ルールでコンテキストが強化されたデータを使用する
調査中にセキュリティ アナリストが使用できるようにするため、Google Security Operations はさまざまなソースからコンテキスト データを取り込み、取り込んだデータを分析して、お客様の環境内のアーティファクトに関する追加のコンテキストを提供します。このドキュメントでは、アナリストが検知エンジンのルールでコンテキストが強化されたデータを使用する方法について説明します。
データ拡充の詳細については、Google Security Operations によるイベントデータとエンティティ データの拡充方法をご覧ください。
ルールで普及率の高いフィールドを使用する
次の例は、検出エンジンで普及率関連が強化されたフィールドを使用する方法を示しています。参考として、普及率関連が強化されたフィールドの一覧をご覧ください。
普及率の低いドメイン アクセスを特定する
この検出ルールは、一致した場合に、検出アラートではなく検出イベントを生成します。これは主に、アセットを調査する際の二次的指標として使用することを目的としています。たとえば、インシデントの原因となったさらに重要度が高いアラートが他にもあります。
$enrichment.graph.metadata.entity_type = "FILE"
$enrichment.graph.metadata.product_name = "VirusTotal Relationships"
$enrichment.graph.metadata.vendor_name = "VirusTotal"
フィルタを追加してルールのパフォーマンスを向上させる方法については、イベントタイプ フィルタを追加するをご覧ください。
各拡充の種類については、Google セキュリティ運用によるイベントデータとエンティティ データの拡充方法をご覧ください。
ルールで普及率の高いフィールドを使用する
次の例は、検出エンジンで普及率関連が強化されたフィールドを使用する方法を示しています。参考として、普及率関連が強化されたフィールドの一覧をご覧ください。
普及率スコアが低いドメインへのアクセスの特定する
このルールを使用して、普及率スコアが低いドメインへのアクセスを検出できます。実現させるには、アーティファクトの普及率スコアのベースラインが存在する必要があります。次の例では、参照リストを使用して結果を調整し、しきい値の普及率を適用します。
rule network_prevalence_low_prevalence_domain_access {
meta:
author = "Google Security Operations"
description = "Detects access to a low prevalence domain. Requires baseline of prevalence be in place for effective deployment."
severity = "LOW"
events:
$e.metadata.event_type = "NETWORK_HTTP"
$e.principal.ip = $ip
// filter out URLs with RFC 1918 IP addresses, i.e., internal assets
not re.regex($e.target.hostname, `(127(?:\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)){3}$)|(10(?:\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)){3}$)|(192\.168(?:\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)){2}$)|(172\.(?:1[6-9]|2\d|3[0-1])(?:\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)){2})`)
// used an explicit exclusion reference list
not $e.target.hostname in %exclusion_network_prevalence_low_prevalence_domain_access
// only match valid FQDN, filter out background non-routable noise
re.regex($e.target.hostname, `(?:[a-z0-9](?:[a-z0-9-]{0,61}[a-z0-9])?\.)+[a-z0-9][a-z0-9-]{0,61}[a-z0-9]`)
$domainName = $e.target.hostname
//join event ($e) to entity graph ($d)
$e.target.hostname = $d.graph.entity.domain.name
$d.graph.metadata.entity_type = "DOMAIN_NAME"
// tune prevalence as fits your results
$d.graph.entity.domain.prevalence.rolling_max > 0
$d.graph.entity.domain.prevalence.rolling_max <= 10
match:
$ip over 1h
outcome:
$risk_score = max(
// increment risk score based upon rolling_max prevalence
if ( $d.graph.entity.domain.prevalence.rolling_max >= 10, 10) +
if ( $d.graph.entity.domain.prevalence.rolling_max >= 2 and $d.graph.entity.domain.prevalence.rolling_max <= 9 , 20) +
if ( $d.graph.entity.domain.prevalence.rolling_max = 1, 30)
)
$domain_list = array_distinct($domainName)
$domain_count = count_distinct($domainName)
condition:
$e and #d > 10
}
IOC 照合による普及率の低いドメインの特定する
この検出ルールにより検出アラートが生成され、既知の IOC である普及率の低いドメインと比較しながら忠実度の高い照合が提供されます。
rule network_prevalence_uncommon_domain_ioc_match {
meta:
author = "Google Security Operations"
description = "Lookup Network DNS queries against Entity Graph for low prevalence domains with a matching IOC entry."
severity = "MEDIUM"
events:
$e.metadata.event_type = "NETWORK_DNS"
$e.network.dns.questions.name = $hostname
//only match FQDNs, e.g., exclude chrome dns access tests and other internal hosts
$e.network.dns.questions.name = /(?:[a-z0-9](?:[a-z0-9-]{0,61}[a-z0-9])?\.)+[a-z0-9][a-z0-9-]{0,61}[a-z0-9]/
//prevalence entity graph lookup
$p.graph.metadata.entity_type = "DOMAIN_NAME"
$p.graph.entity.domain.prevalence.rolling_max > 0
$p.graph.entity.domain.prevalence.rolling_max <= 3
$p.graph.entity.domain.name = $hostname
//ioc entity graph lookup
$i.graph.metadata.vendor_name = "ET_PRO_IOC"
$i.graph.metadata.entity_type = "DOMAIN_NAME"
$i.graph.entity.hostname = $hostname
match:
$hostname over 10m
outcome:
$risk_score = max(
//increment risk score based upon rolling_max prevalence
if ( $p.graph.entity.domain.prevalence.rolling_max = 3, 50) +
if ( $p.graph.entity.domain.prevalence.rolling_max = 2, 70) +
if ( $p.graph.entity.domain.prevalence.rolling_max = 1, 90)
)
condition:
$e and $p and $i
}
ルールでエンティティの最初の検出時間を使用する
エンティティ レコードの first_seen_time フィールドや last_seen_time フィールドを含むルールを記述できます。
first_seen_time フィールドと last_seen_time フィールドには、ドメイン、IP アドレス、ファイル(ハッシュ)を記述するエンティティが入力されます。ユーザーまたはアセットを記述するエンティティの場合、first_seen_time フィールドのみが入力されます。これらの値は、グループやリソースなど、他のタイプを記述するエンティティでは計算されません。
入力された UDM フィールドの一覧については、エンティティの最初または最後の検出時間を計算するをご覧ください。
次の例は、ルールで first_seen_time を使用する方法を示しています。
rule first_seen_data_exfil {
meta:
author = "Google Security Operations"
description = "Example usage first_seen data"
severity = "LOW"
events:
$first_access.metadata.event_type = "NETWORK_HTTP"
$ip = $first_access.principal.ip
// Join first_access event with entity graph to use first/last seen data.
$ip = $first_last_seen.graph.entity.ip
$first_last_seen.graph.metadata.entity_type = "IP_ADDRESS"
// Check that the first_access UDM event is the first_seen occurrence in the enterprise.
$first_last_seen.graph.entity.artifact.first_seen_time.seconds = $first_access.metadata.event_timestamp.seconds
$first_last_seen.graph.entity.artifact.first_seen_time.nanos = $first_access.metadata.event_timestamp.nanos
// Check for another access event that appears shortly after the first_seen event,
// where lots of data is being sent.
$next_access_data_exfil.metadata.event_type = "NETWORK_CONNECTION"
// Next access event goes to the same IP as the first.
$next_access_data_exfil.principal.ip = $ip
// Next access occurs within 60 seconds after first access.
$next_access_data_exfil.metadata.event_timestamp.seconds > $first_access.metadata.event_timestamp.seconds
60 > $next_access_data_exfil.metadata.event_timestamp.seconds - $first_access.metadata.event_timestamp.seconds
// Lots of data is being sent over the next access event.
$next_access_data_exfil.network.sent_bytes > 10 * 1024 * 1024 * 1024 // 10GB
// Extract hostname of next access event, for match section.
$hostname = $next_access_data_exfil.principal.hostname
match:
$hostname over 1h
condition:
$first_access and $next_access_data_exfil and $first_last_seen
}
ルールで位置情報が拡充されたフィールドを使用する
位置情報拡充データを格納する UDM フィールドは、Detection Engine ルールで使用できます。 入力された UDM フィールドのリストについては、位置情報データを使用してイベントを拡充するをご覧ください。
次の例は、ユーザー エンティティが複数の異なる状態から認証されているかどうかを検出する方法を示しています。
rule geoip_user_login_multiple_states_within_1d {
meta:
author = "Google Security Operations"
description = "Detect multiple authentication attempts from multiple distinct locations using geolocation-enriched UDM fields."
severity = "INFORMATIONAL"
events:
$geoip.metadata.event_type = "USER_LOGIN"
(
$geoip.metadata.vendor_name = "Google Workspace" or
$geoip.metadata.vendor_name = "Google Cloud Platform"
)
/* optionally, detect distinct locations at a country */
(
$geoip.principal.ip_geo_artifact.location.country_or_region != "" and
$geoip.principal.ip_geo_artifact.location.country_or_region = $country
)
(
$geoip.principal.ip_geo_artifact.location.state != "" and
$geoip.principal.ip_geo_artifact.location.state = $state
)
$geoip.target.user.email_addresses = $user
match:
$user over 1d
condition:
$geoip and #state > 1
}
ルールでセーフ ブラウジングが強化されたフィールドの使用する
Google Security Operations は、ファイル ハッシュに関連する脅威リストからデータを取り込みます。この強化された情報はエンティティとして Google Security Operations に保存されます。
入力された UDM フィールドの一覧については、セーフ ブラウジング脅威リストの情報を使用してエンティティを拡充するをご覧ください。
検出エンジンルールを作成して、セーフ ブラウジングから取り込んだエンティティとの一致を特定できます。この強化された情報のクエリを実行してコンテキストに応じた分析を構築する検出エンジンルールの例を次に示します。
rule safe_browsing_file_execution {
meta:
author = "Google Security Operations"
description = "Example usage of Safe Browsing data, to detect execution of a file that's been deemed malicious"
severity = "LOW"
events:
// find a process launch event, match on hostname
$execution.metadata.event_type = "PROCESS_LAUNCH"
$execution.principal.hostname = $hostname
// join execution event with Safe Browsing graph
$sb.graph.entity.file.sha256 = $execution.target.process.file.sha256
// look for files deemed malicious
$sb.graph.metadata.entity_type = "FILE"
$sb.graph.metadata.threat.severity = "CRITICAL"
$sb.graph.metadata.product_name = "Google Safe Browsing"
$sb.graph.metadata.source_type = "GLOBAL_CONTEXT"
match:
$hostname over 1h
condition:
$execution and $sb
}
ルールで WHOIS 拡充フィールドを使用する
ドメインを表すエンティティの WHOIS 拡充フィールドを検索するルールを記述できます。これらのエンティティでは、entity.metadata.entity_type フィールドが DOMAIN_NAME に設定されています。入力された UDM フィールドの一覧については、WHOIS データを使用してエンティティを拡充するをご覧ください。
以下に、これを行う方法の例を示します。このルールでは、ルールのパフォーマンスを最適化するために、events セクションに次のフィルタ フィールドが含まれています。
$whois.graph.metadata.entity_type = "DOMAIN_NAME"
$whois.graph.metadata.product_name = "WHOISXMLAPI Simple Whois"
$whois.graph.metadata.vendor_name = "WHOIS"
rule whois_expired_domain_executable_download {
meta:
author = "Google Security Operations"
description = "Example usage of WHOIS data, detecting an executable file download from a domain that's recently expired"
severity = "LOW"
events:
$access.metadata.event_type = "NETWORK_HTTP"
$hostname = $access.principal.hostname
// join access event to entity graph to use WHOIS data
$whois.graph.entity.domain.name = $access.target.hostname
// use WHOIS data to look for expired domains
$whois.graph.metadata.entity_type = "DOMAIN_NAME"
$whois.graph.metadata.product_name = "WHOISXMLAPI Simple Whois"
$whois.graph.metadata.vendor_name = "WHOIS"
$whois.graph.entity.domain.expiration_time.seconds < $access.metadata.event_timestamp.seconds
// join access event with executable file creation event by principal hostname
$creation.principal.hostname = $access.principal.hostname
$creation.metadata.event_type = "FILE_CREATION"
$creation.target.file.full_path = /exe/ nocase
// file creation comes after expired domain access
$creation.metadata.event_timestamp.seconds >
$access.metadata.event_timestamp.seconds
match:
$hostname over 1h
condition:
$access and $whois and $creation
}
Google Cloud Threat Intelligence データのクエリ
Google Security Operations は、Google Cloud の Threat Intelligence(GCTI)データソースからデータを取り込み、環境内のアクティビティを調査する際に使用できるコンテキスト情報を提供します。次のデータソースに対してクエリを実行できます。
- GCTI Tor 出口ノード
- GCTI 良性バイナリ
- GCTI リモート アクセスツール
これらの脅威フィードの説明と、すべての入力されたフィールドについては、Google Cloud Threat Intelligence データの取り込みと保存をご覧ください。
このドキュメントでは、プレースホルダ <variable_name> は、UDM レコードを識別するルールで使用される一意の変数名を表します。
Tor の出口ノードの IP アドレスのクエリ
次のルールの例では、NETWORK_CONNECTION イベントに、GCTI の Tor Exit Nodes データソースでも見つかった target.ip フィールドに保存された IP アドレスが含まれている場合の検出が返されます。ルールに <variable_name>.graph.metadata.threat.threat_feed_name、<variable_name>.graph.metadata.vendor_name、<variable_name>.graph.metadata.product_name のフィールドが含まれていることを確認してください。
これは時限データソースです。イベントは、その時点でのデータソースのスナップショットと一致します。
rule gcti_tor_exit_nodes {
meta:
author = "Google Cloud Threat Intelligence"
description = "Alert on known Tor exit nodes."
severity = "High"
events:
// Event
$e.metadata.event_type = "NETWORK_CONNECTION"
$e.target.ip = $tor_ip
// Tor IP search in GCTI Feed
$tor.graph.entity.artifact.ip = $tor_ip
$tor.graph.metadata.entity_type = "IP_ADDRESS"
$tor.graph.metadata.threat.threat_feed_name = "Tor Exit Nodes"
$tor.graph.metadata.source_type = "GLOBAL_CONTEXT"
$tor.graph.metadata.vendor_name = "Google Cloud Threat Intelligence"
$tor.graph.metadata.product_name = "GCTI Feed"
match:
$tor_ip over 1h
outcome:
$tor_ips = array_distinct($tor_ip)
$tor_geoip_country = array_distinct($e.target.ip_geo_artifact.location.country_or_region)
$tor_geoip_state = array_distinct($e.target.ip_geo_artifact.location.state)
condition:
$e and $tor
}
良性のオペレーティング システム ファイルのクエリ
次の例のルールでは、Benign Binaries データソースと Tor Exit Nodes データソースを組み合わせて、良性のバイナリが Tor の出口ノードに接続したときにアラートを返します。このルールは、Google Security Operations がターゲット IP アドレスを使用して拡充した位置情報データを使用してリスクスコアを計算します。ルールに Benign Binaries と Tor Exit Nodes の両方のデータソース用の <variable_name>.graph.metadata.vendor_name、<variable_name>.graph.metadata.product_name、<variable_name>.graph.metadata.threat.threat_feed_name が含まれていることを確認してください。
これは期限のないデータソースです。イベントは、時間に関係なく、常にデータソースの最新のスナップショットと一致します。
rule gcti_benign_binaries_contacts_tor_exit_node {
meta:
author = "Google Cloud Threat Intelligence"
description = "Alert on Benign Binary contacting a Tor IP address."
severity = "High"
events:
// Event
$e.metadata.event_type = "NETWORK_CONNECTION"
$e.principal.process.file.sha256 = $benign_hash
$e.target.ip = $ip
$e.principal.hostname = $hostname
// Benign File search in GCTI Feed
$benign.graph.entity.file.sha256 = $benign_hash
$benign.graph.metadata.entity_type = "FILE"
$benign.graph.metadata.threat.threat_feed_name = "Benign Binaries"
$benign.graph.metadata.source_type = "GLOBAL_CONTEXT"
$benign.graph.metadata.vendor_name = "Google Cloud Threat Intelligence"
$benign.graph.metadata.product_name = "GCTI Feed"
// Tor IP search in GCTI Feed
$tor.graph.entity.artifact.ip = $ip
$tor.graph.metadata.entity_type = "IP_ADDRESS"
$tor.graph.metadata.threat.threat_feed_name = "Tor Exit Nodes"
$tor.graph.metadata.source_type = "GLOBAL_CONTEXT"
$tor.graph.metadata.vendor_name = "Google Cloud Threat Intelligence"
$tor.graph.metadata.product_name = "GCTI Feed"
match:
$hostname over 1h
outcome:
$risk_score = max(
if($tor.graph.metadata.threat.confidence = "HIGH_CONFIDENCE", 70) +
// Unauthorized target geographies
if($e.target.ip_geo_artifact.location.country_or_region = "Cuba", 20) +
if($e.target.ip_geo_artifact.location.country_or_region = "Iran", 20) +
if($e.target.ip_geo_artifact.location.country_or_region = "North Korea", 20) +
if($e.target.ip_geo_artifact.location.country_or_region = "Russia", 20) +
if($e.target.ip_geo_artifact.location.country_or_region = "Syria", 20)
)
$benign_hashes = array_distinct($benign_hash)
$benign_files = array_distinct($e.principal.process.file.full_path)
$tor_ips = array_distinct($ip)
$tor_geoip_country = array_distinct($e.target.ip_geo_artifact.location.country_or_region)
$tor_geoip_state = array_distinct($e.target.ip_geo_artifact.location.state)
condition:
$e and $benign and $tor
}
リモート アクセスツールに関するデータのクエリ
次の例のルールでは、PROCESS_LAUNCH イベントタイプに、Google Cloud Threat Intelligence のリモート アクセス ツールのデータソースもにあるハッシュが含まれている場合に検出が返されます。
これは期限のないデータソースです。イベントは、時間に関係なく、常にデータソースの最新のスナップショットと一致します。
rule gcti_remote_access_tools {
meta:
author = "Google Cloud Threat Intelligence"
description = "Alert on Remote Access Tools."
severity = "High"
events:
// find a process launch event
$e.metadata.event_type = "PROCESS_LAUNCH"
$e.target.process.file.sha256 != ""
$rat_hash = $e.target.process.file.sha256
// join graph and event hashes
$gcti.graph.entity.file.sha256 = $rat_hash
// look for files identified as likely remote access tools
$gcti.graph.metadata.entity_type = "FILE"
$gcti.graph.metadata.vendor_name = "Google Cloud Threat Intelligence"
$gcti.graph.metadata.product_name = "GCTI Feed"
$gcti.graph.metadata.threat.threat_feed_name = "Remote Access Tools"
match:
$rat_hash over 5m
outcome:
$remote_hash = array_distinct($e.target.process.file.sha256)
condition:
$e and $gcti
}
ルールで VirusTotal の拡充されたメタデータ フィールドを使用する
次のルールは、特定のファイル形式のファイル作成またはプロセスの起動を検出します。つまり、一部の監視済みハッシュがシステム上にあることを示します。リスクスコアは、VirusTotal ファイルのメタデータ エンリッチメントを使用してファイルが exploit としてタグ付けされた場合に設定されます。
入力されたすべての UDM フィールドの一覧については、VirusTotal ファイルのメタデータを使用してイベントを拡充するをご覧ください。
rule vt_filemetadata_hash_match_ioc {
meta:
author = "Google Cloud Threat Intelligence"
description = "Detect file/process events that indicate watchlisted hashes are on a system"
severity = "High"
events:
// Process launch or file creation events
$process.metadata.event_type = "PROCESS_LAUNCH" or $process.metadata.event_type ="FILE_CREATION"
$process.principal.hostname = $hostname
$process.target.file.sha256 != ""
$process.target.file.sha256 = $sha256
$process.target.file.file_type = "FILE_TYPE_DOCX"
// IOC matching
$ioc.graph.metadata.product_name = "MISP"
$ioc.graph.metadata.entity_type = "FILE"
$ioc.graph.metadata.source_type = "ENTITY_CONTEXT"
$ioc.graph.entity.file.sha256 = $sha256
match:
$hostname over 15m
outcome:
$risk_score = max(
// Tag enrichment from VirusTotal file metadata
if($process.target.file.tags = "exploit", 90)
)
$file_sha256 = array($process.target.file.sha256)
$host = array($process.principal.hostname)
condition:
$process and $ioc
}
ルールで VirusTotal 関係データを使用する
Google セキュリティ オペレーションは、VirusTotal 関連の接続からデータを取り込みます。このデータにより、ファイル ハッシュとファイル、ドメイン、IP アドレス、URL の関係に関する情報が得られます。この強化された情報はエンティティとして Google Security Operations に保存されます。
検出エンジンルールを作成して、VirusTotal から取り込まれたエンティティとの一致を識別できます。次のルールは、VirusTotal の関係を持つ既知の IP アドレスから既知のファイル ハッシュをダウンロードする際のアラートを送信します。リスクスコアは、ファイル形式と VirusTotal ファイルのメタデータのタグに基づきます。
このデータは、特定の VirusTotal と Google Security Operations のライセンスでのみ使用できます。アカウント マネージャーと一緒に利用資格を確認してください。入力されたすべての UDM フィールドの一覧については、VirusTotal 関係データを使用してエンティティを拡充するをご覧ください。
rule virustotal_file_downloaded_from_url {
meta:
author = "Google Cloud Threat Intelligence"
description = "Alerts on downloading a known file hash from a known IP with VirusTotal relationships. The risk score is based on file type and tags from VirusTotal file metadata."
severity = "High"
events:
// Filter network HTTP events
$e1.metadata.event_type = "NETWORK_HTTP"
$e1.principal.user.userid = $userid
$e1.target.url = $url
// Filter file creation events
$e2.metadata.event_type = "FILE_CREATION"
$e2.target.user.userid = $userid
$e2.target.file.sha256 = $file_hash
// The file creation event timestamp should be equal or greater than the network http event timestamp
$e1.metadata.event_timestamp.seconds <= $e2.metadata.event_timestamp.seconds
// Join event file hash with VirusTotal relationships entity graph
$vt.graph.metadata.entity_type = "FILE"
$vt.graph.metadata.source_type = "GLOBAL_CONTEXT"
$vt.graph.metadata.vendor_name = "VirusTotal"
$vt.graph.metadata.product_name = "VirusTotal Relationships"
$vt.graph.entity.file.sha256 = $file_hash
// Join network HTTP target URL with VirusTotal relationships entity graph
$vt.graph.relations.entity_type = "URL"
$vt.graph.relations.relationship = "DOWNLOADED_FROM"
$vt.graph.relations.entity.url = $url
match:
$userid over 1m
outcome:
$risk_score = max(
// Tag enrichment from VirusTotal file metadata
if($e2.target.file.tags = "via-tor" or $e2.target.file.tags = "malware" or $e2.target.file.tags = "crypto", 50) +
// File types enrichment from VirusTotal file metadata
if($e2.target.file.file_type = "FILE_TYPE_HTML", 5) +
if($e2.target.file.file_type = "FILE_TYPE_ELF", 10) +
if($e2.target.file.file_type = "FILE_TYPE_PE_DLL",15) +
if($e2.target.file.file_type = "FILE_TYPE_PE_EXE", 20)
)
condition:
$e1 and $e2 and $vt and $risk_score >= 50
}
次のステップ
他の Google Security Operations 機能で拡充されたデータを使用する方法については、以下をご覧ください。