Comment Google Security Operations enrichit les données d'événements et d'entités

Ce document décrit comment Google Security Operations enrichit les données et les champs UDM (Unified Data Model) où les données sont stockées.

Pour permettre une investigation de sécurité, Google Security Operations ingère des données contextuelles provenant de différentes sources, analyse les données et fournit du contexte supplémentaire sur les artefacts d'un environnement client. Les analystes peuvent utiliser des données enrichies en contexte dans les règles de détection Engine, les recherches d'investigation ou les rapports.

Google Security Operations effectue les types d'enrichissement suivants:

  • Enrichit les entités à l'aide du graphique d'entités et de la fusion.
  • Calcule et enrichit chaque entité avec une statistique de prévalence indiquant sa popularité dans l'environnement.
  • Calcule la première fois que certains types d'entités ont été vus dans l'environnement ou la date la plus récente.
  • Enrichit les entités à l'aide d'informations provenant des listes de menaces de la navigation sécurisée.
  • Enrichit les événements avec des données de géolocalisation.
  • Enrichit les entités avec des données WHOIS.
  • Enrichit les événements avec les métadonnées de fichiers VirusTotal.
  • Enrichit les entités avec des données de relation VirusTotal.
  • Ingérer et stocker des données Google Cloud Threat Intelligence

Les données enrichies provenant de WHOIS, de la navigation sécurisée, de GCTI Threat Intelligence, des métadonnées VirusTotal et de la relation VirusTotal sont identifiées par event_type, product_name et vendor_name. Lorsque vous créez une règle qui utilise ces données enrichies, nous vous recommandons d'y inclure un filtre qui identifie le type d'enrichissement spécifique à inclure. Ce filtre permet d'améliorer les performances de la règle. Par exemple, incluez les champs de filtre suivants dans la section events de la règle qui associe les données WHOIS.

$enrichment.graph.metadata.entity_type = "DOMAIN_NAME"
$enrichment.graph.metadata.product_name = "WHOISXMLAPI Simple Whois"
$enrichment.graph.metadata.vendor_name = "WHOIS"

Enrichissez les entités à l'aide du graphique d'entités et en les fusionnant

Le graphique des entités identifie les relations entre les entités et les ressources de votre environnement. Lorsque des entités provenant de différentes sources sont ingérées dans Google Security Operations, le graphique d'entité conserve une liste de contiguïté en fonction de la relation entre les entités. Le graphique d'entité enrichit le contexte en effectuant une déduplication et une fusion.

Au cours de la déduplication, les données redondantes sont éliminées et des intervalles sont formés pour créer une entité commune. Par exemple, considérons deux entités e1 et e2 avec les horodatages t1 et t2, respectivement. Les entités e1 et e2 sont dédupliquées, et les horodatages différents ne sont pas utilisés lors de la déduplication. Les champs suivants ne sont pas utilisés lors de la déduplication:

  • collected_timestamp
  • creation_timestamp
  • interval

Lors de la fusion, des relations entre les entités sont formées sur un intervalle de temps d'une journée. Prenons l'exemple d'un enregistrement d'entité de user A ayant accès à un bucket Cloud Storage. Il existe un autre enregistrement d'entité pour user A qui possède un appareil. Après la fusion, ces deux entités forment une seule entité user A qui possède deux relations. L'une des relations est que user A a accès au bucket Cloud Storage, et l'autre est que user A est propriétaire de l'appareil. Google Security Operations effectue une analyse de cinq jours lorsqu'il crée les données de contexte des entités. Cela gère les données arrivant tardivement et crée une durée de vie implicite sur les données de contexte d'entité.

Google Security Operations utilise la création d'alias pour enrichir les données de télémétrie, et des graphiques d'entités pour enrichir les entités. Les règles du moteur de détection associent les entités fusionnées aux données de télémétrie enrichies pour fournir des analyses contextuelles.

Un événement contenant un nom d'entité est considéré comme une entité. Voici quelques types d'événements et les types d'entités correspondants:

  • ASSET_CONTEXT correspond à ASSET.
  • RESOURCE_CONTEXT correspond à RESOURCE.
  • USER_CONTEXT correspond à USER.
  • GROUP_CONTEXT correspond à GROUP.

Le graphique d'entité fait la distinction entre les données contextuelles et les indicateurs de compromission (IOC) à l'aide des informations sur la menace.

Lorsque vous utilisez des données enrichies en contexte, tenez compte du comportement suivant dans le graphique des entités:

  • N'ajoutez pas d'intervalles dans l'entité. Laissez plutôt le graphique d'entité créer des intervalles. En effet, les intervalles sont générés lors de la déduplication, sauf indication contraire.
  • Si les intervalles sont spécifiés, seuls les mêmes événements sont dédupliqués et l'entité la plus récente est conservée.
  • Pour garantir que les règles actives et les recherches rétroactives fonctionnent comme prévu, les entités doivent être ingérées au moins une fois par jour.
  • Si les entités ne sont pas ingérées quotidiennement et qu'elles ne sont ingérées qu'une fois tous les deux jours ou plus, les règles en direct peuvent fonctionner comme prévu. Toutefois, les recherches rétrospectives peuvent perdre le contexte de l'événement.
  • Si les entités sont ingérées plusieurs fois par jour, elles sont dédupliquées en une seule entité.
  • Si les données d'événement sont manquantes pour une journée spécifique, les données du jour précédent sont utilisées temporairement pour garantir que les règles actives fonctionnent correctement.

Le graphique des entités fusionne également des événements ayant des identifiants similaires pour obtenir une vue consolidée des données. Cette fusion est basée sur la liste d'identifiants suivante:

  • Asset
    • entity.asset.product_object_id
    • entity.asset.hostname
    • entity.asset.asset_id
    • entity.asset.mac
  • User
    • entity.user.product_object_id
    • entity.user.userid
    • entity.user.windows_sid
    • entity.user.email_addresses
    • entity.user.employee_id
  • Resource
    • entity.resource.product_object_id
    • entity.resource.name
  • Group
    • entity.group.product_object_id
    • entity.group.email_addresses
    • entity.group.windows_sid

Calculer les statistiques de prévalence

Google Security Operations effectue des analyses statistiques sur les données existantes et entrantes, et enrichit les enregistrements de contexte des entités avec des métriques liées à la prévalence.

La prévalence est une valeur numérique qui indique la popularité d'une entité. La popularité est définie par le nombre d'éléments accédant à un artefact, comme un domaine, un hachage de fichier ou une adresse IP. Plus le nombre est élevé, plus l'entité est populaire. Par exemple, google.com présente des valeurs de prévalence élevées, car il est consulté fréquemment. Si un domaine est consulté peu fréquemment, sa prévalence sera inférieure. Les entités les plus populaires sont généralement moins susceptibles d’être malveillantes.

Ces valeurs enrichies sont compatibles avec le domaine, l'adresse IP et le fichier (hachage). Les valeurs sont calculées et stockées dans les champs suivants.

Les statistiques de prévalence pour chaque entité sont mises à jour quotidiennement. Les valeurs sont stockées dans un contexte d'entité distinct qui peut être utilisé par Detection Engine, mais n'apparaît pas dans les vues d'investigation de Google Security Operations ni dans la recherche UDM.

Les champs suivants peuvent être utilisés lorsque vous créez des règles de détection de moteurs.

Type d'entité Champs UDM
Domaine entity.domain.prevalence.day_count
entity.domain.prevalence.day_max
entity.domain.prevalence.day_max_sub_domains
entity.domain.prevalence.rolling_max
entity.domain.prevalence.rolling_max_sub_domains
Fichier (hachage) entity.file.prevalence.day_count
entity.file.prevalence.day_max
entity.file.prevalence.rolling_max
Adresse IP entity.artifact.prevalence.day_count
entity.artifact.prevalence.day_max
entity.artifact.prevalence.rolling_max

Les valeurs "day_max" et "rolling_max" sont calculées différemment. Les champs sont calculés comme suit:

  • day_max correspond au score de prévalence maximal de l'artefact pendant la journée, où une journée est définie comme suit : 00:00:00 – 23:59:59 UTC.
  • rolling_max correspond au score de prévalence maximal par jour (c'est-à-dire day_max) de l'artefact au cours de la période précédente de 10 jours.
  • day_count est utilisé pour calculer rolling_max et correspond toujours à la valeur 10.

Lorsqu'elle est calculée pour un domaine, la différence entre day_max et day_max_sub_domains (et rolling_max et rolling_max_sub_domains) est la suivante:

  • rolling_max et day_max représentent le nombre d'adresses IP internes uniques quotidiennes accédant à un domaine donné (à l'exclusion des sous-domaines).
  • rolling_max_sub_domains et day_max_sub_domains représentent le nombre d'adresses IP internes uniques accédant à un domaine donné (sous-domaines compris).

Les statistiques de prévalence sont calculées sur les données d'entité nouvellement ingérées. Les calculs ne sont pas effectués rétroactivement sur des données précédemment ingérées. Le calcul et le stockage des statistiques prennent environ 36 heures.

Calculer l'heure de la première et de la dernière occurrences d'entités

Google Security Operations effectue une analyse statistique des données entrantes et enrichit les enregistrements de contexte d'une entité avec les heures de première et de dernière occurrences d'une entité. Le champ first_seen_time stocke la date et l'heure auxquelles l'entité a été vue pour la première fois dans l'environnement client. Le champ last_seen_time stocke la date et l'heure de la dernière observation.

Étant donné que plusieurs indicateurs (champs UDM) peuvent identifier un élément ou un utilisateur, c'est la première fois que l'un des indicateurs qui identifient l'utilisateur ou l'élément est vu dans l'environnement client.

Tous les champs UMD décrivant un élément sont les suivants:

  • entity.asset.hostname
  • entity.asset.ip
  • entity.asset.mac
  • entity.asset.asset_id
  • entity.asset.product_object_id

Tous les champs UMD décrivant un utilisateur sont les suivants:

  • entity.user.windows_sid
  • entity.user.product_object_id
  • entity.user.userid
  • entity.user.employee_id
  • entity.user.email_addresses

L'heure de la première et l'heure de la dernière connexion permettent à un analyste de corréler certaines activités qui se sont produites après la première occurrence d'un domaine, d'un fichier (hachage), d'un élément, d'un utilisateur ou d'une adresse IP, ou qui ont cessé de se produire après la dernière occurrence du domaine, du fichier (hachage) ou de l'adresse IP.

Les champs first_seen_time et last_seen_time sont renseignés avec des entités qui décrivent un domaine, une adresse IP et un fichier (hachage). Pour les entités qui décrivent un utilisateur ou un élément, seul le champ first_seen_time est renseigné. Ces valeurs ne sont pas calculées pour les entités qui décrivent d'autres types, tels qu'un groupe ou une ressource.

Les statistiques sont calculées pour chaque entité dans tous les espaces de noms. Google Security Operations ne calcule pas les statistiques de chaque entité dans des espaces de noms individuels. Ces statistiques ne sont actuellement pas exportées vers le schéma events de Google Security Operations dans BigQuery.

Les valeurs enrichies sont calculées et stockées dans les champs UDM suivants:

Type d'entité Champs UDM
Domaine entity.domain.first_seen_time
entity.domain.last_seen_time
Fichier (hachage) entity.file.first_seen_time
entity.file.last_seen_time
Adresse IP entity.artifact.first_seen_time
entity.artifact.last_seen_time
Élément entity.asset.first_seen_time
Utilisateur entity.user.first_seen_time

Enrichir les événements avec des données de géolocalisation

Les données de journaux entrantes peuvent inclure des adresses IP externes sans informations d'emplacement correspondantes. Ce problème est courant lorsqu'un événement enregistre des informations sur l'activité d'un appareil en dehors d'un réseau d'entreprise. Par exemple, un événement de connexion à un service cloud contient une adresse IP source ou client basée sur l'adresse IP externe d'un appareil renvoyé par la NAT de l'opérateur.

Google Security Operations fournit des données de géolocalisation enrichies aux adresses IP externes, ce qui permet des détections de règles plus performantes et un contexte plus important pour les enquêtes. Par exemple, Google Security Operations peut utiliser une adresse IP externe pour enrichir l'événement avec des informations sur le pays (comme les États-Unis), un État spécifique (comme l'Alaska) et le réseau dans lequel se trouve l'adresse IP (comme le numéro ASN et le nom de l'opérateur).

Google Security Operations utilise les données de localisation fournies par Google pour fournir la position géographique et les informations réseau approximatives d'une adresse IP. Vous pouvez écrire des règles de détection Engine pour ces champs dans les événements. Les données d'événement enrichies sont également exportées vers BigQuery, où elles peuvent être utilisées dans les rapports et les tableaux de bord Google Security Operations.

Les adresses IP suivantes ne sont pas enrichies:

  • des espaces d'adressage IP privés RFC 1918, car ils sont internes au réseau de l'entreprise.
  • Espace d'adressage IP de multidiffusion RFC 5771, car les adresses de multidiffusion n'appartiennent pas à un seul emplacement.
  • Adresses locales uniques IPv6.
  • Adresses IP des services Google Cloud. à l'exception des adresses IP externes de Google Cloud Compute Engine, qui sont enrichies.

Google Security Operations enrichit les champs UDM suivants avec des données de géolocalisation:

  • principal
  • target
  • src
  • observer
Type de données Champ UDM
Zone géographique (États-Unis, par exemple) ( principal | target | src | observer ).ip_geo_artifact.location.country_or_region
État (par exemple, New York) ( principal | target | src | observer ).ip_geo_artifact.location.state
Longitude ( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.longitude
Latitude ( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.latitude
ASN (numéro de système autonome) ( principal | target | src | observer ).ip_geo_artifact.network.asn
Nom du transporteur ( principal | target | src | observer ).ip_geo_artifact.network.carrier_name
Domaine DNS ( principal | target | src | observer ).ip_geo_artifact.network.dns_domain
Nom de l'organisation ( principal | target | src | observer ).ip_geo_artifact.network.organization_name

L'exemple suivant montre le type d'informations géographiques qui seraient ajoutées à un événement UDM avec une adresse IP taguée aux Pays-Bas:

Champ UDM Valeur
principal.ip_geo_artifact.location.country_or_region Netherlands
principal.ip_geo_artifact.location.region_coordinates.latitude 52.132633
principal.ip_geo_artifact.location.region_coordinates.longitude 5.291266
principal.ip_geo_artifact.network.asn 8455
principal.ip_geo_artifact.network.carrier_name schuberg philis

Incohérences

La technologie propriétaire de géolocalisation par IP de Google utilise une combinaison de données réseau, ainsi que d'autres entrées et méthodes, pour fournir l'emplacement de l'adresse IP et la résolution du réseau à nos utilisateurs. D'autres organisations peuvent utiliser des signaux ou des méthodes différents, ce qui peut parfois conduire à des résultats différents.

Si vous constatez des incohérences dans les résultats de géolocalisation fournis par Google, veuillez envoyer une demande au service client afin que nous puissions examiner le problème et, le cas échéant, corriger nos informations à l'avenir.

Enrichissez les entités avec des informations issues des listes de menaces de la navigation sécurisée

Google Security Operations ingère les données issues de la navigation sécurisée liées aux hachages de fichiers. Les données de chaque fichier sont stockées en tant qu'entité et fournissent des informations supplémentaires sur le fichier. Les analystes peuvent créer des règles de détection Engine qui interrogent les données de contexte de ces entités afin de créer des analyses contextuelles.

Les informations suivantes sont stockées avec l'enregistrement de contexte d'entité.

Champ UDM Description
entity.metadata.product_entity_id Identifiant unique de l'entité.
entity.metadata.entity_type Cette valeur est FILE, ce qui indique que l'entité décrit un fichier.
entity.metadata.collected_timestamp Date et heure auxquelles l'entité a été observée ou l'événement s'est produit.
entity.metadata.interval Enregistre l'heure de début et l'heure de fin auxquelles ces données sont valides. Étant donné que le contenu de la liste des menaces change au fil du temps, start_time et end_time reflètent l'intervalle de temps pendant lequel les données sur l'entité sont valides. Par exemple, un hachage de fichier a été détecté comme malveillant ou suspect entre start_time and end_time.
entity.metadata.threat.category Il s'agit de l'SecurityCategory Google Security Operations. Ce paramètre est défini sur une ou plusieurs des valeurs suivantes:
  • SOFTWARE_MALICIOUS: indique que la menace est liée à un logiciel malveillant.
  • SOFTWARE_PUA: indique que la menace est liée à un logiciel indésirable.
entity.metadata.threat.severity Il s'agit de l'ProductSeverity Google Security Operations. Si la valeur est CRITICAL, cela signifie que l'artefact semble être malveillant. Si la valeur n'est pas spécifiée, le niveau de confiance ne permet pas d'indiquer que l'artefact est malveillant.
entity.metadata.product_name Stocke la valeur Google Safe Browsing.
entity.file.sha256 Valeur de hachage SHA256 du fichier.

Enrichir les entités avec des données WHOIS

Google Security Operations ingère des données WHOIS tous les jours. Lors de l'ingestion des données entrantes des appareils client, Google Security Operations évalue les domaines des données client par rapport aux données WHOIS. En cas de correspondance, Google Security Operations stocke les données WHOIS associées avec l'enregistrement d'entité du domaine. Pour chaque entité, où entity.metadata.entity_type = DOMAIN_NAME, Google Security Operations enrichit l'entité avec des informations WHOIS.

Google Security Operations renseigne les données WHOIS enrichies dans les champs suivants de l'enregistrement d'entité:

  • entity.domain.admin.attribute.labels
  • entity.domain.audit_update_time
  • entity.domain.billing.attribute.labels
  • entity.domain.billing.office_address.country_or_region
  • entity.domain.contact_email
  • entity.domain.creation_time
  • entity.domain.expiration_time
  • entity.domain.iana_registrar_id
  • entity.domain.name_server
  • entity.domain.private_registration
  • entity.domain.registrant.company_name
  • entity.domain.registrant.office_address.state
  • entity.domain.registrant.office_address.country_or_region
  • entity.domain.registrant.email_addresses
  • entity.domain.registrant.user_display_name
  • entity.domain.registrar
  • entity.domain.registry_data_raw_text
  • entity.domain.status
  • entity.domain.tech.attribute.labels
  • entity.domain.update_time
  • entity.domain.whois_record_raw_text
  • entity.domain.whois_server
  • entity.domain.zone

Pour obtenir une description de ces champs, consultez le document Liste des champs du modèle de données unifié.

Ingérer et stocker des données Google Cloud Threat Intelligence

Google Security Operations ingère des données à partir de sources de données Google Cloud Threat Intelligence (GCTI) qui vous fournissent des informations contextuelles que vous pouvez utiliser lorsque vous examinez l'activité dans votre environnement. Vous pouvez interroger les sources de données suivantes:

  • Nœuds de sortie GCTI Tor: adresses IP qui sont des nœuds de sortie Tor connus.
  • GCTI Benign Binaries: fichiers faisant partie de la distribution d'origine du système d'exploitation ou mis à jour par un correctif officiel du système d'exploitation Certains binaires officiels du système d'exploitation qui ont été utilisés de manière abusive par un adversaire lors d'une activité courante dans les attaques vivant à l'extérieur de la terre sont exclus de cette source de données, tels que ceux axés sur les vecteurs d'entrée initiaux.

  • GCTI Remote Access Tools: fichiers fréquemment utilisés par des acteurs malveillants Il s'agit généralement d'applications légitimes qui sont parfois utilisées de manière abusive pour se connecter à distance à des systèmes compromis.

    Ces données contextuelles sont stockées globalement en tant qu'entités. Vous pouvez interroger les données à l'aide des règles de moteur de détection. Incluez les champs et valeurs UDM suivants dans la règle pour interroger ces entités globales:

  • graph.metadata.vendor_name = Google Cloud Threat Intelligence

  • graph.metadata.product_name = GCTI Feed

Dans ce document, l'espace réservé <variable_name> représente le nom de variable unique utilisé dans une règle pour identifier un enregistrement UDM.

Sources de données temporelles et intemporelles de Google Cloud Threat Intelligence

Les sources de données de Google Cloud Threat Intelligence sont soit chromatiques, soit intemporelles.

Les sources de données temporelles sont associées à une période à chaque entrée. Cela signifie que si une détection est générée le premier jour, elle devrait être générée pour le jour 1 lors d'une recherche rétro.

Les sources de données intemporelles ne sont associées à aucune période. En effet, seul le dernier ensemble de données doit être pris en compte. Les sources de données intemporelles sont fréquemment utilisées pour des données telles que des hachages de fichiers qui ne sont pas censés changer. Si aucune détection n'est générée le premier jour, une détection peut être générée le deuxième jour lors d'une recherche rétroactive, car une nouvelle entrée a été ajoutée.

Données concernant les adresses IP des nœuds de sortie Tor

Google Security Operations ingère et stocke les adresses IP qui sont des nœuds de sortie Tor connus. Les nœuds de sortie Tor sont les points auxquels le trafic quitte le réseau Tor. Les informations ingérées à partir de cette source de données sont stockées dans les champs UDM suivants. Les données de cette source sont chronométrées.

Champ UDM Description
<variable_name>.graph.metadata.vendor_name Stocke la valeur Google Cloud Threat Intelligence.
<variable_name>.graph.metadata.product_name Stocke la valeur GCTI Feed.
<variable_name>.graph.metadata.threat.threat_feed_name Stocke la valeur Tor Exit Nodes.
<variable_name>.graph.entity.artifact.ip Stocke l'adresse IP ingérée à partir de la source de données GCTI.

Données sur les fichiers inoffensifs du système d'exploitation

Google Security Operations ingère et stocke des hachages de fichiers à partir de la source de données GCTI Benign Binaries. Les informations ingérées à partir de cette source de données sont stockées dans les champs UDM suivants. Les données de cette source sont intemporelles.

Champ UDM Description
<variable_name>.graph.metadata.vendor_name Stocke la valeur Google Cloud Threat Intelligence.
<variable_name>.graph.metadata.product_name Stocke la valeur GCTI Feed.
<variable_name>.graph.metadata.threat.threat_feed_name Stocke la valeur Benign Binaries.
<variable_name>.graph.entity.file.sha256 Stocke la valeur de hachage SHA256 du fichier.
<variable_name>.graph.entity.file.sha1 Stocke la valeur de hachage SHA1 du fichier.
<variable_name>.graph.entity.file.md5 Stocke la valeur de hachage MD5 du fichier.

Données sur les outils d'accès à distance

Les outils d'accès à distance incluent des hachages de fichiers pour des outils d'accès à distance connus tels que les clients VNC fréquemment utilisés par des acteurs malveillants. Ces outils sont généralement des applications légitimes qui sont parfois utilisées de manière abusive pour se connecter à distance à des systèmes compromis. Les informations ingérées à partir de cette source de données sont stockées dans les champs UDM suivants. Les données de cette source sont intemporelles.

Champ UDM Description
.graph.metadata.vendor_name Stocke la valeur Google Cloud Threat Intelligence.
.graph.metadata.product_name Stocke la valeur GCTI Feed.
.graph.metadata.threat.threat_feed_name Stocke la valeur Remote Access Tools.
.graph.entity.file.sha256 Stocke la valeur de hachage SHA256 du fichier.
.graph.entity.file.sha1 Stocke la valeur de hachage SHA1 du fichier.
.graph.entity.file.md5 Stocke la valeur de hachage MD5 du fichier.

Enrichir les événements avec les métadonnées de fichiers VirusTotal

Google Security Operations enrichit les hachages de fichiers en événements UDM et fournit du contexte supplémentaire lors d'une enquête. Les événements UDM sont enrichis grâce à la création d'alias de hachage dans un environnement client. La création d'alias de hachage combine tous les types de hachages de fichiers et fournit des informations sur un hachage de fichier lors d'une recherche.

L'intégration des métadonnées de fichiers VirusTotal et l'enrichissement des relations avec Google SecOps permettent d'identifier des schémas d'activité malveillante et de suivre les mouvements de logiciels malveillants sur un réseau.

Un journal brut fournit des informations limitées sur le fichier. VirusTotal enrichit l'événement avec des métadonnées de fichier afin de fournir une copie des hachages incorrects, ainsi que des métadonnées sur le fichier défectueux. Les métadonnées incluent des informations telles que les noms de fichiers, les types, les fonctions importées et les tags. Vous pouvez utiliser ces informations dans le moteur de recherche et de détection UDM avec YARA-L pour comprendre les événements de fichiers incorrects et en général lors de la recherche de menaces. Un exemple de cas d'utilisation consiste à détecter toutes les modifications apportées au fichier d'origine qui, à leur tour, importent les métadonnées du fichier pour la détection des menaces.

Les informations suivantes sont stockées avec l'enregistrement. Pour obtenir la liste de tous les champs UDM, consultez la liste des champs du modèle de données unifié.

Type de données Champ UDM
SHA-256 ( principal | target | src | observer ).file.sha256
MD5 ( principal | target | src | observer ).file.md5
SHA-1 ( principal | target | src | observer ).file.sha1
Taille ( principal | target | src | observer ).file.size
Ssdeep ( principal | target | src | observer ).file.ssdeep
Vhash ( principal | target | src | observer ).file.vhash
authentihash ( principal | target | src | observer ).file.authentihash
Type de fichier ( principal | target | src | observer ).file.file_type
Tags ( principal | target | src | observer ).file.tags
Tags de fonctionnalités ( principal | target | src | observer ).file.capabilities_tags
Noms ( principal | target | src | observer ).file.names
Première connexion ( principal | target | src | observer ).file.first_seen_time
Dernière connexion ( principal | target | src | observer ).file.last_seen_time
Date/Heure de la dernière modification ( principal | target | src | observer ).file.last_modification_time
Heure de la dernière analyse ( principal | target | src | observer ).file.last_analysis_time
URL intégrées ( principal | target | src | observer ).file.embedded_urls
Adresses IP intégrées ( principal | target | src | observer ).file.embedded_ips
Domaines intégrés ( principal | target | src | observer ).file.embedded_domains
Informations sur la signature ( principal | target | src | observer ).file.signature_info
Informations sur la signature
  • Vérification des signes
 ( principal | target | src | observer).file.signature_info.sigcheck
Informations sur la signature
  • Vérification des signes
    • Message de vérification
 ( principal | target | src | observer ).file.signature_info.sigcheck.verification_message
Informations sur la signature
  • Vérification des signes
    • Validée
 ( principal | target | src | observer ).file.signature_info.sigcheck.verified
Informations sur la signature
  • Vérification des signes
    • Signataires
 ( principal | target | src | observer ).file.signature_info.sigcheck.signers
Informations sur la signature
  • Vérification des signes
    • Signataires
      • Nom
 ( principal | target | src | observer ).file.signature_info.sigcheck.signers.name
Informations sur la signature
  • Vérification des signes
    • Signataires
      • État
 ( principal | target | src | observer ).file.signature_info.sigcheck.signers.status
Informations sur la signature
  • Vérification des signes
    • Signataires
      • Utilisation valide du certificat
 ( principal | target | src | observer ).file.signature_info.sigcheck.signers.valid_usage
Informations sur la signature
  • Vérification des signes
    • Signataires
      • Émetteur du certificat
 ( principal | target | src | observer ).file.signature_info.sigcheck.signers.cert_issuer
Informations sur la signature
  • Vérification des signes
    • X509
 ( principal | target | src | observer ).file.signature_info.sigcheck.x509
Informations sur la signature
  • Vérification des signes
    • X509
      • Nom
 ( principal | target | src | observer ).file.signature_info.sigcheck.x509.name
Informations sur la signature
  • Vérification des signes
    • X509
      • Algorithme
 ( principal | target | src | observer ).file.signature_info.sigcheck.x509.algorithm
Informations sur la signature
  • Vérification des signes
    • X509
      • Empreinte
 ( principal | target | src | observer ).file.signature_info.sigcheck.x509.thumprint
Informations sur la signature
  • Vérification des signes
    • X509
      • Émetteur du certificat
 ( principal | target | src | observer ).file.signature_info.sigcheck.x509.cert_issuer
Informations sur la signature
  • Vérification des signes
    • X509
      • Numéro de série
 ( principal | target | src | observer ).file.signature_info.sigcheck.x509.serial_number
Informations sur la signature
  • Code
 ( principal | target | src | observer ).file.signature_info.codesign
Informations sur la signature
  • Code
    • ID
 ( principal | target | src | observer ).file.signature_info.codesign.id
Informations sur la signature
  • Code
    • Format
 ( principal | target | src | observer ).file.signature_info.codesign.format
Informations sur la signature
  • Code
    • Date et heure de la compilation
 ( principal | target | src | observer ).file.signature_info.codesign.compilation_time
Informations Exiftool ( principal | target | src | observer ).file.exif_info
Informations Exiftool
  • Nom du fichier d'origine
 ( principal | target | src | observer ).file.exif_info.original_file
Informations Exiftool
  • Nom du produit
 ( principal | target | src | observer ).file.exif_info.product
Informations Exiftool
  • Nom de l'entreprise
 ( principal | target | src | observer ).file.exif_info.company
Informations Exiftool
  • Description du fichier
 ( principal | target | src | observer ).file.exif_info.file_description
Informations Exiftool
  • le point d'entrée,
 ( principal | target | src | observer ).file.exif_info.entry_point
Informations Exiftool
  • Date et heure de la compilation
 ( principal | target | src | observer ).file.exif_info.compilation_time
Informations PDF ( principal | target | src | observer ).file.pdf_info
Informations PDF
  • Nombre de balises /JS
 ( principal | target | src | observer ).file.pdf_info.js
Informations PDF
  • Nombre de tags /JavaScript
 ( principal | target | src | observer ).file.pdf_info.javascript
Informations PDF
  • Nombre de balises /lancement
 ( principal | target | src | observer ).file.pdf_info.launch_action_count
Informations PDF
  • Nombre de flux d'objets
 ( principal | target | src | observer ).file.pdf_info.object_stream_count
Informations PDF
  • Nombre de définitions d'objets (mot clé endobj)
 ( principal | target | src | observer ).file.pdf_info.endobj_count
Informations PDF
  • Version PDF
 ( principal | target | src | observer ).file.pdf_info.header
Informations PDF
  • Nombre de balises /AcroForm
 ( principal | target | src | observer ).file.pdf_info.acroform
Informations PDF
  • Nombre de balises /AA
 ( principal | target | src | observer ).file.pdf_info.autoaction
Informations PDF
  • Nombre de tags /EmbeddedFile
 ( principal | target | src | observer ).file.pdf_info.embedded_file
Informations PDF
  • /Chiffrer le tag
 ( principal | target | src | observer ).file.pdf_info.encrypted
Informations PDF
  • Nombre de tags /RichMedia
 ( principal | target | src | observer ).file.pdf_info.flash
Informations PDF
  • Nombre de tags /JBIG2Decode
 ( principal | target | src | observer ).file.pdf_info.jbig2_compression
Informations PDF
  • Nombre de définitions d'objets (mot clé obj)
 ( principal | target | src | observer ).file.pdf_info.obj_count
Informations PDF
  • Nombre d'objets de flux définis (mot clé de flux)
 ( principal | target | src | observer ).file.pdf_info.endstream_count
Informations PDF
  • Nombre de pages dans le PDF
 ( principal | target | src | observer ).file.pdf_info.page_count
Informations PDF
  • Nombre d'objets de flux définis (mot clé de flux)
 ( principal | target | src | observer ).file.pdf_info.stream_count
Informations PDF
  • Nombre de balises /OpenAction
 ( principal | target | src | observer ).file.pdf_info.openaction
Informations PDF
  • Nombre de mots clés startxref
 ( principal | target | src | observer ).file.pdf_info.startxref
Informations PDF
  • Nombre de couleurs exprimées avec plus de 3 octets (CVE-2009-3459)
 ( principal | target | src | observer ).file.pdf_info.suspicious_colors
Informations PDF
  • Nombre de mots clés associés aux bandes-annonces
 ( principal | target | src | observer ).file.pdf_info.trailer
Informations PDF
  • Nombre de tags /XFA trouvés
 ( principal | target | src | observer ).file.pdf_info.xfa
Informations PDF
  • Nombre de mots clés xref
 ( principal | target | src | observer ).file.pdf_info.xref
Métadonnées du fichier PE ( principal | target | src | observer ).file.pe_file
Métadonnées du fichier PE
  • Imphash
 ( principal | target | src | observer ).file.pe_file.imphash
Métadonnées du fichier PE
  • le point d'entrée,
 ( principal | target | src | observer ).file.pe_file.entry_point
Métadonnées du fichier PE
  • Outil Exiftool du point d'entrée
 ( principal | target | src | observer ).file.pe_file.entry_point_exiftool
Métadonnées du fichier PE
  • Date et heure de la compilation
 ( principal | target | src | observer ).file.pe_file.compilation_time
Métadonnées du fichier PE
  • Durée de compilation exiftool
 ( principal | target | src | observer ).file.pe_file.compilation_exiftool_time
Métadonnées du fichier PE
  • Sections
 ( principal | target | src | observer ).file.pe_file.section
Métadonnées du fichier PE
  • Sections
    • Nom
 ( principal | target | src | observer ).file.pe_file.section.name
Métadonnées du fichier PE
  • Sections
    • Entropie
 ( principal | target | src | observer ).file.pe_file.section.entropy
Métadonnées du fichier PE
  • Sections
    • Taille brute en octets
 ( principal | target | src | observer ).file.pe_file.section.raw_size_bytes
Métadonnées du fichier PE
  • Sections
    • Taille virtuelle en octets
 ( principal | target | src | observer ).file.pe_file.section.virtual_size_bytes
Métadonnées du fichier PE
  • Sections
    • Code hexadécimal MD5
 ( principal | target | src | observer ).file.pe_file.section.md5_hex
Métadonnées du fichier PE
  • Importations
 ( principal | target | src | observer ).file.pe_file.imports
Métadonnées du fichier PE
  • Importations
    • Bibliothèque
 ( principal | target | src | observer ).file.pe_file.imports.library
Métadonnées du fichier PE
  • Importations
    • Fonctions
 ( principal | target | src | observer ).file.pe_file.imports.functions
Métadonnées du fichier PE
  • Informations sur la ressource
 ( principal | target | src | observer ).file.pe_file.resource
Métadonnées du fichier PE
  • Informations sur la ressource
    • Code hexadécimal SHA-256
 ( principal | target | src | observer ).file.pe_file.resource.sha256_hex
Métadonnées du fichier PE
  • Informations sur la ressource
    • Type de ressource identifié par le module Python magique
 ( principal | target | src | observer ).file.pe_file.resource.filetype_magic
Métadonnées du fichier PE
  • Informations sur la ressource
    • Version lisible des identifiants de langue et de sous-langue, telle que définie dans la spécification Windows PE.
 ( principal | target | src | observer ).file.pe_file.resource_language_code
Métadonnées du fichier PE
  • Informations sur la ressource
    • Entropie
 ( principal | target | src | observer ).file.pe_file.resource.entropy
Métadonnées du fichier PE
  • Informations sur la ressource
    • Type de fichier
 ( principal | target | src | observer ).file.pe_file.resource.file_type
Métadonnées du fichier PE
  • Nombre de ressources par type de ressource
 ( principal | target | src | observer ).file.pe_file.resources_type_count_str
Métadonnées du fichier PE
  • Nombre de ressources par langue
 ( principal | target | src | observer ).file.pe_file.resources_language_count_str

Enrichir les entités avec des données relationnelles VirusTotal

VirusTotal permet d'analyser les fichiers, domaines, adresses IP et URL suspects afin de détecter les logiciels malveillants et d'autres violations, et de partager les résultats avec la communauté de la sécurité. Google Security Operations ingère les données des connexions liées à VirusTotal. Ces données sont stockées en tant qu'entité et fournissent des informations sur la relation entre les hachages de fichiers et les fichiers, les domaines, les adresses IP et les URL.

Les analystes peuvent utiliser ces données pour déterminer si un hachage de fichier est incorrect à partir d'informations sur l'URL ou le domaine provenant d'autres sources. Ces informations peuvent servir à créer des règles de détection Engine qui interrogent les données de contexte de l'entité afin de créer des analyses contextuelles.

Ces données ne sont disponibles que pour certaines licences VirusTotal et Google Security Operations. Vérifiez vos droits d'accès auprès de votre responsable de compte.

Les informations suivantes sont stockées avec l'enregistrement de contexte d'entité:

Champ UDM Description
entity.metadata.product_entity_id Identifiant unique de l'entité.
entity.metadata.entity_type Stocke la valeur FILE, qui indique que l'entité décrit un fichier.
entity.metadata.interval start_time fait référence au début et end_time à la fin de l'heure pour laquelle ces données sont valides
entity.metadata.source_labels Ce champ stocke une liste de paires clé/valeur source_id et target_id pour cette entité. source_id est le hachage du fichier, et target_id peut être un hachage ou la valeur de l'URL, du nom de domaine ou de l'adresse IP auxquels ce fichier est associé. Vous pouvez rechercher l'URL, le nom de domaine, l'adresse IP ou le fichier sur virustotal.com.
entity.metadata.product_name Stocke la valeur "VirusTotal Relationships"
entity.metadata.vendor_name Stocke la valeur "VirusTotal"
entity.file.sha256 Stocke la valeur de hachage SHA-256 du fichier
entity.file.relations Liste des entités enfants auxquelles l'entité de fichier parent est associée
entity.relations.relationship Ce champ explique le type de relation entre les entités parentes et enfants. La valeur peut être EXECUTES, DOWNLOADED_FROM ou CONTACTS.
entity.relations.direction Stocke la valeur "UNIDIRECTAL" et indique le sens de la relation avec l'entité enfant
entity.relations.entity.url URL que le fichier de l'entité parente contacte (si la relation entre l'entité parente et l'URL est CONTACTS) ou l'URL à partir de laquelle le fichier de l'entité parente a été téléchargé (si la relation entre l'entité parente et l'URL est DOWNLOADED_FROM).
entity.relations.entity.ip Liste des adresses IP à partir desquelles le fichier se trouve dans les contacts de l'entité parente ou a été téléchargé à partir de laquelle il ne contient qu'une seule adresse IP.
entity.relations.entity.domain.name Nom du domaine à partir duquel le fichier se trouve dans les contacts de l'entité parente ou a été téléchargé
entity.relations.entity.file.sha256 Stocke la valeur de hachage SHA-256 du fichier dans la relation
entity.relations.entity_type Ce champ contient le type d'entité dans la relation. La valeur peut être URL, DOMAIN_NAME, IP_ADDRESS ou FILE. Ces champs sont renseignés conformément aux entity_type. Par exemple, si entity_type est défini sur URL, entity.relations.entity.url est renseigné.

Étapes suivantes

Pour en savoir plus sur l'utilisation des données enrichies avec d'autres fonctionnalités Google Security Operations, consultez les pages suivantes: