UDM の拡充とエイリアスの概要
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Google Security Operations が未加工ログを正規化された統合データモデル(UDM)イベントに変換した後で、未加工ログを拡充する方法の概要について説明します。Google SecOps は、取り込みと検索の際にさまざまな拡充機能を提供します。
取り込み中の拡充
- UDM 拡充: コンテキスト ソースから正規化されたデータを UDM イベントソースに統合して、単一の拡充された UDM イベントを作成します。これらのパイプラインはほぼリアルタイムで動作し、再エンリッチメント パイプラインは遅れて到着したデータを処理します。
- エイリアス サービス: ユーザーとアセットを継続的に追跡し、エイリアスを使用して複数の UDM 拡充を統合して、UDM インジケーターまたはイベントにコンテキストを追加します。
検索時のエンリッチメント
- エンティティ コンテキスト グラフ(ECG): 顧客のログデータ、アセット情報、ユーザー ID、複数の脅威インテリジェンス ソースを組み合わせて、時間指定のエンティティと時間指定なしのエンティティの両方と、計算された属性(普及率、初回検出、最終検出など)を構築します。
- データテーブル: 定義済みの列を持つルックアップ テーブルとして機能します。データは、クエリ時に UDM イベントと結合される行に保存されます。データテーブルでデータを定義し、ライフサイクルを管理できます。
エイリアス、UDM 拡充、ECG は、解析されたセキュリティデータから導出されます。
コンテキスト データを提供できるソースの詳細については、次のトピックをご覧ください。
- エンティティ データモデルを使用してデータを取り込む
- 主要な UDM フィールド: エイリアシングを検索して、重要な UDM フィールドを表示します。
サポートされているエイリアス設定と UDM 拡充機能
Google SecOps は、次のエイリアスとエンリッチメントをサポートしています。
- アセット
- ユーザー
- プロセス
- ファイル ハッシュ メタデータ(VirusTotal)
- 地域
- クラウド リソース
サポートされている心電図機能
Google SecOps は、検索用に次の ECG 関連のエンリッチメントをサポートしています。
- 普及率
- 初回検知と最終検知
- WHOIS データ
- VirusTotal の関係データ
- Tor 出口ノードの IP アドレス
- Google Threat Intelligence の IOC
- セーフ ブラウジングの脅威リスト
取り込みと検索時のエンリッチメントにより、検出、検索、ダッシュボードのレイテンシと精度のトレードオフのバランスを取ることができます。UDM の拡充とエイリアスにより、拡充を UDM イベントに直接書き込むことで、ユーザー エクスペリエンスが簡素化されます。ECG とデータテーブルは柔軟性があり、特定のユースケースに適用できます。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。