Descripción general del enriquecimiento y los alias de UDM

Se admite en los siguientes sistemas operativos:

En este documento, se proporciona una descripción general de cómo Google Security Operations enriquece los registros sin procesar después de convertirlos en eventos normalizados del Modelo de datos unificado (UDM). Google SecOps proporciona diferentes capacidades de enriquecimiento durante la transferencia y la búsqueda.

Enriquecimiento durante la transferencia

  • Enriquecimiento del UDM: Combina los datos normalizados de las fuentes de contexto en las fuentes de eventos del UDM para crear un solo evento del UDM enriquecido. Estas canalizaciones operan casi en tiempo real, y las canalizaciones de reenriquecimiento controlan los datos que llegan tarde.
  • Servicio de alias: Realiza un seguimiento de los usuarios y los recursos a lo largo del tiempo, y combina varios enriquecimientos del UDM con alias para agregar contexto a un indicador o evento del UDM.
  • Gráfico de contexto de entidades (ECG): Combina datos de registros de clientes, información de activos, identidad del usuario y múltiples fuentes de inteligencia sobre amenazas para construir entidades con y sin marca de tiempo, y atributos calculados (por ejemplo, prevalencia, primera vez que se vio o última vez que se vio).
  • Tablas de datos: Actúan como tablas de consulta con columnas definidas. Los datos se almacenan en filas que se unen en el momento de la consulta con tus eventos del UDM. Puedes definir los datos en las tablas de datos y administrar su ciclo de vida.

Los alias, el enriquecimiento de UDM y el ECG se derivan de tus datos de seguridad analizados.

Para obtener más información sobre las fuentes que pueden proporcionar datos de contexto, consulta los siguientes temas:

Funciones compatibles de alias y enriquecimiento del UDM

Google SecOps admite la creación de alias y el enriquecimiento para lo siguiente:

  • Recursos
  • Usuarios
  • Procesos
  • Metadatos de hash de archivos (VirusTotal)
  • Ubicaciones geográficas
  • Recursos de Cloud

Funciones de ECG compatibles

Google SecOps admite los siguientes enriquecimientos relacionados con ECG para la búsqueda:

  • Prevalencia
  • Visto por primera vez y visto por última vez
  • Datos de WHOIS
  • Datos de relaciones de VirusTotal
  • Direcciones IP de nodos de salida de Tor
  • IOCs de Google Threat Intelligence
  • Listas de amenazas de Navegación segura

El enriquecimiento durante la transferencia y la búsqueda te ayuda a equilibrar la compensación entre la latencia y la precisión para las detecciones, las búsquedas y los paneles. El enriquecimiento y la creación de alias del UDM simplifican la experiencia del usuario, ya que escriben los enriquecimientos directamente en los eventos del UDM. Las tablas de datos y los ECG proporcionan flexibilidad y se pueden aplicar a casos de uso específicos.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.