ルールでコンテキストが強化されたデータを使用する
調査中にセキュリティ アナリストが使用できるように、Google Security Operations は、さまざまなソースからコンテキスト データを取り込み、取り込んだデータの性能を分析して、お客様の環境内のアーティファクトに関する追加のコンテキストを提供します。このドキュメントでは、アナリストが検知エンジンのルールでコンテキストが強化されたデータを使用する方法について説明します。
データ拡充の詳細については、Google Security Operations によるイベントデータとエンティティ データの拡充方法をご覧ください。
ルールで普及率の高いフィールドを使用する
次の例は、検出エンジンで普及率関連が強化されたフィールドを使用する方法を示しています。参考として、普及率関連が強化されたフィールドの一覧をご覧ください。
普及率の低いドメイン アクセスを特定する
この検出ルールは、一致が見つかったときに、検出アラートではなく検出イベントを生成します。主に、アセットを調査する際のセカンダリ指標として使用されます。たとえば、インシデントの原因となったさらに重要度が高いアラートが他にもあります。
$enrichment.graph.metadata.entity_type = "FILE"
$enrichment.graph.metadata.product_name = "VirusTotal Relationships"
$enrichment.graph.metadata.vendor_name = "VirusTotal"
フィルタを追加してルールのパフォーマンスを改善する方法については、イベントタイプ フィルタを追加するをご覧ください。
各拡充タイプの詳細については、Google Security Operations によるイベントデータとエンティティ データの拡充方法をご覧ください。
ルールで普及率の高いフィールドを使用する
次の例は、検出エンジンで普及率関連が強化されたフィールドを使用する方法を示しています。参考として、普及率関連が強化されたフィールドの一覧をご覧ください。
普及率スコアが低いドメインへのアクセスの特定する
このルールを使用して、普及率スコアが低いドメインへのアクセスを検出できます。実現させるには、アーティファクトの普及率スコアのベースラインが存在する必要があります。次の例では、参照リストを使用して結果を調整し、しきい値の普及率を適用します。
rule network_prevalence_low_prevalence_domain_access {
meta:
author = "Google Security Operations"
description = "Detects access to a low prevalence domain. Requires baseline of prevalence be in place for effective deployment."
severity = "LOW"
events:
$e.metadata.event_type = "NETWORK_HTTP"
$e.principal.ip = $ip
// filter out URLs with RFC 1918 IP addresses, internal assets
not re.regex($e.target.hostname, `(127(?:\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)){3}$)|(10(?:\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)){3}$)|(192\.168(?:\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)){2}$)|(172\.(?:1[6-9]|2\d|3[0-1])(?:\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)){2})`)
// used an explicit exclusion reference list
not $e.target.hostname in %exclusion_network_prevalence_low_prevalence_domain_access
// only match valid FQDN, filter out background non-routable noise
re.regex($e.target.hostname, `(?:[a-z0-9](?:[a-z0-9-]{0,61}[a-z0-9])?\.)+[a-z0-9][a-z0-9-]{0,61}[a-z0-9]`)
$domainName = $e.target.hostname
//join event ($e) to entity graph ($d)
$e.target.hostname = $d.graph.entity.domain.name
$d.graph.metadata.entity_type = "DOMAIN_NAME"
// tune prevalence as fits your results
$d.graph.entity.domain.prevalence.rolling_max > 0
$d.graph.entity.domain.prevalence.rolling_max <= 10
match:
$ip over 1h
outcome:
$risk_score = max(
// increment risk score based upon rolling_max prevalence
if ( $d.graph.entity.domain.prevalence.rolling_max >= 10, 10) +
if ( $d.graph.entity.domain.prevalence.rolling_max >= 2 and $d.graph.entity.domain.prevalence.rolling_max <= 9 , 20) +
if ( $d.graph.entity.domain.prevalence.rolling_max = 1, 30)
)
$domain_list = array_distinct($domainName)
$domain_count = count_distinct($domainName)
condition:
$e and #d > 10
}
IOC 照合による普及率の低いドメインの特定する
この検出ルールにより検出アラートが生成され、既知の IOC である普及率の低いドメインと比較しながら忠実度の高い照合が提供されます。
rule network_prevalence_uncommon_domain_ioc_match {
meta:
author = "Google Security Operations"
description = "Lookup Network DNS queries against Entity Graph for low prevalence domains with a matching IOC entry."
severity = "MEDIUM"
events:
$e.metadata.event_type = "NETWORK_DNS"
$e.network.dns.questions.name = $hostname
//only match FQDNs, such as: exclude chrome dns access tests and other internal hosts
$e.network.dns.questions.name = /(?:[a-z0-9](?:[a-z0-9-]{0,61}[a-z0-9])?\.)+[a-z0-9][a-z0-9-]{0,61}[a-z0-9]/
//prevalence entity graph lookup
$p.graph.metadata.entity_type = "DOMAIN_NAME"
$p.graph.entity.domain.prevalence.rolling_max > 0
$p.graph.entity.domain.prevalence.rolling_max <= 3
$p.graph.entity.domain.name = $hostname
//ioc entity graph lookup
$i.graph.metadata.vendor_name = "ET_PRO_IOC"
$i.graph.metadata.entity_type = "DOMAIN_NAME"
$i.graph.entity.hostname = $hostname
match:
$hostname over 10m
outcome:
$risk_score = max(
//increment risk score based upon rolling_max prevalence
if ( $p.graph.entity.domain.prevalence.rolling_max = 3, 50) +
if ( $p.graph.entity.domain.prevalence.rolling_max = 2, 70) +
if ( $p.graph.entity.domain.prevalence.rolling_max = 1, 90)
)
condition:
$e and $p and $i
}
ルールでエンティティの初回アクセス時刻を使用する
エンティティ レコードの first_seen_time フィールドまたは last_seen_time フィールドを含むルールを作成できます。
first_seen_time フィールドと last_seen_time フィールドには、ドメイン、IP アドレス、ファイル(ハッシュ)を記述するエンティティが入力されます。ユーザーまたはアセットを記述するエンティティの場合、first_seen_time フィールドのみが入力されます。これらの値は、グループやリソースなど、他のタイプを記述するエンティティに対しては計算されません。
入力された UDM フィールドの一覧については、エンティティの最初と最後のアクセス時刻を計算するをご覧ください。
ルールで first_seen_time を使用する方法の例を次に示します。
rule first_seen_data_exfil {
meta:
author = "Google Security Operations"
description = "Example usage first_seen data"
severity = "LOW"
events:
$first_access.metadata.event_type = "NETWORK_HTTP"
$ip = $first_access.principal.ip
// Join first_access event with entity graph to use first/last seen data.
$ip = $first_last_seen.graph.entity.ip
$first_last_seen.graph.metadata.entity_type = "IP_ADDRESS"
// Check that the first_access UDM event is the first_seen occurrence in the enterprise.
$first_last_seen.graph.entity.artifact.first_seen_time.seconds = $first_access.metadata.event_timestamp.seconds
$first_last_seen.graph.entity.artifact.first_seen_time.nanos = $first_access.metadata.event_timestamp.nanos
// Check for another access event that appears shortly after the first_seen event,
// where lots of data is being sent.
$next_access_data_exfil.metadata.event_type = "NETWORK_CONNECTION"
// Next access event goes to the same IP as the first.
$next_access_data_exfil.principal.ip = $ip
// Next access occurs within 60 seconds after first access.
$next_access_data_exfil.metadata.event_timestamp.seconds > $first_access.metadata.event_timestamp.seconds
60 > $next_access_data_exfil.metadata.event_timestamp.seconds - $first_access.metadata.event_timestamp.seconds
// Lots of data is being sent over the next access event.
$next_access_data_exfil.network.sent_bytes > 10 * 1024 * 1024 * 1024 // 10GB
// Extract hostname of next access event, for match section.
$hostname = $next_access_data_exfil.principal.hostname
match:
$hostname over 1h
condition:
$first_access and $next_access_data_exfil and $first_last_seen
}
ルールで位置情報が拡充されたフィールドを使用する
位置情報拡充データを格納する UDM フィールドは、Detection Engine ルールで使用できます。 入力された UDM フィールドのリストについては、位置情報データを使用してイベントを拡充するをご覧ください。
次の例は、ユーザー エンティティが複数の異なる状態から認証されているかを検出する方法を示しています。
rule geoip_user_login_multiple_states_within_1d {
meta:
author = "Google Security Operations"
description = "Detect multiple authentication attempts from multiple distinct locations using geolocation-enriched UDM fields."
severity = "INFORMATIONAL"
events:
$geoip.metadata.event_type = "USER_LOGIN"
(
$geoip.metadata.vendor_name = "Google Workspace" or
$geoip.metadata.vendor_name = "Google Cloud Platform"
)
/* optionally, detect distinct locations at a country */
(
$geoip.principal.ip_geo_artifact.location.country_or_region != "" and
$geoip.principal.ip_geo_artifact.location.country_or_region = $country
)
(
$geoip.principal.ip_geo_artifact.location.state != "" and
$geoip.principal.ip_geo_artifact.location.state = $state
)
$geoip.target.user.email_addresses = $user
match:
$user over 1d
condition:
$geoip and #state > 1
}
ルールでセーフ ブラウジングが強化されたフィールドの使用する
Google Security Operations は、ファイル ハッシュに関連する脅威リストからデータを取り込みます。この拡充された情報は、Google Security Operations にエンティティとして保存されます。
入力された UDM フィールドの一覧については、セーフ ブラウジング脅威リストの情報を使用してエンティティを拡充するをご覧ください。
検出エンジンルールを作成して、セーフ ブラウジングから取り込んだエンティティとの一致を特定できます。この強化された情報のクエリを実行してコンテキストに応じた分析を構築する検出エンジンルールの例を次に示します。
rule safe_browsing_file_execution {
meta:
author = "Google Security Operations"
description = "Example usage of Safe Browsing data, to detect execution of a file that's been deemed malicious"
severity = "LOW"
events:
// find a process launch event, match on hostname
$execution.metadata.event_type = "PROCESS_LAUNCH"
$execution.principal.hostname = $hostname
// join execution event with Safe Browsing graph
$sb.graph.entity.file.sha256 = $execution.target.process.file.sha256
// look for files deemed malicious
$sb.graph.metadata.entity_type = "FILE"
$sb.graph.metadata.threat.severity = "CRITICAL"
$sb.graph.metadata.product_name = "Google Safe Browsing"
$sb.graph.metadata.source_type = "GLOBAL_CONTEXT"
match:
$hostname over 1h
condition:
$execution and $sb
}
ルールで WHOIS 拡充フィールドを使用する
ドメインを表すエンティティ内の WHOIS 拡充フィールドを検索するルールを作成できます。これらのエンティティの entity.metadata.entity_type フィールドは DOMAIN_NAME に設定されています。入力された UDM フィールドの一覧については、WHOIS データを使用してエンティティを拡充するをご覧ください。
以下に、その方法を示すルールの例を示します。このルールでは、ルールのパフォーマンスを最適化するために、events セクションに次のフィルタ フィールドが含まれています。
$whois.graph.metadata.entity_type = "DOMAIN_NAME"
$whois.graph.metadata.product_name = "WHOISXMLAPI Simple Whois"
$whois.graph.metadata.vendor_name = "WHOIS"
rule whois_expired_domain_executable_download {
meta:
author = "Google Security Operations"
description = "Example usage of WHOIS data, detecting an executable file download from a domain that's recently expired"
severity = "LOW"
events:
$access.metadata.event_type = "NETWORK_HTTP"
$hostname = $access.principal.hostname
// join access event to entity graph to use WHOIS data
$whois.graph.entity.domain.name = $access.target.hostname
// use WHOIS data to look for expired domains
$whois.graph.metadata.entity_type = "DOMAIN_NAME"
$whois.graph.metadata.product_name = "WHOISXMLAPI Simple Whois"
$whois.graph.metadata.vendor_name = "WHOIS"
$whois.graph.entity.domain.expiration_time.seconds < $access.metadata.event_timestamp.seconds
// join access event with executable file creation event by principal hostname
$creation.principal.hostname = $access.principal.hostname
$creation.metadata.event_type = "FILE_CREATION"
$creation.target.file.full_path = /exe/ nocase
// file creation comes after expired domain access
$creation.metadata.event_timestamp.seconds >
$access.metadata.event_timestamp.seconds
match:
$hostname over 1h
condition:
$access and $whois and $creation
}
Google Cloud の脅威インテリジェンス データをクエリする
Google Security Operations は、 Google Cloud Threat Intelligence(GCTI)データソースからデータを取り込み、環境内のアクティビティの調査に使用できるコンテキスト情報を提供します。次のデータソースに対してクエリを実行できます。
- GCTI Tor 出口ノード
- GCTI 安全バイナリ
- GCTI リモート アクセス ツール
これらの脅威フィードと入力されるすべてのフィールドの説明については、 Google Cloud 脅威インテリジェンス データを取り込んで保存するをご覧ください。
このドキュメントでは、プレースホルダ <variable_name> は、UDM レコードを特定するルールで使用される一意の変数名を表します。
Tor 出口ノードの IP アドレスをクエリする
次の例のルールでは、NETWORK_CONNECTION イベントに、GCTI Tor Exit Nodes データソースにも存在する target.ip フィールドに保存されている IP アドレスが含まれている場合に検出が返されます。ルールに <variable_name>.graph.metadata.threat.threat_feed_name、<variable_name>.graph.metadata.vendor_name、<variable_name>.graph.metadata.product_name のフィールドが含まれていることを確認してください。
これは時間指定されたデータソースです。イベントは、その時点でのデータソースのスナップショットに対応します。
rule gcti_tor_exit_nodes {
meta:
author = "Google Cloud Threat Intelligence"
description = "Alert on known Tor exit nodes."
severity = "High"
events:
// Event
$e.metadata.event_type = "NETWORK_CONNECTION"
$e.target.ip = $tor_ip
// Tor IP search in GCTI Feed
$tor.graph.entity.artifact.ip = $tor_ip
$tor.graph.metadata.entity_type = "IP_ADDRESS"
$tor.graph.metadata.threat.threat_feed_name = "Tor Exit Nodes"
$tor.graph.metadata.source_type = "GLOBAL_CONTEXT"
$tor.graph.metadata.vendor_name = "Google Cloud Threat Intelligence"
$tor.graph.metadata.product_name = "GCTI Feed"
match:
$tor_ip over 1h
outcome:
$tor_ips = array_distinct($tor_ip)
$tor_geoip_country = array_distinct($e.target.ip_geo_artifact.location.country_or_region)
$tor_geoip_state = array_distinct($e.target.ip_geo_artifact.location.state)
condition:
$e and $tor
}
良性のオペレーティング システム ファイルのクエリ
次の例のルールでは、Benign Binaries データソースと Tor Exit Nodes データソースを組み合わせて、安全バイナリが Tor 出口ノードに接続したときにアラートを返します。このルールは、Google Security Operations がターゲット IP アドレスを使用して拡充した位置情報データを使用してリスクスコアを計算します。ルールに Benign Binaries と Tor Exit Nodes の両方のデータソース用の <variable_name>.graph.metadata.vendor_name、<variable_name>.graph.metadata.product_name、<variable_name>.graph.metadata.threat.threat_feed_name が含まれていることを確認してください。
これは時間の経過に左右されないデータソースです。イベントは、時間に関係なく、常にデータソースの最新のスナップショットに対応します。
rule gcti_benign_binaries_contacts_tor_exit_node {
meta:
author = "Google Cloud Threat Intelligence"
description = "Alert on Benign Binary contacting a Tor IP address."
severity = "High"
events:
// Event
$e.metadata.event_type = "NETWORK_CONNECTION"
$e.principal.process.file.sha256 = $benign_hash
$e.target.ip = $ip
$e.principal.hostname = $hostname
// Benign File search in GCTI Feed
$benign.graph.entity.file.sha256 = $benign_hash
$benign.graph.metadata.entity_type = "FILE"
$benign.graph.metadata.threat.threat_feed_name = "Benign Binaries"
$benign.graph.metadata.source_type = "GLOBAL_CONTEXT"
$benign.graph.metadata.vendor_name = "Google Cloud Threat Intelligence"
$benign.graph.metadata.product_name = "GCTI Feed"
// Tor IP search in GCTI Feed
$tor.graph.entity.artifact.ip = $ip
$tor.graph.metadata.entity_type = "IP_ADDRESS"
$tor.graph.metadata.threat.threat_feed_name = "Tor Exit Nodes"
$tor.graph.metadata.source_type = "GLOBAL_CONTEXT"
$tor.graph.metadata.vendor_name = "Google Cloud Threat Intelligence"
$tor.graph.metadata.product_name = "GCTI Feed"
match:
$hostname over 1h
outcome:
$risk_score = max(
if($tor.graph.metadata.threat.confidence = "HIGH_CONFIDENCE", 70) +
// Unauthorized target geographies
if($e.target.ip_geo_artifact.location.country_or_region = "Cuba", 20) +
if($e.target.ip_geo_artifact.location.country_or_region = "Iran", 20) +
if($e.target.ip_geo_artifact.location.country_or_region = "North Korea", 20) +
if($e.target.ip_geo_artifact.location.country_or_region = "Russia", 20) +
if($e.target.ip_geo_artifact.location.country_or_region = "Syria", 20)
)
$benign_hashes = array_distinct($benign_hash)
$benign_files = array_distinct($e.principal.process.file.full_path)
$tor_ips = array_distinct($ip)
$tor_geoip_country = array_distinct($e.target.ip_geo_artifact.location.country_or_region)
$tor_geoip_state = array_distinct($e.target.ip_geo_artifact.location.state)
condition:
$e and $benign and $tor
}
リモート アクセス ツールに関するデータをクエリする
次の例のルールでは、PROCESS_LAUNCH イベントタイプに、 Google Cloud Threat Intelligence のリモート アクセス ツールのデータソースもにあるハッシュが含まれている場合に検出が返されます。
これは時間の経過に左右されないデータソースです。イベントは、時間に関係なく、常にデータソースの最新のスナップショットに対応します。
rule gcti_remote_access_tools {
meta:
author = "Google Cloud Threat Intelligence"
description = "Alert on Remote Access Tools."
severity = "High"
events:
// find a process launch event
$e.metadata.event_type = "PROCESS_LAUNCH"
$e.target.process.file.sha256 != ""
$rat_hash = $e.target.process.file.sha256
// join graph and event hashes
$gcti.graph.entity.file.sha256 = $rat_hash
// look for files identified as likely remote access tools
$gcti.graph.metadata.entity_type = "FILE"
$gcti.graph.metadata.vendor_name = "Google Cloud Threat Intelligence"
$gcti.graph.metadata.product_name = "GCTI Feed"
$gcti.graph.metadata.threat.threat_feed_name = "Remote Access Tools"
match:
$rat_hash over 5m
outcome:
$remote_hash = array_distinct($e.target.process.file.sha256)
condition:
$e and $gcti
}
ルールで VirusTotal 拡充メタデータ フィールドを使用する
次のルールは、特定のファイルタイプのファイルの作成またはプロセスの起動を検出し、ウォッチリストに登録されているハッシュがシステムにあることを示します。リスクスコアは、VirusTotal ファイルのメタデータ拡充を使用してファイルに exploit というタグが付けられたときに設定されます。
入力されたすべての UDM フィールドの一覧については、VirusTotal ファイルのメタデータを使用してイベントを拡充するをご覧ください。
rule vt_filemetadata_hash_match_ioc {
meta:
author = "Google Cloud Threat Intelligence"
description = "Detect file/process events that indicate watchlisted hashes are on a system"
severity = "High"
events:
// Process launch or file creation events
$process.metadata.event_type = "PROCESS_LAUNCH" or $process.metadata.event_type ="FILE_CREATION"
$process.principal.hostname = $hostname
$process.target.file.sha256 != ""
$process.target.file.sha256 = $sha256
$process.target.file.file_type = "FILE_TYPE_DOCX"
// IOC matching
$ioc.graph.metadata.product_name = "MISP"
$ioc.graph.metadata.entity_type = "FILE"
$ioc.graph.metadata.source_type = "ENTITY_CONTEXT"
$ioc.graph.entity.file.sha256 = $sha256
match:
$hostname over 15m
outcome:
$risk_score = max(
// Tag enrichment from VirusTotal file metadata
if($process.target.file.tags = "exploit", 90)
)
$file_sha256 = array($process.target.file.sha256)
$host = array($process.principal.hostname)
condition:
$process and $ioc
}
ルールで VirusTotal の関係データを使用する
Google Security Operations は、VirusTotal 関連の接続からデータを取り込みます。このデータには、ファイル ハッシュとファイル、ドメイン、IP アドレス、URL の関係に関する情報が含まれています。この拡充された情報は、Google Security Operations にエンティティとして保存されます。
検出エンジンルールを作成して、VirusTotal から取り込んだエンティティとの一致を特定できます。次のルールは、VirusTotal の関係を持つ既知の IP アドレスから既知のファイル ハッシュをダウンロードしたときにアラートを送信します。リスクスコアは、VirusTotal ファイルのメタデータのファイル形式とタグに基づいています。
このデータは、特定の VirusTotal ライセンスと Google Security Operations ライセンスでのみ利用できます。アカウント マネージャーと一緒に利用資格を確認してください。入力されたすべての UDM フィールドの一覧については、VirusTotal 関係データを使用してエンティティを拡充するをご覧ください。
rule virustotal_file_downloaded_from_url {
meta:
author = "Google Cloud Threat Intelligence"
description = "Alerts on downloading a known file hash from a known IP with VirusTotal relationships. The risk score is based on file type and tags from VirusTotal file metadata."
severity = "High"
events:
// Filter network HTTP events
$e1.metadata.event_type = "NETWORK_HTTP"
$e1.principal.user.userid = $userid
$e1.target.url = $url
// Filter file creation events
$e2.metadata.event_type = "FILE_CREATION"
$e2.target.user.userid = $userid
$e2.target.file.sha256 = $file_hash
// The file creation event timestamp should be equal or greater than the network http event timestamp
$e1.metadata.event_timestamp.seconds <= $e2.metadata.event_timestamp.seconds
// Join event file hash with VirusTotal relationships entity graph
$vt.graph.metadata.entity_type = "FILE"
$vt.graph.metadata.source_type = "GLOBAL_CONTEXT"
$vt.graph.metadata.vendor_name = "VirusTotal"
$vt.graph.metadata.product_name = "VirusTotal Relationships"
$vt.graph.entity.file.sha256 = $file_hash
// Join network HTTP target URL with VirusTotal relationships entity graph
$vt.graph.relations.entity_type = "URL"
$vt.graph.relations.relationship = "DOWNLOADED_FROM"
$vt.graph.relations.entity.url = $url
match:
$userid over 1m
outcome:
$risk_score = max(
// Tag enrichment from VirusTotal file metadata
if($e2.target.file.tags = "via-tor" or $e2.target.file.tags = "malware" or $e2.target.file.tags = "crypto", 50) +
// File types enrichment from VirusTotal file metadata
if($e2.target.file.file_type = "FILE_TYPE_HTML", 5) +
if($e2.target.file.file_type = "FILE_TYPE_ELF", 10) +
if($e2.target.file.file_type = "FILE_TYPE_PE_DLL",15) +
if($e2.target.file.file_type = "FILE_TYPE_PE_EXE", 20)
)
condition:
$e1 and $e2 and $vt and $risk_score >= 50
}
結果整合性
拡充に依存するルールでは、ルールを完全に評価する前に追加のデータが処理される必要があります。時間の経過とともに、拡充プロセスが完了し、最新の正確なデータを使用してルールが再評価されます。この最終的な整合性のプロセスは想定されており、初期の不整合が生じる可能性がありますが、最終的にはすべてのイベントが完全に拡充され、ルールが正確に評価されるようにシステムが保証します。Google Security Operations がイベントとエンティティ データを拡充する方法をご確認ください。
次のステップ
他の Google Security Operations 機能で拡充データを使用する方法については、以下をご覧ください。