memperkaya waktu pertama kali dilihat dan waktu terakhir kali dilihat entitas.
Konteks global	Bersumber dari Google	Sumber global menyediakan data reputasi dan intelijen ancaman internal dan eksternal. Contoh: Menyerap dan menyimpan data Google Threat Intelligence. Memperkaya entitas dengan informasi dari daftar ancaman Safe Browsing. Memperkaya entity dengan data WHOIS.

Pipeline pemrosesan data EKG

Pertama, pipeline penggabungan dan pengayaan UDM menyerap dan menormalisasi peristiwa keamanan mentah ke dalam struktur UDM.

Kemudian, penggabungan ECG membangun profil yang kaya dan tepercaya untuk setiap entitas dengan menggabungkan konteks dari berbagai asal (seperti penyedia identitas, Database Pengelolaan Konfigurasi (CMDB), feed informasi ancaman, dan konteks turunan) ke dalam satu profil entitas gabungan. Penggabungan ECG menambahkan koneksi, properti, dan hubungan baru ke ECG, serta membuat dan memperbarui konteks turunan.

ECG membuat entitas berwaktu (temporal) dan abadi (non-temporal). ECG mengevaluasi entitas berjangka waktu dalam aturan dan rentang waktu penelusuran yang ditentukan, sementara ECG mengevaluasi entitas tanpa batas waktu tanpa mempertimbangkan rentang waktu penelusuran atau aturan.

ECG menggabungkan rekaman konteks dengan mencocokkan ID kunci umum, seperti hostname, MAC address, user ID, atau email address, di berbagai sumber data ini. Fitur ini menggabungkan data yang cocok di seluruh nilai ini untuk membuat satu tampilan entitas yang komprehensif dan kaya.

Aliasing EKG menggunakan kolom UDM berikut sebagai "kunci penggabungan":

Asset
- entity.asset.product_object_id
- entity.asset.hostname
- entity.asset.asset_id
- entity.asset.mac
User
- entity.user.product_object_id
- entity.user.userid
- entity.user.windows_sid
- entity.user.email_addresses
- entity.user.employee_id
Resource
- entity.resource.product_object_id
- entity.resource.name
Group
- entity.group.product_object_id
- entity.group.email_addresses
- entity.group.windows_sid

Jika ada nilai yang bertentangan dengan salah satu kolom di atas selama proses penggabungan, pipeline EKG akan memilih nilai dengan waktu mulai terbaru untuk memperbarui entitas.

ECG membuat data konteks entity dengan periode lihat kembali lima hari. Proses ini menangani data yang terlambat tiba dan membuat waktu aktif implisit untuk data konteks entitas.

ECG membedakan antara data kontekstual (aset, pengguna, resource, grup) dan indikator kompromi (IOC).

Contoh: Menggabungkan data pengguna dengan penggabungan EKG

Google SecOps menyerap data pengguna untuk jdoe dari tiga sumber: Okta, Azure AD, dan pemindai kerentanan. ECG menggabungkan ketiga catatan ini berdasarkan ID yang cocok (seperti jdoe@example.com) untuk membuat satu entitas pengguna jdoe yang terpadu di ECG, yang berisi atribut dari ketiga sumber.

Contoh: Menghilangkan data yang redundan untuk membuat entity umum

Untuk membuat entity gabungan umum, ECG menghilangkan data yang berlebihan melalui penghapusan duplikat. Hal ini dilakukan dengan membuat interval waktu, bukan mencocokkan stempel waktu yang tepat.

Misalnya, pertimbangkan dua entity e1 dan e2 dengan stempel waktu t1 dan t2. Jika e1 dan e2 identik, EKG akan menghapus duplikatnya dengan mengabaikan perbedaan stempel waktu di kolom berikut:

collected_timestamp
creation_timestamp
interval

Sumber data EKG konteks peristiwa dan entitas penting

Google SecOps memerlukan beberapa sumber data tertentu untuk membuat dan memperbarui entitas.

Sumber data EKG konteks entitas penting

Sumber data tepercaya untuk pengguna dan aset lingkungan Anda menyediakan data log yang paling penting untuk membangun model data entitas. Contoh:

Kategori	Sumber data penting	Entitas yang diisi
Pengelolaan akses dan identitas	Active Directory, Azure AD, Okta, Google Cloud Identity	`user`, `group`
Inventaris aset	CMDB, JAMF, Microsoft Intune	`asset`
Kecerdasan ancaman	Feed kustom atau pihak ketiga, Google Threat Intelligence (GTI)	`ip_address`, `domain_name`, `file`

Contoh penelusuran

Untuk mencantumkan parser yang mendukung setiap kategori:

Buka Jenis log yang didukung dengan parser default.
Ketik kategori di kotak penelusuran, misalnya:
- Untuk parser yang relevan dengan inventaris aset, ketik inventory atau asset.
- Untuk parser yang relevan dengan pengelolaan identitas dan akses, ketik identity.
- Untuk parser yang relevan dengan intelijen ancaman, ketik IOC.

Sumber data dan kolom UDM penting untuk pembuatan profil entitas

Google SecOps meningkatkan kualitas profil entitas berdasarkan sumber data konteks entitas tepercaya dan kolom UDM penting:

Jenis Entitas	Sumber data	Kolom UDM penting (untuk pembuatan alias dan pengindeksan)
Proses	Log endpoint menyediakan PSPI (`principal.process.product_specific_process_id`), ID stabil yang penting untuk pengalihan proses yang andal. Contohnya mencakup CrowdStrike EDR (CS_EDR) dan Windows Sysmon (WINDOWS_SYSMON).	`source.process.product_specific_process_id`
User	Sumber ini menyediakan atribut pengguna dan informasi identitas. Misalnya, data konteks Entitas Duo (DUO_CONTEXT) dan Okta (OKTA).	`source.user.userid`, `source.user.email_address`, `source.user.windows_sid`, `source.user.product_object_id`
Aset atau Endpoint	Sumber ini memberikan informasi aset yang kredibel. Misalnya, ServiceNow CMDB (SERVICENOW_CMDB) dan Tanium Asset (TANIUM_ASSET).	`source.ip`, `source.hostname`, `source.asset_id`, `principal.asset.hostname`
Hash file	Menyediakan "sidik jari digital" unik dari konten data untuk memverifikasi integritas data.	`source.file.sha256`, `source.file.sha1`, `source.file.md5`

Kolom UDM data konteks peristiwa penting

Google SecOps memerlukan beberapa kolom UDM data konteks peristiwa penting.

Kolom UDM yang paling penting adalah kolom yang berfungsi sebagai pengidentifikasi yang stabil dan indikator hubungan (kolom principal.*, target.*, src_*, dan dst_*).
Lihat daftar kolom UDM utama yang termasuk dalam area fitur Entity graph.

Untuk membuat EKG yang komprehensif, prioritaskan sumber data yang memberikan kontribusi data hubungan dan ID bernilai tinggi. Contoh:

Jenis entitas	Sumber data penting	Kolom UDM penting untuk pembuatan entity
Aset (host)	EDR dan XDR, DNS dan DHCP, Firewall, Google Cloud Log Audit konsol	`metadata.event_type`, `principal.asset.asset_id`, `principal.asset.hostname`, `principal.ip`
User	Log Penyedia Identitas (IdP), Feed HR (konteks), Log Cloud Identity, Email Gateway	`principal.user.userid`, `principal.user.email_addresses`, `target.user.userid`, `principal.ip`
Network	Firewall, VPN, DNS, Log Aliran VPC	`principal.ip`, `target.ip`, `src_ip`, `dst_ip`, `network.direction`
File dan proses	EDR dan XDR, Log Aplikasi	`target.file.full_path`, `target.process.file.full_path`, `target.process.command_line`

Contoh

Data EKG mengandalkan kolom UDM ini untuk menggabungkan data EKG dan data peristiwa UDM dalam aturan, penelusuran, dan dasbor.

Misalnya, Anda dapat menggabungkan data konteks pengguna dalam aturan pemantauan "brute force" agar hanya memberikan pemberitahuan jika pengguna yang terlibat juga merupakan bagian dari grup "Admin Domain" dan aset yang terlibat adalah pengontrol domain:

events:
  $fail.metadata.event_type = "USER_LOGIN"
  $fail.metadata.vendor_name = "Microsoft"
  $fail.principal.hostname = $hostname
  $fail.target.user.userid = $target_user
  $fail.security_result.action = "BLOCK"
  $fail.metadata.product_event_type = "4625"
 
  $fail.metadata.event_timestamp.seconds < $success.metadata.event_timestamp.seconds
 
  $success.metadata.event_type = "USER_LOGIN"
  $success.metadata.vendor_name = "Microsoft"
  $success.target.user.userid = $target_user
  $success.principal.hostname = $hostname
  $success.security_result.action = "ALLOW"
  $success.metadata.product_event_type = "4624"
  $user.graph.entity.user.userid = $target_user
  $user.graph.metadata.entity_type = "USER"
  $user.graph.metadata.source_type = "ENTITY_CONTEXT"
  any $user.graph.relations.entity.group.group_display_name = "Domain Admins"

  $asset.graph.entity.asset.hostname = $hostname
  $asset.graph.metadata.entity_type = "ASSET"
  $asset.graph.metadata.source_type = "ENTITY_CONTEXT"
  any $asset.graph.relations.entity.group.group_display_name = "Domain Controllers"
 
match:
  $target_user, $hostname over 15m
condition:
  #fail > 4 and $success and $user and $asset

Peningkatan kualitas konteks turunan

Google SecOps menghasilkan data inferensi dinamis berbasis peristiwa dari data peristiwa organisasi Anda untuk setiap entitas di semua namespace. Proses ini menggunakan informasi alias, data dari proses pengayaan internal, dan data peristiwa keamanan untuk membuat hubungan (misalnya, asset menggunakan IP address). Proses ini menambahkan konteks berharga untuk meningkatkan kualitas profil entitas.

Misalnya, menambahkan entity.file.sha256 ke entitas file (hash) dan (principal or target).ip_geo_artifact.location.country_or_region ke entitas network (geolocation).

Google SecOps menganalisis beberapa indikator dalam aktivitas yang di-ingest untuk memperkaya peristiwa dengan informasi konteks. Proses ini menjalankan fungsi pengayaan penting untuk menghasilkan, misalnya, metrik kelangkaan entitas seperti statistik prevalensi dan metrik temporal seperti first-seen-time dan last-seen-time.

Statistik prevalensi

ECG juga bertanggung jawab untuk menganalisis data yang ada dan masuk untuk menghitung serta menyimpan metrik prevalensi sebagai kolom konteks turunan. Metrik ini menampilkan nilai "popularitas" numerik untuk entity seperti domain, file hash, atau IP address di seluruh lingkungan Anda. Hal ini membantu Anda mendeteksi aktivitas langka atau tidak biasa, karena entity yang lebih populer biasanya cenderung tidak berbahaya.

Google SecOps memperbarui statistik ini secara rutin dan menyimpannya dalam konteks entitas terpisah. Mesin deteksi dapat menggunakan nilai ini, dan Anda dapat menelusurinya menggunakan sintaksis kueri UDM. Namun, Konsol tidak menampilkan nilai ini dengan detail entitas lainnya.

Anda dapat menggunakan kolom berikut saat membuat aturan mesin deteksi.

Jenis entitas	Kolom UDM
Domain	`entity.domain.prevalence.day_count` `entity.domain.prevalence.day_max` `entity.domain.prevalence.day_max_sub_domains` `entity.domain.prevalence.rolling_max` `entity.domain.prevalence.rolling_max_sub_domains`
File (Hash)	`entity.file.prevalence.day_count` `entity.file.prevalence.day_max` `entity.file.prevalence.rolling_max`
Alamat IP	`entity.artifact.prevalence.day_count` `entity.artifact.prevalence.day_max` `entity.artifact.prevalence.rolling_max`

Google SecOps menghitung nilai day_max dan rolling_max secara berbeda, sebagai berikut:

day_max adalah skor prevalensi maksimum untuk artefak selama hari tersebut (satu hari didefinisikan sebagai pukul 00.00.00 hingga 23.59.59 UTC).
rolling_max adalah skor prevalensi per hari maksimum (yaitu, day_max) untuk artefak selama periode 10 hari sebelumnya.
Sistem menggunakan day_count untuk menghitung rolling_max dan nilainya selalu 10.

Saat sistem menghitung nilai ini untuk domain, perbedaan antara day_max dan day_max_sub_domains (serta rolling_max versus rolling_max_sub_domains) adalah sebagai berikut:

rolling_max dan day_max menunjukkan jumlah alamat IP internal unik harian yang mengakses domain tertentu (tidak termasuk subdomain).
rolling_max_sub_domains dan day_max_sub_domains merepresentasikan jumlah alamat IP internal unik yang mengakses domain tertentu (termasuk subdomain).

Google SecOps menghitung statistik prevalensi menggunakan data entitas yang baru di-ingest. Google SecOps tidak melakukan penghitungan secara retroaktif pada data yang sebelumnya di-ingest. Perlu waktu sekitar 36 jam bagi Google SecOps untuk menghitung dan menyimpan statistik.

Contoh

ECG memerlukan kolom UDM ini untuk menggabungkan data konteks yang relevan ke dalam aturan atau penelusuran. Anda harus secara eksplisit menggabungkan semua data terkait EKG ke data peristiwa UDM.

Misalnya, Anda dapat menggunakan data prevalence di ECG untuk menentukan koneksi ke domain "langka" dalam log keamanan Anda:

    $dns.metadata.event_type = "NETWORK_DNS"
    $dns.network.dns.questions.name != ""
    $dns.network.dns.questions.name = $domain
    $prevalence.graph.metadata.entity_type = "DOMAIN_NAME"
    $prevalence.graph.metadata.source_type = "DERIVED_CONTEXT"
    $prevalence.graph.entity.hostname = $domain
    $prevalence.graph.entity.domain.prevalence.day_count = 10
    $prevalence.graph.entity.domain.prevalence.rolling_max > 0
    $prevalence.graph.entity.domain.prevalence.rolling_max <= 3

  match:
    $domain over 5m
  condition:
    $dns and $prevalence

Waktu pertama dan terakhir kali entitas terlihat

Google SecOps menganalisis data yang masuk untuk memperkaya catatan konteks entitas dengan kolom penting berikut:

first-seen-time: Tanggal dan waktu saat entitas pertama kali terlihat di lingkungan Anda.
last-seen-time: Tanggal dan waktu pengamatan terbaru.

Kolom turunan ini memungkinkan Anda mengorelasikan aktivitas di seluruh entitas domain, file hash, asset, user, atau IP address.

Sistem menyimpan nilai ini di kolom UDM berikut:

Jenis entitas	Kolom UDM
Domain	`entity.domain.first_seen_time` `entity.domain.last_seen_time`
File (hash)	`entity.file.first_seen_time` `entity.file.last_seen_time`
Alamat IP	`entity.artifact.first_seen_time` `entity.artifact.last_seen_time`
Aset	`entity.asset.first_seen_time`
Pengguna	`entity.user.first_seen_time`

Pengecualian untuk penghitungan waktu pertama kali terlihat dan waktu terakhir kali terlihat:

Untuk entitas asset dan user, Google SecOps hanya mengisi kolom first_seen_time, tetapi tidak mengisi kolom last_seen_time.
Google SecOps tidak menghitung statistik untuk setiap entitas dalam namespace individual.
Google SecOps tidak mengekspor statistik ini ke skema Google SecOps events di BigQuery.
Google SecOps tidak menghitung nilai ini untuk jenis entitas lain, seperti group atau resource.

Peningkatan kualitas konteks global

Sumber ini mencakup data reputasi dan intelijen ancaman eksternal dari sumber global internal dan pihak ketiga.

Menyerap data Google Threat Intelligence

Google SecOps menyerap data dari sumber data Google Threat Intelligence (GTI) dan memberikan informasi kontekstual untuk menyelidiki aktivitas di lingkungan Anda.

Buat kueri sumber data berikut:

Node Keluar Tor GTI: Alamat IP yang diketahui sebagai node keluar Tor.
Biner Tidak Berbahaya GTI: File yang merupakan bagian dari distribusi sistem operasi asli atau diupdate oleh patch sistem operasi resmi. Beberapa biner sistem operasi resmi yang telah disalahgunakan oleh musuh melalui aktivitas yang umum dalam serangan living-off-the-land dikecualikan dari sumber data ini, seperti yang berfokus pada vektor entri awal.
Alat Akses Jarak Jauh GTI: File yang sering digunakan oleh pelaku kejahatan. Alat ini umumnya merupakan aplikasi yang sah yang terkadang disalahgunakan untuk terhubung dari jarak jauh ke sistem yang telah dibobol.

Sistem menyimpan data kontekstual ini secara global sebagai entity. Anda dapat mengkueri data menggunakan aturan mesin deteksi. Sertakan kolom dan nilai UDM berikut dalam aturan untuk membuat kueri entitas global ini:

graph.metadata.vendor_name = Google Threat Intelligence
graph.metadata.product_name = GTI Feed

Sumber data Google Threat Intelligence yang memiliki batas waktu versus yang tidak memiliki batas waktu

Sumber data Google Threat Intelligence mencakup jenis berjangka waktu atau abadi.

Setiap entri di sumber data berjangka waktu memiliki rentang waktu terkait. Jika Google SecOps menghasilkan deteksi pada hari ke-1, maka pada hari apa pun di masa mendatang, Google SecOps akan menghasilkan deteksi yang sama untuk hari ke-1 selama retrohunt.

Sumber data abadi tidak memiliki rentang waktu terkait. Hal ini karena Anda hanya perlu mempertimbangkan set data terbaru. Sistem biasanya menggunakan sumber data abadi untuk data yang tidak diharapkan berubah, seperti hash file. Jika Google SecOps tidak menghasilkan deteksi pada hari ke-1, deteksi mungkin dihasilkan untuk hari ke-1 selama retrohunt pada hari ke-2 karena entri baru ditambahkan ke sumber data yang tidak memiliki batas waktu.

Data tentang alamat IP node keluar Tor

Google SecOps menyerap dan menyimpan alamat IP yang merupakan node keluar Tor yang diketahui. Node keluar Tor adalah titik tempat traffic keluar dari jaringan Tor. Data node keluar Tor berjangka waktu.

Google SecOps menyimpan informasi yang diserap dari sumber data ini di kolom UDM berikut:

Kolom UDM	Deskripsi
`<variable_name>.graph.metadata.vendor_name`	Menyimpan nilai `Google Threat Intelligence`.
`<variable_name>.graph.metadata.product_name`	Menyimpan nilai `GTI Feed`.
`<variable_name>.graph.metadata.threat.threat_feed_name`	Menyimpan nilai `Tor Exit Nodes`.
`<variable_name>.graph.entity.artifact.ip`	Menyimpan alamat IP yang diserap dari sumber data GTI.

Contoh penelusuran

graph.metadata.source_type ="GLOBAL_CONTEXT"
graph.metadata.product_name = "GTI Feed"
graph.metadata.threat.threat_feed_name = "Tor Exit Nodes"

Data tentang file sistem operasi yang tidak berbahaya

Google SecOps menyerap dan menyimpan hash file dari sumber data Biner Aman GTI. Google SecOps menyimpan informasi yang diserap dari sumber data ini di kolom UDM berikut. Data biner tidak berbahaya tidak lekang oleh waktu.

Kolom UDM	Deskripsi
`<variable_name>.graph.metadata.vendor_name`	Menyimpan nilai `Google Threat Intelligence`.
`<variable_name>.graph.metadata.product_name`	Menyimpan nilai `GTI Feed`.
`<variable_name>.graph.metadata.threat.threat_feed_name`	Menyimpan nilai `Benign Binaries`.
`<variable_name>.graph.entity.file.sha256`	Menyimpan nilai hash SHA256 file.
`<variable_name>.graph.entity.file.sha1`	Menyimpan nilai hash SHA-1 file.
`<variable_name>.graph.entity.file.md5`	Menyimpan nilai hash MD5 file.

Contoh penelusuran

graph.metadata.source_type ="GLOBAL_CONTEXT"
graph.metadata.product_name = "GTI Feed"
graph.metadata.threat.threat_feed_name = "Benign Binaries"

Data tentang alat akses jarak jauh

Alat akses jarak jauh mencakup hash file untuk alat akses jarak jauh yang diketahui seperti klien VNC yang sering digunakan oleh pelaku berbahaya. Alat ini umumnya merupakan aplikasi sah yang terkadang disalahgunakan untuk terhubung dari jarak jauh ke sistem yang terkompromi. Google SecOps menyimpan informasi yang diserap dari sumber data ini di kolom UDM berikut. Data alat akses jarak jauh tidak memiliki batas waktu.

Kolom UDM	Deskripsi
`<variable_name>.graph.metadata.vendor_name`	Menyimpan nilai `Google Threat Intelligence`.
`<variable_name>.graph.metadata.product_name`	Menyimpan nilai `GTI Feed`.
`<variable_name>.graph.metadata.threat.threat_feed_name`	Menyimpan nilai `Remote Access Tools`.
`<variable_name>.graph.entity.file.sha256`	Menyimpan nilai hash SHA256 file.
`<variable_name>.graph.entity.file.sha1`	Menyimpan nilai hash SHA-1 file.
`<variable_name>.graph.entity.file.md5`	Menyimpan nilai hash MD5 file.

Contoh penelusuran

graph.metadata.source_type ="GLOBAL_CONTEXT"
graph.metadata.product_name = "GTI Feed"
graph.metadata.threat.threat_feed_name = "Remote Access Tools"

Memperkaya entitas dengan informasi dari daftar ancaman Safe Browsing

Google SecOps menyerap data dari Safe Browsing yang terkait dengan hash file. Google SecOps menyimpan data untuk setiap file sebagai entitas dan memberikan konteks tambahan tentang file tersebut. Anda dapat membuat aturan mesin deteksi yang membuat kueri data konteks entitas ini untuk membangun analisis yang sadar konteks.

Google SecOps menyimpan informasi berikut dengan catatan konteks entity.

Kolom UDM	Deskripsi
`entity.metadata.product_entity_id`	ID unik untuk entitas.
`entity.metadata.entity_type`	Nilai ini adalah `FILE`, yang menunjukkan bahwa entity menjelaskan file.
`entity.metadata.collected_timestamp`	Tanggal dan waktu entitas diamati atau peristiwa terjadi.
`entity.metadata.interval`	Menyimpan waktu mulai dan waktu berakhir yang valid untuk data ini. Karena konten daftar ancaman berubah dari waktu ke waktu, `start_time` dan `end_time` mencerminkan interval waktu selama data tentang entitas tersebut valid. Misalnya, hash file teramati berbahaya atau mencurigakan antara `start_time` dan `end_time`.
`entity.metadata.threat.category`	`SecurityCategory` Google SecOps. Sistem menetapkan ini ke satu atau beberapa nilai berikut: `SOFTWARE_MALICIOUS`: menunjukkan bahwa ancaman terkait dengan malware. `SOFTWARE_PUA`: menunjukkan bahwa ancaman terkait dengan software yang tidak diinginkan.
`entity.metadata.threat.severity`	Ini adalah `ProductSeverity` Google SecOps. Jika nilainya `CRITICAL`, ini menunjukkan bahwa artefak tersebut tampak berbahaya. Jika nilai tidak ditentukan, tidak ada cukup keyakinan untuk menunjukkan bahwa artefak tersebut berbahaya.
`entity.metadata.product_name`	Menyimpan nilai `Google Safe Browsing`.
`entity.file.sha256`	Nilai hash SHA256 untuk file.

Contoh aturan

events:
    // find a process launch event, match on hostname
    $execution.metadata.event_type = "PROCESS_LAUNCH"
    $execution.target.process.file.sha256 != ""
    $execution.principal.hostname = $hostname

    // join execution event with Safe Browsing graph
    $sb.graph.entity.file.sha256 = $execution.target.process.file.sha256

    // look for files deemed malicious
    $sb.graph.metadata.entity_type = "FILE"
    $sb.graph.metadata.threat.severity = "CRITICAL"
    $sb.graph.metadata.product_name = "Google Safe Browsing"

  match:
    $hostname over 5m

  condition:
    $execution and $sb

Memperkaya entitas dengan data WHOIS

Sistem menjalankan pengayaan data WHOIS setiap hari sebagai fungsi penting. Data WHOIS bersifat terikat waktu dan tidak terikat waktu.

Selama penyerapan data perangkat Anda, Google SecOps mengevaluasi domain berdasarkan data WHOIS. Jika domain cocok, Google SecOps akan menyimpan data WHOIS terkait dengan data entitas domain. Untuk setiap entitas dengan entity.metadata.entity_type = DOMAIN_NAME, Google SecOps memperkayanya dengan informasi WHOIS.

Google SecOps mengisi data WHOIS yang telah di-enrich ke dalam kolom berikut dalam catatan entitas:

entity.domain.admin.attribute.labels
entity.domain.audit_update_time
entity.domain.billing.attribute.labels
entity.domain.billing.office_address.country_or_region
entity.domain.contact_email
entity.domain.creation_time
entity.domain.expiration_time
entity.domain.iana_registrar_id
entity.domain.name_server
entity.domain.private_registration
entity.domain.registrant.company_name
entity.domain.registrant.office_address.state
entity.domain.registrant.office_address.country_or_region
entity.domain.registrant.email_addresses
entity.domain.registrant.user_display_name
entity.domain.registrar
entity.domain.registry_data_raw_text
entity.domain.status
entity.domain.tech.attribute.labels
entity.domain.update_time
entity.domain.whois_record_raw_text
entity.domain.whois_server
entity.domain.zone

Google SecOps memperkaya entitas domain (entity.metadata.entity_type = "DOMAIN_NAME") dengan data registrant, creation, dan expiration time dari catatan WHOIS global context.

Untuk mengetahui deskripsi kolom ini, lihat dokumen daftar kolom Model Data Terpadu.

Contoh penelusuran

graph.metadata.source_type ="GLOBAL_CONTEXT"
graph.metadata.product_name = "WHOISXMLAPI Simple Whois"
graph.entity.domain.registry_data_raw_text != b""

Praktik terbaik: Mengidentifikasi sumber data yang diperkaya dengan konteks global

Untuk meningkatkan performa aturan, sertakan filter dalam aturan yang menggunakan data dari Sumber pengayaan konteks global untuk mengidentifikasi jenis atau sumber pengayaan tertentu.

Parameter filter berikut mengidentifikasi jenis atau sumber pengayaan: entity_type, product_name, dan vendor_name.

Misalnya, sertakan kolom filter berikut di bagian events aturan yang menggabungkan data WHOIS:

$enrichment.graph.metadata.entity_type = "DOMAIN_NAME"
$enrichment.graph.metadata.product_name = "WHOISXMLAPI Simple Whois"
$enrichment.graph.metadata.vendor_name = "WHOIS"

Batasan dan saran Entity Context Graph

Saat Anda menggunakan data yang diperkaya secara kontekstual, pertimbangkan perilaku EKG berikut:

Jangan menambahkan interval ke data entitas; sebagai gantinya, biarkan EKG membuat interval. Hal ini karena Google SecOps menghasilkan interval selama penghapusan duplikat kecuali dinyatakan lain.
Jika Anda menentukan interval, Google SecOps hanya akan menghapus duplikat peristiwa yang sama dan mempertahankan entitas terbaru.
Untuk memastikan aturan aktif dan retrohunt berfungsi seperti yang diharapkan, Anda harus menyerap entitas setidaknya sekali sehari.
Jika Anda tidak menyerap entitas setiap hari, tetapi hanya sekali dalam dua hari atau lebih, aturan live mungkin berfungsi seperti yang diharapkan; namun, retrohunt mungkin kehilangan beberapa konteks peristiwa.
Jika Anda menyerap entitas identik lebih dari sekali sehari, Google SecOps akan menghapus duplikatnya menjadi satu entitas.
Jika data peristiwa tidak ada selama satu hari, Google SecOps akan menggunakan data dari hari sebelumnya untuk sementara waktu guna memastikan aturan aktif berfungsi dengan benar.

Untuk mengetahui detail tentang batas layanan Google SecOps umum, lihat Batas layanan.

Konten eksternal terkait

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.