Présentation de l'enrichissement et de l'alias UDM

Compatible avec :

Ce document présente la façon dont Google Security Operations enrichit les journaux bruts après les avoir convertis en événements UDM (Unified Data Model) normalisés. Google SecOps propose différentes fonctionnalités d'enrichissement lors de l'ingestion et de la recherche.

Enrichissement lors de l'ingestion

  • Enrichissement UDM : fusionne les données normalisées provenant de sources de contexte dans des sources d'événements UDM pour créer un événement UDM enrichi unique. Ces pipelines fonctionnent en temps quasi réel, et les pipelines de réenrichissement gèrent les données reçues tardivement.
  • Service d'alias : permet de suivre les utilisateurs et les composants au fil du temps, en fusionnant plusieurs enrichissements UDM à l'aide d'alias pour ajouter du contexte à un indicateur ou un événement UDM.
  • Graphique de contexte d'entité (ECG, Entity Context Graph) : Combine les données de journaux client, les informations sur les composants, l'identité de l'utilisateur et plusieurs sources d'informations sur les menaces pour construire des entités temporelles et intemporelles, ainsi que des attributs calculés (par exemple, la prévalence, la date de première apparition ou la date de dernière apparition).
  • Tables de données : servent de tables de conversion avec des colonnes définies. Les données sont stockées dans des lignes qui sont associées à vos événements UDM au moment de la requête. Vous pouvez définir les données dans les tableaux de données et gérer leur cycle de vie.

L'alias, l'enrichissement UDM et l'ECG sont dérivés de vos données de sécurité analysées.

Pour en savoir plus sur les sources pouvant fournir des données contextuelles, consultez les articles suivants :

Fonctionnalités d'alias et d'enrichissement UDM compatibles

Google SecOps accepte les alias et l'enrichissement pour les éléments suivants :

  • Éléments
  • Utilisateurs
  • Processus
  • Métadonnées du hachage de fichier (VirusTotal)
  • Emplacements géographiques
  • Ressources cloud

Fonctionnalités ECG prises en charge

Google SecOps est compatible avec les enrichissements liés à l'ECG suivants pour la recherche :

  • Prévalence
  • Première et dernière occurrences
  • Données WHOIS
  • Données sur les relations VirusTotal
  • Adresses IP des nœuds de sortie Tor
  • IOC Google Threat Intelligence
  • Listes de menaces de la navigation sécurisée

L'enrichissement lors de l'ingestion et de la recherche vous aide à trouver le juste équilibre entre latence et précision pour les détections, les recherches et les tableaux de bord. L'enrichissement et l'aliasage de l'UDM simplifient l'expérience utilisateur en écrivant les enrichissements directement dans les événements UDM. Les tables de données et les ECG offrent de la flexibilité et peuvent être appliqués à des cas d'utilisation spécifiques.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.