Google Security Operations がイベントとエンティティ データを強化する方法

このドキュメントでは、Google Security Operations がデータを強化する方法と、データが保存される 統合データモデル(UDM)フィールドについて説明します。

セキュリティ調査を可能にするために、Google Security Operations はさまざまなソースからコンテキスト データを取り込み、データの分析を行い、お客様の環境内のアーティファクトに関する追加コンテキストを提供します。アナリストは、検出エンジンのルール、調査検索、レポートで、コンテキストが強化されたデータを使用できます。

Google Security Operations では、次の種類の強化を行います。

  • エンティティ グラフを使用してマージを行い、エンティティを拡充します。
  • 各エンティティを計算し、環境内の人気度を示す普及率の統計情報を拡充します。
  • 特定のエンティティ タイプが環境で初めて確認された時刻または直近の時刻を計算します。
  • セーフ ブラウジングの脅威リストの情報を使用してエンティティを拡充します。
  • 位置情報データを使用してイベントを拡充します。
  • WHOIS データを使用してエンティティを拡充します。
  • VirusTotal ファイルのメタデータを使用してイベントを拡充します。
  • VirusTotal 関係データを使用してエンティティを拡充します。
  • Google Cloud の Threat Intelligence データを取り込み、保存します。

WHOIS、セーフ ブラウジング、GCTI の Threat Intelligence、VirusTotal メタデータ、VirusTotal 関係の拡充されたデータは、event_typeproduct_namevendor_name で識別されます。この拡充データを使用するルールを作成する場合は、含める特定の拡充タイプを識別するフィルタをルールに含めることをおすすめします。このフィルタによって、ルールのパフォーマンスを向上させます。 たとえば、WHOIS データを結合するルールの events セクションに、次のフィルタ フィールドを含めます。

$enrichment.graph.metadata.entity_type = "DOMAIN_NAME"
$enrichment.graph.metadata.product_name = "WHOISXMLAPI Simple Whois"
$enrichment.graph.metadata.vendor_name = "WHOIS"

エンティティ グラフを使用してマージし、エンティティを拡充する

エンティティ グラフでは、環境内のエンティティとリソースの関係を識別します。 さまざまなソースからのエンティティが Google Security Operations に取り込まれると、エンティティ グラフではエンティティ間の関係に基づいて隣接リストが維持されます。エンティティ グラフでは、重複除去とマージを実行してコンテキストの拡充を行います。

重複除去では、冗長データが除去され、共通のエンティティを作成するために間隔が形成されます。たとえば、タイムスタンプ t1t2 を持つ 2 つのエンティティ e1e2 について考えてみます。e1e2 のエンティティは重複が除去され、異なるタイムスタンプは重複除去時に使用されません。次のフィールドは重複除去中には使用されません。

  • collected_timestamp
  • creation_timestamp
  • interval

マージ中は、1 日の時間間隔でエンティティ間の関係が形成されます。たとえば、Cloud Storage バケットにアクセスできる user A のエンティティ レコードについて考えてみましょう。デバイスを所有する user A の別のエンティティ レコードがあります。これら 2 つのエンティティがマージされると、2 つの関係を持つ単一のエンティティ user A が生成されます。1 つの関係は、user A が Cloud Storage バケットにアクセスできることであり、もう 1 つの関係は user A がデバイスを所有していることです。Google Security Operations は、エンティティ コンテキスト データを作成する際に 5 日間のルックバックを実行します。これにより、遅れて到着するデータが処理され、エンティティ コンテキスト データの暗黙的な有効期間が作成されます。

Google Security Operations では、エイリアスを使用してテレメトリー データを拡充し、エンティティ グラフを使用してエンティティを拡充します。検出エンジンのルールは、マージされたエンティティを拡充されたテレメトリー データと結合して、コンテキストアウェア分析を提供します。

エンティティ名詞を含むイベントはエンティティとみなされます。イベントタイプと対応するエンティティ タイプは次のとおりです。

  • ASSET_CONTEXTASSET に対応しています。
  • RESOURCE_CONTEXTRESOURCE に対応しています。
  • USER_CONTEXTUSER に対応しています。
  • GROUP_CONTEXTGROUP に対応しています。

エンティティ グラフは、脅威情報を使用してコンテキスト データとセキュリティ侵害インジケーター(IOC)を区別します。

コンテキスト拡充されたデータを使用する場合は、次のエンティティ グラフの動作を考慮してください。

  • エンティティに間隔を追加するのではなく、エンティティ グラフに間隔を作成させます。これは、特に指定しない限り、重複除去中に間隔が生成されるためです。
  • 間隔を指定すると、同じイベントのみが重複除去され、最新のエンティティが保持されます。
  • ライブルールと RetroHunt が想定どおりに機能するように、エンティティを少なくとも 1 日に 1 回取り込む必要があります。
  • エンティティが毎日取り込まれず、2 日以上に 1 回だけ取り込まれると、ライブルールは想定どおりに機能しますが、RetroHunt はイベントのコンテキストを失います。
  • エンティティが 1 日に複数回取り込まれると、そのエンティティは 1 つのエンティティに重複除去されます。
  • 1 日のうちにイベントデータがない場合、ライブルールが正常に機能するよう、前日のデータが一時的に使用されます。

エンティティ グラフでも類似した識別子を持つイベントがマージされ、データの統合ビューが取得されます。このマージは、次の識別子リストに基づいて行われます。

  • Asset
    • entity.asset.product_object_id
    • entity.asset.hostname
    • entity.asset.asset_id
    • entity.asset.mac
  • User
    • entity.user.product_object_id
    • entity.user.userid
    • entity.user.windows_sid
    • entity.user.email_addresses
    • entity.user.employee_id
  • Resource
    • entity.resource.product_object_id
    • entity.resource.name
  • Group
    • entity.group.product_object_id
    • entity.group.email_addresses
    • entity.group.windows_sid

普及率の統計情報を計算する

Google Security Operations は、既存のデータと受信データの統計分析を実行し、普及率に関連する指標でエンティティ コンテキスト レコードを拡充します。

普及率は、エンティティの人気度を示す数値です。人気度は、アーティファクト、ファイル ハッシュ、IP アドレスなど、アーティファクトにアクセスするアセットの数によって定義されます。数値が大きいほど、エンティティの普及率は高くなります。たとえば、google.com はアクセス頻度が高いため、普及率の値が高くなります。ドメインへのアクセス頻度が低い場合、普及率は低くなります。より人気の高いなエンティティは通常、悪意がある可能性が低くなります。

これらの拡充された値は、ドメイン、IP、ファイル(ハッシュ)でサポートされています。値が計算され、次のフィールドに保存されます。

各エンティティの普及率の統計情報は毎日更新されます。値は検出エンジンで使用できる個別のエンティティ コンテキストに保存されますが、Google セキュリティ オペレーションの調査ビューと UDM 検索には表示されません。

Detection Engine ルールの作成時に、次のフィールドを使用できます。

エンティティ タイプ UDM フィールド
ドメイン entity.domain.prevalence.day_count
entity.domain.prevalence.day_max
entity.domain.prevalence.day_max_sub_domains
entity.domain.prevalence.rolling_max
entity.domain.prevalence.rolling_max_sub_domains
ファイル(ハッシュ) entity.file.prevalence.day_count
entity.file.prevalence.day_max
entity.file.prevalence.rolling_max
IP アドレス entity.artifact.prevalence.day_count
entity.artifact.prevalence.day_max
entity.artifact.prevalence.rolling_max

day_max と rolling_max の値は、異なる方法で計算されます。フィールドは次のように計算されます。

  • day_max は、アーティファクトの 1 日における最大普及率として計算されます。ここで、1 日は UTC の午前 12 時 00 分 00 秒 ~ 午後 11 時 59 分 59 秒として定義されます。
  • rolling_max は、過去 10 日間のアーティファクトの 1 日あたりの普及率スコアの最大値(day_max)として計算されます。
  • day_countrolling_max の計算に使用されます。値は常に 10 です。

ドメインに対して計算される場合、day_maxday_max_sub_domains の違い(および rolling_maxrolling_max_sub_domains)の違いは次のようになります。

  • rolling_maxday_max は、特定のドメイン(サブドメインを除く)にアクセスする 1 日あたりの一意の内部 IP アドレスの数を表します。
  • rolling_max_sub_domainsday_max_sub_domains は、特定のドメイン(サブドメインを含む)にアクセスする一意の内部 IP アドレスの数を表します。

普及率の統計情報は、新しく取り込まれたエンティティ データに対して計算されます。計算は、以前に取り込まれたデータに対して過去にさかのぼって実行されません。統計情報の計算と保存には約 36 時間かかります。

エンティティの最初と最後の検出時刻を計算する

Google Security Operations は、受信したデータの統計分析を実行し、エンティティの最初と最後の検出時刻でエンティティ コンテキスト レコードを拡充します。first_seen_time フィールドには、エンティティが顧客環境で最初に確認された日時が格納されます。last_seen_time フィールドには、最新の観測の日時が格納されます。

複数のインジケーター(UDM フィールド)でアセットやユーザーを識別できるため、ユーザーや環境を識別するインジケーターが初めてお客様の環境で検知された時刻になります。

アセットを記述するすべての UDM フィールドは次のとおりです。

  • entity.asset.hostname
  • entity.asset.ip
  • entity.asset.mac
  • entity.asset.asset_id
  • entity.asset.product_object_id

ユーザーを記述するすべての UDM フィールドは次のとおりです。

  • entity.user.windows_sid
  • entity.user.product_object_id
  • entity.user.userid
  • entity.user.employee_id
  • entity.user.email_addresses

最初の検出時刻と最後の検出時刻により、アナリストはドメイン、ファイル(ハッシュ)、アセット、ユーザー、または IP アドレスが最初に確認された後に発生した特定のアクティビティ、またはドメイン、ファイル(ハッシュ)、または IP アドレスが最後に確認された後に発生が止まった特定のアクティビティを関連付けることができます。

first_seen_time フィールドと last_seen_time フィールドには、ドメイン、IP アドレス、ファイル(ハッシュ)を記述するエンティティが入力されます。ユーザーまたはアセットを記述するエンティティの場合、first_seen_time フィールドのみが入力されます。これらの値は、グループやリソースなど、他のタイプを記述するエンティティでは計算されません。

統計情報は、すべての名前空間にわたってエンティティごとに計算されます。Google Security Operations では、個々の名前空間内の各エンティティの統計は計算されません。これらの統計情報は、現在 BigQuery の Google Security Operations events スキーマにエクスポートされていません。

拡充された値は計算され、次の UDM フィールドに格納されます。

エンティティ タイプ UDM フィールド
ドメイン entity.domain.first_seen_time
entity.domain.last_seen_time
ファイル(ハッシュ) entity.file.first_seen_time
entity.file.last_seen_time
IP アドレス entity.artifact.first_seen_time
entity.artifact.last_seen_time
アセット entity.asset.first_seen_time
ユーザー entity.user.first_seen_time

位置情報データを使用してイベントを拡充する

受信ログデータには、対応する位置情報のない外部 IP アドレスが含まれる場合があります。これは、イベントがエンタープライズ ネットワークに存在しないデバイス アクティビティに関する情報をロギングしている場合によく発生します。たとえば、クラウド サービスへのログイン イベントには、キャリア NAT から返されたデバイスの外部 IP アドレスに基づく送信元またはクライアント IP アドレスが含まれます。

Google Security Operations は、外部 IP アドレスの位置情報が拡充されたデータを提供し、より強力なルール検出と調査のためのコンテキストの拡充を実現します。たとえば、Google Security Operations は外部 IP アドレスを使用して、国(米国など)、特定の州(アラスカなど)、IP アドレスが存在するネットワーク(ASN や携帯通信会社名など)に関する情報でイベントを拡充できます。

Google Security Operations は、Google が提供する位置情報を使用して、IP アドレスのおおよその地理的位置とネットワーク情報を提供します。イベント内のこれらのフィールドに対して、検知エンジン ルールを作成できます。拡張されたイベントデータは BigQuery にエクスポートされ、Google セキュリティ オペレーションのダッシュボードとレポートで使用できます。

次の IP アドレスは拡張されません。

  • RFC 1918 プライベート IP アドレス空間。エンタープライズ ネットワークの内部にあるため。
  • RFC 5771 のマルチキャスト IP アドレス空間。マルチキャスト アドレスは単一のロケーションに属していないため。
  • IPv6 一意のローカル アドレス。
  • Google Cloud サービスの IP アドレス。Google Cloud Compute Engine の外部 IP アドレスは例外であり、拡充されます。

Google Security Operations は、位置情報データを使用して次の UDM フィールドを拡充します。

  • principal
  • target
  • src
  • observer
データの種類 UDM フィールド
場所(例: 米国) ( principal | target | src | observer ).ip_geo_artifact.location.country_or_region
州(例: ニューヨーク) ( principal | target | src | observer ).ip_geo_artifact.location.state
Longitude ( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.longitude
Latitude ( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.latitude
ASN(自律システム番号) ( principal | target | src | observer ).ip_geo_artifact.network.asn
配送業者名 ( principal | target | src | observer ).ip_geo_artifact.network.carrier_name
DNS ドメイン ( principal | target | src | observer ).ip_geo_artifact.network.dns_domain
組織名 ( principal | target | src | observer ).ip_geo_artifact.network.organization_name

次の例は、オランダにタグ付けされた IP アドレスを持つ UDM イベントに追加される地理情報の種類を示しています。

UDM フィールド
principal.ip_geo_artifact.location.country_or_region Netherlands
principal.ip_geo_artifact.location.region_coordinates.latitude 52.132633
principal.ip_geo_artifact.location.region_coordinates.longitude 5.291266
principal.ip_geo_artifact.network.asn 8455
principal.ip_geo_artifact.network.carrier_name schuberg philis

不整合

Google 独自の IP 位置情報技術では、ネットワーク データと他の入力および方法を組み合わせて、IP アドレスの場所とネットワーク解決をユーザーに提供します。他の組織とはシグナルや方法が異なるため、結果が異なる場合があります。

Google が提供する IP 位置情報の結果に不整合が発生した場合は、カスタマー サポートケースを開いてください。Google で調査を進め、必要に応じて今後修正します。

セーフ ブラウジングの脅威リストの情報を使用してエンティティを拡充する

Google セキュリティ オペレーションが、ファイル ハッシュに関連するデータをセーフ ブラウジングから取り込みます。各ファイルのデータは 1 つのエンティティとして保存され、ファイルに関する追加コンテキストを提供します。アナリストは、このエンティティ コンテキスト データをクエリしてコンテキストアウェア分析を構築するための Detection Engine ルールを作成できます。

次の情報は、エンティティ コンテキスト レコードと一緒に保存されます。

UDM フィールド 説明
entity.metadata.product_entity_id エンティティの一意の識別子。
entity.metadata.entity_type この値は FILE で、エンティティがファイルを表していることを示します。
entity.metadata.collected_timestamp エンティティが確認された日時、またはイベントが発生した日時。
entity.metadata.interval このデータが有効である開始時間と終了時間を保存します。脅威リストのコンテンツは時間とともに変化するため、start_timeend_time はエンティティに関するデータが有効になる時間間隔を反映します。たとえば、start_time and end_time. の間にファイル ハッシュに悪意があるか、または疑わしいことが確認されました。
entity.metadata.threat.category これは Google Security Operations SecurityCategoryです。これは、次のいずれかの値に設定されます。
  • SOFTWARE_MALICIOUS: 脅威がマルウェアに関連していることを示します。
  • SOFTWARE_PUA: 脅威が望ましくないソフトウェアに関連していることを示します。
entity.metadata.threat.severity これは Google セキュリティ オペレーション ProductSeverity です。 値が CRITICAL の場合、アーティファクトに悪意があることを示します。 値が指定されていない場合、アーティファクトに悪意があることを示す十分な信頼性がありません。
entity.metadata.product_name Google Safe Browsing を保存します。
entity.file.sha256 ファイルの SHA256 ハッシュ値。

WHOIS データを使用してエンティティを拡充する

Google Security Operations では、WHOIS データを毎日取り込みます。着信した顧客のデバイスデータの取り込み中に、Google セキュリティ運用は顧客データのドメインを WHOIS データに対して評価します。一致する場合、Google Security Operations は、関連する WHOIS データをドメインのエンティティ レコードとともに保存します。エンティティごとに(この場合は entity.metadata.entity_type = DOMAIN_NAME)、Google Security Operations は WHOIS からの情報の拡充を行います。

Google Security Operations は、エンティティ レコードの次のフィールドに WHOIS 拡充データを入力します。

  • entity.domain.admin.attribute.labels
  • entity.domain.audit_update_time
  • entity.domain.billing.attribute.labels
  • entity.domain.billing.office_address.country_or_region
  • entity.domain.contact_email
  • entity.domain.creation_time
  • entity.domain.expiration_time
  • entity.domain.iana_registrar_id
  • entity.domain.name_server
  • entity.domain.private_registration
  • entity.domain.registrant.company_name
  • entity.domain.registrant.office_address.state
  • entity.domain.registrant.office_address.country_or_region
  • entity.domain.registrant.email_addresses
  • entity.domain.registrant.user_display_name
  • entity.domain.registrar
  • entity.domain.registry_data_raw_text
  • entity.domain.status
  • entity.domain.tech.attribute.labels
  • entity.domain.update_time
  • entity.domain.whois_record_raw_text
  • entity.domain.whois_server
  • entity.domain.zone

これらのフィールドの詳細については、統合データモデルのフィールド リストのドキュメントをご覧ください。

Google Cloud の Threat Intelligence のデータを取り込んで保存する

Google Security Operations は、Google Cloud の Threat Intelligence(GCTI)データソースからデータを取り込み、環境内のアクティビティを調査する際に使用できるコンテキスト情報を提供します。次のデータソースに対してクエリを実行できます。

  • GCTI Tor 出口ノード: 既知の Tor 出口ノード。
  • GCTI Benign Binaries: オペレーティング システムの元のディストリビューションの一部であるか、公式のオペレーティング システムのパッチによって更新されたファイル。 最初のエントリ ベクトルに焦点を当てているものなど、環境寄生型攻撃に一般的に見られる攻撃を通じて悪用された一部の公式のオペレーティング システムのバイナリは、このデータソースから除外されます。
  • GCTI リモート アクセスツール: 悪意のあるアクターが頻繁に使用するファイル通常、これらのツールは正規のアプリケーションであり、悪用されて不正使用されたシステムにリモートで接続されることがあります。

    このコンテキスト データはエンティティとしてグローバルに保存されます。検出エンジンのルールを使用してデータをクエリできます。これらのグローバル エンティティに対してクエリを実行するには、ルールに次の UDM フィールドと値を含めます。

  • graph.metadata.vendor_name = Google Cloud Threat Intelligence

  • graph.metadata.product_name = GCTI Feed

このドキュメントでは、プレースホルダ <variable_name> は、UDM レコードを特定するルールで使用される一意の変数名を表します。

時間指定された対時間制限のない Google Cloud の Threat Intelligence データソース

Google Cloud の Threat Intelligence のデータソースは、時間指定または時間制限のないのいずれかです。

時間指定データソースには、各エントリに関連付けられた時間範囲があります。つまり、1 日目に検出が生成された場合、その後の任意の日には、同じ検出が Retro Hunt 中に 1 日目のために生成されると想定されます。

時間制限のないデータソースには、時間範囲が関連付けられていません。これは、最新のデータセットのみが考慮すべきものであるためです。時間制限のないデータソースは、変更されることが想定されていないファイル ハッシュなどのデータに頻繁に使用されます。1 日目に検出が生成されない場合、2 日目には新しいエントリが追加されたため、Retro Hunt 中に 1 日目のために検出が生成される場合があります。

Tor 出口ノードの IP アドレスに関するデータ

Google Security Operations は、Tor 出口ノードと呼ばれる IP アドレスを取り込み、保存します。Tor 出口ノードは、Tor ネットワークからトラフィックが送信されるポイントです。このデータソースから取り込まれた情報は、次の UDM フィールドに格納されます。このソースのデータは時間指定されています。

UDM フィールド 説明
<variable_name>.graph.metadata.vendor_name Google Cloud Threat Intelligence を保存します。
<variable_name>.graph.metadata.product_name GCTI Feed を保存します。
<variable_name>.graph.metadata.threat.threat_feed_name Tor Exit Nodes を保存します。
<variable_name>.graph.entity.artifact.ip GCTI データソースから取り込まれた IP アドレスを保存します。

良性のオペレーティング システム ファイルに関するデータ

Google Security Operations は、GCTI Benign Binaries データソースからファイル ハッシュを取り込んで保存します。このデータソースから取り込まれた情報は、次の UDM フィールドに格納されます。このソースのデータは時間制限がありません。

UDM フィールド 説明
<variable_name>.graph.metadata.vendor_name Google Cloud Threat Intelligence を保存します。
<variable_name>.graph.metadata.product_name GCTI Feed を保存します。
<variable_name>.graph.metadata.threat.threat_feed_name Benign Binaries を保存します。
<variable_name>.graph.entity.file.sha256 ファイルの SHA256 ハッシュ値を保存します。
<variable_name>.graph.entity.file.sha1 ファイルの SHA1 ハッシュ値を保存します。
<variable_name>.graph.entity.file.md5 ファイルの MD5 ハッシュ値を保存します。

リモート アクセスツールに関するデータ

リモート アクセスツールには、悪意のあるアクターによって頻繁に使用される、VNC クライアントなどの既知のリモート アクセス ツールのファイル ハッシュが含まれています。通常、これらのツールは正規のアプリケーションであり、悪用されて不正使用されたシステムにリモートで接続されることがあります。このデータソースから取り込まれた情報は、次の UDM フィールドに格納されます。このソースのデータは時間制限がありません。

UDM フィールド 説明
.graph.metadata.vendor_name Google Cloud Threat Intelligence を保存します。
.graph.metadata.product_name GCTI Feed を保存します。
.graph.metadata.threat.threat_feed_name Remote Access Tools を保存します。
.graph.entity.file.sha256 ファイルの SHA256 ハッシュ値を保存します。
.graph.entity.file.sha1 ファイルの SHA1 ハッシュ値を保存します。
.graph.entity.file.md5 ファイルの MD5 ハッシュ値を保存します。

VirusTotal ファイルのメタデータを使用してイベントを拡充する

Google Security Operations は、ファイル ハッシュを UDM イベントに拡充し、調査中に追加のコンテキストを提供します。UDM イベントは、顧客環境でハッシュ エイリアスによって拡充されます。ハッシュ エイリアスは、すべての種類のファイル ハッシュを組み合わせて、検索中にファイル ハッシュに関する情報を提供します。

VirusTotal ファイル メタデータと関係の拡充を Google SecOps と統合することで、悪意のあるアクティビティのパターンを特定し、ネットワーク上でのマルウェアの動きを追跡できます。

未加工のログには、ファイルに関する限られた情報しか含まれません。VirusTotal は、ファイルのメタデータでイベントを拡充し、不正なハッシュのダンプと不正なファイルに関するメタデータを提供します。メタデータには、ファイル名、型、インポートされた関数、タグなどの情報が含まれます。YARA-L を使用して UDM の検索エンジンと検出エンジンでこの情報を使用すると、不適切なファイル イベントを把握できます。ユースケースの一例は、元のファイルに対する変更を検出し、それによって脅威検出のためにファイルのメタデータをインポートすることです。

次の情報がレコードと一緒に保存されます。 すべての有効な UDM フィールドの一覧については、統合データモデルのフィールド リストをご覧ください。

データの種類 UDM フィールド
SHA-256 ( principal | target | src | observer ).file.sha256
MD5 ( principal | target | src | observer ).file.md5
SHA-1 ( principal | target | src | observer ).file.sha1
サイズ ( principal | target | src | observer ).file.size
ssdeep ( principal | target | src | observer ).file.ssdeep
vhash ( principal | target | src | observer ).file.vhash
authentihash ( principal | target | src | observer ).file.authentihash
ファイル形式 ( principal | target | src | observer ).file.file_type
タグ ( principal | target | src | observer ).file.tags
機能タグ ( principal | target | src | observer ).file.capabilities_tags
名前 ( principal | target | src | observer ).file.names
初回検知時刻 ( principal | target | src | observer ).file.first_seen_time
最終検知時刻 ( principal | target | src | observer ).file.last_seen_time
前回の変更日時 ( principal | target | src | observer ).file.last_modification_time
最終分析時刻 ( principal | target | src | observer ).file.last_analysis_time
埋め込み URL ( principal | target | src | observer ).file.embedded_urls
埋め込み IP ( principal | target | src | observer ).file.embedded_ips
埋め込みドメイン ( principal | target | src | observer ).file.embedded_domains
署名情報 ( principal | target | src | observer ).file.signature_info
署名情報
  • Sigcheck
( principal | target | src | observer).file.signature_info.sigcheck
署名情報
  • Sigcheck
    • 確認メッセージ
( principal | target | src | observer ).file.signature_info.sigcheck.verification_message
署名情報
  • Sigcheck
    • 確認済み
( principal | target | src | observer ).file.signature_info.sigcheck.verified
署名情報
  • Sigcheck
    • 署名者
( principal | target | src | observer ).file.signature_info.sigcheck.signers
署名情報
  • Sigcheck
    • 署名者
      • 名前
( principal | target | src | observer ).file.signature_info.sigcheck.signers.name
署名情報
  • Sigcheck
    • 署名者
      • ステータス
( principal | target | src | observer ).file.signature_info.sigcheck.signers.status
署名情報
  • Sigcheck
    • 署名者
      • 証明書の有効な使用方法
( principal | target | src | observer ).file.signature_info.sigcheck.signers.valid_usage
署名情報
  • Sigcheck
    • 署名者
      • 認証局
( principal | target | src | observer ).file.signature_info.sigcheck.signers.cert_issuer
署名情報
  • Sigcheck
    • X509
( principal | target | src | observer ).file.signature_info.sigcheck.x509
署名情報
  • Sigcheck
    • X509
      • 名前
( principal | target | src | observer ).file.signature_info.sigcheck.x509.name
署名情報
  • Sigcheck
    • X509
      • アルゴリズム
( principal | target | src | observer ).file.signature_info.sigcheck.x509.algorithm
署名情報
  • Sigcheck
    • X509
      • サムプリント
( principal | target | src | observer ).file.signature_info.sigcheck.x509.thumprint
署名情報
  • Sigcheck
    • X509
      • 認証局
( principal | target | src | observer ).file.signature_info.sigcheck.x509.cert_issuer
署名情報
  • Sigcheck
    • X509
      • シリアル番号
( principal | target | src | observer ).file.signature_info.sigcheck.x509.serial_number
署名情報
  • Codesign
( principal | target | src | observer ).file.signature_info.codesign
署名情報
  • Codesign
    • ID
( principal | target | src | observer ).file.signature_info.codesign.id
署名情報
  • Codesign
    • 形式
( principal | target | src | observer ).file.signature_info.codesign.format
署名情報
  • Codesign
    • コンパイル時間
( principal | target | src | observer ).file.signature_info.codesign.compilation_time
Exiftool の情報 ( principal | target | src | observer ).file.exif_info
Exiftool の情報
  • オリジナルファイル名
( principal | target | src | observer ).file.exif_info.original_file
Exiftool の情報
  • 製品名
( principal | target | src | observer ).file.exif_info.product
Exiftool の情報
  • 会社名
( principal | target | src | observer ).file.exif_info.company
Exiftool の情報
  • ファイルの説明
( principal | target | src | observer ).file.exif_info.file_description
Exiftool の情報
  • エントリ ポイント
( principal | target | src | observer ).file.exif_info.entry_point
Exiftool の情報
  • コンパイル時間
( principal | target | src | observer ).file.exif_info.compilation_time
PDF の情報 ( principal | target | src | observer ).file.pdf_info
PDF の情報
  • /JS タグの数
( principal | target | src | observer ).file.pdf_info.js
PDF の情報
  • /JavaScript タグの数
( principal | target | src | observer ).file.pdf_info.javascript
PDF の情報
  • /Launch タグの数
( principal | target | src | observer ).file.pdf_info.launch_action_count
PDF の情報
  • オブジェクト ストリームの数
( principal | target | src | observer ).file.pdf_info.object_stream_count
PDF の情報
  • オブジェクト定義の数(endobj キーワード)
( principal | target | src | observer ).file.pdf_info.endobj_count
PDF の情報
  • PDF のバージョン
( principal | target | src | observer ).file.pdf_info.header
PDF の情報
  • /AcroForm タグの数
( principal | target | src | observer ).file.pdf_info.acroform
PDF の情報
  • /AA タグの数
( principal | target | src | observer ).file.pdf_info.autoaction
PDF の情報
  • /EmbeddedFile タグの数
( principal | target | src | observer ).file.pdf_info.embedded_file
PDF の情報
  • /Encrypt タグ
( principal | target | src | observer ).file.pdf_info.encrypted
PDF の情報
  • /RichMedia タグの数
( principal | target | src | observer ).file.pdf_info.flash
PDF の情報
  • /JBIG2Decode タグの数
( principal | target | src | observer ).file.pdf_info.jbig2_compression
PDF の情報
  • オブジェクト定義の数(obj キーワード)
( principal | target | src | observer ).file.pdf_info.obj_count
PDF の情報
  • 定義されたストリーム オブジェクトの数(ストリーム キーワード)
( principal | target | src | observer ).file.pdf_info.endstream_count
PDF の情報
  • PDF のページ数
( principal | target | src | observer ).file.pdf_info.page_count
PDF の情報
  • 定義されたストリーム オブジェクトの数(ストリーム キーワード)
( principal | target | src | observer ).file.pdf_info.stream_count
PDF の情報
  • /OpenAction タグの数
( principal | target | src | observer ).file.pdf_info.openaction
PDF の情報
  • startxref キーワードの数
( principal | target | src | observer ).file.pdf_info.startxref
PDF の情報
  • 3 バイト以上で表現された色の数(CVE-2009-3459)
( principal | target | src | observer ).file.pdf_info.suspicious_colors
PDF の情報
  • トレーラー キーワードの数
( principal | target | src | observer ).file.pdf_info.trailer
PDF の情報
  • 見つかった /XFA タグの数
( principal | target | src | observer ).file.pdf_info.xfa
PDF の情報
  • xref キーワードの数
( principal | target | src | observer ).file.pdf_info.xref
PE ファイルのメタデータ ( principal | target | src | observer ).file.pe_file
PE ファイル メタデータ
  • Imphash
( principal | target | src | observer ).file.pe_file.imphash
PE ファイル メタデータ
  • エントリ ポイント
( principal | target | src | observer ).file.pe_file.entry_point
PE ファイル メタデータ
  • エントリ ポイントの exitfool
( principal | target | src | observer ).file.pe_file.entry_point_exiftool
PE ファイル メタデータ
  • コンパイル時間
( principal | target | src | observer ).file.pe_file.compilation_time
PE ファイル メタデータ
  • コンパイルの exiftool の時間
( principal | target | src | observer ).file.pe_file.compilation_exiftool_time
PE ファイル メタデータ
  • セクション
( principal | target | src | observer ).file.pe_file.section
PE ファイル メタデータ
  • セクション
    • 名前
( principal | target | src | observer ).file.pe_file.section.name
PE ファイル メタデータ
  • セクション
    • エントロピー
( principal | target | src | observer ).file.pe_file.section.entropy
PE ファイル メタデータ
  • セクション
    • 未加工のサイズ(バイト単位)
( principal | target | src | observer ).file.pe_file.section.raw_size_bytes
PE ファイル メタデータ
  • セクション
    • 仮想サイズ(バイト単位)
( principal | target | src | observer ).file.pe_file.section.virtual_size_bytes
PE ファイル メタデータ
  • セクション
    • MD5 16 進数
( principal | target | src | observer ).file.pe_file.section.md5_hex
PE ファイル メタデータ
  • インポート
( principal | target | src | observer ).file.pe_file.imports
PE ファイル メタデータ
  • インポート
    • ライブラリ
( principal | target | src | observer ).file.pe_file.imports.library
PE ファイル メタデータ
  • インポート
    • 関数
( principal | target | src | observer ).file.pe_file.imports.functions
PE ファイル メタデータ
  • リソースの情報
( principal | target | src | observer ).file.pe_file.resource
PE ファイル メタデータ
  • リソースの情報
    • SHA-256 16 進数
( principal | target | src | observer ).file.pe_file.resource.sha256_hex
PE ファイル メタデータ
  • リソースの情報
    • マジック Python モジュールで識別されるリソースタイプ
( principal | target | src | observer ).file.pe_file.resource.filetype_magic
PE ファイル メタデータ
  • リソースの情報
    • Windows PE 仕様で定義されている、言語とサブ言語の人が読める識別子のバージョン
( principal | target | src | observer ).file.pe_file.resource_language_code
PE ファイル メタデータ
  • リソースの情報
    • エントロピー
( principal | target | src | observer ).file.pe_file.resource.entropy
PE ファイル メタデータ
  • リソースの情報
    • ファイル形式
( principal | target | src | observer ).file.pe_file.resource.file_type
PE ファイル メタデータ
  • リソースタイプごとのリソース数
( principal | target | src | observer ).file.pe_file.resources_type_count_str
PE ファイル メタデータ
  • 言語別のリソース数
( principal | target | src | observer ).file.pe_file.resources_language_count_str

VirusTotal の関係データを使用してエンティティを拡充する

VirusTotal は、不審なファイル、ドメイン、IP アドレス、URL を分析してマルウェアやその他の侵害を検出し、検出結果をセキュリティ コミュニティと共有するのに役立ちます。Google セキュリティ オペレーションは、VirusTotal 関連の接続からデータを取り込みます。このデータはエンティティとして格納され、ファイル ハッシュとファイル、ドメイン、IP アドレス、URL の関係に関する情報を提供します。

アナリストは、このデータを使用して、他のソースからの URL またはドメインに関する情報に基づいてファイルのハッシュが不正かどうかを判断できます。この情報を使用して、エンティティ コンテキスト データをクエリし、コンテキストに応じた分析を構築するための Detection Engine ルールを作成できます。

このデータは、特定の VirusTotal と Google Security Operations のライセンスでのみ使用できます。アカウント マネージャーと一緒に利用資格を確認してください。

次の情報は、エンティティ コンテキスト レコードと一緒に保存されます。

UDM フィールド 説明
entity.metadata.product_entity_id エンティティの一意の識別子
entity.metadata.entity_type エンティティがファイルを記述していることを示す値 FILE を保存します。
entity.metadata.interval start_time は開始時刻であり、end_time はこのデータが有効である終了時刻です。
entity.metadata.source_labels このフィールドには、このエンティティの source_idtarget_id の Key-Value ペアのリストが格納されます。source_id はファイルのハッシュで、target_id はこのファイルが関連付けられている URL、ドメイン名、IP アドレスのハッシュまたは値です。URL、ドメイン名、IP アドレス、またはファイルは、virustotal.com で検索できます。
entity.metadata.product_name 値「VirusTotal Relationships」を保存します。
entity.metadata.vendor_name 値「VirusTotal」を保存します。
entity.file.sha256 ファイルの SHA-256 ハッシュ値を保存します。
entity.file.relations 親ファイル エンティティが関連付けられている子エンティティのリスト
entity.relations.relationship このフィールドでは、親エンティティと子エンティティの間の関係の種類について説明します。 値は、EXECUTESDOWNLOADED_FROMCONTACTS のいずれかです。
entity.relations.direction 値「UNIDIRECTIONAL」を格納し、子エンティティとの関係の方向を示します。
entity.relations.entity.url 親エンティティ内のファイルが接続する URL(親エンティティと URL の関係が CONTACTS の場合)、または親エンティティがダウンロードされた URL(親エンティティと URL 間の関係が DOWNLOADED_FROM の場合)。
entity.relations.entity.ip 親エンティティ内のファイルが接続している、またはダウンロード元の IP アドレスのリスト。IP アドレスは 1 つだけです。
entity.relations.entity.domain.name 親エンティティのファイルが接続している、またはダウンロード元のドメイン名
entity.relations.entity.file.sha256 リレーション内のファイルの SHA-256 ハッシュ値を保存します。
entity.relations.entity_type このフィールドには、リレーションに含まれるエンティティのタイプが含まれます。値は URLDOMAIN_NAMEIP_ADDRESSFILE のいずれかです。これらのフィールドは、entity_type に従って入力されます。たとえば、entity_typeURL の場合、entity.relations.entity.url が入力されます。

次のステップ

他の Google Security Operations 機能で拡充されたデータを使用する方法については、以下をご覧ください。