Utilizzo del grafico del contesto dell'entità (ECG)

Supportato in:

Google secops SIEM

Questo documento fornisce una panoramica completa del grafico del contesto dell'entità (ECG), delle relative origini dati, della pipeline di elaborazione e delle applicazioni nelle regole e nella ricerca. L'ECG è un modello dei dati delle entità di base che fornisce il contesto essenziale per il rilevamento avanzato delle minacce, le indagini e la ricerca delle minacce nelle regole di rilevamento, nella ricerca e nelle dashboard. La pipeline di elaborazione ECG (unisce) le informazioni contestuali in ogni ambiente Google SecOps.

Inoltre, l'ECG calcola metriche di riepilogo per entità come la prevalenza (la frequenza con cui una determinata entità si verifica nei dati UDM rispetto ad altre entità), il first-seen-time e il last-seen-time di un'entità, nonché le principali origini di arricchimento e gli indicatori di compromissione (IOC) come Google Threat Intelligence (GTI), Safe Browsing, WHOIS e VirusTotal.

L'ECG utilizza gli eventi UDM per:

Crea una visualizzazione arricchita, correlata e completa delle entità interne (asset e utenti) e delle entità esterne (indicatori di compromissione).
Identifica le relazioni tra queste entità.

Origini dati per l'ECG

L'ECG combina i dati delle seguenti fonti:

Origine del contesto	Origine	Descrizione
Contesto entità	Fornito dal cliente	Google SecOps acquisisce direttamente dati organizzativi strutturati, come dettagli autorevoli su utenti e asset, da sistemi esterni. Queste fonti includono Identity Provider (IDP), sistemi Configuration Management Database (CMDB) (come ServiceNow CMDB, Duo User Context) e sistemi di gestione delle vulnerabilità.
Contesto derivato	Generato da Google SecOps	Google SecOps genera dati statistici basati sull'analisi dell'attività inserita. Arricchisce eventi ed entità provenienti da varie origini all'interno del tuo ambiente (ad esempio Windows AD, Azure AD, Okta, Google Cloud, IAM). Ad esempio: Calcola e arricchisce ogni entità con una statistica di prevalenza che indica la sua popolarità nell'ambiente. Calcola e arricchisce entity first-seen-time e last-seen-time.
Contesto globale	Google-sourced	Le fonti globali forniscono dati interni ed esterni su reputazione e intelligence sulle minacce. Ad esempio: Inserisce e memorizza i dati di Google Threat Intelligence. Arricchisce le entità con informazioni provenienti dagli elenchi di minacce di Navigazione sicura. Arricchisce le entità con i dati WHOIS.

Pipeline di elaborazione dei dati ECG

Innanzitutto, la pipeline di alias e arricchimento UDM acquisisce e normalizza gli eventi di sicurezza non elaborati nelle strutture UDM.

Successivamente, l'unione ECG crea un profilo ricco e autorevole per ogni entità unendo il contesto di più origini (come provider di identità, Configuration Management Databases (CMDB), feed di intelligence sulle minacce e contesto derivato) in un unico profilo entità consolidato. L'unione del grafico delle cause ed effetti aggiunge nuove connessioni, proprietà e relazioni al grafico delle cause ed effetti e crea e aggiorna il contesto derivato.

L'ECG crea entità sia temporali che non temporali. L'ECG valuta le entità temporizzate all'interno della regola specificata e degli intervalli di tempo di ricerca, mentre valuta le entità senza tempo senza considerare l'intervallo di tempo della ricerca o della regola.

L'ECG unisce i record di contesto abbinando identificatori di chiave comuni, come hostname, MAC address, user ID o email address, in queste diverse origini dati. Unisce i record che corrispondono a uno qualsiasi di questi valori per creare una visualizzazione completa e arricchita di un'entità.

L'aliasing ECG utilizza i seguenti campi UDM come "chiavi di unione":

Asset
- entity.asset.product_object_id
- entity.asset.hostname
- entity.asset.asset_id
- entity.asset.mac
User
- entity.user.product_object_id
- entity.user.userid
- entity.user.windows_sid
- entity.user.email_addresses
- entity.user.employee_id
Resource
- entity.resource.product_object_id
- entity.resource.name
Group
- entity.group.product_object_id
- entity.group.email_addresses
- entity.group.windows_sid

Quando sono presenti valori in conflitto con uno dei campi precedenti durante il processo di unione, la pipeline ECG selezionerà il valore con l'ora di inizio più recente per aggiornare l'entità.

L'ECG crea dati di contesto dell'entità con una finestra temporale di cinque giorni. Questo processo gestisce i dati in arrivo in ritardo e crea un periodo di validità implicito per i dati di contesto delle entità.

L'ECG distingue tra dati contestuali (asset, utenti, risorse, gruppi) e indicatori di compromissione (IOC).

Esempio: unione dei dati utente con l'unione ECG

Google SecOps acquisisce i dati utente per jdoe da tre origini: Okta, Azure AD e uno scanner di vulnerabilità. ECG unisce questi tre record in base agli identificatori corrispondenti (ad esempio jdoe@example.com) per creare un'unica entità utente jdoe in ECG, contenente gli attributi di tutte e tre le origini.

Esempio: eliminazione dei dati ridondanti per creare un'entità comune

Per creare un'entità combinata comune, l'ECG elimina i dati ridondanti tramite la deduplicazione. Lo fa generando intervalli di tempo anziché abbinando timestamp esatti.

Ad esempio, considera due entità e1 e e2 con timestamp t1 e t2, rispettivamente. Se e1 e e2 sono identici, l'ECG li deduplica ignorando le differenze di timestamp nei seguenti campi:

collected_timestamp
creation_timestamp
interval

Origini dati ECG di contesto di eventi ed entità critici

Google SecOps richiede diverse origini dati specifiche per creare e aggiornare le entità.

Origini dati ECG del contesto dell'entità critica

Le origini dati autorevoli per gli utenti e gli asset del tuo ambiente forniscono i dati di log più critici per la creazione di un modello di dati delle entità. Ad esempio:

Category	Origini dati critiche	Entità compilate
Gestione di identità e accessi	Active Directory, Azure AD, Okta, Google Cloud Identity	`user`, `group`
Inventario degli asset	CMDB, JAMF, Microsoft Intune	`asset`
Threat intelligence	Feed personalizzati o di terze parti, Google Threat Intelligence (GTI)	`ip_address`, `domain_name`, `file`

Ricerca di esempio

Per elencare i parser che supportano ogni categoria:

Vai a Tipi di log supportati con un parser predefinito.
Digita una categoria nella barra di ricerca, ad esempio:
- Per i parser pertinenti all'inventario di asset, digita inventory o asset.
- Per i parser pertinenti alla gestione di identità e accessi, digita identity.
- Per i parser pertinenti alla threat intelligence, digita IOC.

Origini dati e campi UDM critici per la profilazione delle entità

Google SecOps migliora i profili delle entità in base a origini dati di contesto delle entità autorevoli e a campi UDM critici:

Tipo di entità	Origini dati	Campi UDM critici (per l'assegnazione di alias e l'indicizzazione)
Procedura	I log degli endpoint forniscono l'ID processo specifico del prodotto principale (PSPI, `principal.process.product_specific_process_id`), un identificatore stabile fondamentale per l'aliasing robusto dei processi. Alcuni esempi includono CrowdStrike EDR (CS_EDR) e Windows Sysmon (WINDOWS_SYSMON).	`source.process.product_specific_process_id`
Utente	Queste origini forniscono attributi utente e informazioni sull'identità. Ad esempio, i dati di contesto dell'entità Duo (DUO_CONTEXT) e Okta (OKTA).	`source.user.userid`, `source.user.email_address`, `source.user.windows_sid`, `source.user.product_object_id`
Asset o endpoint	Queste fonti forniscono informazioni autorevoli sugli asset. Ad esempio, ServiceNow CMDB (SERVICENOW_CMDB) e Tanium Asset (TANIUM_ASSET).	`source.ip`, `source.hostname`, `source.asset_id`, `principal.asset.hostname`
Hash file	Fornisce un'impronta digitale univoca dei contenuti dei dati per verificarne l'integrità.	`source.file.sha256`, `source.file.sha1`, `source.file.md5`

Campi UDM dei dati di contesto degli eventi critici

Google SecOps richiede diversi campi UDM di dati di contesto degli eventi critici.

I campi UDM più importanti sono quelli che fungono da identificatori stabili e indicatori di relazione (campi principal.*, target.*, src_* e dst_*).
Consulta l'elenco dei campi UDM chiave appartenenti all'area delle funzionalità Entity graph.

Per creare un ECG completo, dai la priorità alle origini dati che forniscono identificatori e dati sulle relazioni di alto valore. Ad esempio:

Tipo di entità	Origini dati critiche	Campi UDM critici per la creazione di entità
Asset (host)	EDR e XDR, DNS e DHCP, firewall, Google Cloud audit log della console	`metadata.event_type`, `principal.asset.asset_id`, `principal.asset.hostname`, `principal.ip`
Utente	Log del provider di identità (IdP), feed HR (contesto), log di Cloud Identity, gateway di posta	`principal.user.userid`, `principal.user.email_addresses`, `target.user.userid`, `principal.ip`
Rete	Log di firewall, VPN, DNS e flusso VPC	`principal.ip`, `target.ip`, `src_ip`, `dst_ip`, `network.direction`
File e processo	EDR e XDR, log delle applicazioni	`target.file.full_path`, `target.process.file.full_path`, `target.process.command_line`

Esempio

I dati ECG si basano su questi campi UDM per unire i dati ECG e i dati degli eventi UDM in regole, ricerche e dashboard.

Ad esempio, puoi unire i dati del contesto utente in una regola di monitoraggio "brute force" per generare un avviso solo se l'utente coinvolto fa parte anche del gruppo "Amministratori di dominio" e l'asset coinvolto è un controller di dominio:

events:
  $fail.metadata.event_type = "USER_LOGIN"
  $fail.metadata.vendor_name = "Microsoft"
  $fail.principal.hostname = $hostname
  $fail.target.user.userid = $target_user
  $fail.security_result.action = "BLOCK"
  $fail.metadata.product_event_type = "4625"
 
  $fail.metadata.event_timestamp.seconds < $success.metadata.event_timestamp.seconds
 
  $success.metadata.event_type = "USER_LOGIN"
  $success.metadata.vendor_name = "Microsoft"
  $success.target.user.userid = $target_user
  $success.principal.hostname = $hostname
  $success.security_result.action = "ALLOW"
  $success.metadata.product_event_type = "4624"
  $user.graph.entity.user.userid = $target_user
  $user.graph.metadata.entity_type = "USER"
  $user.graph.metadata.source_type = "ENTITY_CONTEXT"
  any $user.graph.relations.entity.group.group_display_name = "Domain Admins"

  $asset.graph.entity.asset.hostname = $hostname
  $asset.graph.metadata.entity_type = "ASSET"
  $asset.graph.metadata.source_type = "ENTITY_CONTEXT"
  any $asset.graph.relations.entity.group.group_display_name = "Domain Controllers"
 
match:
  $target_user, $hostname over 15m
condition:
  #fail > 4 and $success and $user and $asset

Arricchimenti del contesto derivati

Google SecOps genera dati di inferenza dinamici basati sugli eventi dai dati sugli eventi della tua organizzazione per ogni entità in tutti gli spazi dei nomi. Utilizza informazioni sugli alias, dati provenienti da processi di arricchimento interni e dati sugli eventi di sicurezza per stabilire relazioni (ad esempio, un asset che utilizza un IP address). Questo processo aggiunge un contesto prezioso per migliorare i profili delle entità.

Ad esempio, aggiunge entity.file.sha256 alle entità file (hash) e (principal or target).ip_geo_artifact.location.country_or_region alle entità network (geolocation).

Google SecOps analizza più indicatori nell'attività inserita per arricchire gli eventi con informazioni di contesto. Esegue funzioni di arricchimento critiche per generare, ad esempio, metriche di rarità delle entità come statistiche di prevalenza e metriche temporali come first-seen-time e last-seen-time.

Statistiche sulla prevalenza

L'ECG è anche responsabile dell'analisi dei dati esistenti e in arrivo per calcolare e archiviare le metriche di prevalenza come campo contesto derivato. Queste metriche rappresentano un valore numerico di "popolarità" per entità come domain, file hash o IP address nel tuo ambiente. In questo modo, puoi individuare attività rare o insolite, poiché le entità più popolari hanno generalmente meno probabilità di essere dannose.

Google SecOps aggiorna regolarmente queste statistiche e le memorizza in un contesto di entità separato. Il motore di rilevamento può utilizzare questi valori e puoi cercarli utilizzando la sintassi delle query UDM. Tuttavia, la console non mostra questi valori con altri dettagli dell'entità.

Puoi utilizzare i seguenti campi durante la creazione delle regole del motore di rilevamento.

Tipo di entità	Campi UDM
Dominio	`entity.domain.prevalence.day_count` `entity.domain.prevalence.day_max` `entity.domain.prevalence.day_max_sub_domains` `entity.domain.prevalence.rolling_max` `entity.domain.prevalence.rolling_max_sub_domains`
File (hash)	`entity.file.prevalence.day_count` `entity.file.prevalence.day_max` `entity.file.prevalence.rolling_max`
Indirizzo IP	`entity.artifact.prevalence.day_count` `entity.artifact.prevalence.day_max` `entity.artifact.prevalence.rolling_max`

Google SecOps calcola i valori di day_max e rolling_max in modo diverso, come segue:

day_max è il punteggio di prevalenza massimo per l'artefatto durante il giorno (un giorno è definito dalle 00:00:00 alle 23:59:59 UTC).
rolling_max è il punteggio di prevalenza giornaliero massimo (ovvero day_max) per l'artefatto nella finestra di 10 giorni precedente.
Il sistema utilizza day_count per calcolare rolling_max e il suo valore è sempre 10.

Quando il sistema calcola questi valori per un domain, la differenza tra day_max e day_max_sub_domains (e tra rolling_max e rolling_max_sub_domains) è la seguente:

rolling_max e day_max rappresentano il numero di indirizzi IP interni univoci giornalieri che accedono a un determinato dominio (esclusi i sottodomini).
rolling_max_sub_domains e day_max_sub_domains rappresentano il numero di indirizzi IP interni univoci che accedono a un determinato dominio (sottodomini inclusi).

Google SecOps calcola le statistiche di prevalenza utilizzando i dati delle entità appena inseriti. Google SecOps non esegue calcoli retroattivi sui dati inseriti in precedenza. Sono necessarie circa 36 ore prima che Google SecOps calcoli e memorizzi le statistiche.

Esempio

L'ECG richiede questi campi UDM per unire i dati di contesto pertinenti in una regola o una ricerca. Devi unire in modo esplicito tutti i dati correlati all'ECG ai dati sugli eventi UDM.

Ad esempio, puoi utilizzare i dati prevalence nell'ECG per determinare le connessioni a domini "rari" nei log di sicurezza:

    $dns.metadata.event_type = "NETWORK_DNS"
    $dns.network.dns.questions.name != ""
    $dns.network.dns.questions.name = $domain
    $prevalence.graph.metadata.entity_type = "DOMAIN_NAME"
    $prevalence.graph.metadata.source_type = "DERIVED_CONTEXT"
    $prevalence.graph.entity.hostname = $domain
    $prevalence.graph.entity.domain.prevalence.day_count = 10
    $prevalence.graph.entity.domain.prevalence.rolling_max > 0
    $prevalence.graph.entity.domain.prevalence.rolling_max <= 3

  match:
    $domain over 5m
  condition:
    $dns and $prevalence

Ora della prima e dell'ultima visualizzazione delle entità

Google SecOps analizza i dati in entrata per arricchire i record di contesto delle entità con i seguenti campi critici:

first-seen-time: la data e l'ora in cui l'entità è stata visualizzata per la prima volta nel tuo ambiente.
last-seen-time: la data e l'ora dell'osservazione più recente.

Questi campi derivati ti consentono di correlare l'attività tra entità domain, file hash, asset, user o IP address.

Il sistema memorizza questi valori nei seguenti campi UDM:

Tipo di entità	Campi UDM
Dominio	`entity.domain.first_seen_time` `entity.domain.last_seen_time`
File (hash)	`entity.file.first_seen_time` `entity.file.last_seen_time`
Indirizzo IP	`entity.artifact.first_seen_time` `entity.artifact.last_seen_time`
Asset	`entity.asset.first_seen_time`
Utente	`entity.user.first_seen_time`

Eccezioni per i calcoli di first-seen-time e last-seen-time:

Per le entità asset e user, Google SecOps compila solo il campo first_seen_time, ma non il campo last_seen_time.
Google SecOps non calcola le statistiche per ogni entità all'interno dei singoli spazi dei nomi.
Google SecOps non esporta queste statistiche nello schema events di Google SecOps in BigQuery.
Google SecOps non calcola questi valori per altri tipi di entità, ad esempio group o resource.

Arricchimenti contestuali globali

Queste fonti includono dati esterni di intelligence sulle minacce e reputazione provenienti da fonti globali interne e di terze parti.

Importa i dati di Google Threat Intelligence

Google SecOps acquisisce i dati dalle origini dati di Google Threat Intelligence (GTI) e fornisce informazioni contestuali per l'analisi dell'attività nel tuo ambiente.

Esegui query sulle seguenti origini dati:

Nodi di uscita Tor GTI:indirizzi IP noti come nodi di uscita Tor.
GTI Benign Binaries:file che fanno parte della distribuzione del sistema operativo originale o che sono stati aggiornati da una patch ufficiale del sistema operativo. Alcuni binari del sistema operativo ufficiali che sono stati utilizzati in modo improprio da un avversario tramite attività comuni negli attacchi living-off-the-land sono esclusi da questa origine dati, ad esempio quelli incentrati sui vettori di ingresso iniziali.
Strumenti di accesso remoto GTI: file utilizzati di frequente da autori di attacchi informatici. Questi strumenti sono in genere applicazioni legittime che a volte vengono utilizzate in modo improprio per connettersi in remoto a sistemi compromessi.

Il sistema archivia questi dati contestuali a livello globale come entità. Puoi eseguire query sui dati utilizzando le regole del motore di rilevamento. Includi i seguenti campi e valori UDM nella regola per eseguire query su queste entità globali:

graph.metadata.vendor_name = Google Threat Intelligence
graph.metadata.product_name = GTI Feed

Origini dati di Google Threat Intelligence temporizzate e non temporizzate

Le origini dati di Google Threat Intelligence includono tipi temporizzati o senza tempo.

Ogni voce nelle origini dati temporizzate ha un intervallo di tempo associato. Se Google SecOps genera un rilevamento il giorno 1, in qualsiasi giorno futuro Google SecOps prevede di generare lo stesso rilevamento per il giorno 1 durante una ricerca retroattiva.

Le origini dati senza limiti di tempo non hanno un intervallo di tempo associato. Questo perché devi prendere in considerazione solo l'ultimo set di dati. Il sistema utilizza in genere origini dati senza scadenza per i dati che non dovrebbero cambiare, ad esempio gli hash dei file. Se Google SecOps non genera un rilevamento il giorno 1, potrebbe generarlo per il giorno 1 durante una ricerca retroattiva il giorno 2 perché è stata aggiunta una nuova voce all'origine dati senza data.

Dati sugli indirizzi IP dei nodi di uscita Tor

Google SecOps importa e archivia gli indirizzi IP noti dei nodi di uscita Tor. I nodi di uscita Tor sono i punti in cui il traffico esce dalla rete Tor. I dati dei nodi di uscita Tor sono sincronizzati.

Google SecOps memorizza le informazioni inserite da questa origine dati nei seguenti campi UDM:

Campo UDM	Descrizione
`<variable_name>.graph.metadata.vendor_name`	Memorizza il valore `Google Threat Intelligence`.
`<variable_name>.graph.metadata.product_name`	Memorizza il valore `GTI Feed`.
`<variable_name>.graph.metadata.threat.threat_feed_name`	Memorizza il valore `Tor Exit Nodes`.
`<variable_name>.graph.entity.artifact.ip`	Memorizza l'indirizzo IP inserito dall'origine dati GTI.

Ricerca di esempio

graph.metadata.source_type ="GLOBAL_CONTEXT"
graph.metadata.product_name = "GTI Feed"
graph.metadata.threat.threat_feed_name = "Tor Exit Nodes"

Dati sui file del sistema operativo benigni

Google SecOps acquisisce e archivia gli hash dei file dall'origine dati GTI Benign Binaries. Google SecOps archivia le informazioni importate da questa origine dati nei seguenti campi UDM. I dati sui binari benigni sono senza tempo.

Campo UDM	Descrizione
`<variable_name>.graph.metadata.vendor_name`	Memorizza il valore `Google Threat Intelligence`.
`<variable_name>.graph.metadata.product_name`	Memorizza il valore `GTI Feed`.
`<variable_name>.graph.metadata.threat.threat_feed_name`	Memorizza il valore `Benign Binaries`.
`<variable_name>.graph.entity.file.sha256`	Memorizza il valore hash SHA256 del file.
`<variable_name>.graph.entity.file.sha1`	Memorizza il valore hash SHA-1 del file.
`<variable_name>.graph.entity.file.md5`	Memorizza il valore hash MD5 del file.

Ricerca di esempio

graph.metadata.source_type ="GLOBAL_CONTEXT"
graph.metadata.product_name = "GTI Feed"
graph.metadata.threat.threat_feed_name = "Benign Binaries"

Dati sugli strumenti di accesso remoto

Gli strumenti di accesso remoto includono hash di file per strumenti di accesso remoto noti, come i client VNC che sono stati utilizzati di frequente da autori di minacce. Questi strumenti sono in genere applicazioni legittime che a volte vengono utilizzate in modo improprio per connettersi da remoto a sistemi compromessi. Google SecOps archivia le informazioni importate da questa origine dati nei seguenti campi UDM. I dati degli strumenti di accesso remoto sono senza limiti di tempo.

Campo UDM	Descrizione
`<variable_name>.graph.metadata.vendor_name`	Memorizza il valore `Google Threat Intelligence`.
`<variable_name>.graph.metadata.product_name`	Memorizza il valore `GTI Feed`.
`<variable_name>.graph.metadata.threat.threat_feed_name`	Memorizza il valore `Remote Access Tools`.
`<variable_name>.graph.entity.file.sha256`	Memorizza il valore hash SHA256 del file.
`<variable_name>.graph.entity.file.sha1`	Memorizza il valore hash SHA-1 del file.
`<variable_name>.graph.entity.file.md5`	Memorizza il valore hash MD5 del file.

Ricerca di esempio

graph.metadata.source_type ="GLOBAL_CONTEXT"
graph.metadata.product_name = "GTI Feed"
graph.metadata.threat.threat_feed_name = "Remote Access Tools"

Arricchire le entità con le informazioni degli elenchi di minacce di Navigazione sicura

Google SecOps acquisisce i dati di Navigazione sicura correlati agli hash dei file. Google SecOps archivia i dati di ogni file come entità e fornisce un contesto aggiuntivo sul file. Puoi creare regole del motore di rilevamento che eseguono query su questi dati del contesto dell'entità per creare analisi sensibili al contesto.

Google SecOps archivia le seguenti informazioni con il record di contesto dell'entità.

Campo UDM	Descrizione
`entity.metadata.product_entity_id`	Un identificatore univoco per l'entità.
`entity.metadata.entity_type`	Questo valore è `FILE`, il che indica che l'entità descrive un file.
`entity.metadata.collected_timestamp`	La data e l'ora in cui è stata osservata l'entità o si è verificato l'evento.
`entity.metadata.interval`	Memorizza l'ora di inizio e l'ora di fine per cui questi dati sono validi. Poiché i contenuti degli elenchi di minacce cambiano nel tempo, `start_time` e `end_time` riflettono l'intervallo di tempo durante il quale i dati sull'entità sono validi. Ad esempio, è stato osservato che l'hash di un file è dannoso o sospetto tra il giorno `start_time` e il giorno `end_time`.
`entity.metadata.threat.category`	Google SecOps `SecurityCategory`. Il sistema imposta questo valore su uno o più dei seguenti valori: `SOFTWARE_MALICIOUS`: indica che la minaccia è correlata a malware. `SOFTWARE_PUA`: indica che la minaccia è correlata a software indesiderato.
`entity.metadata.threat.severity`	Questo è il `ProductSeverity` di Google SecOps. Se il valore è `CRITICAL`, significa che l'artefatto appare dannoso. Se il valore non è specificato, non c'è sufficiente certezza per indicare che l'artefatto è dannoso.
`entity.metadata.product_name`	Memorizza il valore `Google Safe Browsing`.
`entity.file.sha256`	Il valore hash SHA256 del file.

Regola di esempio

events:
    // find a process launch event, match on hostname
    $execution.metadata.event_type = "PROCESS_LAUNCH"
    $execution.target.process.file.sha256 != ""
    $execution.principal.hostname = $hostname

    // join execution event with Safe Browsing graph
    $sb.graph.entity.file.sha256 = $execution.target.process.file.sha256

    // look for files deemed malicious
    $sb.graph.metadata.entity_type = "FILE"
    $sb.graph.metadata.threat.severity = "CRITICAL"
    $sb.graph.metadata.product_name = "Google Safe Browsing"

  match:
    $hostname over 5m

  condition:
    $execution and $sb

Arricchire le entità con i dati WHOIS

Il sistema esegue l'arricchimento dei dati WHOIS quotidianamente come funzione critica. I dati WHOIS sono sia temporanei che senza tempo.

Durante l'importazione dei dati del dispositivo, Google SecOps valuta i domini rispetto ai dati WHOIS. Quando i domini corrispondono, Google SecOps memorizza i dati WHOIS correlati con il record dell'entità del dominio. Per ogni entità con entity.metadata.entity_type = DOMAIN_NAME, Google SecOps la arricchisce con le informazioni WHOIS.

Google SecOps inserisce i dati WHOIS arricchiti nei seguenti campi del record dell'entità:

entity.domain.admin.attribute.labels
entity.domain.audit_update_time
entity.domain.billing.attribute.labels
entity.domain.billing.office_address.country_or_region
entity.domain.contact_email
entity.domain.creation_time
entity.domain.expiration_time
entity.domain.iana_registrar_id
entity.domain.name_server
entity.domain.private_registration
entity.domain.registrant.company_name
entity.domain.registrant.office_address.state
entity.domain.registrant.office_address.country_or_region
entity.domain.registrant.email_addresses
entity.domain.registrant.user_display_name
entity.domain.registrar
entity.domain.registry_data_raw_text
entity.domain.status
entity.domain.tech.attribute.labels
entity.domain.update_time
entity.domain.whois_record_raw_text
entity.domain.whois_server
entity.domain.zone

Google SecOps arricchisce le entità domain (entity.metadata.entity_type = "DOMAIN_NAME") con dati registrant, creation e expiration time provenienti dai record WHOIS global context.

Per le descrizioni di questi campi, consulta il documento Elenco dei campi Unified Data Model.

Ricerca di esempio

graph.metadata.source_type ="GLOBAL_CONTEXT"
graph.metadata.product_name = "WHOISXMLAPI Simple Whois"
graph.entity.domain.registry_data_raw_text != b""

Best practice: identificare le origini dati arricchite con il contesto globale

Per migliorare il rendimento delle regole, includi un filtro nelle regole che utilizzano i dati delle origini di arricchimento del contesto globale per identificare il tipo o l'origine di arricchimento specifico.

I seguenti parametri di filtro identificano il tipo o l'origine dell'arricchimento: entity_type, product_name e vendor_name.

Ad esempio, includi i seguenti campi di filtro nella sezione events della regola che unisce i dati WHOIS:

$enrichment.graph.metadata.entity_type = "DOMAIN_NAME"
$enrichment.graph.metadata.product_name = "WHOISXMLAPI Simple Whois"
$enrichment.graph.metadata.vendor_name = "WHOIS"

Limitazioni e suggerimenti per il grafico contestuale delle entità

Quando utilizzi dati arricchiti in base al contesto, tieni presente il seguente comportamento dell'ECG:

Non aggiungere intervalli ai dati dell'entità; lascia invece che sia l'ECG a crearli. Questo perché Google SecOps genera intervalli durante la deduplicazione, se non diversamente specificato.
Se specifichi gli intervalli, Google SecOps deduplica solo gli stessi eventi e conserva l'entità più recente.
Per garantire il corretto funzionamento delle regole live e delle ricerche retrospettive, devi importare le entità almeno una volta al giorno.
Se non esegui l'importazione delle entità quotidianamente, ma solo una volta ogni due o più giorni, le regole live potrebbero funzionare come previsto; tuttavia, le ricerche retrospettive potrebbero perdere alcuni contesti degli eventi.
Se importi entità identiche più di una volta al giorno, Google SecOps le deduplica in un'unica entità.
Se mancano i dati degli eventi per un giorno, Google SecOps utilizza temporaneamente i dati del giorno precedente per garantire il corretto funzionamento delle regole attive.

Per informazioni dettagliate sui limiti generali del servizio Google SecOps, consulta Limiti del servizio.

Contenuti esterni correlati

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.