Google Security Operations 如何丰富事件和实体数据

支持以下语言:

本文档介绍了 Google 安全运营团队如何丰富数据以及存储数据的统一数据模型 (UDM) 字段。

为了开展安全调查,Google 安全运营团队会提取来自不同来源的情境数据,对数据进行分析,并提供有关客户环境中工件的实用背景信息。分析人员可以使用 检测引擎规则、调查搜索或报告中的丰富数据。

Google 安全运营团队会执行以下类型的数据丰富:

  • 使用实体图和合并功能丰富实体。
  • 计算并丰富每个实体的普遍性统计,指示 以及它在环境中的受欢迎程度
  • 计算特定实体类型在环境中首次出现的时间或最近出现的时间。
  • 使用安全浏览威胁列表中的信息丰富实体。
  • 使用地理定位数据丰富事件。
  • 使用 WHOIS 数据丰富实体。
  • 利用 VirusTotal 文件元数据丰富事件。
  • 使用 VirusTotal 关系数据丰富实体。
  • 注入和存储 Google Cloud 威胁情报数据。

event_typeproduct_namevendor_name 用于标识来自 WHOIS、安全浏览、GTTI 威胁情报、VirusTotal 元数据和 VirusTotal 关系的丰富数据。在创建使用此丰富数据的规则时,我们建议您 您需要在规则中加入过滤条件 要包含的扩充项类型。此过滤器有助于提高规则的性能。 例如,在events 合并 WHOIS 数据的规则。

$enrichment.graph.metadata.entity_type = "DOMAIN_NAME"
$enrichment.graph.metadata.product_name = "WHOISXMLAPI Simple Whois"
$enrichment.graph.metadata.vendor_name = "WHOIS"

使用实体图和合并来丰富实体

实体图可识别您环境中的实体和资源之间的关系。 将来自不同来源的实体提取到 Google Security Operations 后,实体图会根据实体之间的关系维护邻接列表。实体图执行 通过执行去重和合并来丰富上下文。

在去重过程中,系统会消除冗余数据并形成时间间隔,以创建一个通用实体。例如,假设有两个实体 e1e2,分别具有时间戳 t1t2。系统会删除重复的实体 e1e2,并且在删除重复项期间不会使用不同的时间戳。在去重过程中,系统不会使用以下字段:

  • collected_timestamp
  • creation_timestamp
  • interval

在合并期间,实体之间的关系会在一天的时间间隔内形成。例如,假设有一条 user A 的实体记录,该实体记录可以访问 Cloud Storage 存储桶。还有另一个实体记录 user A,该实体拥有一部设备。合并后 这两个实体会生成具有两个关系的单个实体 user A。一个关系 user A有权访问 Cloud Storage 存储桶 设备归 user A 所有。Google Security Operations 在创建实体情境数据时,会回溯 5 天。这会处理延迟到达的数据,并在实体情境数据上创建隐式有效期。

Google 安全运营团队使用别名来丰富遥测数据,并使用实体图来丰富实体。检测引擎规则会根据 丰富的遥测数据,以提供情境感知分析。

包含实体名词的事件会被视为实体。以下是一些事件类型及其对应的实体类型:

  • ASSET_CONTEXT 对应于 ASSET
  • RESOURCE_CONTEXT 对应于 RESOURCE
  • USER_CONTEXT 对应于 USER
  • GROUP_CONTEXT 对应于 GROUP

实体图区分了情境数据和妥协指标 (IOC) 威胁信息。

使用情境丰富数据时,请考虑以下实体图行为:

  • 不要在实体中添加区间,而应使用实体图 创建区间。这是因为除非另有说明,否则时间间隔是在去重期间生成的。
  • 如果指定了间隔时间,则系统只会删除相同的事件,并保留最新的实体。
  • 为确保有效规则和追溯搜寻按预期运行,必须提取实体 至少每天一次
  • 如果实体并非每天提取,而是在两天或两天内仅提取一次, 实时规则可能会按预期运行,但是,追溯搜寻可能会丢失事件的背景信息。
  • 如果实体每天提取多次,系统会将实体去重为单个实体。
  • 如果某一天的事件数据缺失,系统会暂时使用前一天的数据 以确保生效规则能够正常运行

实体图还会合并具有类似标识符的事件,以获取经过整合的 数据视图此合并会根据以下标识符列表进行:

  • Asset
    • entity.asset.product_object_id
    • entity.asset.hostname
    • entity.asset.asset_id
    • entity.asset.mac
  • User
    • entity.user.product_object_id
    • entity.user.userid
    • entity.user.windows_sid
    • entity.user.email_addresses
    • entity.user.employee_id
  • Resource
    • entity.resource.product_object_id
    • entity.resource.name
  • Group
    • entity.group.product_object_id
    • entity.group.email_addresses
    • entity.group.windows_sid

计算普及率统计信息

Google Security Operations 会对现有数据和传入数据执行统计分析,并使用与流行度相关的指标丰富实体情境记录。

流行度是一个数值,表示实体的受欢迎程度。受欢迎程度由访问工件(例如网域、文件哈希或 IP 地址)的资源数量定义。数字越大,实体越受欢迎。 例如,google.com 的普及率值较高,因为它 经常访问如果某个网域的访问频率较低, 普遍性值。实体越受欢迎,就越不太可能具有恶意。

这些丰富的值适用于网域、IP 和文件 (hash)。系统会计算这些值并将其存储在以下字段中。

每个实体的发生率统计信息每天都会更新。这些值存储在单独的实体情境中,可供 Detection Engine 使用,但不会显示在 Google 安全运营调查视图和 UDM 搜索中。

创建 Detection Engine 规则时可以使用以下字段。

实体类型 UDM 字段
网域 entity.domain.prevalence.day_count
entity.domain.prevalence.day_max
entity.domain.prevalence.day_max_sub_domains
entity.domain.prevalence.rolling_max
entity.domain.prevalence.rolling_max_sub_domains
文件(哈希) entity.file.prevalence.day_count
entity.file.prevalence.day_max
entity.file.prevalence.rolling_max
IP 地址 entity.artifact.prevalence.day_count
entity.artifact.prevalence.day_max
entity.artifact.prevalence.rolling_max

day_max 和 rolling_max 值的计算方式不同。这些字段的计算方式如下:

  • day_max 是计算过程期间该工件的发生率最高得分 日期,一天是指世界协调时间 (UTC) 凌晨 12:00:00 到晚上 11:59:59。
  • rolling_max 的计算方式为:过去 10 天内工件每日最高流行度得分 (day_max)。
  • day_count 用于计算 rolling_max,并且始终为 10。

针对某个网域计算时,day_maxday_max_sub_domains(以及 rolling_maxrolling_max_sub_domains)之间的差异如下所示:

  • rolling_maxday_max 表示每日唯一内部 IP 地址的数量 访问指定网域(不包括子网域)的用户。
  • rolling_max_sub_domainsday_max_sub_domains 表示访问给定网域(包括子网域)的唯一内部 IP 地址的数量。

发生率统计信息是根据新提取的实体数据计算的。系统不会对之前提取的数据进行回溯性计算。系统大约需要 36 小时才能计算和存储统计信息。

计算实体的首次看到时间和上次看到时间

Google Security Operations 对传入数据执行统计分析并丰富实体 上下文记录。first_seen_time 字段存储实体在客户中首次出现的日期和时间 环境last_seen_time 字段用于存储最近一次观察的日期和时间。

由于一项资产或用户可通过多个指标(UDM 字段)标识,因此其首次出现时间 是指用户首次看到标识用户或资产的任何指标 客户环境中的变化

所有描述以下各项的 UDM 字段: 的特征如下:

  • entity.asset.hostname
  • entity.asset.ip
  • entity.asset.mac
  • entity.asset.asset_id
  • entity.asset.product_object_id

用于描述用户的所有 UDM 字段如下:

  • entity.user.windows_sid
  • entity.user.product_object_id
  • entity.user.userid
  • entity.user.employee_id
  • entity.user.email_addresses

首次看到时间和最后一次看到时间可以让分析师将特定事件 更改域名、文件(哈希)、资产、用户或 IP 地址后发生的活动 首次出现的请求,或者在域名、文件(哈希)或 IP 地址之后停止发生的事件 上次出现时间。

first_seen_timelast_seen_time 字段填充的是 来描述域名、IP 地址和文件(哈希)。对于用于描述用户或素材资源的实体,系统只会填充 first_seen_time 字段。这些值不是 针对描述其他类型(如群组或资源)的实体计算。

系统将针对所有命名空间中的每个实体计算该统计信息。 Google 安全运营不会计算各个命名空间中的每个实体的统计信息。这些统计信息目前未导出到 BigQuery 中的 Google Security Operations events 架构

丰富的值计算并存储在以下位置: UDM 字段:

实体类型 UDM 字段
网域 entity.domain.first_seen_time
entity.domain.last_seen_time
文件(哈希) entity.file.first_seen_time
entity.file.last_seen_time
IP 地址 entity.artifact.first_seen_time
entity.artifact.last_seen_time
素材资源 entity.asset.first_seen_time
用户 entity.user.first_seen_time

利用地理位置数据丰富活动信息

传入的日志数据可能包含没有对应的外部 IP 地址 位置信息。这在事件记录有关以下内容的信息时很常见: 企业网络中的设备活动。例如,登录 事件都将包含来源或客户端 IP 地址(基于 运营商 NAT 返回的设备的外部 IP 地址。

Google Security Operations 可为外部 IP 地址提供经过地理位置丰富化的数据,以便进行更强大的规则检测,并为调查提供更多背景信息。例如,Google 安全运营团队可能会使用外部 IP 地址来丰富事件,为其添加与国家/地区(例如美国)、特定州(例如阿拉斯加州)以及 IP 地址所在的网络(例如 ASN 和运营商名称)相关的信息。

Google Security Operations 使用 Google 提供的位置数据来提供大致的 IP 地址的地理位置和网络信息。您可以针对事件中的这些字段编写检测引擎规则。经过丰富的事件数据也会导出到 BigQuery,以便在 Google Security Operations 信息中心和报告中使用。

以下 IP 地址未经过扩充:

  • RFC 1918 专用 IP 地址空间,因为它们是企业网络内部的。
  • RFC 5771 多播 IP 地址空间,因为多播地址不属于单个位置。
  • IPv6 唯一本地地址。
  • Google Cloud 服务 IP 地址。Google Cloud Compute Engine 属于例外情况 经过扩充的外部 IP 地址

Google Security Operations 使用地理定位数据丰富以下 UDM 字段:

  • principal
  • target
  • src
  • observer
数据类型 UDM 字段
位置(例如,美国) ( principal | target | src | observer ).ip_geo_artifact.location.country_or_region
州(例如纽约) ( principal | target | src | observer ).ip_geo_artifact.location.state
经度 ( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.longitude
纬度 ( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.latitude
ASN(自治系统编号) ( principal | target | src | observer ).ip_geo_artifact.network.asn
运营商名称 ( principal | target | src | observer ).ip_geo_artifact.network.carrier_name
DNS 域名 ( principal | target | src | observer ).ip_geo_artifact.network.dns_domain
组织名称 ( principal | target | src | observer ).ip_geo_artifact.network.organization_name

以下示例显示了 添加到 UDM 活动,并将 IP 地址标记为荷兰:

UDM 字段
principal.ip_geo_artifact.location.country_or_region Netherlands
principal.ip_geo_artifact.location.region_coordinates.latitude 52.132633
principal.ip_geo_artifact.location.region_coordinates.longitude 5.291266
principal.ip_geo_artifact.network.asn 8455
principal.ip_geo_artifact.network.carrier_name schuberg philis

不一致性

Google 专有的 IP 地理位置技术会综合使用网络数据和其他输入和方法,为用户提供 IP 地址位置信息和网络解析。其他组织可能会使用不同的信号或方法,这可能会导致结果有所不同。

如果您发现 Google 提供的 IP 地理位置结果不一致,请创建客户服务支持请求,以便我们展开调查,并在适当情况下更正我们的记录。

利用安全浏览威胁列表中的信息丰富实体

Google Security Operations 会提取与文件哈希相关的安全浏览数据。每个文件的数据均作为实体存储,并提供有关该文件的其他上下文。 分析师可以创建对此实体情境数据进行查询的 Detection Engine 规则,以构建情境感知分析。

以下信息会与实体情境记录一起存储。

UDM 字段 说明
entity.metadata.product_entity_id 实体的唯一标识符。
entity.metadata.entity_type 此值为 FILE,表示相应实体用于描述文件。
entity.metadata.collected_timestamp 观察到实体或事件的日期和时间 错误。
entity.metadata.interval 存储此数据有效的开始时间和结束时间。 由于威胁列表的内容会随时间推移而发生变化,因此start_time end_time表示的是 实体有效。例如,在 start_time and end_time. 之间观察到某个文件哈希是恶意的或可疑的
entity.metadata.threat.category 这是 Google Security Operations SecurityCategory。此值设置为以下一个或多个值:
  • SOFTWARE_MALICIOUS:表示威胁与恶意软件相关。
  • SOFTWARE_PUA:表示威胁与垃圾软件相关。
entity.metadata.threat.severity 这里是 Google Security Operations ProductSeverity。 如果值为 CRITICAL,则表示工件似乎是恶意的。 如果未指定该值,则没有足够的置信度来指示 工件是恶意的。
entity.metadata.product_name 存储值 Google Safe Browsing
entity.file.sha256 文件的 SHA256 哈希值。

使用 WHOIS 数据丰富实体

Google Security Operations 每天都会提取 WHOIS 数据。在提取传入的客户设备数据期间,Google Security Operations 会根据 WHOIS 数据评估客户数据中的网域。如果有匹配项,Google Security Operations 会将相关 WHOIS 数据存储在域名的实体记录中。对于每个实体 entity.metadata.entity_type = DOMAIN_NAME,Google Security Operations 可丰富 将来自 WHOIS 的信息与实体相关联。

Google Security Operations 会将丰富的 WHOIS 数据填充到实体记录中的以下字段:

  • entity.domain.admin.attribute.labels
  • entity.domain.audit_update_time
  • entity.domain.billing.attribute.labels
  • entity.domain.billing.office_address.country_or_region
  • entity.domain.contact_email
  • entity.domain.creation_time
  • entity.domain.expiration_time
  • entity.domain.iana_registrar_id
  • entity.domain.name_server
  • entity.domain.private_registration
  • entity.domain.registrant.company_name
  • entity.domain.registrant.office_address.state
  • entity.domain.registrant.office_address.country_or_region
  • entity.domain.registrant.email_addresses
  • entity.domain.registrant.user_display_name
  • entity.domain.registrar
  • entity.domain.registry_data_raw_text
  • entity.domain.status
  • entity.domain.tech.attribute.labels
  • entity.domain.update_time
  • entity.domain.whois_record_raw_text
  • entity.domain.whois_server
  • entity.domain.zone

如需了解这些字段的说明,请参阅“统一数据模型字段列表”文档

注入和存储 Google Cloud 威胁情报数据

Google Security Operations 从 Google Cloud 威胁情报 (GCTI) 中提取数据 数据源,可为您提供相关情境信息,供您在 调查您环境中的活动。您可以查询以下数据源:

  • GCTI Tor 退出节点:已知 Tor 退出节点的 IP 地址。
  • GCTI 良性二进制文件:属于操作系统一部分的文件 原始发行版或通过官方操作系统补丁进行了更新。 一些已被攻击者滥用的官方操作系统二进制文件 都被排除在 例如那些侧重于初始输入矢量的数据源。
  • GCTI 远程访问工具:恶意操作者经常使用的文件。 这些工具通常是合法应用,但有时会被滥用来远程连接到已被入侵的系统。

    这些环境数据以实体形式全局存储。您可以使用 检测引擎规则。在规则中添加以下 UDM 字段和值,以查询这些全局实体:

  • graph.metadata.vendor_name = Google Cloud Threat Intelligence

  • graph.metadata.product_name = GCTI Feed

在本文档中,占位符 <variable_name> 表示规则中用于标识 UDM 记录的唯一变量名称。

限时与永久性 Google Cloud 威胁情报数据源

Google Cloud 威胁情报数据源分为限时永久两种。

有时间戳的数据源会为每个条目关联一个时间范围。也就是说,如果在第 1 天、 那么,在将来的 怀旧之情。

永恒的数据源没有与之关联的时间范围。本次 因为我们只应考虑最新的数据集。不受时间影响的数据源通常用于预计不会发生变化的数据,例如文件哈希。如果第 1 天未生成任何检测,那么在第 2 天进行回溯时,系统可能会在第 1 天生成检测,因为系统添加了新条目。

有关 Tor 退出节点 IP 地址的数据

Google Security Operations 会注入和存储称为 Tor 退出节点的 IP 地址。 Tor 退出节点是流量离开 Tor 网络的点。从此数据源提取的信息存储在以下 UDM 字段中。此来源中的数据已定时。

UDM 字段 说明
<variable_name>.graph.metadata.vendor_name 存储值 Google Cloud Threat Intelligence
<variable_name>.graph.metadata.product_name 存储值 GCTI Feed
<variable_name>.graph.metadata.threat.threat_feed_name 存储值 Tor Exit Nodes
<variable_name>.graph.entity.artifact.ip 存储从 GCTI 数据源提取的 IP 地址。

关于良性操作系统文件的数据

Google Security Operations 会从 GCTI 良性二进制文件中提取并存储文件哈希 数据源。从此数据源提取的信息存储在以下 UDM 字段中。此来源中的数据是永久性的。

UDM 字段 说明
<variable_name>.graph.metadata.vendor_name 存储值 Google Cloud Threat Intelligence
<variable_name>.graph.metadata.product_name 存储值 GCTI Feed
<variable_name>.graph.metadata.threat.threat_feed_name 存储值 Benign Binaries
<variable_name>.graph.entity.file.sha256 存储文件的 SHA256 哈希值。
<variable_name>.graph.entity.file.sha1 存储文件的 SHA1 哈希值。
<variable_name>.graph.entity.file.md5 存储文件的 MD5 哈希值。

有关远程访问工具的数据

远程访问工具包括已知远程访问工具(例如 恶意操作者经常使用的 VNC 客户端。这些工具通常是合法应用,但有时会被滥用来远程连接到已被入侵的系统。从此数据源提取的信息存储在以下位置: 以下 UDM 字段。此来源中的数据不受时间限制。

UDM 字段 说明
.graph.metadata.vendor_name 存储值 Google Cloud Threat Intelligence
.graph.metadata.product_name 存储值 GCTI Feed
.graph.metadata.threat.threat_feed_name 存储值 Remote Access Tools
.graph.entity.file.sha256 存储文件的 SHA256 哈希值。
.graph.entity.file.sha1 存储文件的 SHA1 哈希值。
.graph.entity.file.md5 存储文件的 MD5 哈希值。

使用 VirusTotal 文件元数据丰富事件

Google Security Operations 将文件哈希丰富为 UDM 事件,并提供 背景信息。UDM 事件会在客户环境中通过哈希别名进行丰富处理。哈希别名会组合所有类型的文件哈希,并在搜索期间提供有关文件哈希的信息。

将 VirusTotal 文件元数据和关系丰富功能与 Google SecOps 集成后,您可以识别恶意活动的模式,并跟踪恶意软件在网络中的活动轨迹。

原始日志仅提供有关该文件的有限信息。VirusTotal 为活动锦上添花 文件元数据,用于提供错误哈希的转储以及有关 错误文件。元数据包括文件名、类型、导入的函数和标记等信息。您可以在 UDM 搜索和检测引擎中将这些信息与 YARA-L 结合使用,以了解恶意文件事件,并在威胁搜索期间使用。一个示例用例是检测对原始文件的任何修改 进而导入文件元数据以进行威胁检测。

系统会将以下信息与记录一起存储。如需查看所有 UDM 字段的列表,请参阅统一数据模型字段列表

数据类型 UDM 字段
SHA-256 ( principal | target | src | observer ).file.sha256
MD5 ( principal | target | src | observer ).file.md5
SHA-1 ( principal | target | src | observer ).file.sha1
大小 ( principal | target | src | observer ).file.size
Ssdeep ( principal | target | src | observer ).file.ssdeep
vhash ( principal | target | src | observer ).file.vhash
authentihash ( principal | target | src | observer ).file.authentihash
文件类型 ( principal | target | src | observer ).file.file_type
标记 ( principal | target | src | observer ).file.tags
功能标记 ( principal | target | src | observer ).file.capabilities_tags
名称 ( principal | target | src | observer ).file.names
首次出现时间 ( principal | target | src | observer ).file.first_seen_time
上次出现时间 ( principal | target | src | observer ).file.last_seen_time
上次修改时间 ( principal | target | src | observer ).file.last_modification_time
上次分析时间 ( principal | target | src | observer ).file.last_analysis_time
嵌入式网址 ( principal | target | src | observer ).file.embedded_urls
嵌入式 IP ( principal | target | src | observer ).file.embedded_ips
嵌入的网域 ( principal | target | src | observer ).file.embedded_domains
签名信息 ( principal | target | src | observer ).file.signature_info
签名信息
  • Sigcheck 认证
( principal | target | src | observer).file.signature_info.sigcheck
签名信息
  • Sigcheck
    • 验证消息
( principal | target | src | observer ).file.signature_info.sigcheck.verification_message
签名信息
  • Sigcheck
    • 已验证
( principal | target | src | observer ).file.signature_info.sigcheck.verified
签名信息
  • Sigcheck
    • 签名者
( principal | target | src | observer ).file.signature_info.sigcheck.signers
签名信息
  • Sigcheck
    • 签名者
      • 名称
( principal | target | src | observer ).file.signature_info.sigcheck.signers.name
签名信息
  • Sigcheck
    • 签名者
      • 状态
( principal | target | src | observer ).file.signature_info.sigcheck.signers.status
签名信息
  • Sigcheck
    • 签名者
      • 证书的有效用法
( principal | target | src | observer ).file.signature_info.sigcheck.signers.valid_usage
签名信息
  • Sigcheck
    • 签名者
      • 证书颁发机构
( principal | target | src | observer ).file.signature_info.sigcheck.signers.cert_issuer
签名信息
  • Sigcheck 认证
    • X509
( principal | target | src | observer ).file.signature_info.sigcheck.x509
签名信息
  • Sigcheck 认证
    • X509
      • 名称
( principal | target | src | observer ).file.signature_info.sigcheck.x509.name
签名信息
  • Sigcheck 认证
    • X509
      • 算法
( principal | target | src | observer ).file.signature_info.sigcheck.x509.algorithm
签名信息
  • Sigcheck 认证
    • X509
      • 指纹
( principal | target | src | observer ).file.signature_info.sigcheck.x509.thumprint
签名信息
  • Sigcheck 认证
    • X509
      • 证书颁发机构
( principal | target | src | observer ).file.signature_info.sigcheck.x509.cert_issuer
签名信息
  • Sigcheck 认证
    • X509
      • 序列号
( principal | target | src | observer ).file.signature_info.sigcheck.x509.serial_number
签名信息
  • 联合设计
( principal | target | src | observer ).file.signature_info.codesign
签名信息
  • 联合设计
    • ID
( principal | target | src | observer ).file.signature_info.codesign.id
签名信息
  • Codesign
    • 格式
( principal | target | src | observer ).file.signature_info.codesign.format
签名信息
  • 联合设计
    • 编译时间
( principal | target | src | observer ).file.signature_info.codesign.compilation_time
Exiftool 信息 ( principal | target | src | observer ).file.exif_info
Exiftool 信息
  • 原始文件名
( principal | target | src | observer ).file.exif_info.original_file
Exiftool 信息
  • 产品名称
( principal | target | src | observer ).file.exif_info.product
Exiftool 信息
  • 公司名称
( principal | target | src | observer ).file.exif_info.company
Exiftool 信息
  • 文件说明
( principal | target | src | observer ).file.exif_info.file_description
Exiftool 信息
  • 入口点
( principal | target | src | observer ).file.exif_info.entry_point
Exiftool 信息
  • 编译时间
( principal | target | src | observer ).file.exif_info.compilation_time
PDF 信息 ( principal | target | src | observer ).file.pdf_info
PDF 信息
  • /JS 代码数量
( principal | target | src | observer ).file.pdf_info.js
PDF 信息
  • /JavaScript 代码的数量
( principal | target | src | observer ).file.pdf_info.javascript
PDF 信息
  • /Launch 标记的数量
( principal | target | src | observer ).file.pdf_info.launch_action_count
PDF 信息
  • 对象流的数量
( principal | target | src | observer ).file.pdf_info.object_stream_count
PDF 信息
  • 对象定义的数量(endobj 关键字)
( principal | target | src | observer ).file.pdf_info.endobj_count
PDF 信息
  • PDF 版本
( principal | target | src | observer ).file.pdf_info.header
PDF 信息
  • /AcroForm 代码数量
( principal | target | src | observer ).file.pdf_info.acroform
PDF 信息
  • /AA 标记的数量
( principal | target | src | observer ).file.pdf_info.autoaction
PDF 信息
  • /EmbeddedFile 标记的数量
( principal | target | src | observer ).file.pdf_info.embedded_file
PDF 信息
  • /Encrypt 代码
( principal | target | src | observer ).file.pdf_info.encrypted
PDF 信息
  • /RichMedia 代码数
( principal | target | src | observer ).file.pdf_info.flash
PDF 信息
  • /JBIG2Decode 标记的数量
( principal | target | src | observer ).file.pdf_info.jbig2_compression
PDF 信息
  • 对象定义的数量(obj 关键字)
( principal | target | src | observer ).file.pdf_info.obj_count
PDF 信息
  • 定义的数据流对象数量(“stream”关键字)
( principal | target | src | observer ).file.pdf_info.endstream_count
PDF 信息
  • PDF 中的页数
( principal | target | src | observer ).file.pdf_info.page_count
PDF 信息
  • 定义的数据流对象数量(“stream”关键字)
( principal | target | src | observer ).file.pdf_info.stream_count
PDF 信息
  • /OpenAction 标记的数量
( principal | target | src | observer ).file.pdf_info.openaction
PDF 信息
  • startxref 关键字的数量
( principal | target | src | observer ).file.pdf_info.startxref
PDF 信息
  • 颜色数量超过 3 个字节 (CVE-2009-3459)
( principal | target | src | observer ).file.pdf_info.suspicious_colors
PDF 信息
  • 预告片关键字数量
( principal | target | src | observer ).file.pdf_info.trailer
PDF 信息
  • 找到的 /XFA 代码的数量
( principal | target | src | observer ).file.pdf_info.xfa
PDF 信息
  • 外部引用关键字的数量
( principal | target | src | observer ).file.pdf_info.xref
PE 文件元数据 ( principal | target | src | observer ).file.pe_file
PE 文件元数据
  • Imphash
( principal | target | src | observer ).file.pe_file.imphash
PE 文件元数据
  • 入口点
( principal | target | src | observer ).file.pe_file.entry_point
PE 文件元数据
  • 入口点 exiftool
( principal | target | src | observer ).file.pe_file.entry_point_exiftool
PE 文件元数据
  • 编译时间
( principal | target | src | observer ).file.pe_file.compilation_time
PE 文件元数据
  • 编译 Exiftool 时间
( principal | target | src | observer ).file.pe_file.compilation_exiftool_time
PE 文件元数据
  • 版块
( principal | target | src | observer ).file.pe_file.section
PE 文件元数据
  • 版块
    • 名称
( principal | target | src | observer ).file.pe_file.section.name
PE 文件元数据
  • 版块
( principal | target | src | observer ).file.pe_file.section.entropy
PE 文件元数据
  • 版块
    • 原始大小(以字节为单位)
( principal | target | src | observer ).file.pe_file.section.raw_size_bytes
PE 文件元数据
  • 版块
    • 虚拟大小(以字节为单位)
( principal | target | src | observer ).file.pe_file.section.virtual_size_bytes
PE 文件元数据
  • 版块
    • MD5 十六进制
( principal | target | src | observer ).file.pe_file.section.md5_hex
PE 文件元数据
  • 导入
( principal | target | src | observer ).file.pe_file.imports
PE 文件元数据
  • 导入
( principal | target | src | observer ).file.pe_file.imports.library
PE 文件元数据
  • 导入
    • Functions
( principal | target | src | observer ).file.pe_file.imports.functions
PE 文件元数据
  • 资源信息
( principal | target | src | observer ).file.pe_file.resource
PE 文件元数据
  • 资源信息
    • SHA-256 十六进制
( principal | target | src | observer ).file.pe_file.resource.sha256_hex
PE 文件元数据
  • 资源信息
    • 由魔法 Python 模块标识的资源类型
( principal | target | src | observer ).file.pe_file.resource.filetype_magic
PE 文件元数据
  • 资源信息
    • 人类可读版本的语言和子语言标识符,例如 Windows PE 规范
( principal | target | src | observer ).file.pe_file.resource_language_code
PE 文件元数据
  • 资源信息
( principal | target | src | observer ).file.pe_file.resource.entropy
PE 文件元数据
  • 资源信息
    • 文件类型
( principal | target | src | observer ).file.pe_file.resource.file_type
PE 文件元数据
  • 资源数量(按资源类型)
( principal | target | src | observer ).file.pe_file.resources_type_count_str
PE 文件元数据
  • 按语言划分的资源数量
( principal | target | src | observer ).file.pe_file.resources_language_count_str

使用 VirusTotal 关系数据丰富实体

VirusTotal 可帮助分析可疑文件、网域、IP 地址和网址,以检测恶意软件和其他违规行为,并将检测结果分享给安全社区。Google Security Operations 会从 VirusTotal 相关连接中提取数据。这些数据已存储 作为实体,并提供有关文件哈希值和 IP 地址和网址。

分析人员可以使用这些数据根据信息判断文件哈希是否有误 有关其他来源的网址或域名的信息。这些信息可用于创建对实体情境数据进行查询的 Detection Engine 规则,以构建感知情境的分析。

此数据仅适用于某些 VirusTotal 和 Google Security Operations 许可。 请与您的客户经理确认您的使用权。

实体情境记录中存储以下信息:

UDM 字段 说明
entity.metadata.product_entity_id 实体的唯一标识符
entity.metadata.entity_type 存储值 FILE,它表示 entity 用于描述文件
entity.metadata.interval start_time 是数据有效期的开始时间,end_time 是数据有效期的结束时间
entity.metadata.source_labels 此字段用于存储此实体的 source_idtarget_id 键值对列表。source_id 是文件哈希,target_id 可以是与此文件相关的网址、网域名称或 IP 地址的哈希值或值。您可以搜索网址、域名 IP 地址或位于 virustotal.com 的文件。
entity.metadata.product_name 存储值“VirusTotal Relationships”
entity.metadata.vendor_name 存储值“VirusTotal”
entity.file.sha256 存储文件的 SHA-256 哈希值
entity.file.relations 作为父实体的子实体的列表 与文件实体相关
entity.relations.relationship 此字段说明父实体与子实体之间的关系类型。 值可以是 EXECUTESDOWNLOADED_FROMCONTACTS
entity.relations.direction 存储值“UNIDIRECTIONAL”并指示关系的方向 包含子实体
entity.relations.entity.url 父实体中的文件联系到的网址(如果父实体与网址之间的关系为 CONTACTS),或父实体中的文件的下载网址(如果父实体与网址之间的关系为 DOWNLOADED_FROM)。
entity.relations.entity.ip 从命令行访问该文件的 IP 地址列表 或下载自 它只包含一个 IP 地址。
entity.relations.entity.domain.name 父实体联系人中文件或下载后的文件的域名 来自
entity.relations.entity.file.sha256 存储关系中文件的 SHA-256 哈希值
entity.relations.entity_type 此字段包含关系中的实体类型。该值可以是 URLDOMAIN_NAMEIP_ADDRESSFILE。这些字段的填充依据是 entity_type。例如,如果 entity_typeURL, 系统会填充 entity.relations.entity.url

后续步骤

如需了解如何将经过丰富的数据与其他 Google 安全运营功能搭配使用,请参阅以下内容: