So werden Ereignis- und Entitätsdaten von Google Security Operations angereichert

In diesem Dokument wird beschrieben, wie Google Security Operations Daten anreichert und welche Felder des einheitlichen Datenmodells (Unified Data Model, UDM) dafür verwendet werden.

Um eine Sicherheitsprüfung zu ermöglichen, nimmt Google Security Operations Kontextdaten aus verschiedenen Quellen auf, analysiert die Daten und liefert zusätzlichen Kontext zu Artefakten in einer Kundenumgebung. Analysten können kontextbezogen angereicherte Daten in Regeln der Detection Engine, in explorativen Suchanfragen oder in Berichten verwenden.

Google Security Operations führt die folgenden Arten von Datenanreicherung durch:

• Entitäten werden mithilfe des Entitätsgraphen angereichert und zusammengeführt.
• Für jede Entität wird eine Prävalenzstatistik berechnet und hinzugefügt, die ihre Beliebtheit in der Umgebung angibt.
• Hier wird berechnet, wann bestimmte Entitätstypen zum ersten Mal oder zuletzt in der Umgebung erkannt wurden.
• Entitäten werden mit Informationen aus den Safe Browsing-Bedrohungslisten angereichert.
• Erweitert Ereignisse um Daten zur Standortbestimmung.
• Entitäten werden mit WHOIS-Daten angereichert.
• Ereignisse werden mit VirusTotal-Dateimetadaten angereichert.
• Entitäten werden mit VirusTotal-Beziehungsdaten angereichert.
• Google Cloud Threat Intelligence-Daten aufnehmen und speichern

Angereicherte Daten aus WHOIS, Safe Browsing, GCTI Threat Intelligence, VirusTotal-Metadaten und VirusTotal-Beziehungen werden durch entity_type, product_name und vendor_name gekennzeichnet. Wenn Sie eine Regel erstellen, in der diese angereicherten Daten verwendet werden, sollten Sie einen Filter in die Regel aufnehmen, der den einzubeziehenden Typ der Datenanreicherung angibt. Mit diesem Filter lässt sich die Leistung der Regel verbessern. Fügen Sie beispielsweise die folgenden Filterfelder in den Abschnitt events der Regel ein, die WHOIS-Daten zusammenführt.

$enrichment.graph.metadata.entity_type = "DOMAIN_NAME"
$enrichment.graph.metadata.product_name = "WHOISXMLAPI Simple Whois"
$enrichment.graph.metadata.vendor_name = "WHOIS"

Entitäten mithilfe des Entitätsgraphen anreichern und zusammenführen

Im Entitätsgraphen werden Beziehungen zwischen Entitäten und Ressourcen in Ihrer Umgebung dargestellt. Wenn Entitäten aus verschiedenen Quellen in Google Security Operations aufgenommen werden, wird im Entitätsgraphen eine Adjazenzliste basierend auf der Beziehung zwischen den Entitäten verwaltet. Die Entitätsgraphen führen eine Kontextanreicherung durch Deduplizierung und Zusammenführen durch.

Bei der Deduplizierung werden redundante Daten entfernt und Intervalle gebildet, um eine gemeinsame Entität zu erstellen. Angenommen, Sie haben zwei Entitäten e1 und e2 mit den Zeitstempeln t1 und t2. Die Entitäten e1 und e2 werden dedupliziert und die unterschiedlichen Zeitstempel werden bei der Deduplizierung nicht verwendet. Die folgenden Felder werden bei der Deduplizierung nicht verwendet:

• collected_timestamp
• creation_timestamp
• interval

Beim Zusammenführen werden Beziehungen zwischen Entitäten für einen Zeitraum von einem Tag hergestellt. Angenommen, es gibt einen Entitätseintrag für user A, der Zugriff auf einen Cloud Storage-Bucket hat. Es gibt einen weiteren Entitätseintrag für user A, der Inhaber eines Geräts ist. Nach dem Zusammenführen ergeben diese beiden Entitäten eine einzelne Entität user A mit zwei Beziehungen. Eine Beziehung besteht darin, dass user A Zugriff auf den Cloud Storage-Bucket hat, und die andere Beziehung besteht darin, dass user A der Eigentümer des Geräts ist. Google Security Operations führt einen Rückblick von fünf Tagen durch, wenn es Daten zum Entitätskontext erstellt. So werden verspätet eingehende Daten verarbeitet und eine implizite Gültigkeitsdauer für Daten im Entitätskontext erstellt.

Google Security Operations verwendet Aliasse, um die Telemetriedaten anzureichern, und Entitätsgraphen, um die Entitäten anzureichern. Die Regeln der Erkennungs-Engine führen die zusammengeführten Entitäten mit den angereicherten Telemetriedaten zusammen, um kontextbezogene Analysen bereitzustellen.

Ein Ereignis, das ein Entitätssubstantiv enthält, wird als Entität betrachtet. Hier sind einige Ereignistypen und ihre entsprechenden Entitätstypen:

• ASSET_CONTEXT entspricht ASSET.
• RESOURCE_CONTEXT entspricht RESOURCE.
• USER_CONTEXT entspricht USER.
• GROUP_CONTEXT entspricht GROUP.

In der Entitätsgrafik wird anhand der Bedrohungsinformationen zwischen Kontextdaten und Indikatoren für eine Kompromittierung unterschieden.

Beachten Sie bei der Verwendung kontextuell angereicherter Daten Folgendes:

• Fügen Sie der Entität keine Intervalle hinzu, sondern lassen Sie die Intervalle von der Entitätsgrafik erstellen. Das liegt daran, dass Intervalle bei der Deduplizierung generiert werden, sofern nicht anders angegeben.
• Wenn die Intervalle angegeben sind, werden nur dieselben Ereignisse dedupliziert und das neueste Element wird beibehalten.
• Damit Live-Regeln und Retrohunts wie erwartet funktionieren, müssen Entitäten mindestens einmal täglich aufgenommen werden.
• Wenn Entitäten nicht täglich, sondern nur alle zwei oder mehr Tage aufgenommen werden, funktionieren Live-Regeln möglicherweise wie erwartet. Bei Retrohunts geht jedoch möglicherweise der Kontext des Ereignisses verloren.
• Wenn Entitäten mehrmals täglich aufgenommen werden, werden sie zu einer einzelnen Entität dedupliziert.
• Wenn die Ereignisdaten für einen Tag fehlen, werden vorübergehend die Daten des Vortags verwendet, damit die Live-Regeln ordnungsgemäß funktionieren.

In der Entitätsgrafik werden auch Ereignisse mit ähnlichen IDs zusammengeführt, um eine konsolidierte Ansicht der Daten zu erhalten. Die Zusammenführung erfolgt anhand der folgenden Liste von IDs:

• Asset
  • entity.asset.product_object_id
  • entity.asset.hostname
  • entity.asset.asset_id
  • entity.asset.mac
• User
  • entity.user.product_object_id
  • entity.user.userid
  • entity.user.windows_sid
  • entity.user.email_addresses
  • entity.user.employee_id
• Resource
  • entity.resource.product_object_id
  • entity.resource.name
• Group
  • entity.group.product_object_id
  • entity.group.email_addresses
  • entity.group.windows_sid

Statistiken zur Prävalenz berechnen

Das Google Security Operations-Team führt statistische Analysen an vorhandenen und eingehenden Daten durch und ergänzt Entitätskontexteinträge mit Prävalenzmesswerten.

Die Prävalenz ist ein numerischer Wert, der angibt, wie beliebt eine Entität ist. Die Beliebtheit wird durch die Anzahl der Assets definiert, die auf ein Artefakt zugreifen, z. B. eine Domain, einen Datei-Hash oder eine IP-Adresse. Je höher die Zahl, desto beliebter ist die Entität. google.com hat beispielsweise hohe Prävalenzwerte, da häufig darauf zugegriffen wird. Wenn auf eine Domain selten zugegriffen wird, sind die Prävalenzwerte niedriger. Bei beliebteren Entitäten ist die Wahrscheinlichkeit, dass sie schädlich sind, in der Regel geringer.

Diese angereicherten Werte werden für Domain, IP-Adresse und Datei (Hash) unterstützt. Die Werte werden berechnet und in den folgenden Feldern gespeichert.

Die Prävalenzstatistiken für jede Entität werden täglich aktualisiert. Die Werte werden in einem separaten Entitätskontext gespeichert, der von der Detection Engine verwendet werden kann, aber nicht in den Suchansicht für Google Security Operations und in der UDM-Suche angezeigt wird.

Die folgenden Felder können beim Erstellen von Regeln für die Detection Engine verwendet werden.

Die Werte „day_max“ und „rolling_max“ werden unterschiedlich berechnet. Die Felder werden so berechnet:

• day_max wird als maximale Prävalenzbewertung für das Artefakt während des Tages berechnet. Ein Tag ist definiert als 00:00:00 bis 23:59:59 Uhr UTC.
• rolling_max wird als maximaler Wert der täglichen Prävalenz (d.h. day_max) für das Artefakt im vorangegangenen 10-Tage-Zeitraum berechnet.
• day_count wird zum Berechnen von rolling_max verwendet und hat immer den Wert 10.

Bei der Berechnung für eine Domain ist der Unterschied zwischen day_max und day_max_sub_domains (und rolling_max und rolling_max_sub_domains) folgender:

• rolling_max und day_max geben die Anzahl der einzelnen internen IP-Adressen an, die täglich auf eine bestimmte Domain zugreifen (ohne Subdomains).
• rolling_max_sub_domains und day_max_sub_domains geben die Anzahl der eindeutigen internen IP-Adressen an, die auf eine bestimmte Domain (einschließlich Subdomains) zugreifen.

Prävalenzstatistiken werden anhand von neu aufgenommenen Entitätsdaten berechnet. Berechnungen werden nicht rückwirkend auf zuvor aufgenommene Daten angewendet. Es dauert ungefähr 36 Stunden, bis die Statistiken berechnet und gespeichert sind.

Erst- und Letztaufrufzeit von Entitäten berechnen

Google Security Operations führt statistische Analysen an den eingehenden Daten durch und ergänzt Entitätskontexteinträge um die Zeiten, zu denen eine Entität zum ersten bzw. zum letzten Mal gesehen wurde. Im Feld first_seen_time werden das Datum und die Uhrzeit gespeichert, zu denen das Element zum ersten Mal in der Kundenumgebung erfasst wurde. Im Feld last_seen_time werden das Datum und die Uhrzeit der letzten Beobachtung gespeichert.

Da ein Asset oder Nutzer anhand mehrerer Indikatoren (UDM-Felder) identifiziert werden kann, ist das Datum „Erste Datenerhebung“ der Zeitpunkt, zu dem einer der Indikatoren, die den Nutzer oder das Asset identifizieren, zum ersten Mal in der Kundenumgebung erfasst wurde.

Folgende UDM-Felder beschreiben ein Asset:

• entity.asset.hostname
• entity.asset.ip
• entity.asset.mac
• entity.asset.asset_id
• entity.asset.product_object_id

Alle UDM-Felder, die einen Nutzer beschreiben, sind:

• entity.user.windows_sid
• entity.user.product_object_id
• entity.user.userid
• entity.user.employee_id
• entity.user.email_addresses

Anhand der Zeit, zu der eine Domain, Datei (Hash), ein Asset, ein Nutzer oder eine IP-Adresse zum ersten Mal oder zum letzten Mal erkannt wurde, können Analysten bestimmte Aktivitäten in Beziehung setzen.

Die Felder first_seen_time und last_seen_time enthalten Entitäten, die eine Domain, eine IP-Adresse und eine Datei (Hash) beschreiben. Bei Entitäten, die einen Nutzer oder ein Asset beschreiben, wird nur das Feld first_seen_time ausgefüllt. Diese Werte werden nicht für Entitäten berechnet, die andere Typen beschreiben, z. B. eine Gruppe oder eine Ressource.

Die Statistiken werden für jede Entität in allen Namespaces berechnet. Das Google Security Operations-Team berechnet die Statistiken nicht für jede Entität innerhalb einzelner Namespaces. Diese Statistiken werden derzeit nicht in das events-Schema von Google Security Operations in BigQuery exportiert.

Die angereicherten Werte werden berechnet und in den folgenden UDM-Feldern gespeichert:

Ereignisse mit Standortdaten anreichern

Eingehende Protokolldaten können externe IP-Adressen ohne entsprechende Standortinformationen enthalten. Das ist häufig der Fall, wenn bei einem Ereignis Informationen zu Geräteaktivitäten protokolliert werden, die sich nicht in einem Unternehmensnetzwerk befinden. Ein Anmeldeereignis bei einem Cloud-Dienst würde beispielsweise eine Quell- oder Client-IP-Adresse enthalten, die auf der externen IP-Adresse eines Geräts basiert, die vom NAT des Mobilfunkanbieters zurückgegeben wird.

Google Security Operations bietet Daten mit Geoinformationen für externe IP-Adressen, um eine bessere Regelerkennung und mehr Kontext für Untersuchungen zu ermöglichen. So kann Google Security Operations beispielsweise eine externe IP-Adresse verwenden, um das Ereignis mit Informationen zum Land (z. B. USA), zu einem bestimmten Bundesstaat (z. B. Alaska) und zum Netzwerk, in dem sich die IP-Adresse befindet (z. B. ASN und Name des Mobilfunkanbieters), anzureichern.

Google Security Operations verwendet von Google bereitgestellte Standortdaten, um einen ungefähren geografischen Standort und Netzwerkinformationen für eine IP-Adresse anzugeben. Sie können Regeln für die Erkennungs-Engine für diese Felder in den Ereignissen schreiben. Die angereicherten Ereignisdaten werden auch in BigQuery exportiert, wo sie in Google Security Operations-Dashboards und -Berichten verwendet werden können.

Die folgenden IP-Adressen werden nicht angereichert:

• Private IP-Adressbereiche von RFC 1918, da sie innerhalb des Unternehmensnetzwerks liegen.
• Multicast-IP-Adressbereich von RFC 5771, da Multicast-Adressen keinem einzelnen Standort zugeordnet sind.
• Eindeutige lokale IPv6-Adressen
• IP-Adressen von Google Cloud-Diensten Eine Ausnahme bilden externe IP-Adressen der Google Cloud Compute Engine, die angereichert werden.

In Google Security Operations werden die folgenden UDM-Felder mit Geolokalisierungsdaten angereichert:

• principal
• target
• src
• observer

Im folgenden Beispiel sehen Sie, welche Art von geografischen Informationen einem UDM-Ereignis mit einer IP-Adresse hinzugefügt werden, die mit den Niederlanden getaggt ist:

Inkonsistenzen

Die proprietäre IP-Standortbestimmungstechnologie von Google verwendet eine Kombination aus Netzwerkdaten und anderen Eingaben und Methoden, um Nutzern den Standort der IP-Adresse und die Netzwerkauflösung zur Verfügung zu stellen. Andere Organisationen verwenden möglicherweise andere Signale oder Methoden, was gelegentlich zu anderen Ergebnissen führen kann.

Wenn Sie Abweichungen bei den von Google bereitgestellten Ergebnissen zur IP-Standortbestimmung feststellen, erstellen Sie bitte eine Supportanfrage, damit wir die Angelegenheit untersuchen und gegebenenfalls unsere Daten korrigieren können.

Entitäten mit Informationen aus den Safe Browsing-Trichterlisten anreichern

Google Security Operations nimmt Daten von Safe Browsing zu Datei-Hashes auf. Die Daten für jede Datei werden als Entität gespeichert und liefern zusätzlichen Kontext zur Datei. Analysten können Regeln für die Erkennungs-Engine erstellen, die Abfragen an diese Entitätskontextdaten stellen, um kontextbezogene Analysen zu erstellen.

Die folgenden Informationen werden im Entitätskontext-Eintrag gespeichert.

Entitäten mit WHOIS-Daten anreichern

Google Security Operations nimmt täglich WHOIS-Daten auf. Bei der Aufnahme eingehender Gerätedaten von Kunden prüft Google Security Operations die Domains in den Kundendaten anhand der WHOIS-Daten. Bei einer Übereinstimmung speichert Google Security Operations die zugehörigen WHOIS-Daten im Entitätseintrag für die Domain. Für jede Entität, bei der entity.metadata.entity_type = DOMAIN_NAME, reichert Google Security Operations die Entität mit Informationen aus WHOIS an.

Google Security Operations füllt die folgenden Felder im Entitätseintrag mit angereicherten WHOIS-Daten aus:

• entity.domain.admin.attribute.labels
• entity.domain.audit_update_time
• entity.domain.billing.attribute.labels
• entity.domain.billing.office_address.country_or_region
• entity.domain.contact_email
• entity.domain.creation_time
• entity.domain.expiration_time
• entity.domain.iana_registrar_id
• entity.domain.name_server
• entity.domain.private_registration
• entity.domain.registrant.company_name
• entity.domain.registrant.office_address.state
• entity.domain.registrant.office_address.country_or_region
• entity.domain.registrant.email_addresses
• entity.domain.registrant.user_display_name
• entity.domain.registrar
• entity.domain.registry_data_raw_text
• entity.domain.status
• entity.domain.tech.attribute.labels
• entity.domain.update_time
• entity.domain.whois_record_raw_text
• entity.domain.whois_server
• entity.domain.zone

Eine Beschreibung dieser Felder finden Sie im Dokument Liste der Felder des einheitlichen Datenmodells.

Google Cloud Threat Intelligence-Daten aufnehmen und speichern

Google Security Operations nimmt Daten aus Google Cloud Threat Intelligence (GCTI)-Datenquellen auf, die Ihnen Kontextinformationen zur Verfügung stellen, die Sie bei der Untersuchung von Aktivitäten in Ihrer Umgebung verwenden können. Sie können die folgenden Datenquellen abfragen:

• GCTI Tor-Ausgangsknoten: IP-Adressen, die bekannte Tor-Ausgangsknoten sind.
• GCTI-harmlose Binärdateien: Dateien, die entweder Teil der ursprünglichen Betriebssystemverteilung sind oder durch einen offiziellen Betriebssystem-Patch aktualisiert wurden. Einige offizielle Betriebssystem-Binärdateien, die von einem Angreifer durch Aktivitäten missbraucht wurden, die für Living-Off-The-Land-Angriffe typisch sind, sind von dieser Datenquelle ausgeschlossen, z. B. solche, die sich auf initiale Eintrittsvektoren konzentrieren.

• GCTI-Remotezugriffstools: Dateien, die häufig von böswilligen Akteuren verwendet wurden. Diese Tools sind in der Regel legitime Anwendungen, die manchmal missbraucht werden, um eine Remote-Verbindung zu manipulierten Systemen herzustellen.

  Diese Kontextdaten werden global als Entitäten gespeichert. Sie können die Daten mithilfe von Regeln der Erkennungs-Engine abfragen. Fügen Sie die folgenden UDM-Felder und ‑Werte in die Regel ein, um diese globalen Entitäten abzufragen:

• graph.metadata.vendor_name = Google Cloud Threat Intelligence

• graph.metadata.product_name = GCTI Feed

In diesem Dokument steht der Platzhalter <variable_name> für den eindeutigen Variablennamen, der in einer Regel verwendet wird, um einen UDM-Eintrag zu identifizieren.

Zeitlich begrenzte und zeitlose Google Cloud Threat Intelligence-Datenquellen

Google Cloud-Datenquellen für die Threat Intelligence sind entweder zeitlich begrenzt oder zeitlich unbegrenzt.

Bei zeitbezogenen Datenquellen ist jedem Eintrag ein Zeitraum zugeordnet. Das bedeutet, dass bei einer Erkennung an Tag 1 dieselbe Erkennung an einem beliebigen Tag in der Zukunft bei einer Retro-Suche für Tag 1 generiert wird.

Zeitlich unbegrenzte Datenquellen haben keinen Zeitbereich. Das liegt daran, dass nur die neuesten Daten berücksichtigt werden sollten. Zeitlich unbegrenzte Datenquellen werden häufig für Daten wie Datei-Hashes verwendet, die sich voraussichtlich nicht ändern. Wenn an Tag 1 keine Erkennung generiert wird, kann an Tag 2 bei einer Retro-Suche eine Erkennung für Tag 1 generiert werden, weil ein neuer Eintrag hinzugefügt wurde.

Daten zu IP-Adressen von Tor-Ausgangsknoten

Google Security Operations nimmt IP-Adressen auf, die bekannte Tor-Ausgangsknoten sind, und speichert sie. Tor-Ausgangsknoten sind Punkte, an denen der Traffic das Tor-Netzwerk verlässt. Die aus dieser Datenquelle aufgenommenen Informationen werden in den folgenden UDM-Feldern gespeichert. Die Daten in dieser Quelle sind zeitbasiert.

Daten zu harmlosen Betriebssystemdateien

Google Security Operations nimmt Datei-Hashes aus der GCTI-Datenquelle „Benign Binaries“ auf und speichert sie. Informationen, die aus dieser Datenquelle aufgenommen werden, werden in den folgenden UDM-Feldern gespeichert. Die Daten in dieser Quelle sind zeitlos.

Daten zu Tools für den Remotezugriff

Zu den Tools für den Remotezugriff gehören Datei-Hashes für bekannte Tools für den Remotezugriff wie VNC-Clients, die häufig von böswilligen Akteuren verwendet wurden. Diese Tools sind in der Regel legitime Anwendungen, die manchmal missbraucht werden, um eine Remote-Verbindung zu manipulierten Systemen herzustellen. Die aus dieser Datenquelle aufgenommenen Informationen werden in den folgenden UDM-Feldern gespeichert. Die Daten in dieser Quelle sind zeitlos.

Ereignisse mit VirusTotal-Dateimetadaten anreichern

Google Security Operations ergänzt Datei-Hashes in UDM-Ereignissen und bietet bei der Untersuchung zusätzlichen Kontext. UDM-Ereignisse werden in einer Kundenumgebung durch Hash-Aliasse angereichert. Hash-Aliasse kombinieren alle Arten von Datei-Hashes und liefern Informationen zu einem Datei-Hash bei einer Suche.

Durch die Integration von VirusTotal-Dateimetadaten und Beziehungsdaten in Google SecOps können Muster schädlicher Aktivitäten erkannt und Malwarebewegungen in einem Netzwerk verfolgt werden.

Ein Rohprotokoll enthält nur begrenzte Informationen zur Datei. VirusTotal ergänzt das Ereignis um Dateimetadaten, um einen Dump fehlerhafter Hashes zusammen mit Metadaten zur fehlerhaften Datei bereitzustellen. Die Metadaten enthalten Informationen wie Dateinamen, Typen, importierte Funktionen und Tags. Sie können diese Informationen in der UDM-Such- und -Erkennungs-Engine mit YARA-L verwenden, um schädliche Dateiereignisse zu verstehen und allgemein bei der Bedrohungssuche. Ein Beispiel für einen Anwendungsfall ist die Erkennung von Änderungen an der Originaldatei, die wiederum die Dateimetadaten zur Bedrohungserkennung importieren würde.

Die folgenden Informationen werden mit dem Eintrag gespeichert. Eine Liste aller UDM-Felder finden Sie unter Liste der Felder für einheitliche Datenmodelle.