Panoramica dell'arricchimento e dell'assegnazione di alias UDM

Supportato in:

Questo documento fornisce una panoramica di come Google Security Operations arricchisce i log non elaborati dopo averli convertiti in eventi Unified Data Model (UDM) normalizzati. Google SecOps offre diverse funzionalità di arricchimento durante l'importazione e la ricerca.

Arricchimento durante l'importazione

  • Arricchimento UDM: unisce i dati normalizzati delle origini di contesto nelle origini eventi UDM per creare un unico evento UDM arricchito. Queste pipeline operano quasi in tempo reale e le pipeline di riarricchimento gestiscono i dati che arrivano in ritardo.
  • Servizio di aliasing: tiene traccia di utenti e asset nel tempo, unendo più arricchimenti UDM utilizzando l'aliasing per aggiungere contesto a un indicatore o evento UDM.
  • Entity Context Graph (ECG): Combina i dati di log dei clienti, le informazioni sugli asset, l'identità utente e più fonti di intelligence sulle minacce per costruire entità e attributi calcolati (ad esempio prevalenza, prima visualizzazione o ultima visualizzazione) con e senza timestamp.
  • Tabelle di dati: fungono da tabelle di ricerca con colonne definite. I dati vengono archiviati in righe unite al momento della query agli eventi UDM. Puoi definire i dati nelle tabelle di dati e gestirne il ciclo di vita.

L'assegnazione di alias, l'arricchimento UDM e l'ECG derivano dai dati di sicurezza analizzati.

Per ulteriori informazioni sulle origini che possono fornire dati contestuali, consulta i seguenti argomenti:

Funzionalità di alias e arricchimento UDM supportate

Google SecOps supporta l'assegnazione di alias e l'arricchimento per quanto segue:

  • Asset
  • Utenti
  • Processi
  • Metadati hash file (VirusTotal)
  • Località geografiche
  • Risorse cloud

Funzionalità ECG supportate

Google SecOps supporta i seguenti arricchimenti correlati all'ECG per la ricerca:

  • Prevalenza
  • Prima visualizzazione e ultima visualizzazione
  • Dati WHOIS
  • Dati sulle relazioni di VirusTotal
  • Indirizzi IP dei nodi di uscita Tor
  • Indicatori di compromissione di Google Threat Intelligence
  • Elenchi di minacce di Navigazione sicura

L'arricchimento durante l'importazione e la ricerca ti aiuta a trovare un equilibrio tra latenza e precisione per rilevamenti, ricerche e dashboard. L'arricchimento e l'assegnazione di alias UDM semplificano l'esperienza utente scrivendo gli arricchimenti direttamente negli eventi UDM. ECG e tabelle di dati offrono flessibilità e possono essere applicati a casi d'uso specifici.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.