Como as Operações de segurança do Google aprimoram os dados de eventos e entidades

Este documento descreve como o Google Security Operations enriquece os dados e os campos do modelo de dados unificado (UDM, na sigla em inglês) em que os dados são armazenados.

Para permitir uma investigação de segurança, as Operações de segurança do Google processam dados contextuais de diferentes fontes, realiza análises dos dados e fornece contexto sobre artefatos em um ambiente do cliente. Os analistas podem usar dados enriquecidos contextualmente em regras do Detection Engine, pesquisas investigativas ou relatórios.

As Operações de segurança do Google realizam os seguintes tipos de aprimoramento:

• Enriquece entidades usando o gráfico de entidades e mesclando.
• Calcula e enriquece cada entidade com uma estatística de prevalência que indica a popularidade dela no ambiente.
• Calcula a primeira vez que determinados tipos de entidades foram vistos no ambiente ou a mais recente.
• Enriquece entidades com informações das listas de ameaças da Navegação segura.
• Enriquece eventos com dados de geolocalização.
• Aprimora entidades com dados WHOIS.
• Enriquece eventos com metadados de arquivos do VirusTotal.
• Aprimora entidades com dados de relação do VirusTotal.
• Ingerir e armazenar dados da Google Cloud Threat Intelligence.

Os dados enriquecidos do WHOIS, da Navegação segura, da inteligência contra ameaças do GCTI, dos metadados do VirusTotal e da relação do VirusTotal são identificados por event_type, product_name e vendor_name. Ao criar uma regra que usa esses dados enriquecidos, recomendamos que você inclua um filtro na regra que identifique o tipo de enriquecimento específico a ser incluído. Esse filtro ajuda a melhorar o desempenho da regra. Por exemplo, inclua os seguintes campos de filtro na seção events da regra que mescla os dados do WHOIS.

$enrichment.graph.metadata.entity_type = "DOMAIN_NAME"
$enrichment.graph.metadata.product_name = "WHOISXMLAPI Simple Whois"
$enrichment.graph.metadata.vendor_name = "WHOIS"

Enriquecer entidades usando o gráfico de entidades e mesclando

O gráfico de entidade identifica as relações entre entidades e recursos no seu ambiente. Quando entidades de diferentes origens são ingeridos nas Operações de segurança do Google, o gráfico de entidades mantém uma lista de contingência com base no relacionamento entre as entidades. O gráfico de entidade realiza o enriquecimento de contexto realizando a eliminação de duplicação e a mesclagem.

Durante a eliminação de duplicação, os dados redundantes são eliminados e os intervalos são formados para criar uma entidade comum. Por exemplo, considere duas entidades e1 e e2 com carimbos de data/hora t1 e t2, respectivamente. As entidades e1 e e2 são eliminadas e os carimbos de data/hora diferentes não são usados durante a eliminação. Os campos a seguir não são usados durante a eliminação de duplicação:

• collected_timestamp
• creation_timestamp
• interval

Durante a mesclagem, as relações entre entidades são formadas para um intervalo de tempo de um dia. Por exemplo, considere um registro de entidade de user A que tenha acesso a um bucket do Cloud Storage. Há outro registro de entidade de user A que tem um dispositivo. Após a mesclagem, essas duas entidades resultam em uma única entidade user A com duas relações. Uma relação é que user A tem acesso ao bucket do Cloud Storage e a outra relação é que user A é o proprietário do dispositivo. As Operações de segurança do Google realizam um lookback de cinco dias quando ele cria dados de contexto de entidade. Ela lida com a chegada tardia de dados e cria uma time to live (TTL) dos dados de contexto da entidade.

As operações de segurança do Google usam alias para aprimorar os dados de telemetria e gráficos de entidade para aprimorar as entidades. As regras do mecanismo de detecção unem as entidades mescladas dados de telemetria enriquecidos para fornecer análises baseadas no contexto.

Um evento que contém um substantivo de entidade é considerado uma entidade. Confira alguns de evento e os tipos de entidade correspondentes:

• ASSET_CONTEXT corresponde a ASSET.
• RESOURCE_CONTEXT corresponde a RESOURCE.
• USER_CONTEXT corresponde a USER.
• GROUP_CONTEXT corresponde a GROUP.

O gráfico de entidades distingue entre dados contextuais e indicadores de comprometimento (IOC) usando as informações da ameaça.

Ao usar dados enriquecidos contextualmente, considere o seguinte comportamento do gráfico de entidades:

• Não adicione intervalos na entidade. Em vez disso, deixe que o gráfico de entidade crie intervalos. Isso ocorre porque os intervalos são gerados durante a eliminação de duplicação, a menos que seja especificado o contrário.
• Se os intervalos forem especificados, somente os mesmos eventos serão eliminados, e a a entidade mais recente é mantida.
• Para garantir que as regras ativas e as retrohunts funcionem como esperado, as entidades precisam ser ingeridas pelo menos uma vez por dia.
• Se as entidades não forem processadas diariamente e ingeridas apenas uma vez em dois ou mais dias, as regras ativas possam funcionar conforme o esperado, mas os retrohunts podem perder o contexto do evento.
• Se as entidades forem ingeridas mais de uma vez por dia, a duplicação da entidade será eliminada a uma única entidade.
• Se os dados de um dia estiverem ausentes, os dados do dia anterior serão usados temporariamente para garantir que as regras ativas funcionem corretamente.

O gráfico de entidade também mescla eventos com identificadores semelhantes para ter uma visão consolidada dos dados. Essa mesclagem acontece com base na seguinte lista de identificadores:

• Asset
  • entity.asset.product_object_id
  • entity.asset.hostname
  • entity.asset.asset_id
  • entity.asset.mac
• User
  • entity.user.product_object_id
  • entity.user.userid
  • entity.user.windows_sid
  • entity.user.email_addresses
  • entity.user.employee_id
• Resource
  • entity.resource.product_object_id
  • entity.resource.name
• Group
  • entity.group.product_object_id
  • entity.group.email_addresses
  • entity.group.windows_sid

Calcular estatísticas de prevalência

As Operações de segurança do Google realizam análises estatísticas sobre os dados recebidos e existentes e enriquece os registros de contexto de entidades com métricas relacionadas à prevalência.

A prevalência é um valor numérico que indica a popularidade de uma entidade. A popularidade é definida pelo número de recursos que acessam um artefato, como um domínio, hash de arquivo ou endereço IP. Quanto maior o número, mais popular a entidade. Por exemplo, google.com tem altos valores de prevalência porque é acessados com frequência. Se um domínio for acessado com pouca frequência, ele terá valores de prevalência mais baixos. Entidades mais conhecidas costumam ser menos propensas a serem maliciosas.

Esses valores enriquecidos são aceitos para domínio, IP e arquivo (hash). Os valores são calculados e armazenados nos campos a seguir.

As estatísticas de prevalência de cada entidade são atualizadas todos os dias. Os valores são armazenados em um contexto de entidade separado que pode ser usado pelo mecanismo de detecção, mas não é mostrado nas visualizações de investigação das operações de segurança do Google e na pesquisa da UDM.

Os campos a seguir podem ser usados ao criar regras do mecanismo de detecção.

Os valores day_max e rolling_max são calculados de maneira diferente. Os campos são calculada da seguinte forma:

• A day_max é calculada como a pontuação de prevalência máxima do artefato durante o dia, em que um dia é definido como 0h - 23h59min59s UTC.
• O rolling_max é calculado como a pontuação máxima de prevalência por dia (ou seja, day_max) do artefato nos últimos 10 dias.
• day_count é usado para calcular rolling_max e sempre tem o valor 10.

Quando calculada para um domínio, a diferença entre day_max e day_max_sub_domains (e rolling_max e rolling_max_sub_domains) é a seguinte:

• rolling_max e day_max representam o número de endereços IP internos únicos diários que acessam um determinado domínio (excluindo subdomínios).
• rolling_max_sub_domains e day_max_sub_domains representam o número de objetos endereços IP internos que acessam um determinado domínio (incluindo subdomínios).

As estatísticas de prevalência são calculadas com base em dados da entidade recém-ingeridos. Os cálculos não são de forma retroativa em dados ingeridos anteriormente. Leva aproximadamente 36 horas para que as estatísticas sejam calculadas e armazenadas.

Calcular o horário de primeira e última visualização das entidades

O Google Security Operations realiza análises estatísticas nos dados recebidos e enriquece a entidade registros de contexto com os horários da primeira e da última visualização de uma entidade. O campo first_seen_time armazena a data e a hora em que a entidade foi vista pela primeira vez no ambiente do cliente. O campo last_seen_time armazena a data e a hora da solicitação observação

Como vários indicadores (campos da UDM) podem identificar um recurso ou um usuário, a primeira vez que um dos indicadores que identificam o usuário ou o recurso foi visto no ambiente do cliente é a primeira vez que ele foi visto.

Todos os campos de UDM que descrevem um recurso são:

• entity.asset.hostname
• entity.asset.ip
• entity.asset.mac
• entity.asset.asset_id
• entity.asset.product_object_id

Todos os campos de UDM que descrevem um usuário são:

• entity.user.windows_sid
• entity.user.product_object_id
• entity.user.userid
• entity.user.employee_id
• entity.user.email_addresses

O horário de primeira e de última visualização permitem que um analista correlacione determinada atividade que ocorreu após a primeira visualização de um domínio, arquivo (hash), recurso, usuário ou endereço IP ou que deixou de ocorrer após a última visualização.

Os campos first_seen_time e last_seen_time são preenchidos com entidades que descrevem um domínio, endereço IP e arquivo (hash). Para entidades que descrevem um usuário ou recurso, somente o campo first_seen_time será preenchido. Esses valores não são calculada para entidades que descrevem outros tipos, como um grupo ou recurso.

As estatísticas são calculadas para cada entidade em todos os namespaces. O Google Security Operations não calcula as estatísticas de cada entidade nos namespaces individuais. No momento, essas estatísticas não são exportadas para o esquema events das Operações de segurança do Google no BigQuery.

Os valores enriquecidos são calculados e armazenados nos seguintes campos do UDM:

Enriquecer eventos com dados de geolocalização

Os dados de registro recebidos podem incluir endereços IP externos sem informações de local correspondentes. Isso é comum quando um evento registra informações sobre atividade do dispositivo que não esteja em uma rede empresarial. Por exemplo, um evento de login em um serviço de nuvem conteria um endereço IP de origem ou de cliente com base no endereço IP externo de um dispositivo retornado pela NAT da operadora.

O Google Security Operations fornece dados enriquecidos com geolocalização para endereços IP externos para permitir detecções de regras mais eficientes e mais contexto para investigações. Por exemplo, as Operações de segurança do Google podem usar um endereço IP externo para aprimorar o evento com informações sobre o país (como Estados Unidos), um estado específico (como o Alasca), e a rede em que o endereço IP está (como o ASN e o nome da operadora).

As Operações de segurança do Google usam dados de localização fornecidos pelo Google para fornecer uma estimativa a localização geográfica e as informações de rede de um endereço IP. É possível escrever regras do mecanismo de detecção para esses campos nos eventos. Os dados aprimorados de eventos também são exportados para o BigQuery onde pode ser usada nos painéis e nos relatórios das Operações de segurança do Google.

Os seguintes endereços IP não são enriquecidos:

• Espaços de endereço IP particulares RFC 1918, porque eles são internos à rede corporativa.
• O espaço de endereços IP multicast RFC 5771 porque esses endereços não pertencem a um único local.
• Endereços locais exclusivos IPv6.
• endereços IP de serviço do Google Cloud. A exceção são: Google Cloud Compute Engine endereços IP externo, que são enriquecidos.

O Google Security Operations aprimora os seguintes campos de UDM com dados de geolocalização:

• principal
• target
• src
• observer

O exemplo a seguir mostra o tipo de informação geográfica que seria adicionada a um evento da UDM com um endereço IP marcado como Holanda:

Inconsistências

A tecnologia de geolocalização de IP reservada do Google usa uma combinação de dados de rede e outras informações, e métodos para fornecer o local do endereço IP e a resolução da rede aos usuários. Outras organizações podem usar indicadores ou métodos diferentes, o que pode levar a resultados diferentes.

Se surgirem casos em que você experimentar uma inconsistência nas Resultados de geolocalização de IP fornecidos pelo Google. Abra um caso de suporte ao cliente. para que possamos investigar e, se for o caso, corrigir nossos registros.

Enriquecer entidades com informações das listas de ameaças da Navegação segura

As Operações de segurança do Google processam dados do Navegação segura relacionados a hashes de arquivos. Os dados de cada arquivo são armazenados como uma entidade e fornecem mais contexto sobre o arquivo. Os analistas podem criar regras do mecanismo de detecção que consultam os dados de contexto dessa entidade para criar análises com base no contexto.

As informações a seguir são armazenadas com o registro de contexto da entidade.

Aprimorar entidades com dados WHOIS

As Operações de segurança do Google processam dados WHOIS diariamente. Durante a ingestão de dados de dispositivos de clientes, o Google Security Operations avalia os domínios nesses dados com os dados do WHOIS. Quando há uma correspondência, as Operações de segurança do Google armazenam os dados WHOIS relacionados ao registro de entidade do domínio. Para cada entidade, em que entity.metadata.entity_type = DOMAIN_NAME, as operações de segurança do Google enriquecem a entidade com informações do WHOIS.

O Google Security Operations preenche os dados enriquecidos do WHOIS nos seguintes campos do registro de entidade:

• entity.domain.admin.attribute.labels
• entity.domain.audit_update_time
• entity.domain.billing.attribute.labels
• entity.domain.billing.office_address.country_or_region
• entity.domain.contact_email
• entity.domain.creation_time
• entity.domain.expiration_time
• entity.domain.iana_registrar_id
• entity.domain.name_server
• entity.domain.private_registration
• entity.domain.registrant.company_name
• entity.domain.registrant.office_address.state
• entity.domain.registrant.office_address.country_or_region
• entity.domain.registrant.email_addresses
• entity.domain.registrant.user_display_name
• entity.domain.registrar
• entity.domain.registry_data_raw_text
• entity.domain.status
• entity.domain.tech.attribute.labels
• entity.domain.update_time
• entity.domain.whois_record_raw_text
• entity.domain.whois_server
• entity.domain.zone

Para uma descrição desses campos, consulte o documento da lista de campos do modelo de dados unificado.

Ingerir e armazenar dados da Google Cloud Threat Intelligence

O Google Security Operations ingere dados do Google Cloud Threat Intelligence (GCTI) fontes de dados que fornecem informações contextuais que podem ser usadas ao investigar a atividade no seu ambiente. É possível consultar as seguintes fontes de dados:

• Nós de saída de Tor do GCTI: endereços IP que são nós de saída de Tor conhecidos.
• Binários benignos do GCTI: arquivos que fazem parte da distribuição original do sistema operacional ou foram atualizados por um patch oficial do sistema operacional. Alguns binários oficiais do sistema operacional que foram abusados por um adversário em uma atividade comum em ataques de living-off-the-land são excluídos dessa fonte de dados, como aqueles focados em vetores de entrada iniciais.

• Ferramentas de acesso remoto GCTI: arquivos que são usados com frequência por agentes maliciosos. Essas ferramentas geralmente são aplicativos legítimos que às vezes são usados de forma indevida para se conectar remotamente a sistemas comprometidos.

  Esses dados contextuais são armazenados globalmente como entidades. É possível consultar os dados usando regras do mecanismo de detecção. Inclua os seguintes campos e valores de UDM na regra para consultar essas entidades globais:

• graph.metadata.vendor_name = Google Cloud Threat Intelligence

• graph.metadata.product_name = GCTI Feed

Neste documento, o marcador de posição <variable_name> representa o nome da variável exclusiva usada em uma regra para identificar um registro do UDM.

Fontes de dados do Google Cloud Threat Intelligence com e sem tempo

As fontes de dados do Google Cloud Threat Intelligence são cronometradas ou atemporais.

As fontes de dados com marcação de tempo têm um período associado a cada entrada. Isso significa que, se uma detecção for gerada no dia 1, em qualquer dia no futuro, a mesma detecção será gerada para o dia 1 durante uma retroalimentação.

As fontes de dados atemporais não têm período associado. Isso porque apenas o conjunto mais recente de dados é o que deve ser considerado. As fontes de dados atemporais são usadas com frequência para dados como hashes de arquivos que não devem mudar. Se nenhuma detecção for gerada no dia 1, uma detecção poderá ser gerada para o dia 1 durante uma caça retroativa porque uma nova entrada foi adicionada.

Dados sobre endereços IP de nós de saída do Tor

O Google Security Operations recebe e armazena endereços IP conhecidos como nós de saída do Tor. Os nós de saída Tor são pontos em que o tráfego sai da rede Tor. As informações ingeridas dessa origem são armazenadas nos seguintes campos do UDM. Os dados dessa origem são programados.

Dados sobre arquivos benignos do sistema operacional

O Google Security Operations ingere e armazena hashes de arquivos da origem de dados Benign Binaries do GCTI. As informações coletadas dessa origem de dados são armazenadas nos seguintes campos do UDM. Os dados nesta fonte são atemporais.

Dados sobre ferramentas de acesso remoto

As ferramentas de acesso remoto incluem hashes de arquivos para ferramentas de acesso remoto conhecidas, como Clientes VNC usados com frequência por usuários maliciosos. Essas ferramentas são aplicativos geralmente legítimos que às vezes são usados indevidamente para se conectar remotamente a sistemas comprometidos. As informações ingeridas dessa fonte de dados são armazenadas em campos de UDM a seguir. Os dados nesta fonte são atemporais.

Aprimorar eventos com metadados de arquivo do VirusTotal

As Operações de segurança do Google enriquecem hashes de arquivos em eventos de UDM e fornecem durante uma investigação. Eventos de UDM são enriquecidos com o alias de hash em um ambiente de cliente. A atribuição de alias de hash combina todos os tipos de hashes de arquivo e fornece informações sobre um hash de arquivo durante uma pesquisa.

A integração de metadados de arquivos do VirusTotal e o enriquecimento de relacionamento com o Google SecOps podem ser usados para identificar padrões de atividade maliciosa e rastrear movimentos de malware em uma rede.

Um registro bruto fornece informações limitadas sobre o arquivo. O VirusTotal aprimora o evento com metadados de arquivo para fornecer um despejo de hashes inválidos, junto com metadados sobre o arquivo incorreto. Os metadados incluem informações como nomes de arquivos, tipos, funções importadas e tags. É possível usar essas informações no mecanismo de pesquisa e detecção da UDM com YARA-L para entender eventos de arquivos inválidos e, em geral, durante a busca de ameaças. Um exemplo de caso de uso é detectar modificações no arquivo original que, por sua vez, importaria os metadados do arquivo para a detecção de ameaças.

As informações a seguir são armazenadas com o registro. Para uma lista de todos os campos do UDM, consulte a Lista de campos do modelo de dados unificado.