UDM 보강 및 별칭 지정 개요
다음에서 지원:
Google secops
SIEM
이 문서에서는 Google Security Operations에서 정규화된 통합 데이터 모델 (UDM) 이벤트로 변환된 원시 로그를 보강하는 방법을 간략하게 설명합니다. Google SecOps는 수집 및 검색 중에 다양한 보강 기능을 제공합니다.
수집 중 보강
- UDM 보강: 컨텍스트 소스의 정규화된 데이터를 UDM 이벤트 소스에 병합하여 단일 보강 UDM 이벤트를 만듭니다. 이러한 파이프라인은 거의 실시간으로 작동하며 재강화 파이프라인은 늦게 도착하는 데이터를 처리합니다.
- 별칭 지정 서비스: 시간 경과에 따른 사용자 및 애셋을 추적하고 별칭 지정을 사용하여 여러 UDM 풍부화 데이터를 병합하여 UDM 표시기 또는 이벤트에 컨텍스트를 추가합니다.
검색 중 인리치먼트
- 엔티티 컨텍스트 그래프 (ECG): 고객 로그 데이터, 애셋 정보, 사용자 ID, 여러 위협 인텔리전스 소스를 결합하여 시간 제한이 있는 엔티티와 시간 제한이 없는 엔티티, 계산된 속성 (예: 유병률, 최초 발견, 마지막 발견)을 모두 구성합니다.
- 데이터 테이블: 정의된 열이 있는 조회 테이블 역할을 합니다. 데이터는 쿼리 시간에 UDM 이벤트와 결합되는 행에 저장됩니다. 데이터 테이블에서 데이터를 정의하고 수명 주기를 관리할 수 있습니다.
별칭 지정, UDM 보강, ECG는 파싱된 보안 데이터에서 파생됩니다.
컨텍스트 데이터를 제공할 수 있는 소스에 대한 자세한 내용은 다음 주제를 참고하세요.
- 항목 데이터 모델을 사용하여 데이터 수집
- 주요 UDM 필드: 별칭 지정을 검색하여 중요한 UDM 필드를 확인합니다.
지원되는 별칭 지정 및 UDM 보강 기능
Google SecOps는 다음 항목에 대한 별칭 지정 및 보강을 지원합니다.
- 애셋
- 사용자
- 프로세스
- 파일 해시 메타데이터 (VirusTotal)
- 지리적 위치
- 클라우드 리소스
지원되는 심전도 기능
Google SecOps는 검색을 위해 다음과 같은 ECG 관련 보강을 지원합니다.
- 보급률
- 최초 발생 및 최종 발생
- WHOIS 데이터
- VirusTotal 관계 데이터
- Tor 종료 노드 IP 주소
- Google Threat Intelligence IOC
- 세이프 브라우징 위협 목록
수집 및 검색 중의 보강을 통해 감지, 검색, 대시보드의 지연 시간과 정확성 간의 균형을 맞출 수 있습니다. UDM 보강 및 별칭은 보강을 UDM 이벤트에 직접 작성하여 사용자 환경을 간소화합니다. ECG 및 데이터 표는 유연성을 제공하며 특정 사용 사례에 적용할 수 있습니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.