Übersicht über UDM-Anreicherung und ‑Aliasing
In diesem Dokument finden Sie einen Überblick darüber, wie Google Security Operations Rohlogs anreichert, nachdem sie in normalisierte Unified Data Model-Ereignisse (UDM) konvertiert wurden. Google SecOps bietet verschiedene Anreicherungsfunktionen während der Aufnahme und Suche.
Anreicherung bei der Aufnahme
- UDM-Anreicherung: Normalisierte Daten aus Kontextquellen werden in UDM-Ereignisquellen zusammengeführt, um ein einzelnes angereichertes UDM-Ereignis zu erstellen. Diese Pipelines werden in nahezu Echtzeit ausgeführt und Re-Enrichment-Pipelines verarbeiten Daten, die erst später eintreffen.
- Aliasing-Dienst: Er verfolgt Nutzer und Assets im Zeitverlauf und führt mehrere UDM-Anreicherungen mithilfe von Aliasing zusammen, um einem UDM-Indikator oder -Ereignis Kontext hinzuzufügen.
Anreicherung während der Suche
- Entity Context Graph (ECG): Kombiniert Kundenprotokolldaten, Asset-Informationen, Nutzeridentitäten und mehrere Quellen für Threat Intelligence, um sowohl zeitbezogene als auch zeitlose Entitäten und berechnete Attribute zu erstellen (z. B. Häufigkeit, erstmalige oder letzte Sichtung).
- Datentabellen: Dienen als Suchtabellen mit definierten Spalten. Die Daten werden in Zeilen gespeichert, die zur Abfragezeit mit Ihren UDM-Ereignissen zusammengeführt werden. Sie können die Daten in Datentabellen definieren und ihren Lebenszyklus verwalten.
Aliasing, UDM-Anreicherung und ECG werden aus Ihren geparsten Sicherheitsdaten abgeleitet.
Weitere Informationen zu Quellen, die Kontextdaten liefern können, finden Sie in den folgenden Themen:
- Daten mit dem Entitätsdatenmodell aufnehmen
- Wichtige UDM-Felder: Suchen Sie nach Aliasing, um die wichtigen UDM-Felder aufzurufen.
Unterstützte Aliasing- und UDM-Anreicherungsfunktionen
Google SecOps unterstützt Aliasing und Anreicherung für Folgendes:
- Assets
- Nutzer
- Prozesse
- Metadaten für Dateihash (VirusTotal)
- Standorte
- Cloud-Ressourcen
Unterstützte EKG-Funktionen
Google SecOps unterstützt die folgenden ECG-bezogenen Erweiterungen für die Suche:
- Verbreitung
- Zuerst und zuletzt erfasst
- WHOIS-Daten
- VirusTotal-Beziehungsdaten
- IP-Adressen von Tor-Exit-Knoten
- Google Threat Intelligence – IOCs
- Safe Browsing-Bedrohungslisten
Durch die Anreicherung während der Aufnahme und Suche können Sie das Gleichgewicht zwischen Latenz und Genauigkeit für Erkennungen, Suchvorgänge und Dashboards optimieren. Durch die UDM-Anreicherung und das Aliasing wird die Nutzerfreundlichkeit verbessert, da Anreicherungen direkt in UDM-Ereignisse geschrieben werden. EKG und Datentabellen bieten Flexibilität und können für bestimmte Anwendungsfälle verwendet werden.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten