Google Security Operations 如何丰富事件和实体数据

本文档介绍了 Google 安全运营团队如何丰富数据以及存储数据的统一数据模型 (UDM) 字段。

为了开展安全调查，Google 安全运营团队会提取来自不同来源的情境数据，对数据进行分析，并提供有关客户环境中工件的实用背景信息。分析人员可以使用 检测引擎规则、调查搜索或报告中的丰富数据。

Google 安全运营团队会执行以下类型的数据丰富：

• 使用实体图和合并功能丰富实体。
• 计算并丰富每个实体的普遍性统计，指示 以及它在环境中的受欢迎程度
• 计算特定实体类型在环境中首次出现的时间或最近出现的时间。
• 使用安全浏览威胁列表中的信息丰富实体。
• 使用地理定位数据丰富事件。
• 使用 WHOIS 数据丰富实体。
• 利用 VirusTotal 文件元数据丰富事件。
• 使用 VirusTotal 关系数据丰富实体。
• 注入和存储 Google Cloud 威胁情报数据。

event_type、product_name 和 vendor_name 用于标识来自 WHOIS、安全浏览、GTTI 威胁情报、VirusTotal 元数据和 VirusTotal 关系的丰富数据。在创建使用此丰富数据的规则时，我们建议您 您需要在规则中加入过滤条件 要包含的扩充项类型。此过滤器有助于提高规则的性能。 例如，在events 合并 WHOIS 数据的规则。

$enrichment.graph.metadata.entity_type = "DOMAIN_NAME"
$enrichment.graph.metadata.product_name = "WHOISXMLAPI Simple Whois"
$enrichment.graph.metadata.vendor_name = "WHOIS"

使用实体图和合并来丰富实体

实体图可识别您环境中的实体和资源之间的关系。 将来自不同来源的实体提取到 Google Security Operations 后，实体图会根据实体之间的关系维护邻接列表。实体图执行 通过执行去重和合并来丰富上下文。

在去重过程中，系统会消除冗余数据并形成时间间隔，以创建一个通用实体。例如，假设有两个实体 e1 和 e2，分别具有时间戳 t1 和 t2。系统会删除重复的实体 e1 和 e2，并且在删除重复项期间不会使用不同的时间戳。在去重过程中，系统不会使用以下字段：

• collected_timestamp
• creation_timestamp
• interval

在合并期间，实体之间的关系会在一天的时间间隔内形成。例如，假设有一条 user A 的实体记录，该实体记录可以访问 Cloud Storage 存储桶。还有另一个实体记录 user A，该实体拥有一部设备。合并后 这两个实体会生成具有两个关系的单个实体 user A。一个关系 user A有权访问 Cloud Storage 存储桶 设备归 user A 所有。Google Security Operations 在创建实体情境数据时，会回溯 5 天。这会处理延迟到达的数据，并在实体情境数据上创建隐式有效期。

Google 安全运营团队使用别名来丰富遥测数据，并使用实体图来丰富实体。检测引擎规则会根据 丰富的遥测数据，以提供情境感知分析。

包含实体名词的事件会被视为实体。以下是一些事件类型及其对应的实体类型：

• ASSET_CONTEXT 对应于 ASSET。
• RESOURCE_CONTEXT 对应于 RESOURCE。
• USER_CONTEXT 对应于 USER。
• GROUP_CONTEXT 对应于 GROUP。

实体图区分了情境数据和妥协指标 (IOC) 威胁信息。

使用情境丰富数据时，请考虑以下实体图行为：

• 不要在实体中添加区间，而应使用实体图 创建区间。这是因为除非另有说明，否则时间间隔是在去重期间生成的。
• 如果指定了间隔时间，则系统只会删除相同的事件，并保留最新的实体。
• 为确保有效规则和追溯搜寻按预期运行，必须提取实体 至少每天一次
• 如果实体并非每天提取，而是在两天或两天内仅提取一次， 实时规则可能会按预期运行，但是，追溯搜寻可能会丢失事件的背景信息。
• 如果实体每天提取多次，系统会将实体去重为单个实体。
• 如果某一天的事件数据缺失，系统会暂时使用前一天的数据 以确保生效规则能够正常运行

实体图还会合并具有类似标识符的事件，以获取经过整合的 数据视图此合并会根据以下标识符列表进行：

• Asset
  • entity.asset.product_object_id
  • entity.asset.hostname
  • entity.asset.asset_id
  • entity.asset.mac
• User
  • entity.user.product_object_id
  • entity.user.userid
  • entity.user.windows_sid
  • entity.user.email_addresses
  • entity.user.employee_id
• Resource
  • entity.resource.product_object_id
  • entity.resource.name
• Group
  • entity.group.product_object_id
  • entity.group.email_addresses
  • entity.group.windows_sid

计算普及率统计信息

Google Security Operations 会对现有数据和传入数据执行统计分析，并使用与流行度相关的指标丰富实体情境记录。

流行度是一个数值，表示实体的受欢迎程度。受欢迎程度由访问工件（例如网域、文件哈希或 IP 地址）的资源数量定义。数字越大，实体越受欢迎。 例如，google.com 的普及率值较高，因为它 经常访问如果某个网域的访问频率较低， 普遍性值。实体越受欢迎，就越不太可能具有恶意。

这些丰富的值适用于网域、IP 和文件 (hash)。系统会计算这些值并将其存储在以下字段中。

每个实体的发生率统计信息每天都会更新。这些值存储在单独的实体情境中，可供 Detection Engine 使用，但不会显示在 Google 安全运营调查视图和 UDM 搜索中。

创建 Detection Engine 规则时可以使用以下字段。

day_max 和 rolling_max 值的计算方式不同。这些字段的计算方式如下：

• day_max 是计算过程期间该工件的发生率最高得分 日期，一天是指世界协调时间 (UTC) 凌晨 12:00:00 到晚上 11:59:59。
• rolling_max 的计算方式为：过去 10 天内工件每日最高流行度得分 (day_max)。
• day_count 用于计算 rolling_max，并且始终为 10。

针对某个网域计算时，day_max 与 day_max_sub_domains（以及 rolling_max 与 rolling_max_sub_domains）之间的差异如下所示：

• rolling_max 和 day_max 表示每日唯一内部 IP 地址的数量 访问指定网域（不包括子网域）的用户。
• rolling_max_sub_domains 和 day_max_sub_domains 表示访问给定网域（包括子网域）的唯一内部 IP 地址的数量。

发生率统计信息是根据新提取的实体数据计算的。系统不会对之前提取的数据进行回溯性计算。系统大约需要 36 小时才能计算和存储统计信息。

计算实体的首次看到时间和上次看到时间

Google Security Operations 对传入数据执行统计分析并丰富实体 上下文记录。first_seen_time 字段存储实体在客户中首次出现的日期和时间 环境last_seen_time 字段用于存储最近一次观察的日期和时间。

由于一项资产或用户可通过多个指标（UDM 字段）标识，因此其首次出现时间 是指用户首次看到标识用户或资产的任何指标 客户环境中的变化

所有描述以下各项的 UDM 字段： 的特征如下：

• entity.asset.hostname
• entity.asset.ip
• entity.asset.mac
• entity.asset.asset_id
• entity.asset.product_object_id

用于描述用户的所有 UDM 字段如下：

• entity.user.windows_sid
• entity.user.product_object_id
• entity.user.userid
• entity.user.employee_id
• entity.user.email_addresses

首次看到时间和最后一次看到时间可以让分析师将特定事件 更改域名、文件（哈希）、资产、用户或 IP 地址后发生的活动 首次出现的请求，或者在域名、文件（哈希）或 IP 地址之后停止发生的事件 上次出现时间。

first_seen_time 和 last_seen_time 字段填充的是 来描述域名、IP 地址和文件（哈希）。对于用于描述用户或素材资源的实体，系统只会填充 first_seen_time 字段。这些值不是 针对描述其他类型（如群组或资源）的实体计算。

系统将针对所有命名空间中的每个实体计算该统计信息。 Google 安全运营不会计算各个命名空间中的每个实体的统计信息。这些统计信息目前未导出到 BigQuery 中的 Google Security Operations events 架构。

丰富的值计算并存储在以下位置： UDM 字段：

利用地理位置数据丰富活动信息

传入的日志数据可能包含没有对应的外部 IP 地址 位置信息。这在事件记录有关以下内容的信息时很常见： 企业网络中的设备活动。例如，登录 事件都将包含来源或客户端 IP 地址（基于 运营商 NAT 返回的设备的外部 IP 地址。

Google Security Operations 可为外部 IP 地址提供经过地理位置丰富化的数据，以便进行更强大的规则检测，并为调查提供更多背景信息。例如，Google 安全运营团队可能会使用外部 IP 地址来丰富事件，为其添加与国家/地区（例如美国）、特定州（例如阿拉斯加州）以及 IP 地址所在的网络（例如 ASN 和运营商名称）相关的信息。

Google Security Operations 使用 Google 提供的位置数据来提供大致的 IP 地址的地理位置和网络信息。您可以针对事件中的这些字段编写检测引擎规则。经过丰富的事件数据也会导出到 BigQuery，以便在 Google Security Operations 信息中心和报告中使用。

以下 IP 地址未经过扩充：

• RFC 1918 专用 IP 地址空间，因为它们是企业网络内部的。
• RFC 5771 多播 IP 地址空间，因为多播地址不属于单个位置。
• IPv6 唯一本地地址。
• Google Cloud 服务 IP 地址。Google Cloud Compute Engine 属于例外情况 经过扩充的外部 IP 地址

Google Security Operations 使用地理定位数据丰富以下 UDM 字段：

• principal
• target
• src
• observer

以下示例显示了 添加到 UDM 活动，并将 IP 地址标记为荷兰：

不一致性

Google 专有的 IP 地理位置技术会综合使用网络数据和其他输入和方法，为用户提供 IP 地址位置信息和网络解析。其他组织可能会使用不同的信号或方法，这可能会导致结果有所不同。

如果您发现 Google 提供的 IP 地理位置结果不一致，请创建客户服务支持请求，以便我们展开调查，并在适当情况下更正我们的记录。

利用安全浏览威胁列表中的信息丰富实体

Google Security Operations 会提取与文件哈希相关的安全浏览数据。每个文件的数据均作为实体存储，并提供有关该文件的其他上下文。 分析师可以创建对此实体情境数据进行查询的 Detection Engine 规则，以构建情境感知分析。

以下信息会与实体情境记录一起存储。

使用 WHOIS 数据丰富实体

Google Security Operations 每天都会提取 WHOIS 数据。在提取传入的客户设备数据期间，Google Security Operations 会根据 WHOIS 数据评估客户数据中的网域。如果有匹配项，Google Security Operations 会将相关 WHOIS 数据存储在域名的实体记录中。对于每个实体 entity.metadata.entity_type = DOMAIN_NAME，Google Security Operations 可丰富 将来自 WHOIS 的信息与实体相关联。

Google Security Operations 会将丰富的 WHOIS 数据填充到实体记录中的以下字段：

• entity.domain.admin.attribute.labels
• entity.domain.audit_update_time
• entity.domain.billing.attribute.labels
• entity.domain.billing.office_address.country_or_region
• entity.domain.contact_email
• entity.domain.creation_time
• entity.domain.expiration_time
• entity.domain.iana_registrar_id
• entity.domain.name_server
• entity.domain.private_registration
• entity.domain.registrant.company_name
• entity.domain.registrant.office_address.state
• entity.domain.registrant.office_address.country_or_region
• entity.domain.registrant.email_addresses
• entity.domain.registrant.user_display_name
• entity.domain.registrar
• entity.domain.registry_data_raw_text
• entity.domain.status
• entity.domain.tech.attribute.labels
• entity.domain.update_time
• entity.domain.whois_record_raw_text
• entity.domain.whois_server
• entity.domain.zone

如需了解这些字段的说明，请参阅“统一数据模型字段列表”文档。

注入和存储 Google Cloud 威胁情报数据

Google Security Operations 从 Google Cloud 威胁情报 (GCTI) 中提取数据 数据源，可为您提供相关情境信息，供您在 调查您环境中的活动。您可以查询以下数据源：

• GCTI Tor 退出节点：已知 Tor 退出节点的 IP 地址。
• GCTI 良性二进制文件：属于操作系统一部分的文件 原始发行版或通过官方操作系统补丁进行了更新。 一些已被攻击者滥用的官方操作系统二进制文件 都被排除在 例如那些侧重于初始输入矢量的数据源。

• GCTI 远程访问工具：恶意操作者经常使用的文件。 这些工具通常是合法应用，但有时会被滥用来远程连接到已被入侵的系统。

  这些环境数据以实体形式全局存储。您可以使用 检测引擎规则。在规则中添加以下 UDM 字段和值，以查询这些全局实体：

• graph.metadata.vendor_name = Google Cloud Threat Intelligence

• graph.metadata.product_name = GCTI Feed

在本文档中，占位符 <variable_name> 表示规则中用于标识 UDM 记录的唯一变量名称。

限时与永久性 Google Cloud 威胁情报数据源

Google Cloud 威胁情报数据源分为限时和永久两种。

有时间戳的数据源会为每个条目关联一个时间范围。也就是说，如果在第 1 天、 那么，在将来的 怀旧之情。

永恒的数据源没有与之关联的时间范围。本次 因为我们只应考虑最新的数据集。不受时间影响的数据源通常用于预计不会发生变化的数据，例如文件哈希。如果第 1 天未生成任何检测，那么在第 2 天进行回溯时，系统可能会在第 1 天生成检测，因为系统添加了新条目。

有关 Tor 退出节点 IP 地址的数据

Google Security Operations 会注入和存储称为 Tor 退出节点的 IP 地址。 Tor 退出节点是流量离开 Tor 网络的点。从此数据源提取的信息存储在以下 UDM 字段中。此来源中的数据已定时。

关于良性操作系统文件的数据

Google Security Operations 会从 GCTI 良性二进制文件中提取并存储文件哈希 数据源。从此数据源提取的信息存储在以下 UDM 字段中。此来源中的数据是永久性的。

有关远程访问工具的数据

远程访问工具包括已知远程访问工具（例如 恶意操作者经常使用的 VNC 客户端。这些工具通常是合法应用，但有时会被滥用来远程连接到已被入侵的系统。从此数据源提取的信息存储在以下位置： 以下 UDM 字段。此来源中的数据不受时间限制。

使用 VirusTotal 文件元数据丰富事件

Google Security Operations 将文件哈希丰富为 UDM 事件，并提供 背景信息。UDM 事件会在客户环境中通过哈希别名进行丰富处理。哈希别名会组合所有类型的文件哈希，并在搜索期间提供有关文件哈希的信息。

将 VirusTotal 文件元数据和关系丰富功能与 Google SecOps 集成后，您可以识别恶意活动的模式，并跟踪恶意软件在网络中的活动轨迹。

原始日志仅提供有关该文件的有限信息。VirusTotal 为活动锦上添花 文件元数据，用于提供错误哈希的转储以及有关 错误文件。元数据包括文件名、类型、导入的函数和标记等信息。您可以在 UDM 搜索和检测引擎中将这些信息与 YARA-L 结合使用，以了解恶意文件事件，并在威胁搜索期间使用。一个示例用例是检测对原始文件的任何修改 进而导入文件元数据以进行威胁检测。

系统会将以下信息与记录一起存储。如需查看所有 UDM 字段的列表，请参阅统一数据模型字段列表。