In che modo Google Security Operations arricchisce i dati di eventi ed entità

Questo documento descrive in che modo Google Security Operations arricchisce i dati e i campi del modello di dati unificato (UDM) in cui sono archiviati.

Per consentire un'indagine sulla sicurezza, le operazioni di sicurezza di Google importano dati contestuali da origini diverse, eseguono analisi sui dati e forniscono un contesto aggiuntivo sui componenti in un ambiente del cliente. Gli analisti possono utilizzare i dati arricchiti contestualmente nelle regole del Detection Engine, nelle ricerche di indagine o nei report.

Google Security Operations esegue i seguenti tipi di arricchimento:

• Arricchisce le entità utilizzando il grafico delle entità e l'unione.
• Calcola e arricchisce ogni entità con una statistica di prevalenza che indica la sua popolarità nell'ambiente.
• Calcola la prima volta in cui determinati tipi di entità sono stati rilevati nell'ambiente o l'ora più recente.
• Arricchisce le entità con le informazioni degli elenchi di minacce di Navigazione sicura.
• Arricchisce gli eventi con i dati di geolocalizzazione.
• Arricchisce le entità con i dati WHOIS.
• Arricchisce gli eventi con i metadati dei file di VirusTotal.
• Arricchisce le entità con i dati sulle relazioni di VirusTotal.
• Importa e archivia i dati di Google Cloud Threat Intelligence.

Dati più approfonditi provenienti da WHOIS, Navigazione sicura, GCTI Threat Intelligence, I metadati di VirusTotal e la relazione di VirusTotal sono identificati da event_type, product_name, e vendor_name. Quando crei una regola che utilizza questi dati arricchiti, ti consigliamo di includere nella regola un filtro che identifichi il tipo di arricchimento specifico da includere. Questo filtro contribuisce a migliorare il rendimento della regola. Ad esempio, includi i seguenti campi di filtro nella sezione events della regola che unisce i dati WHOIS.

$enrichment.graph.metadata.entity_type = "DOMAIN_NAME"
$enrichment.graph.metadata.product_name = "WHOISXMLAPI Simple Whois"
$enrichment.graph.metadata.vendor_name = "WHOIS"

Arricchisci le entità utilizzando il grafico delle entità e unendole

Il grafico delle entità identifica le relazioni tra entità e risorse nel tuo ambiente. Quando entità provenienti da origini diverse vengono importate in Google Security Operations, il grafico delle entità mantiene un elenco di adiacenza in base alla relazione tra le entità. Il grafico delle entità esegue l'arricchimento del contesto eseguendo la deduplicazione e l'unione.

Durante la deduplica, i dati ridondanti vengono eliminati e vengono formati intervalli per creare un'entità comune. Ad esempio, considera due entità e1 e e2 con timestamp t1 e t2 rispettivamente. Le entità e1 e e2 vengono deduplicate e i timestamp differenti non vengono utilizzati durante la deduplica. I seguenti campi non sono utilizzato durante la deduplicazione:

• collected_timestamp
• creation_timestamp
• interval

Durante l'unione, le relazioni tra le entità vengono formate per un intervallo di tempo un giorno. Ad esempio, considera un record di entità di user A che ha accesso a un Cloud Storage di sincronizzare la directory di una VM con un bucket. Esiste un altro record dell'entità user A che possiede un dispositivo. Dopo l'unione, queste due entità generano un'unica entità user A con due relazioni. Una relazione è che user A ha accesso al bucket Cloud Storage e l'altra è che user A è il proprietario del dispositivo. Google Security Operations esegue una finestra temporale di cinque giorni vengono creati i dati sul contesto dell'entità. In questo modo vengono gestiti i dati arrivati in ritardo e viene creato la durata (TTL) dei dati di contesto dell'entità.

Google Security Operations utilizza l'aliasing per arricchire i dati di telemetria e utilizza i grafici delle entità per arricchire le entità. Le regole del motore di rilevamento uniscono le entità unite a dati di telemetria estesi per fornire analisi sensibili al contesto.

Un evento che contiene un nome di entità è considerato un'entità. Ecco alcuni esempi tipi di evento e i tipi di entità corrispondenti:

• ASSET_CONTEXT corrisponde a ASSET.
• RESOURCE_CONTEXT corrisponde a RESOURCE.
• USER_CONTEXT corrisponde a USER.
• GROUP_CONTEXT corrisponde a GROUP.

Il grafico delle entità distingue tra dati contestuali e indicatori di compromissione (IOC) utilizzando le informazioni sulle minacce.

Quando utilizzi i dati arricchiti contestualmente, tieni presente il seguente comportamento del grafico delle entità:

• Non aggiungere intervalli nell'entità, ma lascia che sia il grafico delle entità a creare gli intervalli. Questo perché gli intervalli vengono generati durante la deduplicazione a meno che altrimenti specificato.
• Se gli intervalli vengono specificati, solo gli stessi eventi vengono deduplicati e viene mantenuta l'entità più recente.
• Per garantire che le regole attive e le ricerche a ritroso funzionino come previsto, le entità devono essere importate almeno una volta al giorno.
• Se le entità non vengono importate quotidianamente, ma solo una volta ogni due o più giorni, le regole in tempo reale potrebbero funzionare come previsto, ma le ricerche retroattive potrebbero perdere il contesto dell'evento.
• Se le entità vengono importate più di una volta al giorno, vengono deduplicate a una singola entità.
• Se i dati sugli eventi mancano per un giorno, vengono utilizzati temporaneamente i dati del giorno precedente per garantire il corretto funzionamento delle regole attive.

Il grafo delle entità unisce anche gli eventi con identificatori simili per ottenere una panoramica consolidata dei dati. Questa unione avviene in base al seguente elenco di identificatori:

• Asset
  • entity.asset.product_object_id
  • entity.asset.hostname
  • entity.asset.asset_id
  • entity.asset.mac
• User
  • entity.user.product_object_id
  • entity.user.userid
  • entity.user.windows_sid
  • entity.user.email_addresses
  • entity.user.employee_id
• Resource
  • entity.resource.product_object_id
  • entity.resource.name
• Group
  • entity.group.product_object_id
  • entity.group.email_addresses
  • entity.group.windows_sid

Calcolare le statistiche sulla prevalenza

Google Security Operations esegue analisi statistiche sui dati esistenti e in arrivo e arricchisce i record di contesto delle entità con metriche relative alla prevalenza.

La prevalenza è un valore numerico che indica la popolarità di un'entità. La popolarità è definita dal numero di asset che accedono a un artefatto, ad esempio un dominio, l'hash del file o l'indirizzo IP. Più grande è il numero, più popolare è l'entità. Ad esempio, google.com ha valori di prevalenza elevati perché sono consultato di frequente. Se un dominio viene visualizzato di rado, avrà valori di prevalenza inferiori. Le entità più popolari di solito hanno meno probabilità di essere dannose.

Questi valori arricchiti sono supportati per dominio, IP e file (hash). I valori vengono calcolate e archiviate nei campi seguenti.

Le statistiche di prevalenza per ciascuna entità vengono aggiornate quotidianamente. I valori vengono memorizzati in un contesto di entità separato che può essere utilizzato dal Detection Engine, ma non viene mostrato nelle visualizzazioni di indagine di Google Security Operations e nella ricerca UDM.

I seguenti campi possono essere utilizzati durante la creazione di regole di Detection Engine.

I valori day_max e rolling_max vengono calcolati in modo diverso. I campi vengono calcolati come segue:

• day_max viene calcolato come il punteggio di prevalenza massimo dell'elemento durante la giornata, dove un giorno è definito come dalle 00:00:00 alle 23:59:59 UTC.
• rolling_max viene calcolato come il punteggio di prevalenza massimo giornaliero (ovvero day_max) per l'elemento nell'intervallo di 10 giorni precedente.
• day_count viene utilizzato per calcolare rolling_max ed è sempre il valore 10.

Se calcolata per un dominio, la differenza tra day_max e day_max_sub_domains (e tra rolling_max e rolling_max_sub_domains) è la seguente:

• rolling_max e day_max rappresentano il numero di indirizzi IP interni univoci giornalieri che accede a un determinato dominio (esclusi i sottodomini).
• rolling_max_sub_domains e day_max_sub_domains rappresentano il numero di indirizzi IP interni univoci che accedono a un determinato dominio (inclusi i sottodomini).

Le statistiche sulla prevalenza vengono calcolate sui dati delle entità appena importati. I calcoli non vengono eseguiti in modo retroattivo sui dati importati in precedenza. Sono necessarie circa 36 ore per calcolare e archiviare le statistiche.

Calcola la data e l'ora della prima e dell'ultima apparizione delle entità

Google Security Operations esegue analisi statistiche sui dati in entrata e arricchisce l'entità record di contesto con l'ora della prima e dell'ultima occorrenza di un'entità. first_seen_time memorizza la data e l'ora della prima visualizzazione dell'entità nel cliente completamente gestito di Google Cloud. Il campo last_seen_time memorizza la data e l'ora dell'ultimo osservazione.

Poiché più indicatori (campi UDM) possono identificare una risorsa o un utente, il primo accesso è la prima volta che viene visualizzato uno qualsiasi degli indicatori che identificano l'utente o l'asset nell'ambiente del cliente.

Tutti i campi UDM che descrivono di una risorsa sono i seguenti:

• entity.asset.hostname
• entity.asset.ip
• entity.asset.mac
• entity.asset.asset_id
• entity.asset.product_object_id

Tutti i campi UDM che descrivono un utente sono i seguenti:

• entity.user.windows_sid
• entity.user.product_object_id
• entity.user.userid
• entity.user.employee_id
• entity.user.email_addresses

Il momento del primo e dell’ultimo accesso consentono a un analista di correlare attività che si sono verificate dopo che un dominio, un file (hash), un asset, un utente o un indirizzo IP sono stati rilevato per la prima volta o che non si sono più verificati dopo il dominio, il file (hash) o l'indirizzo IP visto l'ultima volta.

I campi first_seen_time e last_seen_time sono compilati con entità che descrivono un dominio, un indirizzo IP e un file (hash). Per le entità che descrivono un utente o asset, viene compilato solo il campo first_seen_time. Questi valori non vengono calcolati per le entità che descrivono altri tipi, ad esempio un gruppo o una risorsa.

Le statistiche vengono calcolate per ogni entità in tutti gli spazi dei nomi. Google Security Operations non calcola le statistiche per ogni entità all'interno dei singoli spazi dei nomi. Al momento queste statistiche non vengono esportate nello schema events di Google Security Operations in BigQuery.

I valori arricchiti vengono calcolati e archiviati nei seguenti campi UDM:

Arricchisci gli eventi con i dati di geolocalizzazione

I dati dei log in arrivo possono includere indirizzi IP esterni senza informazioni sulla posizione corrispondenti. Questo accade spesso quando un evento registra informazioni sull'attività del dispositivo che non si trova in una rete aziendale. Ad esempio, un evento di accesso a un servizio cloud conterrà un indirizzo IP di origine o client in base all'indirizzo IP esterno di un dispositivo restituito dal NAT dell'operatore.

Google Security Operations fornisce dati arricchiti con geolocalizzazione per gli indirizzi IP esterni per consentire rilevamenti delle regole più efficaci e un contesto più ampio per le indagini. Ad esempio, Google Security Operations potrebbe utilizzare un indirizzo IP esterno per arricchire l'evento con informazioni sul paese (ad es. Stati Uniti), su uno stato specifico (ad es. Alaska), e la rete in cui si trova l'indirizzo IP (ad esempio l'ASN e il nome dell'operatore).

Google Security Operations utilizza i dati sulla posizione forniti da Google per fornire una stima approssimativa sulla posizione geografica e sulle informazioni di rete per un indirizzo IP. Puoi scrivere regole di Detection Engine questi campi negli eventi. Anche i dati sugli eventi estesi vengono esportati in BigQuery in cui può essere utilizzata nelle dashboard e nei report di Google Security Operations.

I seguenti indirizzi IP non sono arricchiti:

• Spazi di indirizzi IP privati RFC 1918 perché sono interni alla rete aziendale.
• Spazio degli indirizzi IP multicast RFC 5771 perché gli indirizzi multicast non appartengono a una singola località.
• Indirizzi locali univoci IPv6.
• Indirizzi IP dei servizi Google Cloud. Le eccezioni sono: Google Cloud Compute Engine e gli indirizzi IP esterni, che sono arricchiti.

Google Security Operations arricchisce i seguenti campi UDM con dati di geolocalizzazione:

• principal
• target
• src
• observer

L'esempio seguente mostra il tipo di informazioni geografiche che verrebbero aggiunto a un evento UDM con un indirizzo IP codificato nei Paesi Bassi:

Incongruenze

La tecnologia di geolocalizzazione IP proprietaria di Google utilizza una combinazione di dati di rete e altri input e metodi per fornire la posizione dell'indirizzo IP e la risoluzione della rete per i nostri utenti. Altre organizzazioni potrebbero utilizzare indicatori o metodi diversi, il che a volte potrebbe portare a risultati diversi.

Se si verificano casi in cui riscontri un'incongruenza nei risultati di geolocalizzazione IP forniti da Google, apri una richiesta all'assistenza clienti per consentirci di effettuare accertamenti e, se opportuno, correggere i nostri dati in futuro.

Arricchisci le entità con informazioni provenienti dagli elenchi delle minacce di Navigazione sicura

Google Security Operations importa da Navigazione sicura i dati relativi agli hash dei file. I dati di ogni file vengono archiviati come entità e forniscono un contesto aggiuntivo sul file. Gli analisti possono creare regole di Detection Engine che eseguono query su questa entità dati di contesto per creare analisi sensibili al contesto.

Le seguenti informazioni vengono archiviate con il record del contesto dell'entità.

Arricchisci le entità con i dati WHOIS

Google Security Operations importa i dati WHOIS ogni giorno. Durante l'importazione dei messaggi in entrata Dati dei dispositivi dei clienti, Google Security Operations valuta i domini nei dati dei clienti rispetto ai dati WHOIS. Quando viene rilevata una corrispondenza, Google Security Operations archivia il i dati WHOIS correlati con il record dell'entità per il dominio. Per ogni entità, dove entity.metadata.entity_type = DOMAIN_NAME, Google Security Operations arricchisce con le informazioni provenienti da WHOIS.

Google Security Operations compila i dati WHOIS arricchiti nei seguenti campi del record dell'entità:

• entity.domain.admin.attribute.labels
• entity.domain.audit_update_time
• entity.domain.billing.attribute.labels
• entity.domain.billing.office_address.country_or_region
• entity.domain.contact_email
• entity.domain.creation_time
• entity.domain.expiration_time
• entity.domain.iana_registrar_id
• entity.domain.name_server
• entity.domain.private_registration
• entity.domain.registrant.company_name
• entity.domain.registrant.office_address.state
• entity.domain.registrant.office_address.country_or_region
• entity.domain.registrant.email_addresses
• entity.domain.registrant.user_display_name
• entity.domain.registrar
• entity.domain.registry_data_raw_text
• entity.domain.status
• entity.domain.tech.attribute.labels
• entity.domain.update_time
• entity.domain.whois_record_raw_text
• entity.domain.whois_server
• entity.domain.zone

Per una descrizione di questi campi, consulta Documento con l'elenco dei campi del modello dei dati unificato.

Importa e archivia i dati di Google Cloud Threat Intelligence

Google Security Operations importa i dati da Google Cloud Threat Intelligence (GCTI) origini dati che forniscono informazioni contestuali che puoi utilizzare delle attività nel tuo ambiente. Puoi eseguire query sulle seguenti origini dati:

• Nodi di uscita di GCTI Tor: indirizzi IP che sono nodi di uscita noti di Tor.
• Binari benigni di GCTI: file che fanno parte del sistema operativo distribuzione originale o aggiornati da una patch ufficiale del sistema operativo. Alcuni file binari ufficiali di sistemi operativi utilizzati in modo illecito da un avversario attraverso le attività comuni negli attacchi "live-off-the-land", siano esclusi da questo delle origini dati, come quelle incentrate sui vettori di ingresso iniziale.

• Strumenti di accesso remoto GCTI: file che sono stati spesso utilizzati da attori malintenzionati. Questi strumenti sono generalmente applicazioni legittime che a volte vengono utilizzate in modo illecito per connettersi da remoto ai sistemi compromessi.

  Questi dati contestuali vengono archiviati a livello globale come entità. Puoi eseguire query sui dati utilizzando delle regole del motore di rilevamento. Includi i seguenti campi e valori UDM nella regola per eseguire query su queste entità globali:

• graph.metadata.vendor_name = Google Cloud Threat Intelligence

• graph.metadata.product_name = GCTI Feed

In questo documento, il segnaposto <variable_name> rappresenta il nome della variabile univoca utilizzata in una regola per identificare un record UDM.

Origini dati di Google Cloud Threat Intelligence basate su tempo e a tempo indeterminato

Le origini dati di Google Cloud Threat Intelligence sono a tempo o senza tempo.

Le origini dati con temporizzazione hanno un intervallo di tempo associato a ogni voce. Ciò significa che se un rilevamento viene generato il giorno 1, in qualsiasi giorno della in futuro si prevede che verrà generato lo stesso rilevamento per il giorno 1 durante la caccia ai retroscena.

Alle origini dati senza tempo non è associato alcun intervallo di tempo. Questo è perché deve essere preso in considerazione solo l'ultimo set di dati. Le origini dati immutabili vengono spesso utilizzate per dati come gli hash dei file che non dovrebbero essere modificati. Se il primo giorno non viene generato alcun rilevamento, il secondo giorno potrebbe essere generato un rilevamento per il primo giorno durante una ricerca a ritroso perché è stata aggiunta una nuova voce.

Dati sugli indirizzi IP dei nodi di uscita Tor

Google Security Operations importa e archivia gli indirizzi IP che sono nodi di uscita Tor noti. I nodi di uscita Tor sono i punti in cui il traffico esce dalla rete Tor. Le informazioni importate da questa origine dati vengono memorizzate nei seguenti campi UDM. I dati in questa origine sono a tempo.

Dati sui file del sistema operativo benigni

Google Security Operations importa e archivia gli hash dei file dall'origine dati Binari benigni GCTI. Le informazioni importate da questa origine dati vengono archiviate nei seguenti campi UDM. I dati in questa origine sono atemporali.

Dati sugli strumenti di accesso remoto

Gli strumenti di accesso remoto includono hash di file per gli strumenti di accesso remoto noti come Client VNC utilizzati spesso da malintenzionati. Questi strumenti sono generalmente applicazioni legittime che a volte vengono utilizzate in modo improprio per connettersi da remoto a sistemi compromessi. Le informazioni importate da questa origine dati vengono archiviate in i seguenti campi UDM. I dati in questa origine sono atemporali.

Arricchisci gli eventi con i metadati dei file di VirusTotal

Google Security Operations arricchisce gli hash dei file negli eventi UDM e fornisce un contesto aggiuntivo durante un'indagine. Gli eventi UDM vengono arricchiti attraverso l'aliasing di hash in un ambiente del cliente. L'aliasing degli hash combina tutti i tipi di hash di file e fornisce informazioni sull'hash di un file durante una ricerca.

L'integrazione dei metadati dei file di VirusTotal e l'arricchimento delle relazioni con Google SecOps può essere utilizzato per identificare schemi di attività dannose e tenere traccia dei movimenti del malware attraverso una rete.

Un log non elaborato fornisce informazioni limitate sul file. VirusTotal arricchisce l'evento con metadati di file per fornire un dump di hash non validi insieme ai metadati sul non valido. I metadati includono informazioni quali nomi file, tipi, funzioni importate e tag. Puoi utilizzare queste informazioni nel motore di ricerca e rilevamento UDM con YARA-L per comprendere gli eventi relativi ai file danneggiati e in generale durante la ricerca di minacce. Un caso d'uso di esempio è il rilevamento di eventuali modifiche al file originale, che a sua volta importerebbe i metadati del file per il rilevamento delle minacce.

Le seguenti informazioni vengono archiviate con il record. Per un elenco di tutti i campi UDM, vedi Elenco dei campi del modello di dati unificato.