Visão geral do enriquecimento e do aliasing do UDM

Compatível com:

Este documento apresenta uma visão geral de como o Google Security Operations enriquece os registros brutos depois de convertê-los em eventos normalizados do Modelo Unificado de Dados (UDM, na sigla em inglês). O Google SecOps oferece diferentes recursos de enriquecimento durante a ingestão e a pesquisa.

Enriquecimento durante a ingestão

  • Enriquecimento do UDM: mescla dados normalizados de fontes de contexto em fontes de eventos do UDM para criar um único evento enriquecido do UDM. Esses pipelines operam quase em tempo real, e os pipelines de re-enriquecimento processam dados que chegam atrasados.
  • Serviço de alias: acompanha usuários e recursos ao longo do tempo, mesclando vários enriquecimentos da UDM usando alias para adicionar contexto a um indicador ou evento da UDM.
  • Gráfico de contexto de entidade (ECG, na sigla em inglês): combina dados de registros de clientes, informações de recursos, identidade do usuário e várias fontes de inteligência de ameaças para construir entidades temporais e atemporais e atributos calculados (por exemplo, prevalência, primeira visualização ou última visualização).
  • Tabelas de dados: atuam como tabelas de consulta com colunas definidas. Os dados são armazenados em linhas que são unidas no momento da consulta com seus eventos da UDM. É possível definir os dados em tabelas de dados e gerenciar o ciclo de vida deles.

O aliasing, o enriquecimento de UDM e o ECG são derivados dos seus dados de segurança analisados.

Para mais informações sobre fontes que podem fornecer dados de contexto, consulte os seguintes tópicos:

Recursos compatíveis de alias e enriquecimento da UDM

O Google SecOps oferece suporte a alias e enriquecimento para o seguinte:

  • Recursos
  • Usuários
  • Processos
  • Metadados de hash de arquivo (VirusTotal)
  • Localizações geográficas
  • Recursos do Cloud

Recursos de eletrocardiograma compatíveis

O Google SecOps oferece suporte aos seguintes enriquecimentos relacionados ao ECG para pesquisa:

  • Prevalência
  • Primeira e última visualização
  • Dados do WHOIS
  • Dados de relacionamento do VirusTotal
  • Endereços IP de nós de saída do Tor
  • IOCs do Google Threat Intelligence
  • Listas de ameaças da Navegação segura

O enriquecimento durante a ingestão e a pesquisa ajuda a equilibrar a compensação entre latência e acurácia para detecções, pesquisas e painéis. O enriquecimento e o alias da UDM simplificam a experiência do usuário gravando enriquecimentos diretamente nos eventos da UDM. O eletrocardiograma e as tabelas de dados oferecem flexibilidade e podem ser aplicados a casos de uso específicos.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.