Cara Google Security Operations memperkaya data peristiwa dan entitas

Dokumen ini menjelaskan cara Google Security Operations memperkaya data dan kolom Unified Data Model (UDM) tempat data disimpan.

Untuk memungkinkan investigasi keamanan, Google Security Operations menyerap data kontekstual dari berbagai sumber, melakukan analisis pada data, dan memberikan konteks tambahan tentang artefak di lingkungan pelanggan. Analis dapat menggunakan data yang diperkaya secara kontekstual dalam aturan Detection Engine, penelusuran investigasi, atau laporan.

Google Security Operations melakukan jenis pengayaan berikut:

• Memperkaya entitas menggunakan grafik entitas dan penggabungan.
• Menghitung dan memperkaya setiap entity dengan statistik prevalensi yang menunjukkan popularitasnya di lingkungan.
• Menghitung pertama kalinya jenis entitas tertentu terlihat di lingkungan atau waktu terbaru.
• Memperkaya entitas dengan informasi dari daftar ancaman Safe Browsing.
• Memperkaya peristiwa dengan data geolokasi.
• Memperkaya entitas dengan data WHOIS.
• Memperkaya peristiwa dengan metadata file VirusTotal.
• Memperkaya entitas dengan data hubungan VirusTotal.
• Menyerap dan menyimpan data Google Cloud Threat Intelligence.

Data yang diperkaya dari WHOIS, Safe Browsing, GCTI Threat Intelligence, metadata VirusTotal, dan hubungan VirusTotal diidentifikasi oleh entity_type, product_name, dan vendor_name. Saat membuat aturan yang menggunakan data yang diperkaya ini, sebaiknya sertakan filter dalam aturan yang mengidentifikasi jenis pengayaan tertentu yang akan disertakan. Filter ini membantu meningkatkan performa aturan. Misalnya, sertakan kolom filter berikut di bagian events dari aturan yang menggabungkan data WHOIS.

$enrichment.graph.metadata.entity_type = "DOMAIN_NAME"
$enrichment.graph.metadata.product_name = "WHOISXMLAPI Simple Whois"
$enrichment.graph.metadata.vendor_name = "WHOIS"

Memperkaya entitas menggunakan grafik entitas dan penggabungan

Grafik entity mengidentifikasi hubungan antara entity dan resource di lingkungan Anda. Saat entitas dari berbagai sumber diserap ke dalam Google Security Operations, grafik entitas akan mempertahankan daftar adjacensi berdasarkan hubungan antar-entitas. Grafik entity melakukan pengayaan konteks dengan melakukan penghapusan duplikat dan penggabungan.

Selama penghapusan duplikat, data yang redundan akan dihapus dan interval akan dibentuk untuk membuat entitas umum. Misalnya, pertimbangkan dua entity e1 dan e2 dengan stempel waktu t1 dan t2. Entitas e1 dan e2 dihapus duplikatnya dan stempel waktu yang berbeda tidak digunakan selama penghapusan duplikat. Kolom berikut tidak digunakan selama penghapusan duplikat:

• collected_timestamp
• creation_timestamp
• interval

Selama penggabungan, hubungan antar-entitas terbentuk untuk interval waktu satu hari. Misalnya, pertimbangkan data entity user A yang memiliki akses ke bucket Cloud Storage. Ada data entitas lain dari user A yang memiliki perangkat. Setelah penggabungan, kedua entity ini menghasilkan satu entity user A yang memiliki dua relasi. Satu hubungan adalah user A memiliki akses ke bucket Cloud Storage dan hubungan lainnya adalah user A memiliki perangkat. Google Security Operations melakukan lihat balik lima hari saat membuat data konteks entity. Hal ini menangani data yang terlambat datang dan membuat waktu aktif implisit pada data konteks entity.

Google Security Operations menggunakan alias untuk memperkaya data telemetri dan menggunakan grafik entity untuk memperkaya entity. Aturan mesin deteksi menggabungkan entitas yang digabungkan dengan data telemetri yang diperkaya untuk memberikan analisis kontekstual.

Peristiwa yang berisi kata benda entitas dianggap sebagai entitas. Berikut adalah beberapa jenis peristiwa dan jenis entity yang sesuai:

• ASSET_CONTEXT sesuai dengan ASSET.
• RESOURCE_CONTEXT sesuai dengan RESOURCE.
• USER_CONTEXT sesuai dengan USER.
• GROUP_CONTEXT sesuai dengan GROUP.

Grafik entitas membedakan antara data kontekstual dan indikator kompromi (IOC) menggunakan informasi ancaman.

Saat Anda menggunakan data yang diperkaya secara kontekstual, pertimbangkan perilaku grafik entity berikut:

• Jangan tambahkan interval dalam entitas, dan biarkan grafik entitas membuat interval. Hal ini karena interval dibuat selama penghapusan duplikat, kecuali jika ditentukan lainnya.
• Jika interval ditentukan, hanya peristiwa yang sama yang akan dihapus duplikatnya, dan entity terbaru akan dipertahankan.
• Untuk memastikan bahwa aturan aktif dan retrohunt berfungsi seperti yang diharapkan, entitas harus diserap setidaknya sekali sehari.
• Jika entitas tidak diserap setiap hari dan hanya diserap sekali dalam dua hari atau lebih, aturan aktif mungkin berfungsi seperti yang diharapkan, tetapi retrohunt mungkin kehilangan konteks peristiwa.
• Jika entitas diserap lebih dari sekali sehari, entitas akan dihapus duplikatnya menjadi satu entitas.
• Jika data peristiwa tidak ada selama sehari, data hari sebelumnya akan digunakan sementara untuk memastikan bahwa aturan live berfungsi dengan baik.

Grafik entity juga menggabungkan peristiwa yang memiliki ID serupa untuk mendapatkan tampilan data yang digabungkan. Penggabungan ini terjadi berdasarkan daftar ID berikut:

• Asset
  • entity.asset.product_object_id
  • entity.asset.hostname
  • entity.asset.asset_id
  • entity.asset.mac
• User
  • entity.user.product_object_id
  • entity.user.userid
  • entity.user.windows_sid
  • entity.user.email_addresses
  • entity.user.employee_id
• Resource
  • entity.resource.product_object_id
  • entity.resource.name
• Group
  • entity.group.product_object_id
  • entity.group.email_addresses
  • entity.group.windows_sid

Menghitung statistik prevalensi

Google Security Operations melakukan analisis statistik pada data yang ada dan masuk serta memperkaya data konteks entitas dengan metrik terkait prevalensi.

Prevalensi adalah nilai numerik yang menunjukkan seberapa populer suatu entitas. Popularitas ditentukan oleh jumlah aset yang mengakses artefak, seperti domain, hash file, atau alamat IP. Makin besar angkanya, makin populer entitas tersebut. Misalnya, google.com memiliki nilai prevalensi yang tinggi karena sering diakses. Jika jarang diakses, domain akan memiliki nilai prevalensi yang lebih rendah. Entitas yang lebih populer biasanya cenderung tidak berbahaya.

Nilai yang diperkaya ini didukung untuk domain, IP, dan file (hash). Nilai dihitung dan disimpan di kolom berikut.

Statistik prevalensi untuk setiap entitas diperbarui setiap hari. Nilai disimpan dalam konteks entitas terpisah yang dapat digunakan oleh Detection Engine, tetapi tidak ditampilkan di tampilan investigasi Google Security Operations dan penelusuran UDM.

Kolom berikut dapat digunakan saat membuat aturan Detection Engine.

Nilai day_max dan rolling_max dihitung secara berbeda. Kolom tersebut dihitung sebagai berikut:

• day_max dihitung sebagai skor prevalensi maksimum untuk artefak selama hari, dengan hari didefinisikan sebagai 00.00.00 - 23.59.59 UTC.
• rolling_max dihitung sebagai skor prevalensi maksimum per hari (yaitu day_max) untuk artefak selama periode 10 hari sebelumnya.
• day_count digunakan untuk menghitung rolling_max dan selalu memiliki nilai 10.

Saat dihitung untuk domain, perbedaan antara day_max versus day_max_sub_domains (dan rolling_max versus rolling_max_sub_domains) adalah sebagai berikut:

• rolling_max dan day_max mewakili jumlah alamat IP internal unik harian yang mengakses domain tertentu (tidak termasuk subdomain).
• rolling_max_sub_domains dan day_max_sub_domains mewakili jumlah alamat IP internal unik yang mengakses domain tertentu (termasuk subdomain).

Statistik prevalensi dihitung berdasarkan data entity yang baru ditransfer. Penghitungan tidak dilakukan secara surut pada data yang sebelumnya diserap. Perlu waktu sekitar 36 jam untuk menghitung dan menyimpan statistik.

Menghitung waktu pertama kali dilihat dan terakhir dilihat entitas

Google Security Operations melakukan analisis statistik pada data yang masuk dan memperkaya data konteks entity dengan waktu pertama kali dilihat dan terakhir kali dilihat entity. Kolom first_seen_time menyimpan tanggal dan waktu saat entity pertama kali terlihat di lingkungan pelanggan. Kolom last_seen_time menyimpan tanggal dan waktu pengamatan terbaru.

Karena beberapa indikator (kolom UDM) dapat mengidentifikasi aset atau pengguna, waktu pertama kali dilihat adalah saat pertama kali indikator yang mengidentifikasi pengguna atau aset terlihat di lingkungan pelanggan.

Semua kolom UDM yang menjelaskan aset adalah sebagai berikut:

• entity.asset.hostname
• entity.asset.ip
• entity.asset.mac
• entity.asset.asset_id
• entity.asset.product_object_id

Semua kolom UDM yang menjelaskan pengguna adalah sebagai berikut:

• entity.user.windows_sid
• entity.user.product_object_id
• entity.user.userid
• entity.user.employee_id
• entity.user.email_addresses

Waktu pertama kali terlihat dan waktu terakhir terlihat memungkinkan analis untuk mengaitkan aktivitas tertentu yang terjadi setelah domain, file (hash), aset, pengguna, atau alamat IP pertama kali terlihat atau yang berhenti terjadi setelah domain, file (hash), atau alamat IP terakhir terlihat.

Kolom first_seen_time dan last_seen_time diisi dengan entitas yang menjelaskan domain, alamat IP, dan file (hash). Untuk entity yang menjelaskan pengguna atau aset, hanya kolom first_seen_time yang diisi. Nilai ini tidak dihitung untuk entity yang mendeskripsikan jenis lain, seperti grup atau resource.

Statistik dihitung untuk setiap entitas di semua namespace. Google Security Operations tidak menghitung statistik untuk setiap entitas dalam setiap namespace. Statistik ini saat ini tidak diekspor keskema events Google Security Operations di BigQuery.

Nilai yang diperkaya dihitung dan disimpan di kolom UDM berikut:

Memperkaya peristiwa dengan data geolokasi

Data log masuk dapat menyertakan alamat IP eksternal tanpa informasi lokasi yang sesuai. Hal ini umum terjadi saat peristiwa mencatat informasi tentang aktivitas perangkat yang tidak berada di jaringan perusahaan. Misalnya, peristiwa login ke layanan cloud akan berisi alamat IP sumber atau klien berdasarkan alamat IP eksternal perangkat yang ditampilkan oleh NAT operator.

Google Security Operations menyediakan data yang diperkaya geolokasi untuk alamat IP eksternal guna memungkinkan deteksi aturan yang lebih canggih dan konteks yang lebih baik untuk investigasi. Misalnya, Google Security Operations mungkin menggunakan alamat IP eksternal untuk memperkaya peristiwa dengan informasi tentang negara (seperti Amerika Serikat), negara bagian tertentu (seperti Alaska), dan jaringan tempat alamat IP berada (seperti ASN dan nama operator).

Google Security Operations menggunakan data lokasi yang disediakan oleh Google untuk memberikan perkiraan lokasi geografis dan informasi jaringan untuk alamat IP. Anda dapat menulis aturan Mesin Deteksi terhadap kolom ini dalam peristiwa. Data peristiwa yang diperkaya juga diekspor ke BigQuery, tempat data tersebut dapat digunakan di dasbor dan pelaporan Google Security Operations.

Alamat IP berikut tidak diperkaya:

• Ruang alamat IP pribadi RFC 1918 karena bersifat internal untuk jaringan perusahaan.
• Ruang alamat IP multicast RFC 5771 karena alamat multicast tidak termasuk dalam satu lokasi.
• Alamat Lokal Unik IPv6.
• Google Cloud alamat IP layanan. Pengecualian adalah alamat IP eksternal Compute Engine, yang diperkaya. Google Cloud

Google Security Operations memperkaya kolom UDM berikut dengan data geolokasi:

• principal
• target
• src
• observer

Contoh berikut menunjukkan jenis informasi geografis yang akan ditambahkan ke peristiwa UDM dengan alamat IP yang diberi tag ke Belanda:

Inkonsistensi

Teknologi geolokasi IP eksklusif Google menggunakan kombinasi data jaringan serta input dan metode lainnya untuk memberikan lokasi alamat IP dan resolusi jaringan bagi pengguna kami. Organisasi lain mungkin menggunakan sinyal atau metode yang berbeda, yang terkadang dapat menghasilkan hasil yang berbeda.

Jika terjadi kasus saat Anda mengalami inkonsistensi dalam hasil geolokasi IP yang diberikan Google, buka kasus dukungan pelanggan, agar kami dapat menyelidikinya dan, jika sesuai, memperbaiki data kami ke depannya.

Memperkaya entitas dengan informasi dari daftar ancaman Safe Browsing

Google Security Operations menyerap data dari Safe Browsing yang terkait dengan hash file. Data untuk setiap file disimpan sebagai entity dan memberikan konteks tambahan tentang file tersebut. Analis dapat membuat aturan Mesin Deteksi yang membuat kueri terhadap data konteks entity ini untuk membuat analisis berbasis konteks.

Informasi berikut disimpan dengan data konteks entity.

Memperkaya entity dengan data WHOIS

Google Security Operations menyerap data WHOIS setiap hari. Selama penyerapan data perangkat pelanggan yang masuk, Google Security Operations mengevaluasi domain dalam data pelanggan berdasarkan data WHOIS. Jika ada kecocokan, Google Security Operations akan menyimpan data WHOIS terkait dengan data entitas untuk domain. Untuk setiap entitas, dengan entity.metadata.entity_type = DOMAIN_NAME, Google Security Operations memperkaya entitas dengan informasi dari WHOIS.

Google Security Operations mengisi data WHOIS yang diperkaya ke kolom berikut dalam data entitas:

• entity.domain.admin.attribute.labels
• entity.domain.audit_update_time
• entity.domain.billing.attribute.labels
• entity.domain.billing.office_address.country_or_region
• entity.domain.contact_email
• entity.domain.creation_time
• entity.domain.expiration_time
• entity.domain.iana_registrar_id
• entity.domain.name_server
• entity.domain.private_registration
• entity.domain.registrant.company_name
• entity.domain.registrant.office_address.state
• entity.domain.registrant.office_address.country_or_region
• entity.domain.registrant.email_addresses
• entity.domain.registrant.user_display_name
• entity.domain.registrar
• entity.domain.registry_data_raw_text
• entity.domain.status
• entity.domain.tech.attribute.labels
• entity.domain.update_time
• entity.domain.whois_record_raw_text
• entity.domain.whois_server
• entity.domain.zone

Untuk deskripsi kolom ini, lihat dokumen daftar kolom Unified Data Model.

Menyerap dan menyimpan Google Cloud data Threat Intelligence

Google Security Operations menyerap data dari sumber data Google Cloud Threat Intelligence (GCTI) yang memberikan informasi kontekstual yang dapat Anda gunakan saat menyelidiki aktivitas di lingkungan Anda. Anda dapat membuat kueri sumber data berikut:

• Node Keluar Tor GCTI: Alamat IP yang diketahui sebagai node keluar Tor.
• Biner Benigna GCTI: file yang merupakan bagian dari distribusi asli sistem operasi atau diupdate oleh patch sistem operasi resmi. Beberapa biner sistem operasi resmi yang telah disalahgunakan oleh penyerang melalui aktivitas yang umum terjadi dalam serangan living-off-the-land dikecualikan dari sumber data ini, seperti yang berfokus pada vektor entri awal.

• Alat Akses Jarak Jauh GCTI: file yang sering digunakan oleh pelaku kejahatan. Alat ini umumnya merupakan aplikasi yang sah yang terkadang disalahgunakan untuk terhubung secara jarak jauh ke sistem yang disusupi.

  Data kontekstual ini disimpan secara global sebagai entitas. Anda dapat mengkueri data menggunakan aturan mesin deteksi. Sertakan kolom dan nilai UDM berikut dalam aturan untuk membuat kueri entitas global ini:

• graph.metadata.vendor_name = Google Cloud Threat Intelligence

• graph.metadata.product_name = GCTI Feed

Dalam dokumen ini, placeholder <variable_name> mewakili nama variabel unik yang digunakan dalam aturan untuk mengidentifikasi data UDM.

Sumber data Threat Intelligence yang memiliki waktu berlaku versus yang tidak memiliki waktu berlaku Google Cloud

Google Cloud Sumber data Intelijen Ancaman bersifat berbatas waktu atau tidak terbatas waktu.

Sumber data berjangka waktu memiliki rentang waktu yang terkait dengan setiap entri. Artinya, jika deteksi dibuat pada hari ke-1, pada hari apa pun di masa mendatang, deteksi yang sama diharapkan akan dibuat untuk hari ke-1 selama retro-hunt.

Sumber data yang tidak memiliki batas waktu tidak memiliki rentang waktu yang terkait. Hal ini karena hanya kumpulan data terbaru yang harus dipertimbangkan. Sumber data yang tidak berubah sering digunakan untuk data seperti hash file yang tidak diharapkan berubah. Jika tidak ada deteksi yang dihasilkan pada hari ke-1, pada hari ke-2 deteksi mungkin dihasilkan untuk hari ke-1 selama retro-hunt karena entri baru telah ditambahkan.

Data tentang alamat IP node keluar Tor

Google Security Operations menyerap dan menyimpan alamat IP yang diketahui sebagai node keluar Tor. Node keluar Tor adalah titik tempat traffic keluar dari jaringan Tor. Informasi yang diserap dari sumber data ini disimpan di kolom UDM berikut. Data dalam sumber ini diberi waktu.

Data tentang file sistem operasi yang tidak berbahaya

Google Security Operations menyerap dan menyimpan hash file dari sumber data Biner Benigna GCTI. Informasi yang diserap dari sumber data ini disimpan di kolom UDM berikut. Data dalam sumber ini tidak terbatas waktu.

Data tentang alat akses jarak jauh

Alat akses jarak jauh mencakup hash file untuk alat akses jarak jauh yang diketahui seperti klien VNC yang sering digunakan oleh pelaku kejahatan. Alat ini umumnya merupakan aplikasi yang sah yang terkadang disalahgunakan untuk terhubung dari jarak jauh ke sistem yang disusupi. Informasi yang diserap dari sumber data ini disimpan di kolom UDM berikut. Data dalam sumber ini tidak terbatas waktu.

Memperkaya peristiwa dengan metadata file VirusTotal

Google Security Operations memperkaya hash file ke dalam peristiwa UDM dan memberikan konteks tambahan selama investigasi. Peristiwa UDM diperkaya melalui alias hash di lingkungan pelanggan. Alias hash menggabungkan semua jenis hash file dan memberikan informasi tentang hash file selama penelusuran.

Integrasi metadata file VirusTotal dan pengayaan hubungan dengan Google SecOps dapat digunakan untuk mengidentifikasi pola aktivitas berbahaya dan melacak pergerakan malware di seluruh jaringan.

Log mentah memberikan informasi terbatas tentang file. VirusTotal memperkaya peristiwa dengan metadata file untuk memberikan dump hash yang buruk beserta metadata tentang file yang buruk. Metadata tersebut mencakup informasi seperti nama file, jenis, fungsi yang diimpor, dan tag. Anda dapat menggunakan informasi ini di mesin penelusuran dan deteksi UDM dengan YARA-L untuk memahami peristiwa file yang buruk dan secara umum selama perburuan ancaman. Contoh kasus penggunaannya adalah mendeteksi modifikasi pada file asli yang pada akhirnya akan mengimpor metadata file untuk deteksi ancaman.

Informasi berikut disimpan bersama data. Untuk mengetahui daftar semua kolom UDM, lihat Daftar kolom Model Data Terpadu.