Cómo Google Security Operations enriquece los datos de eventos y entidades

Se admite en los siguientes países:

En este documento, se describe cómo Google Security Operations enriquece los datos y los campos del modelo de datos unificado (UDM) en los que se almacenan.

Para permitir una investigación de seguridad, Google Security Operations transfiere datos contextuales de diferentes fuentes, realiza un análisis de los datos y brinda contextual sobre los artefactos en el entorno de un cliente. Los analistas pueden usar el contexto datos enriquecidos en reglas de Detection Engine, búsquedas de investigación o informes.

Google Security Operations realiza los siguientes tipos de enriquecimiento:

  • Enriquece las entidades con el gráfico de entidades y la combinación.
  • Calcula y enriquece cada entidad con una estadística de prevalencia que indica su popularidad en el entorno.
  • Calcula la primera vez que se vieron ciertos tipos de entidades en el entorno o la hora más reciente.
  • Enriquece las entidades con información de las listas de amenazas de Navegación segura.
  • Enriquece los eventos con datos de ubicación geográfica.
  • Enriquece las entidades con datos de WHOIS.
  • Enriquece los eventos con metadatos de archivos de VirusTotal.
  • Enriquece las entidades con datos de relaciones de VirusTotal.
  • Transferir y almacenar datos de Google Cloud Threat Intelligence.

event_type, product_name y vendor_name identifican los datos enriquecidos de WHOIS, Navegación segura, GCTI Threat Intelligence, los metadatos de VirusTotal y la relación de VirusTotal. Cuando cree una regla que utilice estos datos enriquecidos, recomendamos que incluya un filtro en la regla que identifique el tipo de enriquecimiento de datos que se debe incluir. Este filtro ayuda a mejorar el rendimiento de la regla. Por ejemplo, incluye los siguientes campos de filtro en la sección events de la regla que une los datos de WHOIS.

$enrichment.graph.metadata.entity_type = "DOMAIN_NAME"
$enrichment.graph.metadata.product_name = "WHOISXMLAPI Simple Whois"
$enrichment.graph.metadata.vendor_name = "WHOIS"

Enriquece las entidades con el grafo de entidades y la combinación

El gráfico de entidades identifica las relaciones entre las entidades y los recursos de tu entorno. Cuando se transfieren entidades de diferentes fuentes a Google Security Operations, el gráfico de entidades mantiene una lista de proximidad basada en la relación entre las entidades. El gráfico de entidades realiza la enriquecimiento del contexto mediante la anulación de duplicación y la combinación.

Durante la anulación de duplicación, se eliminan los datos redundantes y se forman intervalos para crear una entidad común. Por ejemplo, considera dos entidades e1 y e2 con marcas de tiempo t1 y t2 respectivamente. Las entidades e1 y e2 se eliminan y las marcas de tiempo que son diferentes no se usan durante la eliminación. Los siguientes campos no se usan durante la anulación de duplicación:

  • collected_timestamp
  • creation_timestamp
  • interval

Durante la fusión, las relaciones entre entidades se forman para un intervalo de tiempo un día. Por ejemplo, considera un registro de entidad de user A que tiene acceso a un almacenamiento de Cloud Storage. bucket. Hay otro registro de entidad de user A que es propietario de un dispositivo. Después de la combinación, estas dos entidades dan como resultado una sola entidad user A que tiene dos relaciones. Una relación es que user A tiene acceso al bucket de Cloud Storage y la otra es que user A es el propietario del dispositivo. Google Security Operations realiza un período de visualización de cinco días cuando crea datos de contexto de la entidad. Esto controla los datos tardíos y crea un tiempo de actividad en los datos del contexto de la entidad.

Google Security Operations usa alias para enriquecer los datos de telemetría y usa grafos de entidades para enriquecer las entidades. Las reglas del motor de detección unen las entidades combinadas los datos de telemetría enriquecidos para brindar estadísticas contextuales.

Un evento que contiene un sustantivo de entidad se considera una entidad. Estos son algunos ejemplos tipos de eventos y sus tipos de entidades correspondientes:

  • ASSET_CONTEXT corresponde a ASSET.
  • RESOURCE_CONTEXT corresponde a RESOURCE.
  • USER_CONTEXT corresponde a USER.
  • GROUP_CONTEXT corresponde a GROUP.

El gráfico de entidades distingue entre los datos contextuales y los indicadores de compromiso (IOC) con la información de amenaza.

Cuando uses datos enriquecidos contextualmente, considera el siguiente comportamiento del gráfico de entidades:

  • No agregues intervalos en la entidad, sino que permite que el gráfico de la entidad crearlos. Esto se debe a que los intervalos se generan durante la anulación de duplicación, a menos que se especifique lo contrario.
  • Si se especifican los intervalos, solo se anula la duplicación de los mismos eventos, y se conservará la entidad más reciente.
  • Para garantizar que las reglas en vivo y las cazas retrospectivas funcionen como se espera, las entidades deben transferirse al menos una vez al día.
  • Si las entidades no se transfieren a diario y solo se transfieren una vez en dos o más días, es posible que las reglas publicadas funcionen como se espera. Sin embargo, es posible que las búsquedas retroactivas pierdan el contexto del evento.
  • Si las entidades se transfieren más de una vez al día, se anula la duplicación de la entidad. en una sola entidad.
  • Si faltan los datos de eventos de un día, se usarán temporalmente los datos del día anterior para garantizar que las reglas activas funcionen correctamente.

El gráfico de entidades también combina eventos con identificadores similares para obtener una vista consolidada de los datos. Esta combinación se realiza según la siguiente lista de identificadores:

  • Asset
    • entity.asset.product_object_id
    • entity.asset.hostname
    • entity.asset.asset_id
    • entity.asset.mac
  • User
    • entity.user.product_object_id
    • entity.user.userid
    • entity.user.windows_sid
    • entity.user.email_addresses
    • entity.user.employee_id
  • Resource
    • entity.resource.product_object_id
    • entity.resource.name
  • Group
    • entity.group.product_object_id
    • entity.group.email_addresses
    • entity.group.windows_sid

Calcular las estadísticas de prevalencia

Google Security Operations realiza análisis estadísticos sobre los datos existentes y entrantes, y enriquece los registros de contexto de la entidad con métricas relacionadas con la prevalencia.

La prevalencia es un valor numérico que indica qué tan popular es una entidad. La popularidad se define por la cantidad de recursos que acceden a un artefacto, como un dominio, hash de archivo o dirección IP. Cuanto mayor sea el número, más popular será la entidad. Por ejemplo, google.com tiene valores de prevalencia altos porque se accede a él con frecuencia. Si se accede a un dominio con poca frecuencia, este tendrá una de prevalencia. Las entidades más populares suelen ser menos propensas a ser maliciosas.

Estos valores enriquecidos son compatibles con dominio, IP y archivo (hash). Los valores se calculan y almacenan en los siguientes campos.

Las estadísticas de prevalencia de cada entidad se actualizan todos los días. Los valores se almacenan en un contexto de entidad independiente que puede usar el motor de detección, pero no se muestra en las vistas de investigación de Operaciones de seguridad de Google ni en la búsqueda de la UDM.

Los siguientes campos se pueden usar cuando se crean reglas de Detection Engine.

Tipo de entidad Campos de UDM
Dominio entity.domain.prevalence.day_count
entity.domain.prevalence.day_max
entity.domain.prevalence.day_max_sub_domains
entity.domain.prevalence.rolling_max
entity.domain.prevalence.rolling_max_sub_domains
Archivo (Hash) entity.file.prevalence.day_count
entity.file.prevalence.day_max
entity.file.prevalence.rolling_max
Dirección IP entity.artifact.prevalence.day_count
entity.artifact.prevalence.day_max
entity.artifact.prevalence.rolling_max

Los valores day_max y Rolling_max se calculan de manera diferente. Los campos se calculan de la siguiente manera:

  • day_max se calcula como la puntuación de prevalencia máxima del artefacto durante el día, donde un día se define como de 12:00:00 a.m. a 11:59:59 p.m. (UTC).
  • rolling_max se calcula como la puntuación de prevalencia máxima por día (es decir, day_max) para el artefacto durante el período de los 10 días anteriores.
  • day_count se usa para calcular rolling_max y siempre es el valor 10.

Cuando se calcula para un dominio, la diferencia entre day_max y day_max_sub_domains (y rolling_max en comparación con rolling_max_sub_domains) es la siguiente:

  • rolling_max y day_max representan la cantidad de direcciones IP internas únicas diarias acceder a un dominio determinado (excepto los subdominios).
  • rolling_max_sub_domains y day_max_sub_domains representan la cantidad de instancias Direcciones IP internas que acceden a un dominio determinado (incluidos los subdominios)

Las estadísticas de prevalencia se calculan en los datos de entidades transferidos recientemente. Los cálculos no se realizan de forma retroactiva en los datos transferidos anteriormente. Se necesitan aproximadamente 36 horas para que se calculen y almacenen las estadísticas.

Calcula la primera vez que se vio y la última vez que se vio una entidad

Google Security Operations realiza un análisis estadístico de los datos entrantes y enriquece los registros de contexto de la entidad con las horas de primera y última aparición de una entidad. El campo first_seen_time almacena la fecha y la hora en que se vio la entidad por primera vez en el entorno del cliente. El campo last_seen_time almacena la fecha y hora de la actualización observación.

Dado que varios indicadores (campos de la AUA) pueden identificar un activo o un usuario, la primera vez que se ve es la primera vez que se ve alguno de los indicadores que identifican al usuario o al activo en el entorno del cliente.

Los siguientes son todos los campos de la UDM que describen un recurso:

  • entity.asset.hostname
  • entity.asset.ip
  • entity.asset.mac
  • entity.asset.asset_id
  • entity.asset.product_object_id

Todos los campos de UDM que describen una usuario son los siguientes:

  • entity.user.windows_sid
  • entity.user.product_object_id
  • entity.user.userid
  • entity.user.employee_id
  • entity.user.email_addresses

La hora de la primera y la última vez que se vio permite al analista correlacionar determinados La actividad que se produjo después de que un dominio, archivo (hash), recurso, usuario o dirección IP se haya visto por primera vez o que dejó de ocurrir después del dominio, archivo (hash) o dirección IP se vio por última vez.

Los campos first_seen_time y last_seen_time se propagan con entidades que describen un dominio, una dirección IP y un archivo (hash). Para entidades que describen a un usuario o el recurso, solo se propaga el campo first_seen_time. Estos valores no se calculan para las entidades que describen otros tipos, como un grupo o un recurso.

Las estadísticas se calculan para cada entidad en todos los espacios de nombres. Google Security Operations no calcula las estadísticas de cada entidad dentro de espacios de nombres individuales. Por el momento, estas estadísticas no se exportan al esquema events de Google Security Operations en BigQuery.

Los valores enriquecidos se calculan y almacenan en los siguientes campos de la UDM:

Tipo de entidad Campos de UDM
Dominio entity.domain.first_seen_time
entity.domain.last_seen_time
Archivo (hash) entity.file.first_seen_time
entity.file.last_seen_time
Dirección IP entity.artifact.first_seen_time
entity.artifact.last_seen_time
Recurso entity.asset.first_seen_time
Usuario entity.user.first_seen_time

Enriquece eventos con datos de ubicación geográfica

Los datos de registro entrantes pueden incluir direcciones IP externas sin sus información de ubicación. Esto es común cuando un evento registra información sobre la actividad del dispositivo que no está en una red empresarial. Por ejemplo, un evento de acceso a un servicio en la nube contendría una dirección IP de origen o de cliente según la dirección IP externa de un dispositivo que devuelve la NAT del operador.

Google Security Operations proporciona datos enriquecidos con ubicación geográfica para IPs externas direcciones para habilitar detecciones de reglas más potentes y un mayor contexto para las investigaciones. Por ejemplo, Google Security Operations podría usar una dirección IP externa para enriquecer el evento con información sobre el país (como Estados Unidos), un estado específico (como Alaska) y la red en la que se encuentra la dirección IP (como el ASN y el nombre del operador).

Google Security Operations usa los datos de ubicación proporcionados por Google para brindar una la ubicación geográfica y la información de red para una dirección IP. Puedes escribir reglas del motor de detección en estos campos de los eventos. Los datos de eventos enriquecidos también se exportan a BigQuery. donde se puede usar en los informes y paneles de Google Security Operations.

Las siguientes direcciones IP no se enriquecen:

  • Espacios de direcciones IP privadas RFC 1918, ya que son internos a la red empresarial.
  • Espacio de direcciones IP de multidifusión RFC 5771, ya que las direcciones de multidifusión no pertenecen a una sola ubicación.
  • Direcciones locales únicas IPv6
  • Direcciones IP del servicio de Google Cloud Las excepciones son las direcciones IP externas de Compute Engine de Google Cloud, que se enriquecen.

Google Security Operations enriquece los siguientes campos de UDM con datos de ubicación geográfica:

  • principal
  • target
  • src
  • observer
Tipo de datos Campo de UDM
Ubicación (por ejemplo, Estados Unidos) ( principal | target | src | observer ).ip_geo_artifact.location.country_or_region
Estado (por ejemplo, Nueva York) ( principal | target | src | observer ).ip_geo_artifact.location.state
Longitud ( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.longitude
Latitud ( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.latitude
ASN (número de sistema autónomo) ( principal | target | src | observer ).ip_geo_artifact.network.asn
Nombre de la empresa de transporte ( principal | target | src | observer ).ip_geo_artifact.network.carrier_name
Dominio DNS ( principal | target | src | observer ).ip_geo_artifact.network.dns_domain
Nombre de la organización ( principal | target | src | observer ).ip_geo_artifact.network.organization_name

En el siguiente ejemplo, se muestra el tipo de información geográfica que agregado a un evento de UDM con una dirección IP etiquetada con Países Bajos:

Campo de UDM Valor
principal.ip_geo_artifact.location.country_or_region Netherlands
principal.ip_geo_artifact.location.region_coordinates.latitude 52.132633
principal.ip_geo_artifact.location.region_coordinates.longitude 5.291266
principal.ip_geo_artifact.network.asn 8455
principal.ip_geo_artifact.network.carrier_name schuberg philis

Inconsistencias

La tecnología de ubicación geográfica de IP, propiedad de Google, usa una combinación de datos de red y otras entradas y para proporcionar la ubicación de la dirección IP y la resolución de red a nuestros usuarios. Es posible que otras organizaciones usen indicadores o métodos diferentes, lo que, en ocasiones, puede generar resultados distintos.

Si surgen casos en los que experimentas una incoherencia en los resultados de la geolocalización de IP que proporciona Google, abre un caso de asistencia al cliente para que podamos investigar y, si corresponde, corregir nuestros registros en el futuro.

Enriquece las entidades con información de las listas de amenazas de la Navegación segura

Google Security Operations transfiere datos de Navegación segura relacionados con los valores hash de los archivos. Los datos de cada archivo se almacenan como una entidad y proporcionan contexto adicional sobre el archivo. Los analistas pueden crear reglas de Detection Engine que realizan consultas en esta entidad datos contextuales para crear estadísticas adaptadas al contexto.

La siguiente información se almacena con el registro de contexto de la entidad.

Campo de UDM Descripción
entity.metadata.product_entity_id Es un identificador único para la entidad.
entity.metadata.entity_type Este valor es FILE, lo que indica que la entidad describe un archivo.
entity.metadata.collected_timestamp Fecha y hora en que se observó la entidad o el evento para determinar si se produjo un error.
entity.metadata.interval Almacena las horas de inicio y finalización que son válidas para estos datos. Debido a que el contenido de la lista de amenazas cambia con el tiempo, la start_time y end_time refleja el intervalo de tiempo durante el cual los datos sobre la es válida. Por ejemplo, se observó que el hash de un archivo malicioso o sospechoso entre start_time and end_time.
entity.metadata.threat.category Esta es la instancia de Google Security Operations SecurityCategory. Se establece en uno o más de los siguientes valores:
  • SOFTWARE_MALICIOUS: Indica que la amenaza está relacionada con software malicioso.
  • SOFTWARE_PUA: Indica que la amenaza está relacionada con software no deseado.
entity.metadata.threat.severity Esta es la página de Google Security Operations ProductSeverity. Si el valor es CRITICAL, significa que el artefacto parece ser malicioso. Si no se especifica el valor, no hay suficiente confianza para indicar que el artefacto es malicioso.
entity.metadata.product_name Almacena el valor Google Safe Browsing.
entity.file.sha256 El valor de hash SHA256 del archivo.

Enriquece las entidades con datos de WHOIS

Google Security Operations transfiere datos de WHOIS a diario. Durante la transferencia de datos entrantes de los dispositivos de los clientes, Google Security Operations evalúa los dominios en los datos del cliente en función de los datos de WHOIS. Cuando hay una coincidencia, Google Security Operations almacena los datos de WHOIS relacionados con el registro de entidad del dominio. Para cada entidad, donde entity.metadata.entity_type = DOMAIN_NAME, Google Security Operations enriquece la entidad con información de WHOIS.

Google Security Operations propaga los datos enriquecidos de WHOIS en los siguientes campos del registro de entidad:

  • entity.domain.admin.attribute.labels
  • entity.domain.audit_update_time
  • entity.domain.billing.attribute.labels
  • entity.domain.billing.office_address.country_or_region
  • entity.domain.contact_email
  • entity.domain.creation_time
  • entity.domain.expiration_time
  • entity.domain.iana_registrar_id
  • entity.domain.name_server
  • entity.domain.private_registration
  • entity.domain.registrant.company_name
  • entity.domain.registrant.office_address.state
  • entity.domain.registrant.office_address.country_or_region
  • entity.domain.registrant.email_addresses
  • entity.domain.registrant.user_display_name
  • entity.domain.registrar
  • entity.domain.registry_data_raw_text
  • entity.domain.status
  • entity.domain.tech.attribute.labels
  • entity.domain.update_time
  • entity.domain.whois_record_raw_text
  • entity.domain.whois_server
  • entity.domain.zone

Para obtener una descripción de estos campos, consulta el documento de la lista de campos del modelo de datos unificado.

Transferir y almacenar datos de la inteligencia de amenazas de Google Cloud

Google Security Operations transfiere datos de las fuentes de datos de Google Cloud Threat Intelligence (GCTI) que te proporcionan información contextual que puedes usar cuando investigas la actividad en tu entorno. Puedes consultar las siguientes fuentes de datos:

  • Nodos de salida de GCTI Tor: direcciones IP que son nodos de salida Tor conocidos.
  • Objetos binarios benignos de GCTI: Son archivos que forman parte de la distribución original del sistema operativo o que se actualizaron con un parche oficial del sistema operativo. Algunos objetos binarios oficiales del sistema operativo que un adversario abusó a través de una actividad común en los ataques de ataque de supervivencia se excluyen de esta fuente de datos, como los que se enfocan en los vectores de entrada iniciales.
  • Herramientas de acceso remoto de GCTI: Archivos que los agentes maliciosos suelen usar con frecuencia. Por lo general, estas herramientas son aplicaciones legítimas que a veces se usan de forma indebida para se conectan de forma remota a los sistemas comprometidos.

    Estos datos contextuales se almacenan globalmente como entidades. Puedes consultar los datos usando del motor de detección de intrusiones. Incluye los siguientes campos y valores de UDM en la regla para consultar estas entidades globales:

  • graph.metadata.vendor_name = Google Cloud Threat Intelligence

  • graph.metadata.product_name = GCTI Feed

En este documento, el marcador de posición <variable_name> representa el nombre de la variable única que se usa en una regla para identificar un registro de la AUA.

Fuentes de datos de Google Cloud Threat Intelligence temporizadas frente a atemporales

Las fuentes de datos de Google Cloud Threat Intelligence son temporales o atemporales.

Las fuentes de datos con tiempo tienen un período asociado con cada entrada. Esto significa que si se genera una detección el día 1, cualquier día del en el futuro, se espera que se genere la misma detección para el día 1 durante búsqueda retro.

Las fuentes de datos atemporales no tienen un período asociado. Esta es que solo el conjunto de datos más reciente es lo que debe considerarse. Atemporal Las fuentes de datos se usan con frecuencia para obtener datos, como hashes de archivos, que no se esperan. cambiar. Si no se genera ninguna detección el primer día, es posible que se genere una detección para el primer día durante una búsqueda retroactiva porque se agregó una entrada nueva.

Datos sobre las direcciones IP de nodos de salida Tor

Google Security Operations transfiere e almacena las direcciones IP que son nodos de salida de Tor conocidos. Los nodos de salida Tor son puntos por los que el tráfico sale de la red Tor. Información transferida de esta fuente de datos se almacenan en los siguientes campos de UDM. Los datos de esta fuente son cronometrados.

Campo de UDM Descripción
<variable_name>.graph.metadata.vendor_name Almacena el valor Google Cloud Threat Intelligence.
<variable_name>.graph.metadata.product_name Almacena el valor GCTI Feed.
<variable_name>.graph.metadata.threat.threat_feed_name Almacena el valor Tor Exit Nodes.
<variable_name>.graph.entity.artifact.ip Almacena la dirección IP transferida desde la fuente de datos de GCTI.

Datos sobre archivos benignos del sistema operativo

Google Security Operations transfiere y almacena los hashes de archivos de los objetos binarios benignos de GCTI fuente de datos. La información que se transfiere desde esta fuente de datos se almacena en UDM. Los datos de esta fuente son atemporales.

Campo de UDM Descripción
<variable_name>.graph.metadata.vendor_name Almacena el valor Google Cloud Threat Intelligence.
<variable_name>.graph.metadata.product_name Almacena el valor GCTI Feed.
<variable_name>.graph.metadata.threat.threat_feed_name Almacena el valor Benign Binaries.
<variable_name>.graph.entity.file.sha256 Almacena el valor de hash SHA256 del archivo.
<variable_name>.graph.entity.file.sha1 Almacena el valor de hash SHA1 del archivo.
<variable_name>.graph.entity.file.md5 Almacena el valor hash MD5 del archivo.

Datos sobre las herramientas de acceso remoto

Las herramientas de acceso remoto incluyen hashes de archivos para herramientas conocidas de acceso remoto, como Clientes de VNC que han utilizado con frecuencia agentes maliciosos. Por lo general, estas herramientas son aplicaciones legítimas que, a veces, se usan de forma abusiva para conectarse de forma remota a sistemas comprometidos. La información que se transfiere desde esta fuente de datos se almacena en los siguientes campos de UDM. Los datos de esta fuente no son atemporales.

Campo de UDM Descripción
.graph.metadata.vendor_name Almacena el valor Google Cloud Threat Intelligence.
.graph.metadata.product_name Almacena el valor GCTI Feed.
.graph.metadata.threat.threat_feed_name Almacena el valor Remote Access Tools.
.graph.entity.file.sha256 Almacena el valor de hash SHA256 del archivo.
.graph.entity.file.sha1 Almacena el valor de hash SHA1 del archivo.
.graph.entity.file.md5 Almacena el valor de hash MD5 del archivo.

Enriquece eventos con metadatos de archivos de VirusTotal

Google Security Operations enriquece los hashes de archivos en eventos UDM y proporciona adicional durante una investigación. Los eventos UDM se enriquecen a través de alias de hash en el entorno de un cliente. La asignación de alias de hash combina todo tipo de hash de archivo y proporciona información sobre el hash de un archivo durante una búsqueda.

La integración de los metadatos de archivos de VirusTotal y el enriquecimiento de relaciones con Google SecOps se puede usar para identificar patrones de actividad maliciosa y hacer un seguimiento de los movimientos de software malicioso en una red.

Un registro sin procesar proporciona información limitada sobre el archivo. VirusTotal enriquece el evento metadatos de archivo para proporcionar un volcado de hashes incorrectos junto con metadatos sobre el archivo incorrecto. Los metadatos incluyen información como nombres de archivo, tipos, funciones y etiquetas. Puedes utilizar esta información en la búsqueda y detección de UDM de archivos con YARA-L para comprender eventos de archivos incorrectos y, en general, durante amenazas para la caza. Un ejemplo de caso de uso es detectar modificaciones en el archivo original lo que, a su vez, importaría los metadatos del archivo para la detección de amenazas.

La siguiente información se almacena con el registro. Para obtener una lista de todos los campos del UDM, consulta Lista de campos del modelo de datos unificado.

Tipo de datos Campo de UDM
SHA-256 ( principal | target | src | observer ).file.sha256
MD5 ( principal | target | src | observer ).file.md5
SHA-1 ( principal | target | src | observer ).file.sha1
Tamaño ( principal | target | src | observer ).file.size
ssdeep ( principal | target | src | observer ).file.ssdeep
vhash ( principal | target | src | observer ).file.vhash
authentihash ( principal | target | src | observer ).file.authentihash
Tipo de archivo ( principal | target | src | observer ).file.file_type
Etiquetas ( principal | target | src | observer ).file.tags
Etiquetas de funciones ( principal | target | src | observer ).file.capabilities_tags
Nombres ( principal | target | src | observer ).file.names
Hora de la primera aparición ( principal | target | src | observer ).file.first_seen_time
Hora de la última visualización ( principal | target | src | observer ).file.last_seen_time
Hora de la última modificación ( principal | target | src | observer ).file.last_modification_time
Hora del último análisis ( principal | target | src | observer ).file.last_analysis_time
URLs incorporadas ( principal | target | src | observer ).file.embedded_urls
IP incorporadas ( principal | target | src | observer ).file.embedded_ips
Dominios incorporados ( principal | target | src | observer ).file.embedded_domains
Información de la firma ( principal | target | src | observer ).file.signature_info
Información de la firma
  • Sigcheck
( principal | target | src | observer).file.signature_info.sigcheck
Información de la firma
  • Sigcheck
    • Mensaje de verificación
( principal | target | src | observer ).file.signature_info.sigcheck.verification_message
Información de la firma
  • Sigcheck
    • Verificado
( principal | target | src | observer ).file.signature_info.sigcheck.verified
Información de la firma
  • Sigcheck
    • Firmantes
( principal | target | src | observer ).file.signature_info.sigcheck.signers
Información de la firma
  • Sigcheck
    • Firmantes
      • Nombre
( principal | target | src | observer ).file.signature_info.sigcheck.signers.name
Información de la firma
  • Sigcheck
    • Firmantes
      • Estado
( principal | target | src | observer ).file.signature_info.sigcheck.signers.status
Información de la firma
  • Sigcheck
    • Firmantes
      • Uso válido del certificado
( principal | target | src | observer ).file.signature_info.sigcheck.signers.valid_usage
Información de la firma
  • Sigcheck
    • Firmantes
      • Entidad emisora del certificado
( principal | target | src | observer ).file.signature_info.sigcheck.signers.cert_issuer
Información de la firma
  • Verificación de seguridad
    • X509
( principal | target | src | observer ).file.signature_info.sigcheck.x509
Información de la firma
  • Verificación de seguridad
    • X509
      • Nombre
( principal | target | src | observer ).file.signature_info.sigcheck.x509.name
Información de la firma
  • Verificación de seguridad
    • X509
      • Algoritmo
( principal | target | src | observer ).file.signature_info.sigcheck.x509.algorithm
Información de la firma
  • Verificación de seguridad
    • X509
      • Huella digital del pulgar
( principal | target | src | observer ).file.signature_info.sigcheck.x509.thumprint
Información de la firma
  • Verificación de seguridad
    • X509
      • Emisor de certificados
( principal | target | src | observer ).file.signature_info.sigcheck.x509.cert_issuer
Información de la firma
  • Verificación de seguridad
    • X509
      • Número de serie
( principal | target | src | observer ).file.signature_info.sigcheck.x509.serial_number
Información de la firma
  • Signo de código
( principal | target | src | observer ).file.signature_info.codesign
Información de la firma
  • Signo de código
    • ID
( principal | target | src | observer ).file.signature_info.codesign.id
Información de la firma
  • Codiseño
    • Formato
( principal | target | src | observer ).file.signature_info.codesign.format
Información de la firma
  • Signo de código
    • Hora de compilación
( principal | target | src | observer ).file.signature_info.codesign.compilation_time
Información de Exiftool ( principal | target | src | observer ).file.exif_info
Información de la herramienta de exposición
  • Nombre del archivo original
( principal | target | src | observer ).file.exif_info.original_file
Información de la herramienta de exposición
  • Nombre del producto
( principal | target | src | observer ).file.exif_info.product
Información de la herramienta de exposición
  • Nombre de la empresa
( principal | target | src | observer ).file.exif_info.company
Información de Exiftool
  • Descripción del archivo
( principal | target | src | observer ).file.exif_info.file_description
Información de la herramienta de exposición
  • Punto de entrada
( principal | target | src | observer ).file.exif_info.entry_point
Información de la herramienta de exposición
  • Hora de compilación
( principal | target | src | observer ).file.exif_info.compilation_time
Información en PDF ( principal | target | src | observer ).file.pdf_info
Información del PDF
  • Cantidad de etiquetas /JS
( principal | target | src | observer ).file.pdf_info.js
Información en PDF
  • Cantidad de etiquetas /JavaScript
( principal | target | src | observer ).file.pdf_info.javascript
Información del PDF
  • Cantidad de etiquetas /Launch
( principal | target | src | observer ).file.pdf_info.launch_action_count
Información en PDF
  • Cantidad de transmisiones de objetos
( principal | target | src | observer ).file.pdf_info.object_stream_count
Información en PDF
  • Cantidad de definiciones de objetos (palabra clave endobj)
( principal | target | src | observer ).file.pdf_info.endobj_count
Información en PDF
  • Versión en PDF
( principal | target | src | observer ).file.pdf_info.header
Información en PDF
  • Cantidad de etiquetas de /AcroForm
( principal | target | src | observer ).file.pdf_info.acroform
Información en PDF
  • Cantidad de etiquetas /AA
( principal | target | src | observer ).file.pdf_info.autoaction
Información en PDF
  • Cantidad de etiquetas /EmbeddedFile
( principal | target | src | observer ).file.pdf_info.embedded_file
Información del PDF
  • /Encriptar etiqueta
( principal | target | src | observer ).file.pdf_info.encrypted
Información en PDF
  • Cantidad de etiquetas /RichMedia
( principal | target | src | observer ).file.pdf_info.flash
Información en PDF
  • Cantidad de etiquetas /JBIG2Decode
( principal | target | src | observer ).file.pdf_info.jbig2_compression
Información del PDF
  • Cantidad de definiciones de objetos (palabra clave obj)
( principal | target | src | observer ).file.pdf_info.obj_count
Información del PDF
  • Cantidad de objetos de transmisión definidos (palabra clave de transmisión)
( principal | target | src | observer ).file.pdf_info.endstream_count
Información en PDF
  • Cantidad de páginas en el PDF
( principal | target | src | observer ).file.pdf_info.page_count
Información en PDF
  • Cantidad de objetos de transmisión definidos (palabra clave de transmisión)
( principal | target | src | observer ).file.pdf_info.stream_count
Información del PDF
  • Cantidad de etiquetas /OpenAction
( principal | target | src | observer ).file.pdf_info.openaction
Información del PDF
  • Cantidad de palabras clave de startxref
( principal | target | src | observer ).file.pdf_info.startxref
Información del PDF
  • Número de colores expresados en más de 3 bytes (CVE-2009-3459)
( principal | target | src | observer ).file.pdf_info.suspicious_colors
Información del PDF
  • Cantidad de palabras clave para avances
( principal | target | src | observer ).file.pdf_info.trailer
Información en PDF
  • Cantidad de etiquetas /XFA encontradas
( principal | target | src | observer ).file.pdf_info.xfa
Información en PDF
  • Cantidad de palabras clave de xref
( principal | target | src | observer ).file.pdf_info.xref
Metadatos del archivo PE ( principal | target | src | observer ).file.pe_file
Metadatos del archivo PE
  • Imphash
( principal | target | src | observer ).file.pe_file.imphash
Metadatos del archivo PE
  • Punto de entrada
( principal | target | src | observer ).file.pe_file.entry_point
Metadatos del archivo PE
  • Herramienta exiftool de punto de entrada
( principal | target | src | observer ).file.pe_file.entry_point_exiftool
Metadatos del archivo PE
  • Tiempo de compilación
( principal | target | src | observer ).file.pe_file.compilation_time
Metadatos del archivo PE
  • Hora de la exposición de compilación
( principal | target | src | observer ).file.pe_file.compilation_exiftool_time
Metadatos del archivo PE
  • Secciones
( principal | target | src | observer ).file.pe_file.section
Metadatos del archivo PE
  • Secciones
    • Nombre
( principal | target | src | observer ).file.pe_file.section.name
Metadatos del archivo PE
  • Secciones
    • Entropía
( principal | target | src | observer ).file.pe_file.section.entropy
Metadatos del archivo PE
  • Secciones
    • Tamaño sin procesar en bytes
( principal | target | src | observer ).file.pe_file.section.raw_size_bytes
Metadatos del archivo PE
  • Secciones
    • Tamaño virtual en bytes
( principal | target | src | observer ).file.pe_file.section.virtual_size_bytes
Metadatos del archivo PE
  • Secciones
    • Código hexadecimal MD5
( principal | target | src | observer ).file.pe_file.section.md5_hex
Metadatos del archivo PE
  • Importaciones
( principal | target | src | observer ).file.pe_file.imports
Metadatos del archivo PE
  • Importaciones
    • Biblioteca
( principal | target | src | observer ).file.pe_file.imports.library
Metadatos del archivo PE
  • Importaciones
    • Funciones
( principal | target | src | observer ).file.pe_file.imports.functions
Metadatos del archivo PE
  • Información del recurso
( principal | target | src | observer ).file.pe_file.resource
Metadatos del archivo PE
  • Información del recurso
    • SHA-256 hexadecimal
( principal | target | src | observer ).file.pe_file.resource.sha256_hex
Metadatos del archivo PE
  • Información del recurso
    • Tipo de recurso identificado por el módulo mágico de Python
( principal | target | src | observer ).file.pe_file.resource.filetype_magic
Metadatos del archivo PE
  • Información del recurso
    • Es la versión legible por humanos de los identificadores de idioma y subidioma, como se define en la especificación de PE de Windows.
( principal | target | src | observer ).file.pe_file.resource_language_code
Metadatos del archivo PE
  • Información del recurso
    • Entropía
( principal | target | src | observer ).file.pe_file.resource.entropy
Metadatos del archivo PE
  • Información del recurso
    • Tipo de archivo
( principal | target | src | observer ).file.pe_file.resource.file_type
Metadatos del archivo PE
  • Cantidad de recursos por tipo de recurso
( principal | target | src | observer ).file.pe_file.resources_type_count_str
Metadatos del archivo PE
  • Cantidad de recursos por idioma
( principal | target | src | observer ).file.pe_file.resources_language_count_str

Enriquece las entidades con datos de relaciones de VirusTotal

VirusTotal ayuda a analizar archivos, dominios, direcciones IP y URLs sospechosos para detectar software malicioso y otras violaciones de seguridad, y compartir los resultados con la comunidad de seguridad. Google Security Operations transfiere datos de las conexiones relacionadas con VirusTotal. Estos datos se almacenan como una entidad y brinda información sobre la relación entre los hashes de los archivos y archivos, dominios, direcciones IP y URLs.

Los analistas pueden usar estos datos para determinar si el hash de un archivo es incorrecto según la información sobre la URL o el dominio de otras fuentes. Esta información se puede usar para crear reglas del motor de detección que consulten los datos de contexto de la entidad para crear estadísticas adaptadas al contexto.

Estos datos solo están disponibles para ciertas licencias de VirusTotal y Google Security Operations. Verifica tus derechos con tu administrador de cuentas.

Se almacena la siguiente información con el registro de contexto de la entidad:

Campo de UDM Descripción
entity.metadata.product_entity_id Es un identificador único para la entidad.
entity.metadata.entity_type Almacena el valor FILE, lo que indica que la entidad describe un archivo.
entity.metadata.interval start_time hace referencia al principio del tiempo y end_time es el final del tiempo para el que son válidos estos datos.
entity.metadata.source_labels Este campo almacena una lista de pares clave-valor de source_id y target_id para esta entidad. source_id es el hash del archivo. target_id puede ser el hash o el valor de la URL, el nombre de dominio o la IP. dirección con la que está relacionado este archivo. Puedes buscar la URL, el nombre de dominio, la dirección IP o el archivo en virustotal.com.
entity.metadata.product_name Almacena el valor “Relaciones de VirusTotal”
entity.metadata.vendor_name Almacena el valor "VirusTotal"
entity.file.sha256 Almacena el valor de hash SHA-256 del archivo
entity.file.relations Una lista de entidades secundarias a las que la entidad archivo está relacionada con
entity.relations.relationship En este campo, se explica el tipo de relación entre las entidades superiores y secundarias. El valor puede ser EXECUTES, DOWNLOADED_FROM o CONTACTS
entity.relations.direction Almacena el valor "UNIdireccional" e indica la dirección de la relación con la entidad secundaria
entity.relations.entity.url La URL con la que se comunica el archivo de la entidad superior (si la relación entre la entidad superior y la URL es CONTACTS) o la URL desde la que se descargó el archivo de la entidad superior (si la relación entre la entidad superior y la URL es DOWNLOADED_FROM).
entity.relations.entity.ip Una lista de las direcciones IP a las que el archivo en los contactos de la entidad principal o se descargó de Solo contiene una dirección IP.
entity.relations.entity.domain.name Es el nombre de dominio con el que se comunica el archivo de la entidad superior o desde el que se descargó.
entity.relations.entity.file.sha256 Almacena el valor de hash SHA-256 del archivo en la relación.
entity.relations.entity_type Este campo contiene el tipo de entidad en la relación. El valor puede ser URL, DOMAIN_NAME, IP_ADDRESS o FILE. Estos campos se propagan de acuerdo con entity_type. Por ejemplo, si entity_type es URL, entonces se propaga entity.relations.entity.url.

¿Qué sigue?

Si quieres obtener información para usar datos enriquecidos con otras funciones de Google Security Operations, consulta lo siguiente: