Como o Google Security Operations enriquece dados de eventos e entidades

Compatível com:

Este documento descreve como as Operações de segurança do Google enriquecem os dados e os campos do Modelo de dados unificado (UDM) em que os dados são armazenados.

Para permitir uma investigação de segurança, o Google Security Operations ingere dados contextuais de diferentes fontes, realiza análises nos dados e fornece mais contexto sobre artefatos em um ambiente do cliente. Os analistas podem usar dados enriquecidos contextualmente em regras do Detection Engine, pesquisas investigativas ou relatórios.

As operações de segurança do Google realizam os seguintes tipos de enriquecimento:

  • Enriquece entidades usando a mesclagem e o gráfico de entidades.
  • Calcula e enriquece cada entidade com uma estatística de prevalência que indica a popularidade dela no ambiente.
  • Calcula a primeira vez que determinados tipos de entidades foram vistos no ambiente ou a mais recente.
  • Aprimora entidades com informações das listas de ameaças da Navegação segura.
  • Enriquece eventos com dados de geolocalização.
  • Aprimora entidades com dados WHOIS.
  • Enriquece eventos com metadados de arquivos do VirusTotal.
  • Enriquece entidades com dados de relacionamento do VirusTotal.
  • Ingerir e armazenar dados da Google Cloud Threat Intelligence.

Os dados enriquecidos do WHOIS, da Navegação segura, da inteligência contra ameaças do GCTI, dos metadados do VirusTotal e da relação do VirusTotal são identificados por entity_type, product_name e vendor_name. Ao criar uma regra que usa esses dados enriquecidos, recomendamos que você inclua um filtro na regra que identifique o tipo de enriquecimento específico a ser incluído. Esse filtro ajuda a melhorar a performance da regra. Por exemplo, inclua os seguintes campos de filtro na seção events da regra que mescla os dados do WHOIS.

$enrichment.graph.metadata.entity_type = "DOMAIN_NAME"
$enrichment.graph.metadata.product_name = "WHOISXMLAPI Simple Whois"
$enrichment.graph.metadata.vendor_name = "WHOIS"

Enriquecer entidades usando o gráfico de entidades e a mesclagem

O gráfico de entidade identifica as relações entre entidades e recursos no seu ambiente. Quando entidades de origens diferentes são processadas no Google Security Operations, o gráfico de entidades mantém uma lista de adjacência com base na relação entre elas. O gráfico de entidade realiza o enriquecimento de contexto realizando a eliminação de duplicação e a mesclagem.

Durante a eliminação de duplicação, os dados redundantes são eliminados e intervalos são formados para criar uma entidade comum. Por exemplo, considere duas entidades e1 e e2 com carimbos de data/hora t1 e t2, respectivamente. As entidades e1 e e2 são eliminadas e os carimbos de data/hora diferentes não são usados durante a eliminação. Os campos a seguir não são usados durante a eliminação de duplicação:

  • collected_timestamp
  • creation_timestamp
  • interval

Durante a mesclagem, as relações entre entidades são formadas para um intervalo de tempo de um dia. Por exemplo, considere um registro de entidade de user A que tenha acesso a um bucket do Cloud Storage. Há outro registro de entidade de user A que é proprietário de um dispositivo. Após a mesclagem, essas duas entidades resultam em uma única entidade user A com duas relações. Uma relação é que user A tem acesso ao bucket do Cloud Storage, e a outra relação é que user A é o proprietário do dispositivo. O Google Security Operations realiza uma retrospectiva de cinco dias ao criar dados de contexto de entidade. Isso processa dados atrasados e cria um tempo de vida implícito nos dados de contexto da entidade.

O Google Security Operations usa alias para aprimorar os dados de telemetria e gráficos de entidades para aprimorar as entidades. As regras do mecanismo de detecção unem as entidades mescladas aos dados de telemetria enriquecidos para fornecer análises com base no contexto.

Um evento que contém um substantivo de entidade é considerado uma entidade. Confira alguns tipos de evento e os tipos de entidade correspondentes:

  • ASSET_CONTEXT corresponde a ASSET.
  • RESOURCE_CONTEXT corresponde a RESOURCE.
  • USER_CONTEXT corresponde a USER.
  • GROUP_CONTEXT corresponde a GROUP.

O gráfico de entidade distingue dados contextuais e indicadores de comprometimento (IOC) usando as informações de ameaça.

Ao usar dados enriquecidos contextualmente, considere o seguinte comportamento do gráfico de entidades:

  • Não adicione intervalos na entidade. Em vez disso, deixe que o gráfico de entidade crie intervalos. Isso ocorre porque os intervalos são gerados durante a eliminação de duplicação, a menos que seja especificado o contrário.
  • Se os intervalos forem especificados, apenas os mesmos eventos serão eliminados e a entidade mais recente será mantida.
  • Para garantir que as regras ativas e as retrohunts funcionem como esperado, as entidades precisam ser ingeridas pelo menos uma vez por dia.
  • Se as entidades não forem ingeridas diariamente e apenas uma vez em dois ou mais dias, as regras ativas podem funcionar como esperado, mas as retrohunts podem perder o contexto do evento.
  • Se as entidades forem ingeridas mais de uma vez por dia, elas serão desduplicadas para uma única entidade.
  • Se os dados de um dia estiverem ausentes, os dados do dia anterior serão usados temporariamente para garantir que as regras ativas funcionem corretamente.

O gráfico de entidade também mescla eventos com identificadores semelhantes para ter uma visão consolidada dos dados. Essa mesclagem acontece com base na seguinte lista de identificadores:

  • Asset
    • entity.asset.product_object_id
    • entity.asset.hostname
    • entity.asset.asset_id
    • entity.asset.mac
  • User
    • entity.user.product_object_id
    • entity.user.userid
    • entity.user.windows_sid
    • entity.user.email_addresses
    • entity.user.employee_id
  • Resource
    • entity.resource.product_object_id
    • entity.resource.name
  • Group
    • entity.group.product_object_id
    • entity.group.email_addresses
    • entity.group.windows_sid

Calcular estatísticas de prevalência

O Google Security Operations realiza análises estatísticas em dados atuais e recebidos e enriquece os registros de contexto de entidade com métricas relacionadas à prevalência.

A prevalência é um valor numérico que indica o quanto uma entidade é popular. A popularidade é definida pelo número de recursos que acessam um artefato, como um domínio, hash de arquivo ou endereço IP. Quanto maior o número, mais popular é a entidade. Por exemplo, google.com tem valores de prevalência altos porque é acessado com frequência. Se um domínio for acessado com pouca frequência, ele terá valores de prevalência mais baixos. As entidades mais conhecidas geralmente têm menos probabilidade de serem maliciosas.

Esses valores enriquecidos são aceitos para domínio, IP e arquivo (hash). Os valores são calculados e armazenados nos campos a seguir.

As estatísticas de prevalência de cada entidade são atualizadas todos os dias. Os valores são armazenados em um contexto de entidade separado que pode ser usado pelo mecanismo de detecção, mas não é mostrado nas visualizações investigativas das Operações de segurança do Google e na pesquisa da UDM.

Os campos a seguir podem ser usados ao criar regras do mecanismo de detecção.

Tipo de entidade Campos do UDM
Domínio entity.domain.prevalence.day_count
entity.domain.prevalence.day_max
entity.domain.prevalence.day_max_sub_domains
entity.domain.prevalence.rolling_max
entity.domain.prevalence.rolling_max_sub_domains
Arquivo (hash) entity.file.prevalence.day_count
entity.file.prevalence.day_max
entity.file.prevalence.rolling_max
Endereço IP entity.artifact.prevalence.day_count
entity.artifact.prevalence.day_max
entity.artifact.prevalence.rolling_max

Os valores day_max e rolling_max são calculados de maneira diferente. Os campos são calculados da seguinte maneira:

  • day_max é calculado como a pontuação de prevalência máxima do artefato durante o dia, em que um dia é definido como 12h00min00seg - 23h59min59seg UTC.
  • O rolling_max é calculado como a pontuação máxima de prevalência por dia (ou seja, day_max) do artefato nos últimos 10 dias.
  • day_count é usado para calcular rolling_max e sempre tem o valor 10.

Quando calculada para um domínio, a diferença entre day_max e day_max_sub_domains (e rolling_max e rolling_max_sub_domains) é a seguinte:

  • rolling_max e day_max representam o número de endereços IP internos únicos diários que acessam um determinado domínio (excluindo subdomínios).
  • rolling_max_sub_domains e day_max_sub_domains representam o número de endereços IP internos exclusivos que acessam um determinado domínio (incluindo subdomínios).

As estatísticas de prevalência são calculadas com base nos dados de entidades recém-ingeridos. Os cálculos não são realizados retroativamente em dados ingeridos anteriormente. Leva aproximadamente 36 horas para que as estatísticas sejam calculadas e armazenadas.

Calcular o horário da primeira e da última visualização de entidades

O Google Security Operations realiza análises estatísticas nos dados recebidos e enriquece os registros de contexto de entidade com os horários de primeira e última visualização de uma entidade. O campo first_seen_time armazena a data e a hora em que a entidade foi vista pela primeira vez no ambiente do cliente. O campo last_seen_time armazena a data e a hora da observação mais recente.

Como vários indicadores (campos da UDM) podem identificar um recurso ou um usuário, a primeira vez que um dos indicadores que identificam o usuário ou o recurso foi visto no ambiente do cliente é a primeira vez que ele foi visto.

Todos os campos de UDM que descrevem um recurso são os seguintes:

  • entity.asset.hostname
  • entity.asset.ip
  • entity.asset.mac
  • entity.asset.asset_id
  • entity.asset.product_object_id

Todos os campos do UDM que descrevem um usuário são os seguintes:

  • entity.user.windows_sid
  • entity.user.product_object_id
  • entity.user.userid
  • entity.user.employee_id
  • entity.user.email_addresses

O horário de primeira e de última visualização permitem que um analista correlacione determinada atividade que ocorreu após a primeira visualização de um domínio, arquivo (hash), recurso, usuário ou endereço IP ou que deixou de ocorrer após a última visualização.

Os campos first_seen_time e last_seen_time são preenchidos com entidades que descrevem um domínio, endereço IP e arquivo (hash). Para entidades que descrevem um usuário ou recurso, apenas o campo first_seen_time é preenchido. Esses valores não são calculados para entidades que descrevem outros tipos, como um grupo ou recurso.

As estatísticas são calculadas para cada entidade em todos os namespaces. O Google Security Operations não calcula as estatísticas de cada entidade em namespaces individuais. No momento, essas estatísticas não são exportadas para o esquema events do Google Security Operations no BigQuery.

Os valores enriquecidos são calculados e armazenados nos seguintes campos do UDM:

Tipo de entidade Campos do UDM
Domínio entity.domain.first_seen_time
entity.domain.last_seen_time
Arquivo (hash) entity.file.first_seen_time
entity.file.last_seen_time
Endereço IP entity.artifact.first_seen_time
entity.artifact.last_seen_time
Recurso entity.asset.first_seen_time
Usuário entity.user.first_seen_time

Enriquecer eventos com dados de geolocalização

Os dados de registro recebidos podem incluir endereços IP externo sem informações de local correspondentes. Isso é comum quando um evento registra informações sobre a atividade do dispositivo que não está em uma rede corporativa. Por exemplo, um evento de login em um serviço de nuvem conteria um endereço IP de origem ou de cliente com base no endereço IP externo de um dispositivo retornado pelo NAT da operadora.

O Google Security Operations fornece dados enriquecidos com geolocalização para endereços IP externo para permitir detecções de regras mais eficientes e mais contexto para investigações. Por exemplo, as operações de segurança do Google podem usar um endereço IP externo para enriquecer o evento com informações sobre o país (como os Estados Unidos), um estado específico (como o Alasca) e a rede em que o endereço IP está (como o ASN e o nome da operadora).

O Google Security Operations usa dados de localização fornecidos pelo Google para fornecer um local geográfico aproximado e informações de rede para um endereço IP. É possível escrever regras do mecanismo de detecção para esses campos nos eventos. Os dados de eventos enriquecidos também são exportados para o BigQuery, onde podem ser usados nos painéis e relatórios do Google Security Operations.

Os seguintes endereços IP não são enriquecidos:

  • Espaços de endereço IP particulares RFC 1918, porque eles são internos à rede corporativa.
  • Espaço de endereço IP multicast RFC 5771, porque os endereços multicast não pertencem a um único local.
  • Endereços locais exclusivos IPv6.
  • Endereços IP do serviço do Google Cloud. As exceções são endereços IP externo do Google Cloud Compute Engine, que são enriquecidos.

O Google Security Operations enriquece os seguintes campos do UDM com dados de geolocalização:

  • principal
  • target
  • src
  • observer
Tipo de dados Campo de UDM
Local (por exemplo, Estados Unidos) ( principal | target | src | observer ).ip_geo_artifact.location.country_or_region
Estado (por exemplo, Nova York) ( principal | target | src | observer ).ip_geo_artifact.location.state
Longitude ( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.longitude
Latitude ( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.latitude
ASN (número de sistema autônomo) ( principal | target | src | observer ).ip_geo_artifact.network.asn
Nome da operadora ( principal | target | src | observer ).ip_geo_artifact.network.carrier_name
Domínio de DNS ( principal | target | src | observer ).ip_geo_artifact.network.dns_domain
Nome da organização ( principal | target | src | observer ).ip_geo_artifact.network.organization_name

O exemplo a seguir mostra o tipo de informação geográfica que seria adicionada a um evento da UDM com um endereço IP marcado como Holanda:

Campo de UDM Valor
principal.ip_geo_artifact.location.country_or_region Netherlands
principal.ip_geo_artifact.location.region_coordinates.latitude 52.132633
principal.ip_geo_artifact.location.region_coordinates.longitude 5.291266
principal.ip_geo_artifact.network.asn 8455
principal.ip_geo_artifact.network.carrier_name schuberg philis

Inconsistências

A tecnologia de geolocalização de IP exclusiva do Google usa uma combinação de dados de rede e outras entradas e métodos para fornecer a localização do endereço IP e a resolução de rede aos nossos usuários. Outras organizações podem usar indicadores ou métodos diferentes, o que pode levar a resultados diferentes.

Se houver casos em que você encontrar uma inconsistência nos resultados de geolocalização de IP fornecidos pelo Google, abra um caso de suporte ao cliente para que possamos investigar e, se apropriado, corrigir nossos registros.

Enriquecer entidades com informações das listas de ameaças da Navegação segura

O Google Security Operations ingere dados da Navegação segura relacionados a hashes de arquivos. Os dados de cada arquivo são armazenados como uma entidade e fornecem mais contexto sobre o arquivo. Os analistas podem criar regras do mecanismo de detecção que consultam os dados de contexto da entidade para criar análises com base no contexto.

As informações a seguir são armazenadas com o registro de contexto da entidade.

Campo de UDM Descrição
entity.metadata.product_entity_id Um identificador exclusivo da entidade.
entity.metadata.entity_type Esse valor é FILE, indicando que a entidade descreve um arquivo.
entity.metadata.collected_timestamp A data e a hora em que a entidade foi observada ou o evento ocorreu.
entity.metadata.interval Armazena o horário de início e de término em que esses dados são válidos. Como o conteúdo da lista de ameaças muda com o tempo, o start_time e o end_time refletem o intervalo de tempo em que os dados sobre a entidade são válidos. Por exemplo, um hash de arquivo foi observado como malicioso ou suspeito entre start_time and end_time.
entity.metadata.threat.category Este é o Google Security Operations SecurityCategory. Ele é definido como um ou mais dos seguintes valores:
  • SOFTWARE_MALICIOUS: indica que a ameaça está relacionada a malware.
  • SOFTWARE_PUA: indica que a ameaça está relacionada a software indesejado.
entity.metadata.threat.severity Este é o Google Security Operations ProductSeverity. Se o valor for CRITICAL, isso indica que o artefato parece malicioso. Se o valor não for especificado, não haverá confiança suficiente para indicar que o artefato é malicioso.
entity.metadata.product_name Armazena o valor Google Safe Browsing.
entity.file.sha256 O valor de hash SHA256 do arquivo.

Aprimorar entidades com dados WHOIS

O Google Security Operations ingere dados WHOIS diariamente. Durante a ingestão de dados de dispositivos do cliente, o Google Security Operations avalia os domínios nos dados do cliente em comparação com os dados do WHOIS. Quando há uma correspondência, as Operações de segurança do Google armazenam os dados do WHOIS relacionados com o registro de entidade do domínio. Para cada entidade, em que entity.metadata.entity_type = DOMAIN_NAME, as operações de segurança do Google enriquecem a entidade com informações do WHOIS.

O Google Security Operations preenche os dados enriquecidos do WHOIS nos seguintes campos do registro de entidade:

  • entity.domain.admin.attribute.labels
  • entity.domain.audit_update_time
  • entity.domain.billing.attribute.labels
  • entity.domain.billing.office_address.country_or_region
  • entity.domain.contact_email
  • entity.domain.creation_time
  • entity.domain.expiration_time
  • entity.domain.iana_registrar_id
  • entity.domain.name_server
  • entity.domain.private_registration
  • entity.domain.registrant.company_name
  • entity.domain.registrant.office_address.state
  • entity.domain.registrant.office_address.country_or_region
  • entity.domain.registrant.email_addresses
  • entity.domain.registrant.user_display_name
  • entity.domain.registrar
  • entity.domain.registry_data_raw_text
  • entity.domain.status
  • entity.domain.tech.attribute.labels
  • entity.domain.update_time
  • entity.domain.whois_record_raw_text
  • entity.domain.whois_server
  • entity.domain.zone

Para uma descrição desses campos, consulte o documento da lista de campos do modelo de dados unificado.

Ingerir e armazenar dados da Google Cloud Threat Intelligence

O Google Security Operations ingere dados de fontes de dados da Inteligência de Ameaças do Google Cloud (GCTI, na sigla em inglês) que fornecem informações contextuais que podem ser usadas ao investigar atividades no seu ambiente. É possível consultar as seguintes fontes de dados:

  • Nós de saída do Tor da GCTI: endereços IP conhecidos como nós de saída do Tor.
  • Binários benignos GCTI: arquivos que fazem parte da distribuição original do sistema operacional ou foram atualizados por um patch oficial do sistema operacional. Alguns binários oficiais do sistema operacional que foram abusados por um adversário em uma atividade comum em ataques de living-off-the-land são excluídos dessa fonte de dados, como aqueles focados em vetores de entrada iniciais.
  • Ferramentas de acesso remoto GCTI: arquivos que são usados com frequência por agentes maliciosos. Essas ferramentas geralmente são aplicativos legítimos que às vezes são usados de forma indevida para se conectar remotamente a sistemas comprometidos.

    Esses dados contextuais são armazenados globalmente como entidades. É possível consultar os dados usando regras do mecanismo de detecção. Inclua os seguintes campos e valores do UDM na regra para consultar essas entidades globais:

  • graph.metadata.vendor_name = Google Cloud Threat Intelligence

  • graph.metadata.product_name = GCTI Feed

Neste documento, o marcador de posição <variable_name> representa o nome da variável exclusiva usada em uma regra para identificar um registro do UDM.

Fontes de dados do Google Cloud Threat Intelligence com e sem tempo

As origens de dados da Threat Intelligence do Google Cloud são temporárias ou permanentes.

As fontes de dados temporizadas têm um intervalo de tempo associado a cada entrada. Isso significa que, se uma detecção for gerada no dia 1, em qualquer dia no futuro, a mesma detecção será gerada para o dia 1 durante uma retroalimentação.

As fontes de dados atemporais não têm um intervalo de tempo associado a elas. Isso acontece porque apenas o conjunto de dados mais recente precisa ser considerado. As fontes de dados atemporais são usadas com frequência para dados como hashes de arquivos que não devem mudar. Se nenhuma detecção for gerada no dia 1, uma detecção poderá ser gerada para o dia 1 durante uma caça retroativa porque uma nova entrada foi adicionada.

Dados sobre endereços IP de nós de saída do Tor

O Google Security Operations recebe e armazena endereços IP conhecidos como nós de saída do Tor. Os nós de saída do Tor são pontos em que o tráfego sai da rede. As informações ingeridas dessa origem são armazenadas nos seguintes campos do UDM. Os dados dessa fonte são programados.

Campo de UDM Descrição
<variable_name>.graph.metadata.vendor_name Armazena o valor Google Cloud Threat Intelligence.
<variable_name>.graph.metadata.product_name Armazena o valor GCTI Feed.
<variable_name>.graph.metadata.threat.threat_feed_name Armazena o valor Tor Exit Nodes.
<variable_name>.graph.entity.artifact.ip Armazena o endereço IP ingerido da fonte de dados da GCTI.

Dados sobre arquivos benignos do sistema operacional

O Google Security Operations ingere e armazena hashes de arquivos da origem de dados Benign Binaries do GCTI. As informações coletadas dessa origem de dados são armazenadas nos seguintes campos do UDM. Os dados dessa fonte são atemporais.

Campo de UDM Descrição
<variable_name>.graph.metadata.vendor_name Armazena o valor Google Cloud Threat Intelligence.
<variable_name>.graph.metadata.product_name Armazena o valor GCTI Feed.
<variable_name>.graph.metadata.threat.threat_feed_name Armazena o valor Benign Binaries.
<variable_name>.graph.entity.file.sha256 Armazena o valor do hash SHA256 do arquivo.
<variable_name>.graph.entity.file.sha1 Armazena o valor do hash SHA1 do arquivo.
<variable_name>.graph.entity.file.md5 Armazena o valor de hash MD5 do arquivo.

Dados sobre ferramentas de acesso remoto

As ferramentas de acesso remoto incluem hashes de arquivos para ferramentas de acesso remoto conhecidas, como clientes VNC que são usados com frequência por agentes maliciosos. Essas ferramentas são geralmente aplicativos legítimos que às vezes são usados indevidamente para se conectar remotamente a sistemas comprometidos. As informações ingeridas dessa fonte de dados são armazenadas nos seguintes campos do UDM. Os dados dessa fonte são atemporais.

Campo de UDM Descrição
.graph.metadata.vendor_name Armazena o valor Google Cloud Threat Intelligence.
.graph.metadata.product_name Armazena o valor GCTI Feed.
.graph.metadata.threat.threat_feed_name Armazena o valor Remote Access Tools.
.graph.entity.file.sha256 Armazena o valor do hash SHA256 do arquivo.
.graph.entity.file.sha1 Armazena o valor do hash SHA1 do arquivo.
.graph.entity.file.md5 Armazena o valor do hash MD5 do arquivo.

Enriquecer eventos com metadados de arquivos do VirusTotal

O Google Security Operations enriquece os hashes de arquivos em eventos do UDM e fornece mais contexto durante uma investigação. Os eventos do UDM são enriquecidos com alias de hash em um ambiente do cliente. O alias de hash combina todos os tipos de hashes de arquivo e fornece informações sobre um hash de arquivo durante uma pesquisa.

A integração de metadados de arquivos do VirusTotal e o enriquecimento de relacionamento com o Google SecOps podem ser usados para identificar padrões de atividade maliciosa e rastrear movimentos de malware em uma rede.

Um registro bruto fornece informações limitadas sobre o arquivo. O VirusTotal enriquece o evento com metadados de arquivo para fornecer um dump de hashes inválidos com metadados sobre o arquivo inválido. Os metadados incluem informações como nomes de arquivos, tipos, funções importadas e tags. É possível usar essas informações no mecanismo de pesquisa e detecção da UDM com YARA-L para entender eventos de arquivos inválidos e, em geral, durante a busca de ameaças. Um exemplo de caso de uso é detectar qualquer modificação no arquivo original, que, por sua vez, importaria os metadados do arquivo para a detecção de ameaças.

As informações a seguir são armazenadas com o registro. Para conferir uma lista de todos os campos do UDM, consulte Lista de campos do modelo de dados unificado.

Tipo de dados Campo de UDM
SHA-256 ( principal | target | src | observer ).file.sha256
MD5 ( principal | target | src | observer ).file.md5
SHA-1 ( principal | target | src | observer ).file.sha1
Tamanho ( principal | target | src | observer ).file.size
ssdeep ( principal | target | src | observer ).file.ssdeep
vhash ( principal | target | src | observer ).file.vhash
authentihash ( principal | target | src | observer ).file.authentihash
Tipo de arquivo ( principal | target | src | observer ).file.file_type
Tags ( principal | target | src | observer ).file.tags
Tags de recursos ( principal | target | src | observer ).file.capabilities_tags
Nomes ( principal | target | src | observer ).file.names
Horário da primeira visualização ( principal | target | src | observer ).file.first_seen_time
Horário da última visualização ( principal | target | src | observer ).file.last_seen_time
Horário da última modificação ( principal | target | src | observer ).file.last_modification_time
Horário da última análise ( principal | target | src | observer ).file.last_analysis_time
URLs incorporados ( principal | target | src | observer ).file.embedded_urls
IPs incorporados ( principal | target | src | observer ).file.embedded_ips
Domínios incorporados ( principal | target | src | observer ).file.embedded_domains
Informações da assinatura ( principal | target | src | observer ).file.signature_info
Informações da assinatura
  • Sigcheck
( principal | target | src | observer).file.signature_info.sigcheck
Informações da assinatura
  • Sigcheck
    • Mensagem de verificação
( principal | target | src | observer ).file.signature_info.sigcheck.verification_message
Informações da assinatura
  • Sigcheck
    • Verificado
( principal | target | src | observer ).file.signature_info.sigcheck.verified
Informações da assinatura
  • Sigcheck
    • Signatários
( principal | target | src | observer ).file.signature_info.sigcheck.signers
Informações da assinatura
  • Sigcheck
    • Signatários
      • Nome
( principal | target | src | observer ).file.signature_info.sigcheck.signers.name
Informações da assinatura
  • Sigcheck
    • Signatários
      • Status
( principal | target | src | observer ).file.signature_info.sigcheck.signers.status
Informações da assinatura
  • Sigcheck
    • Signatários
      • Uso válido do certificado
( principal | target | src | observer ).file.signature_info.sigcheck.signers.valid_usage
Informações da assinatura
  • Sigcheck
    • Signatários
      • Emissor do certificado
( principal | target | src | observer ).file.signature_info.sigcheck.signers.cert_issuer
Informações da assinatura
  • Sigcheck
    • X509
( principal | target | src | observer ).file.signature_info.sigcheck.x509
Informações da assinatura
  • Sigcheck
    • X509
      • Nome
( principal | target | src | observer ).file.signature_info.sigcheck.x509.name
Informações da assinatura
  • Sigcheck
    • X509
      • Algoritmo
( principal | target | src | observer ).file.signature_info.sigcheck.x509.algorithm
Informações da assinatura
  • Sigcheck
    • X509
      • Impressão digital
( principal | target | src | observer ).file.signature_info.sigcheck.x509.thumprint
Informações da assinatura
  • Sigcheck
    • X509
      • Emissor do certificado
( principal | target | src | observer ).file.signature_info.sigcheck.x509.cert_issuer
Informações da assinatura
  • Sigcheck
    • X509
      • Número de série
( principal | target | src | observer ).file.signature_info.sigcheck.x509.serial_number
Informações da assinatura
  • Codesign
( principal | target | src | observer ).file.signature_info.codesign
Informações da assinatura
  • Codesign
    • ID
( principal | target | src | observer ).file.signature_info.codesign.id
Informações da assinatura
  • Codesign
    • Formato
( principal | target | src | observer ).file.signature_info.codesign.format
Informações da assinatura
  • Codesign
    • Tempo de compilação
( principal | target | src | observer ).file.signature_info.codesign.compilation_time
Informações do Exiftool ( principal | target | src | observer ).file.exif_info
Informações do Exiftool
  • Nome do arquivo original
( principal | target | src | observer ).file.exif_info.original_file
Informações do Exiftool
  • Nome do produto
( principal | target | src | observer ).file.exif_info.product
Informações do Exiftool
  • Nome da empresa
( principal | target | src | observer ).file.exif_info.company
Informações do Exiftool
  • Descrição do arquivo
( principal | target | src | observer ).file.exif_info.file_description
Informações do Exiftool
  • Ponto de entrada
( principal | target | src | observer ).file.exif_info.entry_point
Informações do Exiftool
  • Tempo de compilação
( principal | target | src | observer ).file.exif_info.compilation_time
Informações do PDF ( principal | target | src | observer ).file.pdf_info
Informações do PDF
  • Número de tags /JS
( principal | target | src | observer ).file.pdf_info.js
Informações do PDF
  • Número de tags /JavaScript
( principal | target | src | observer ).file.pdf_info.javascript
Informações do PDF
  • Número de tags /Launch
( principal | target | src | observer ).file.pdf_info.launch_action_count
Informações do PDF
  • Número de streams de objetos
( principal | target | src | observer ).file.pdf_info.object_stream_count
Informações do PDF
  • Número de definições de objetos (palavra-chave "endobj")
( principal | target | src | observer ).file.pdf_info.endobj_count
Informações do PDF
  • Versão em PDF
( principal | target | src | observer ).file.pdf_info.header
Informações do PDF
  • Número de tags /AcroForm
( principal | target | src | observer ).file.pdf_info.acroform
Informações do PDF
  • Número de tags /AA
( principal | target | src | observer ).file.pdf_info.autoaction
Informações do PDF
  • Número de tags /EmbeddedFile
( principal | target | src | observer ).file.pdf_info.embedded_file
Informações do PDF
  • Tag /Encrypt
( principal | target | src | observer ).file.pdf_info.encrypted
Informações do PDF
  • Número de tags /RichMedia
( principal | target | src | observer ).file.pdf_info.flash
Informações do PDF
  • Número de tags /JBIG2Decode
( principal | target | src | observer ).file.pdf_info.jbig2_compression
Informações do PDF
  • Número de definições de objetos (palavra-chave "obj")
( principal | target | src | observer ).file.pdf_info.obj_count
Informações do PDF
  • Número de objetos de fluxo definidos (palavra-chave de fluxo)
( principal | target | src | observer ).file.pdf_info.endstream_count
Informações do PDF
  • Número de páginas no PDF
( principal | target | src | observer ).file.pdf_info.page_count
Informações do PDF
  • Número de objetos de fluxo definidos (palavra-chave de fluxo)
( principal | target | src | observer ).file.pdf_info.stream_count
Informações do PDF
  • Número de tags /OpenAction
( principal | target | src | observer ).file.pdf_info.openaction
Informações do PDF
  • Número de palavras-chave startxref
( principal | target | src | observer ).file.pdf_info.startxref
Informações do PDF
  • Número de cores expressas com mais de 3 bytes (CVE-2009-3459)
( principal | target | src | observer ).file.pdf_info.suspicious_colors
Informações do PDF
  • Número de palavras-chave do trailer
( principal | target | src | observer ).file.pdf_info.trailer
Informações do PDF
  • Número de tags /XFA encontradas
( principal | target | src | observer ).file.pdf_info.xfa
Informações do PDF
  • Número de palavras-chave de referência
( principal | target | src | observer ).file.pdf_info.xref
Metadados do arquivo PE ( principal | target | src | observer ).file.pe_file
Metadados do arquivo PE
  • Imphash
( principal | target | src | observer ).file.pe_file.imphash
Metadados do arquivo PE
  • Ponto de entrada
( principal | target | src | observer ).file.pe_file.entry_point
Metadados do arquivo PE
  • Ponto de entrada exiftool
( principal | target | src | observer ).file.pe_file.entry_point_exiftool
Metadados do arquivo PE
  • Tempo de compilação
( principal | target | src | observer ).file.pe_file.compilation_time
Metadados do arquivo PE
  • Tempo de compilação do exiftool
( principal | target | src | observer ).file.pe_file.compilation_exiftool_time
Metadados do arquivo PE
  • Seções
( principal | target | src | observer ).file.pe_file.section
Metadados do arquivo PE
  • Seções
    • Nome
( principal | target | src | observer ).file.pe_file.section.name
Metadados do arquivo PE
  • Seções
    • Entropia
( principal | target | src | observer ).file.pe_file.section.entropy
Metadados do arquivo PE
  • Seções
    • Tamanho bruto em bytes
( principal | target | src | observer ).file.pe_file.section.raw_size_bytes
Metadados do arquivo PE
  • Seções
    • Tamanho virtual em bytes
( principal | target | src | observer ).file.pe_file.section.virtual_size_bytes
Metadados do arquivo PE
  • Seções
    • MD5 hexadecimal
( principal | target | src | observer ).file.pe_file.section.md5_hex
Metadados do arquivo PE
  • Importações
( principal | target | src | observer ).file.pe_file.imports
Metadados do arquivo PE
  • Importações
    • Biblioteca
( principal | target | src | observer ).file.pe_file.imports.library
Metadados do arquivo PE
  • Importações
    • remotas
( principal | target | src | observer ).file.pe_file.imports.functions
Metadados do arquivo PE
  • Informações do recurso
( principal | target | src | observer ).file.pe_file.resource
Metadados do arquivo PE
  • Informações do recurso
    • SHA-256 hexadecimal
( principal | target | src | observer ).file.pe_file.resource.sha256_hex
Metadados do arquivo PE
  • Informações do recurso
    • Tipo de recurso identificado pelo módulo mágico do Python
( principal | target | src | observer ).file.pe_file.resource.filetype_magic
Metadados do arquivo PE
  • Informações do recurso
    • Versão legível por humanos dos identificadores de idioma e subidioma, conforme definido na especificação do PE do Windows
( principal | target | src | observer ).file.pe_file.resource_language_code
Metadados do arquivo PE
  • Informações do recurso
    • Entropia
( principal | target | src | observer ).file.pe_file.resource.entropy
Metadados do arquivo PE
  • Informações do recurso
    • Tipo de arquivo
( principal | target | src | observer ).file.pe_file.resource.file_type
Metadados do arquivo PE
  • Número de recursos por tipo
( principal | target | src | observer ).file.pe_file.resources_type_count_str
Metadados do arquivo PE
  • Número de recursos por idioma
( principal | target | src | observer ).file.pe_file.resources_language_count_str

Enriquecer entidades com dados de relacionamento do VirusTotal

O VirusTotal ajuda a analisar arquivos, domínios, endereços IP e URLs suspeitos para detectar malware e outras violações e compartilhar as descobertas com a comunidade de segurança. O Google Security Operations ingere dados de conexões relacionadas ao VirusTotal. Esses dados são armazenados como uma entidade e fornecem informações sobre a relação entre hashes de arquivos e arquivos, domínios, endereços IP e URLs.

Os analistas podem usar esses dados para determinar se um hash de arquivo está corrompido com base em informações sobre o URL ou domínio de outras fontes. Essas informações podem ser usadas para criar regras do Detection Engine que consultam os dados de contexto da entidade para criar análises com base no contexto.

Esses dados estão disponíveis apenas para algumas licenças do VirusTotal e do Google Security Operations. Verifique seus direitos com o gerente da sua conta.

As seguintes informações são armazenadas com o registro de contexto da entidade:

Campo de UDM Descrição
entity.metadata.product_entity_id Um identificador exclusivo da entidade
entity.metadata.entity_type Armazena o valor FILE, indicando que a entidade descreve um arquivo
entity.metadata.interval start_time se refere ao início do período e end_time é o fim do período em que esses dados são válidos.
entity.metadata.source_labels Esse campo armazena uma lista de pares de chave-valor de source_id e target_id para essa entidade. source_id é o hash do arquivo e target_id pode ser o hash ou valor do URL, nome de domínio ou endereço IP relacionado a esse arquivo. Você pode pesquisar o URL, o nome de domínio, o endereço IP ou o arquivo em virustotal.com.
entity.metadata.product_name Armazena o valor "Relações do VirusTotal"
entity.metadata.vendor_name Armazena o valor "VirusTotal"
entity.file.sha256 Armazena o valor de hash SHA-256 do arquivo
entity.file.relations Uma lista de entidades filhas relacionadas à entidade de arquivo mãe
entity.relations.relationship Esse campo explica o tipo de relação entre as entidades pai e filho. O valor pode ser EXECUTES, DOWNLOADED_FROM ou CONTACTS.
entity.relations.direction Armazena o valor "UNIDIRECTIONAL" e indica a direção da relação com a entidade filha
entity.relations.entity.url O URL que o arquivo na entidade pai entra em contato (se a relação entre a entidade pai e o URL for CONTACTS) ou o URL de onde o arquivo na entidade pai foi baixado (se a relação entre a entidade pai e o URL for DOWNLOADED_FROM).
entity.relations.entity.ip Uma lista de endereços IP que o arquivo em contatos da entidade pai ou foi feito o download de Ele contém apenas um endereço IP.
entity.relations.entity.domain.name O nome de domínio de onde o arquivo na entidade pai entra em contato ou foi baixado
entity.relations.entity.file.sha256 Armazena o valor de hash SHA-256 do arquivo na relação
entity.relations.entity_type Esse campo contém o tipo de entidade na relação. O valor pode ser URL, DOMAIN_NAME, IP_ADDRESS ou FILE. Esses campos são preenchidos de acordo com o entity_type. Por exemplo, se entity_type for URL, entity.relations.entity.url será preenchido.

A seguir

Para saber como usar dados enriquecidos com outros recursos do Google Security Operations, consulte: