UDM 丰富化和别名设置概览
支持的平台:
Google SecOps
SIEM
本文档概述了 Google Security Operations 在将原始日志转换为标准化的统一数据模型 (UDM) 事件后,如何丰富这些日志。Google SecOps 在数据提取和搜索期间提供不同的丰富功能。
注入期间的扩充
- UDM 丰富化:将来自上下文来源的归一化数据合并到 UDM 事件来源中,以创建单个丰富化的 UDM 事件。这些流水线近乎实时地运行,重新丰富化流水线则处理迟到的数据。
- 别名服务:跟踪用户和资产随时间的变化,通过使用别名合并多个 UDM 丰富数据,为 UDM 指标或事件添加情境。
搜索期间的丰富化
- 实体上下文图 (ECG): 结合了客户日志数据、资产信息、用户身份和多个威胁情报来源,可构建定时和无时限的实体以及计算属性(例如,普遍程度、首次发现时间或上次发现时间)。
- 数据表:充当包含已定义列的对照表。数据以行的形式存储,并在查询时与 UDM 事件联接。您可以在数据表中定义数据并管理其生命周期。
别名、UDM 丰富和 ECG 均源自您解析的安全数据。
如需详细了解可提供情境数据的来源,请参阅以下主题:
- 使用实体数据模型注入数据
- 关键 UDM 字段:搜索别名以查看重要的 UDM 字段。
支持的别名和 UDM 扩充功能
Google SecOps 支持对以下内容进行别名化和丰富:
- 资产
- 用户
- 进程
- 文件哈希元数据 (VirusTotal)
- 地理位置
- 云资源
支持的心电图功能
Google SecOps 支持以下与 ECG 相关的搜索丰富功能:
- 普及率
- 首次出现时间和最后一次出现时间
- WHOIS 数据
- VirusTotal 关系数据
- Tor 退出节点 IP 地址
- Google Threat Intelligence IOC
- 安全浏览威胁列表
在数据提取和搜索期间进行丰富有助于您在检测、搜索和信息中心方面平衡延迟时间和准确性之间的权衡。通过直接将丰富数据写入 UDM 事件,UDM 丰富和别名化可简化用户体验。ECG 和数据表可提供灵活性,并可应用于特定用例。
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。