Ringkasan pengayaan dan pembuatan alias UDM

Didukung di:

Dokumen ini memberikan ringkasan tentang cara Google Security Operations memperkaya log mentah setelah mengonversinya menjadi peristiwa Model Data Terpadu (UDM) yang dinormalisasi. Google SecOps menyediakan berbagai kemampuan pengayaan selama penyerapan dan penelusuran.

Pengayaan selama penyerapan

  • Pengayaan UDM: Menggabungkan data yang dinormalisasi dari sumber konteks ke sumber peristiwa UDM untuk membuat satu peristiwa UDM yang diperkaya. Pipeline ini beroperasi secara hampir real-time dan pipeline pengayaan ulang menangani data yang terlambat tiba.
  • Layanan alias: Melacak pengguna dan aset dari waktu ke waktu, menggabungkan beberapa Pengayaan UDM menggunakan alias untuk menambahkan konteks ke indikator atau peristiwa UDM.
  • Grafik Konteks Entitas (ECG): Menggabungkan data log pelanggan, informasi aset, identitas pengguna, dan beberapa sumber informasi intelijen ancaman untuk membuat entitas yang berjangka waktu dan tidak berjangka waktu serta atribut yang dihitung (misalnya, prevalensi, pertama kali terlihat, atau terakhir kali terlihat).
  • Tabel data: Berfungsi sebagai tabel pemetaan dengan kolom yang ditentukan. Data disimpan dalam baris yang digabungkan pada waktu kueri dengan peristiwa UDM Anda. Anda dapat menentukan data dalam tabel data dan mengelola siklus prosesnya.

Aliasing, pengayaan UDM, dan ECG berasal dari data keamanan yang diuraikan.

Untuk mengetahui informasi selengkapnya tentang sumber yang dapat menyediakan data konteks, lihat topik berikut:

Kemampuan penggabungan nama alternatif dan pengayaan UDM yang didukung

Google SecOps mendukung pembuatan alias dan pengayaan untuk berikut ini:

  • Aset
  • Pengguna
  • Proses
  • Metadata hash file (VirusTotal)
  • Lokasi geografis
  • Resource cloud

Kemampuan EKG yang didukung

SecOps Google mendukung pengayaan terkait ECG berikut untuk penelusuran:

  • Prevalensi
  • Pertama terlihat dan terakhir terlihat
  • Data WHOIS
  • Data hubungan VirusTotal
  • Alamat IP node keluar Tor
  • IOC Google Threat Intelligence
  • Daftar Ancaman Safe Browsing

Pengayaan selama penyerapan dan penelusuran membantu Anda menyeimbangkan trade-off antara latensi dan akurasi untuk deteksi, penelusuran, dan dasbor. Pengayaan dan pembuatan alias UDM menyederhanakan pengalaman pengguna dengan menulis pengayaan langsung ke peristiwa UDM. EKG dan tabel data memberikan fleksibilitas dan dapat diterapkan pada kasus penggunaan tertentu.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.