UDM 擴充和別名總覽
支援的國家/地區:
Google SecOps
SIEM
本文將概略說明 Google Security Operations 如何在將原始記錄轉換為標準化統一資料模型 (UDM) 事件後,擴充這些記錄的內容。Google SecOps 在擷取和搜尋期間提供不同的擴充功能。
擷取期間的擴充功能
- UDM 擴充:將來自內容來源的正規化資料合併至 UDM 事件來源,建立單一擴充 UDM 事件。這些管道會以近乎即時的速度運作,而重新擴充管道則會處理延遲抵達的資料。
- 別名服務:長期追蹤使用者和資產,並使用別名合併多個 UDM 擴充功能,為 UDM 指標或事件新增背景資訊。
搜尋期間的擴充功能
- 實體內容圖表 (ECG): 結合客戶記錄檔資料、資產資訊、使用者身分和多個威脅情報來源,建構有時間性和無時間性的實體,以及計算屬性 (例如普遍程度、首次或上次出現時間)。
- 資料表:可做為對照表使用,裡面的資料欄經過定義。這些資料會儲存在資料列中,並在查詢時與 UDM 事件合併。您可以定義資料表中的資料,並管理資料的生命週期。
別名、UDM 擴充功能和 ECG 都是從您剖析的安全資料衍生而來。
如要進一步瞭解可提供內容資料的來源,請參閱下列主題:
- 使用實體資料模型擷取資料
- 重要 UDM 欄位:搜尋 aliasing,即可查看重要 UDM 欄位。
支援別名和 UDM 擴充功能
Google SecOps 支援下列項目的別名和擴充功能:
- 資產
- 使用者
- 程序
- 檔案雜湊中繼資料 (VirusTotal)
- 地理位置
- 雲端資源
支援的心電圖功能
Google SecOps 支援下列與心電圖相關的搜尋強化功能:
- 出現次數
- 首次出現時間和上次出現時間
- WHOIS 資料
- VirusTotal 關係資料
- Tor 結束節點 IP 位址
- Google Threat Intelligence IOC
- 安全瀏覽威脅清單
擷取和搜尋期間的擴充功能可協助您在偵測、搜尋和資訊主頁的延遲時間和準確度之間取得平衡。UDM 擴充和別名功能可直接將擴充內容寫入 UDM 事件,簡化使用者體驗。ECG 和資料表提供彈性,可套用至特定用途。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。