Google Security Operations 如何丰富事件和实体数据
本文档介绍了 Google 安全运营团队如何丰富数据以及存储数据的统一数据模型 (UDM) 字段。
为了开展安全调查,Google 安全运营团队会提取来自不同来源的情境数据,对数据进行分析,并提供有关客户环境中工件的实用背景信息。分析人员可以使用 检测引擎规则、调查搜索或报告中的丰富数据。
Google 安全运营团队会执行以下类型的数据丰富:
- 使用实体图和合并功能丰富实体。
- 计算并丰富每个实体的普遍性统计,指示 以及它在环境中的受欢迎程度
- 计算特定实体类型在环境中首次出现的时间或最近出现的时间。
- 使用安全浏览威胁列表中的信息丰富实体。
- 使用地理定位数据丰富事件。
- 使用 WHOIS 数据丰富实体。
- 利用 VirusTotal 文件元数据丰富事件。
- 使用 VirusTotal 关系数据丰富实体。
- 注入和存储 Google Cloud 威胁情报数据。
event_type
、product_name
和 vendor_name
用于标识来自 WHOIS、安全浏览、GTTI 威胁情报、VirusTotal 元数据和 VirusTotal 关系的丰富数据。在创建使用此丰富数据的规则时,我们建议您
您需要在规则中加入过滤条件
要包含的扩充项类型。此过滤器有助于提高规则的性能。
例如,在events
合并 WHOIS 数据的规则。
$enrichment.graph.metadata.entity_type = "DOMAIN_NAME"
$enrichment.graph.metadata.product_name = "WHOISXMLAPI Simple Whois"
$enrichment.graph.metadata.vendor_name = "WHOIS"
使用实体图和合并来丰富实体
实体图可识别您环境中的实体和资源之间的关系。 将来自不同来源的实体提取到 Google Security Operations 后,实体图会根据实体之间的关系维护邻接列表。实体图执行 通过执行去重和合并来丰富上下文。
在去重过程中,系统会消除冗余数据并形成时间间隔,以创建一个通用实体。例如,假设有两个实体 e1
和 e2
,分别具有时间戳 t1
和 t2
。系统会删除重复的实体 e1
和 e2
,并且在删除重复项期间不会使用不同的时间戳。在去重过程中,系统不会使用以下字段:
collected_timestamp
creation_timestamp
interval
在合并期间,实体之间的关系会在一天的时间间隔内形成。例如,假设有一条 user A
的实体记录,该实体记录可以访问 Cloud Storage
存储桶。还有另一个实体记录 user A
,该实体拥有一部设备。合并后
这两个实体会生成具有两个关系的单个实体 user A
。一个关系
user A
有权访问 Cloud Storage 存储桶
设备归 user A
所有。Google Security Operations 在创建实体情境数据时,会回溯 5 天。这会处理延迟到达的数据,并在实体情境数据上创建隐式有效期。
Google 安全运营团队使用别名来丰富遥测数据,并使用实体图来丰富实体。检测引擎规则会根据 丰富的遥测数据,以提供情境感知分析。
包含实体名词的事件会被视为实体。以下是一些事件类型及其对应的实体类型:
ASSET_CONTEXT
对应于ASSET
。RESOURCE_CONTEXT
对应于RESOURCE
。USER_CONTEXT
对应于USER
。GROUP_CONTEXT
对应于GROUP
。
实体图区分了情境数据和妥协指标 (IOC) 威胁信息。
使用情境丰富数据时,请考虑以下实体图行为:
- 不要在实体中添加区间,而应使用实体图 创建区间。这是因为除非另有说明,否则时间间隔是在去重期间生成的。
- 如果指定了间隔时间,则系统只会删除相同的事件,并保留最新的实体。
- 为确保有效规则和追溯搜寻按预期运行,必须提取实体 至少每天一次
- 如果实体并非每天提取,而是在两天或两天内仅提取一次, 实时规则可能会按预期运行,但是,追溯搜寻可能会丢失事件的背景信息。
- 如果实体每天提取多次,系统会将实体去重为单个实体。
- 如果某一天的事件数据缺失,系统会暂时使用前一天的数据 以确保生效规则能够正常运行
实体图还会合并具有类似标识符的事件,以获取经过整合的 数据视图此合并会根据以下标识符列表进行:
Asset
entity.asset.product_object_id
entity.asset.hostname
entity.asset.asset_id
entity.asset.mac
User
entity.user.product_object_id
entity.user.userid
entity.user.windows_sid
entity.user.email_addresses
entity.user.employee_id
Resource
entity.resource.product_object_id
entity.resource.name
Group
entity.group.product_object_id
entity.group.email_addresses
entity.group.windows_sid
计算普及率统计信息
Google Security Operations 会对现有数据和传入数据执行统计分析,并使用与流行度相关的指标丰富实体情境记录。
流行度是一个数值,表示实体的受欢迎程度。受欢迎程度由访问工件(例如网域、文件哈希或 IP 地址)的资源数量定义。数字越大,实体越受欢迎。
例如,google.com
的普及率值较高,因为它
经常访问如果某个网域的访问频率较低,
普遍性值。实体越受欢迎,就越不太可能具有恶意。
这些丰富的值适用于网域、IP 和文件 (hash)。系统会计算这些值并将其存储在以下字段中。
每个实体的发生率统计信息每天都会更新。这些值存储在单独的实体情境中,可供 Detection Engine 使用,但不会显示在 Google 安全运营调查视图和 UDM 搜索中。
创建 Detection Engine 规则时可以使用以下字段。
实体类型 | UDM 字段 |
---|---|
网域 | entity.domain.prevalence.day_count
entity.domain.prevalence.day_max
entity.domain.prevalence.day_max_sub_domains
entity.domain.prevalence.rolling_max
entity.domain.prevalence.rolling_max_sub_domains |
文件(哈希) | entity.file.prevalence.day_count
entity.file.prevalence.day_max
entity.file.prevalence.rolling_max |
IP 地址 | entity.artifact.prevalence.day_count
entity.artifact.prevalence.day_max
entity.artifact.prevalence.rolling_max |
day_max 和 rolling_max 值的计算方式不同。这些字段的计算方式如下:
day_max
是计算过程期间该工件的发生率最高得分 日期,一天是指世界协调时间 (UTC) 凌晨 12:00:00 到晚上 11:59:59。rolling_max
的计算方式为:过去 10 天内工件每日最高流行度得分 (day_max
)。day_count
用于计算rolling_max
,并且始终为 10。
针对某个网域计算时,day_max
与 day_max_sub_domains
(以及 rolling_max
与 rolling_max_sub_domains
)之间的差异如下所示:
rolling_max
和day_max
表示每日唯一内部 IP 地址的数量 访问指定网域(不包括子网域)的用户。rolling_max_sub_domains
和day_max_sub_domains
表示访问给定网域(包括子网域)的唯一内部 IP 地址的数量。
发生率统计信息是根据新提取的实体数据计算的。系统不会对之前提取的数据进行回溯性计算。系统大约需要 36 小时才能计算和存储统计信息。
计算实体的首次看到时间和上次看到时间
Google Security Operations 对传入数据执行统计分析并丰富实体
上下文记录。first_seen_time
字段存储实体在客户中首次出现的日期和时间
环境last_seen_time
字段用于存储最近一次观察的日期和时间。
由于一项资产或用户可通过多个指标(UDM 字段)标识,因此其首次出现时间 是指用户首次看到标识用户或资产的任何指标 客户环境中的变化
所有描述以下各项的 UDM 字段: 的特征如下:
entity.asset.hostname
entity.asset.ip
entity.asset.mac
entity.asset.asset_id
entity.asset.product_object_id
用于描述用户的所有 UDM 字段如下:
entity.user.windows_sid
entity.user.product_object_id
entity.user.userid
entity.user.employee_id
entity.user.email_addresses
首次看到时间和最后一次看到时间可以让分析师将特定事件 更改域名、文件(哈希)、资产、用户或 IP 地址后发生的活动 首次出现的请求,或者在域名、文件(哈希)或 IP 地址之后停止发生的事件 上次出现时间。
first_seen_time
和 last_seen_time
字段填充的是
来描述域名、IP 地址和文件(哈希)。对于用于描述用户或素材资源的实体,系统只会填充 first_seen_time
字段。这些值不是
针对描述其他类型(如群组或资源)的实体计算。
系统将针对所有命名空间中的每个实体计算该统计信息。
Google 安全运营不会计算各个命名空间中的每个实体的统计信息。这些统计信息目前未导出到 BigQuery 中的 Google Security Operations events
架构。
丰富的值计算并存储在以下位置: UDM 字段:
实体类型 | UDM 字段 |
---|---|
网域 | entity.domain.first_seen_time entity.domain.last_seen_time |
文件(哈希) | entity.file.first_seen_time entity.file.last_seen_time |
IP 地址 | entity.artifact.first_seen_time entity.artifact.last_seen_time |
素材资源 | entity.asset.first_seen_time |
用户 | entity.user.first_seen_time |
利用地理位置数据丰富活动信息
传入的日志数据可能包含没有对应的外部 IP 地址 位置信息。这在事件记录有关以下内容的信息时很常见: 企业网络中的设备活动。例如,登录 事件都将包含来源或客户端 IP 地址(基于 运营商 NAT 返回的设备的外部 IP 地址。
Google Security Operations 可为外部 IP 地址提供经过地理位置丰富化的数据,以便进行更强大的规则检测,并为调查提供更多背景信息。例如,Google 安全运营团队可能会使用外部 IP 地址来丰富事件,为其添加与国家/地区(例如美国)、特定州(例如阿拉斯加州)以及 IP 地址所在的网络(例如 ASN 和运营商名称)相关的信息。
Google Security Operations 使用 Google 提供的位置数据来提供大致的 IP 地址的地理位置和网络信息。您可以针对事件中的这些字段编写检测引擎规则。经过丰富的事件数据也会导出到 BigQuery,以便在 Google Security Operations 信息中心和报告中使用。
以下 IP 地址未经过扩充:
- RFC 1918 专用 IP 地址空间,因为它们是企业网络内部的。
- RFC 5771 多播 IP 地址空间,因为多播地址不属于单个位置。
- IPv6 唯一本地地址。
- Google Cloud 服务 IP 地址。Google Cloud Compute Engine 属于例外情况 经过扩充的外部 IP 地址
Google Security Operations 使用地理定位数据丰富以下 UDM 字段:
principal
target
src
observer
数据类型 | UDM 字段 |
---|---|
位置(例如,美国) | ( principal | target | src | observer ).ip_geo_artifact.location.country_or_region |
州(例如纽约) | ( principal | target | src | observer ).ip_geo_artifact.location.state |
经度 | ( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.longitude |
纬度 | ( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.latitude |
ASN(自治系统编号) | ( principal | target | src | observer ).ip_geo_artifact.network.asn |
运营商名称 | ( principal | target | src | observer ).ip_geo_artifact.network.carrier_name |
DNS 域名 | ( principal | target | src | observer ).ip_geo_artifact.network.dns_domain |
组织名称 | ( principal | target | src | observer ).ip_geo_artifact.network.organization_name |
以下示例显示了 添加到 UDM 活动,并将 IP 地址标记为荷兰:
UDM 字段 | 值 |
---|---|
principal.ip_geo_artifact.location.country_or_region |
Netherlands |
principal.ip_geo_artifact.location.region_coordinates.latitude |
52.132633 |
principal.ip_geo_artifact.location.region_coordinates.longitude |
5.291266 |
principal.ip_geo_artifact.network.asn |
8455 |
principal.ip_geo_artifact.network.carrier_name |
schuberg philis |
不一致性
Google 专有的 IP 地理位置技术会综合使用网络数据和其他输入和方法,为用户提供 IP 地址位置信息和网络解析。其他组织可能会使用不同的信号或方法,这可能会导致结果有所不同。
如果您发现 Google 提供的 IP 地理位置结果不一致,请创建客户服务支持请求,以便我们展开调查,并在适当情况下更正我们的记录。
利用安全浏览威胁列表中的信息丰富实体
Google Security Operations 会提取与文件哈希相关的安全浏览数据。每个文件的数据均作为实体存储,并提供有关该文件的其他上下文。 分析师可以创建对此实体情境数据进行查询的 Detection Engine 规则,以构建情境感知分析。
以下信息会与实体情境记录一起存储。
UDM 字段 | 说明 |
---|---|
entity.metadata.product_entity_id |
实体的唯一标识符。 |
entity.metadata.entity_type |
此值为 FILE ,表示相应实体用于描述文件。 |
entity.metadata.collected_timestamp |
观察到实体或事件的日期和时间 错误。 |
entity.metadata.interval |
存储此数据有效的开始时间和结束时间。
由于威胁列表的内容会随时间推移而发生变化,因此start_time
end_time 表示的是
实体有效。例如,在 start_time 之间观察到某个文件哈希是恶意的或可疑的 |
entity.metadata.threat.category |
这是 Google Security Operations SecurityCategory 。此值设置为以下一个或多个值:
|
entity.metadata.threat.severity |
这里是 Google Security Operations ProductSeverity 。
如果值为 CRITICAL ,则表示工件似乎是恶意的。
如果未指定该值,则没有足够的置信度来指示
工件是恶意的。
|
entity.metadata.product_name |
存储值 Google Safe Browsing 。 |
entity.file.sha256 |
文件的 SHA256 哈希值。 |
使用 WHOIS 数据丰富实体
Google Security Operations 每天都会提取 WHOIS 数据。在提取传入的客户设备数据期间,Google Security Operations 会根据 WHOIS 数据评估客户数据中的网域。如果有匹配项,Google Security Operations 会将相关 WHOIS 数据存储在域名的实体记录中。对于每个实体
entity.metadata.entity_type = DOMAIN_NAME
,Google Security Operations 可丰富
将来自 WHOIS 的信息与实体相关联。
Google Security Operations 会将丰富的 WHOIS 数据填充到实体记录中的以下字段:
entity.domain.admin.attribute.labels
entity.domain.audit_update_time
entity.domain.billing.attribute.labels
entity.domain.billing.office_address.country_or_region
entity.domain.contact_email
entity.domain.creation_time
entity.domain.expiration_time
entity.domain.iana_registrar_id
entity.domain.name_server
entity.domain.private_registration
entity.domain.registrant.company_name
entity.domain.registrant.office_address.state
entity.domain.registrant.office_address.country_or_region
entity.domain.registrant.email_addresses
entity.domain.registrant.user_display_name
entity.domain.registrar
entity.domain.registry_data_raw_text
entity.domain.status
entity.domain.tech.attribute.labels
entity.domain.update_time
entity.domain.whois_record_raw_text
entity.domain.whois_server
entity.domain.zone
如需了解这些字段的说明,请参阅“统一数据模型字段列表”文档。
注入和存储 Google Cloud 威胁情报数据
Google Security Operations 从 Google Cloud 威胁情报 (GCTI) 中提取数据 数据源,可为您提供相关情境信息,供您在 调查您环境中的活动。您可以查询以下数据源:
- GCTI Tor 退出节点:已知 Tor 退出节点的 IP 地址。
- GCTI 良性二进制文件:属于操作系统一部分的文件 原始发行版或通过官方操作系统补丁进行了更新。 一些已被攻击者滥用的官方操作系统二进制文件 都被排除在 例如那些侧重于初始输入矢量的数据源。
GCTI 远程访问工具:恶意操作者经常使用的文件。 这些工具通常是合法应用,但有时会被滥用来远程连接到已被入侵的系统。
这些环境数据以实体形式全局存储。您可以使用 检测引擎规则。在规则中添加以下 UDM 字段和值,以查询这些全局实体:
graph.metadata.vendor_name
=Google Cloud Threat Intelligence
graph.metadata.product_name
=GCTI Feed
在本文档中,占位符 <variable_name>
表示规则中用于标识 UDM 记录的唯一变量名称。
限时与永久性 Google Cloud 威胁情报数据源
Google Cloud 威胁情报数据源分为限时和永久两种。
有时间戳的数据源会为每个条目关联一个时间范围。也就是说,如果在第 1 天、 那么,在将来的 怀旧之情。
永恒的数据源没有与之关联的时间范围。本次 因为我们只应考虑最新的数据集。不受时间影响的数据源通常用于预计不会发生变化的数据,例如文件哈希。如果第 1 天未生成任何检测,那么在第 2 天进行回溯时,系统可能会在第 1 天生成检测,因为系统添加了新条目。
有关 Tor 退出节点 IP 地址的数据
Google Security Operations 会注入和存储称为 Tor 退出节点的 IP 地址。 Tor 退出节点是流量离开 Tor 网络的点。从此数据源提取的信息存储在以下 UDM 字段中。此来源中的数据已定时。
UDM 字段 | 说明 |
---|---|
<variable_name>.graph.metadata.vendor_name |
存储值 Google Cloud Threat Intelligence 。 |
<variable_name>.graph.metadata.product_name |
存储值 GCTI Feed 。 |
<variable_name>.graph.metadata.threat.threat_feed_name |
存储值 Tor Exit Nodes 。 |
<variable_name>.graph.entity.artifact.ip |
存储从 GCTI 数据源提取的 IP 地址。 |
关于良性操作系统文件的数据
Google Security Operations 会从 GCTI 良性二进制文件中提取并存储文件哈希 数据源。从此数据源提取的信息存储在以下 UDM 字段中。此来源中的数据是永久性的。
UDM 字段 | 说明 |
---|---|
<variable_name>.graph.metadata.vendor_name |
存储值 Google Cloud Threat Intelligence 。 |
<variable_name>.graph.metadata.product_name |
存储值 GCTI Feed 。 |
<variable_name>.graph.metadata.threat.threat_feed_name |
存储值 Benign Binaries 。 |
<variable_name>.graph.entity.file.sha256 |
存储文件的 SHA256 哈希值。 |
<variable_name>.graph.entity.file.sha1 |
存储文件的 SHA1 哈希值。 |
<variable_name>.graph.entity.file.md5 |
存储文件的 MD5 哈希值。 |
有关远程访问工具的数据
远程访问工具包括已知远程访问工具(例如 恶意操作者经常使用的 VNC 客户端。这些工具通常是合法应用,但有时会被滥用来远程连接到已被入侵的系统。从此数据源提取的信息存储在以下位置: 以下 UDM 字段。此来源中的数据不受时间限制。
UDM 字段 | 说明 |
---|---|
存储值 Google Cloud Threat Intelligence 。 |
|
存储值 GCTI Feed 。 |
|
存储值 Remote Access Tools 。 |
|
存储文件的 SHA256 哈希值。 | |
存储文件的 SHA1 哈希值。 | |
存储文件的 MD5 哈希值。 |
使用 VirusTotal 文件元数据丰富事件
Google Security Operations 将文件哈希丰富为 UDM 事件,并提供 背景信息。UDM 事件会在客户环境中通过哈希别名进行丰富处理。哈希别名会组合所有类型的文件哈希,并在搜索期间提供有关文件哈希的信息。
将 VirusTotal 文件元数据和关系丰富功能与 Google SecOps 集成后,您可以识别恶意活动的模式,并跟踪恶意软件在网络中的活动轨迹。
原始日志仅提供有关该文件的有限信息。VirusTotal 为活动锦上添花 文件元数据,用于提供错误哈希的转储以及有关 错误文件。元数据包括文件名、类型、导入的函数和标记等信息。您可以在 UDM 搜索和检测引擎中将这些信息与 YARA-L 结合使用,以了解恶意文件事件,并在威胁搜索期间使用。一个示例用例是检测对原始文件的任何修改 进而导入文件元数据以进行威胁检测。
系统会将以下信息与记录一起存储。如需查看所有 UDM 字段的列表,请参阅统一数据模型字段列表。
数据类型 | UDM 字段 |
---|---|
SHA-256 | ( principal | target | src | observer ).file.sha256 |
MD5 | ( principal | target | src | observer ).file.md5 |
SHA-1 | ( principal | target | src | observer ).file.sha1 |
大小 | ( principal | target | src | observer ).file.size |
Ssdeep | ( principal | target | src | observer ).file.ssdeep |
vhash | ( principal | target | src | observer ).file.vhash |
authentihash | ( principal | target | src | observer ).file.authentihash |
文件类型 | ( principal | target | src | observer ).file.file_type |
标记 | ( principal | target | src | observer ).file.tags |
功能标记 | ( principal | target | src | observer ).file.capabilities_tags |
名称 | ( principal | target | src | observer ).file.names |
首次出现时间 | ( principal | target | src | observer ).file.first_seen_time |
上次出现时间 | ( principal | target | src | observer ).file.last_seen_time |
上次修改时间 | ( principal | target | src | observer ).file.last_modification_time |
上次分析时间 | ( principal | target | src | observer ).file.last_analysis_time |
嵌入式网址 | ( principal | target | src | observer ).file.embedded_urls |
嵌入式 IP | ( principal | target | src | observer ).file.embedded_ips |
嵌入的网域 | ( principal | target | src | observer ).file.embedded_domains |
签名信息 | ( principal | target | src | observer ).file.signature_info |
签名信息
|
( principal | target | src | observer).file.signature_info.sigcheck |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.verification_message |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.verified |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers.name |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers.status |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers.valid_usage |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers.cert_issuer |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509 |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.name |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.algorithm |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.thumprint |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.cert_issuer |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.serial_number |
签名信息
|
( principal | target | src | observer ).file.signature_info.codesign |
签名信息
|
( principal | target | src | observer ).file.signature_info.codesign.id |
签名信息
|
( principal | target | src | observer ).file.signature_info.codesign.format |
签名信息
|
( principal | target | src | observer ).file.signature_info.codesign.compilation_time |
Exiftool 信息 | ( principal | target | src | observer ).file.exif_info |
Exiftool 信息
|
( principal | target | src | observer ).file.exif_info.original_file |
Exiftool 信息
|
( principal | target | src | observer ).file.exif_info.product |
Exiftool 信息
|
( principal | target | src | observer ).file.exif_info.company |
Exiftool 信息
|
( principal | target | src | observer ).file.exif_info.file_description |
Exiftool 信息
|
( principal | target | src | observer ).file.exif_info.entry_point |
Exiftool 信息
|
( principal | target | src | observer ).file.exif_info.compilation_time |
PDF 信息 | ( principal | target | src | observer ).file.pdf_info |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.js |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.javascript |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.launch_action_count |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.object_stream_count |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.endobj_count |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.header |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.acroform |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.autoaction |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.embedded_file |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.encrypted |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.flash |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.jbig2_compression |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.obj_count |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.endstream_count |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.page_count |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.stream_count |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.openaction |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.startxref |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.suspicious_colors |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.trailer |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.xfa |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.xref |
PE 文件元数据 | ( principal | target | src | observer ).file.pe_file |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.imphash |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.entry_point |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.entry_point_exiftool |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.compilation_time |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.compilation_exiftool_time |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.section |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.section.name |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.section.entropy |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.section.raw_size_bytes |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.section.virtual_size_bytes |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.section.md5_hex |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.imports |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.imports.library |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.imports.functions |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.resource |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.resource.sha256_hex |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.resource.filetype_magic |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.resource_language_code |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.resource.entropy |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.resource.file_type |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.resources_type_count_str |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.resources_language_count_str |
使用 VirusTotal 关系数据丰富实体
VirusTotal 可帮助分析可疑文件、网域、IP 地址和网址,以检测恶意软件和其他违规行为,并将检测结果分享给安全社区。Google Security Operations 会从 VirusTotal 相关连接中提取数据。这些数据已存储 作为实体,并提供有关文件哈希值和 IP 地址和网址。
分析人员可以使用这些数据根据信息判断文件哈希是否有误 有关其他来源的网址或域名的信息。这些信息可用于创建对实体情境数据进行查询的 Detection Engine 规则,以构建感知情境的分析。
此数据仅适用于某些 VirusTotal 和 Google Security Operations 许可。 请与您的客户经理确认您的使用权。
实体情境记录中存储以下信息:
UDM 字段 | 说明 |
---|---|
entity.metadata.product_entity_id |
实体的唯一标识符 |
entity.metadata.entity_type |
存储值 FILE ,它表示
entity 用于描述文件 |
entity.metadata.interval |
start_time 是数据有效期的开始时间,end_time 是数据有效期的结束时间 |
entity.metadata.source_labels |
此字段用于存储此实体的 source_id 和 target_id 键值对列表。source_id 是文件哈希,target_id 可以是与此文件相关的网址、网域名称或 IP 地址的哈希值或值。您可以搜索网址、域名
IP 地址或位于 virustotal.com 的文件。 |
entity.metadata.product_name |
存储值“VirusTotal Relationships” |
entity.metadata.vendor_name |
存储值“VirusTotal” |
entity.file.sha256 |
存储文件的 SHA-256 哈希值 |
entity.file.relations |
作为父实体的子实体的列表 与文件实体相关 |
entity.relations.relationship |
此字段说明父实体与子实体之间的关系类型。
值可以是 EXECUTES 、DOWNLOADED_FROM 或 CONTACTS 。 |
entity.relations.direction |
存储值“UNIDIRECTIONAL”并指示关系的方向 包含子实体 |
entity.relations.entity.url |
父实体中的文件联系到的网址(如果父实体与网址之间的关系为 CONTACTS ),或父实体中的文件的下载网址(如果父实体与网址之间的关系为 DOWNLOADED_FROM )。 |
entity.relations.entity.ip |
从命令行访问该文件的 IP 地址列表 或下载自 它只包含一个 IP 地址。 |
entity.relations.entity.domain.name |
父实体联系人中文件或下载后的文件的域名 来自 |
entity.relations.entity.file.sha256 |
存储关系中文件的 SHA-256 哈希值 |
entity.relations.entity_type |
此字段包含关系中的实体类型。该值可以是
URL 、DOMAIN_NAME 、IP_ADDRESS 或
FILE 。这些字段的填充依据是
entity_type 。例如,如果 entity_type 为 URL ,
系统会填充 entity.relations.entity.url 。 |
后续步骤
如需了解如何将经过丰富的数据与其他 Google 安全运营功能搭配使用,请参阅以下内容: