In che modo Google Security Operations arricchisce i dati di eventi ed entità
Questo documento descrive in che modo Google Security Operations arricchisce i dati e Campi Unified Data Model (UDM) in cui sono archiviati i dati.
Per consentire un'indagine sulla sicurezza, Google Security Operations importa dati contestuali provenienti da fonti diverse, esegue analisi sui dati e fornisce contesto sugli artefatti in un ambiente del cliente. Gli analisti possono usare le risorse dati estesi su regole di Detection Engine, ricerche investigative o report.
Google Security Operations esegue i seguenti tipi di arricchimento:
- Arricchisce le entità utilizzando il grafico delle entità e l'unione.
- Calcola e arricchisce ogni entità con una statistica di prevalenza che indica la sua popolarità nell'ambiente.
- Calcola la prima volta in cui determinati tipi di entità sono stati rilevati nell'ambiente o l'ora più recente.
- Arricchisce le entità con informazioni provenienti dagli elenchi delle minacce di Navigazione sicura.
- Arricchisce gli eventi con i dati di geolocalizzazione.
- Arricchisce le entità con i dati WHOIS.
- Arricchisce gli eventi con i metadati dei file di VirusTotal.
- Arricchisce le entità con i dati sulle relazioni di VirusTotal.
- Importa e archivia i dati di Google Cloud Threat Intelligence.
Dati più approfonditi provenienti da WHOIS, Navigazione sicura, GCTI Threat Intelligence,
I metadati di VirusTotal e la relazione di VirusTotal sono identificati da event_type
, product_name
,
e vendor_name
. Quando crei una regola che utilizza questi dati estesi, ti consigliamo
includere un filtro nella regola che identifichi lo specifico
di arricchimento da includere. Questo filtro consente di migliorare le prestazioni della regola.
Ad esempio, includi i seguenti campi filtro nella sezione events
della
che unisce i dati WHOIS.
$enrichment.graph.metadata.entity_type = "DOMAIN_NAME"
$enrichment.graph.metadata.product_name = "WHOISXMLAPI Simple Whois"
$enrichment.graph.metadata.vendor_name = "WHOIS"
Arricchisci le entità utilizzando il grafico delle entità e unendole
Il grafico delle entità identifica le relazioni tra entità e risorse nel tuo ambiente. Quando entità provenienti da origini diverse vengono importate in Google Security Operations, il grafico delle entità mantiene un elenco di adiacenza in base alla relazione tra le entità. Il grafico delle entità esegue l'arricchimento del contesto eseguendo la deduplicazione e l'unione.
Durante la deduplicazione, i dati ridondanti vengono eliminati e vengono creati intervalli per creare
un'entità comune. Ad esempio, considera due entità e1
e e2
con timestamp t1
e t2
rispettivamente. Le entità e1
e e2
sono deduplicate e i timestamp
diversi non vengono usati durante la deduplicazione. I seguenti campi non sono
utilizzato durante la deduplicazione:
collected_timestamp
creation_timestamp
interval
Durante l'unione, le relazioni tra le entità vengono formate per un intervallo di tempo
un giorno. Ad esempio, considera un record di entità di user A
che ha accesso a un Cloud Storage
di sincronizzare la directory di una VM
con un bucket. Esiste un altro record dell'entità di user A
che possiede un dispositivo. Dopo l'unione,
queste due entità generano una singola entità user A
con due relazioni. Una relazione
è che user A
ha accesso al bucket Cloud Storage e all'altra relazione
è che il dispositivo è di proprietà di user A
. Google Security Operations esegue una finestra temporale di cinque giorni
vengono creati i dati sul contesto dell'entità. In questo modo vengono gestiti i dati arrivati in ritardo e viene creato
la durata (TTL) dei dati di contesto
dell'entità.
Google Security Operations utilizza l'aliasing per arricchire i dati di telemetria e utilizza i grafici delle entità per arricchire le entità. Le regole del motore di rilevamento uniscono le entità unite a dati di telemetria estesi per fornire analisi sensibili al contesto.
Un evento che contiene un nome entità viene considerato come un'entità. Ecco alcuni esempi tipi di evento e i tipi di entità corrispondenti:
ASSET_CONTEXT
corrisponde aASSET
.RESOURCE_CONTEXT
corrisponde aRESOURCE
.USER_CONTEXT
corrisponde aUSER
.GROUP_CONTEXT
corrisponde aGROUP
.
Il grafico delle entità distingue tra dati contestuali e indicatori di compromissione (IOC) utilizzando le informazioni sulle minacce.
Quando utilizzi dati arricchiti in base al contesto, considera il seguente comportamento del grafico delle entità:
- Non aggiungere intervalli nell'entità, ma lascia che sia il grafico dell'entità per creare intervalli. Questo perché gli intervalli vengono generati durante la deduplicazione a meno che altrimenti specificato.
- Se gli intervalli vengono specificati, solo gli stessi eventi vengono deduplicati e viene mantenuta l'entità più recente.
- Per garantire che le regole in tempo reale e la ricerca retroattiva funzionino come previsto, le entità devono essere importate almeno una volta al giorno.
- Se le entità non vengono importate quotidianamente, ma solo una volta in due o più giorni, le regole in tempo reale potrebbero funzionare come previsto, tuttavia, le retroHunt potrebbero perdere il contesto dell'evento.
- Se le entità vengono importate più di una volta al giorno, vengono deduplicate a una singola entità.
- Se i dati sugli eventi non sono disponibili per un giorno, quelli del giorno precedente vengono utilizzati temporaneamente per assicurarti che le regole attive funzionino correttamente.
Il grafico delle entità unisce anche gli eventi con identificatori simili per ottenere un insieme vista dei dati. Questa unione avviene in base al seguente elenco di identificatori:
Asset
entity.asset.product_object_id
entity.asset.hostname
entity.asset.asset_id
entity.asset.mac
User
entity.user.product_object_id
entity.user.userid
entity.user.windows_sid
entity.user.email_addresses
entity.user.employee_id
Resource
entity.resource.product_object_id
entity.resource.name
Group
entity.group.product_object_id
entity.group.email_addresses
entity.group.windows_sid
Calcolare le statistiche di prevalenza
Google Security Operations esegue analisi statistiche sui dati esistenti e in arrivo e arricchisce i record di contesto delle entità con metriche relative alla prevalenza.
La prevalenza è un valore numerico che indica la popolarità di un'entità.
La popolarità è definita dal numero di asset che accedono a un artefatto, come un
dominio, hash del file o indirizzo IP. Più grande è il numero, più popolare è l'entità.
Ad esempio, google.com
ha valori di prevalenza elevati perché sono
consultato di frequente. Se si accede a un dominio raramente, avrà un
dei loro valori di prevalenza. Le entità più popolari di solito hanno meno probabilità di essere dannose.
Questi valori estesi sono supportati per dominio, IP e file (hash). I valori vengono calcolate e archiviate nei campi seguenti.
Le statistiche di prevalenza per ciascuna entità vengono aggiornate quotidianamente. I valori vengono archiviati in un contesto entità separato che può essere usato da Detection Engine, ma non viene mostrato nelle visualizzazioni investigative e nella ricerca UDM di Google Security Operations.
I seguenti campi possono essere utilizzati durante la creazione di regole di Detection Engine.
Tipo di entità | Campi UDM |
---|---|
Dominio | entity.domain.prevalence.day_count
entity.domain.prevalence.day_max
entity.domain.prevalence.day_max_sub_domains
entity.domain.prevalence.rolling_max
entity.domain.prevalence.rolling_max_sub_domains |
File (hash) | entity.file.prevalence.day_count
entity.file.prevalence.day_max
entity.file.prevalence.rolling_max |
Indirizzo IP | entity.artifact.prevalence.day_count
entity.artifact.prevalence.day_max
entity.artifact.prevalence.rolling_max |
I valori day_max e rolling_max vengono calcolati in modo diverso. I campi sono calcolato come segue:
- Il valore
day_max
viene calcolato come punteggio di prevalenza massimo per l'artefatto durante il giorno, dove un giorno è definito dalle ore 00:00:00 alle ore 23:59:59 UTC. - Il valore
rolling_max
è il punteggio di prevalenza massimo giornaliero (ad es.day_max
) per l'artefatto nel periodo di 10 giorni precedente. day_count
viene utilizzato per calcolarerolling_max
ed è sempre il valore 10.
Quando viene calcolata per un dominio, la differenza tra day_max
e day_max_sub_domains
(e rolling_max
rispetto a rolling_max_sub_domains
) è la seguente:
rolling_max
eday_max
rappresentano il numero di indirizzi IP interni univoci giornalieri che accede a un determinato dominio (esclusi i sottodomini).rolling_max_sub_domains
eday_max_sub_domains
rappresentano il numero di valori univoci indirizzi IP interni che accedono a un determinato dominio (inclusi i sottodomini).
Le statistiche di prevalenza vengono calcolate sui dati delle entità appena importati. I calcoli non sono eseguite in modo retroattivo sui dati importati in precedenza. Ci vogliono circa 36 ore necessarie per il calcolo e l'archiviazione delle statistiche.
Calcolare l'ora di prima e di ultima visualizzazione delle entità
Google Security Operations esegue analisi statistiche sui dati in entrata e arricchisce l'entità
record di contesto con l'ora della prima e dell'ultima occorrenza di un'entità. first_seen_time
memorizza la data e l'ora della prima visualizzazione dell'entità nel cliente
completamente gestito di Google Cloud. Il campo last_seen_time
memorizza la data e l'ora dell'ultimo
osservazione.
Poiché più indicatori (campi UDM) possono identificare una risorsa o un utente, il primo accesso è la prima volta che viene visualizzato uno qualsiasi degli indicatori che identificano l'utente o l'asset nell'ambiente del cliente.
Tutti i campi UDM che descrivono di una risorsa sono i seguenti:
entity.asset.hostname
entity.asset.ip
entity.asset.mac
entity.asset.asset_id
entity.asset.product_object_id
Tutti i campi UDM che descrivono un sono i seguenti:
entity.user.windows_sid
entity.user.product_object_id
entity.user.userid
entity.user.employee_id
entity.user.email_addresses
Il momento del primo e dell’ultimo accesso consentono a un analista di correlare attività che si sono verificate dopo che un dominio, un file (hash), un asset, un utente o un indirizzo IP sono stati rilevato per la prima volta o che non si sono più verificati dopo il dominio, il file (hash) o l'indirizzo IP visto l'ultima volta.
I campi first_seen_time
e last_seen_time
sono compilati con entità che
descrivono un dominio, un indirizzo IP e un file (hash). Per le entità che descrivono un utente
o asset, viene compilato solo il campo first_seen_time
. Questi valori non sono
calcolate per entità che descrivono altri tipi, ad esempio un gruppo o una risorsa.
Le statistiche vengono calcolate per ciascuna entità in tutti gli spazi dei nomi.
Google Security Operations non calcola le statistiche per ogni entità all'interno dei singoli spazi dei nomi.
Al momento queste statistiche non vengono esportate nello schema events
di Google Security Operations in BigQuery.
I valori estesi vengono calcolati e archiviati Campi UDM:
Tipo di entità | Campi UDM |
---|---|
Dominio | entity.domain.first_seen_time entity.domain.last_seen_time |
File (hash) | entity.file.first_seen_time entity.file.last_seen_time |
Indirizzo IP | entity.artifact.first_seen_time entity.artifact.last_seen_time |
Asset | entity.asset.first_seen_time |
Utente | entity.user.first_seen_time |
Arricchisci gli eventi con i dati di geolocalizzazione
I dati di log in entrata possono includere indirizzi IP esterni senza i dati sulla posizione. Si tratta di una situazione comune quando un evento registra informazioni su attività del dispositivo che non fanno parte di una rete aziendale. Ad esempio, un login a un servizio cloud conterrà un indirizzo IP di origine o client basato su l'indirizzo IP esterno di un dispositivo restituito dal NAT dell'operatore.
Google Security Operations fornisce dati arricchiti di geolocalizzazione per gli indirizzi IP esterni per consentire rilevamenti più efficaci delle regole e un maggiore contesto. per le indagini. Ad esempio, Google Security Operations potrebbe utilizzare un indirizzo IP esterno per arricchire l'evento con informazioni sul paese (ad es. Stati Uniti), su uno stato specifico (ad es. Alaska), e la rete in cui si trova l'indirizzo IP (ad esempio l'ASN e il nome dell'operatore).
Google Security Operations utilizza i dati sulla posizione forniti da Google per fornire una stima approssimativa sulla posizione geografica e sulle informazioni di rete per un indirizzo IP. Puoi scrivere regole di Detection Engine questi campi negli eventi. Anche i dati sugli eventi estesi vengono esportati in BigQuery in cui può essere utilizzata nelle dashboard e nei report di Google Security Operations.
I seguenti indirizzi IP non sono arricchiti:
- Spazi di indirizzi IP privati RFC 1918 perché sono interni alla rete aziendale.
- Spazio di indirizzi IP multicast RFC 5771 perché gli indirizzi multicast non appartengono a una singola località.
- Indirizzi locali univoci IPv6.
- degli indirizzi IP dei servizi Google Cloud. Le eccezioni sono: Google Cloud Compute Engine e gli indirizzi IP esterni, che sono arricchiti.
Google Security Operations arricchisce i seguenti campi UDM con dati di geolocalizzazione:
principal
target
src
observer
Tipo di dati | Campo UDM |
---|---|
Località (ad es. Stati Uniti) | ( principal | target | src | observer ).ip_geo_artifact.location.country_or_region |
Stato (ad es. New York) | ( principal | target | src | observer ).ip_geo_artifact.location.state |
Longitudine | ( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.longitude |
Latitudine | ( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.latitude |
ASN (Autonomous System Number) | ( principal | target | src | observer ).ip_geo_artifact.network.asn |
Nome del vettore | ( principal | target | src | observer ).ip_geo_artifact.network.carrier_name |
Dominio DNS | ( principal | target | src | observer ).ip_geo_artifact.network.dns_domain |
Nome dell'organizzazione | ( principal | target | src | observer ).ip_geo_artifact.network.organization_name |
L'esempio seguente mostra il tipo di informazioni geografiche che verrebbero aggiunto a un evento UDM con un indirizzo IP codificato nei Paesi Bassi:
Campo UDM | Valore |
---|---|
principal.ip_geo_artifact.location.country_or_region |
Netherlands |
principal.ip_geo_artifact.location.region_coordinates.latitude |
52.132633 |
principal.ip_geo_artifact.location.region_coordinates.longitude |
5.291266 |
principal.ip_geo_artifact.network.asn |
8455 |
principal.ip_geo_artifact.network.carrier_name |
schuberg philis |
Incoerenze
La tecnologia di geolocalizzazione degli IP di proprietà di Google utilizza una combinazione di dati di networking e altri input e per fornire ai nostri utenti la posizione dell'indirizzo IP e la risoluzione di rete. Altre organizzazioni potrebbero utilizzare indicatori o metodi diversi, che a volte potrebbero portare a risultati diversi.
Se si verificano i casi in cui si verificano incoerenze nella i risultati di geolocalizzazione degli IP forniti da Google, apri una richiesta di assistenza clienti, per consentirci di effettuare accertamenti e, se opportuno, correggere i dati in nostro possesso.
Arricchisci le entità con informazioni provenienti dagli elenchi delle minacce di Navigazione sicura
Google Security Operations importa da Navigazione sicura i dati relativi agli hash dei file. I dati di ogni file vengono archiviati come entità e forniscono un contesto aggiuntivo sul file. Gli analisti possono creare regole di Detection Engine che eseguono query su questa entità dati di contesto per creare analisi sensibili al contesto.
Le seguenti informazioni vengono archiviate con il record di contesto dell'entità.
Campo UDM | Descrizione |
---|---|
entity.metadata.product_entity_id |
Un identificatore univoco dell'entità. |
entity.metadata.entity_type |
Questo valore è FILE e indica che l'entità descrive un file.
|
entity.metadata.collected_timestamp |
La data e l'ora in cui l'entità è stata osservata o l'evento si è verificato un errore. |
entity.metadata.interval |
Archivia l'ora di inizio e l'ora di fine in cui questi dati sono validi.
Poiché i contenuti dell'elenco delle minacce cambiano nel tempo, start_time
e end_time riflette l'intervallo di tempo durante il quale i dati sul
l'entità è valida. Ad esempio, è stato osservato che un hash del file
dannoso o sospetto tra start_time |
entity.metadata.threat.category |
Questo è Google Security Operations SecurityCategory . Impostato
a uno o più dei seguenti valori:
|
entity.metadata.threat.severity |
Questo è Google Security Operations ProductSeverity .
Se il valore è CRITICAL , significa che l'elemento sembra dannoso.
Se il valore non viene specificato, non c'è abbastanza confidenza per indicare che il valore
artefatto è dannoso.
|
entity.metadata.product_name |
Memorizza il valore Google Safe Browsing . |
entity.file.sha256 |
Il valore hash SHA256 per il file. |
Arricchisci le entità con i dati WHOIS
Google Security Operations importa ogni giorno i dati WHOIS. Durante l'importazione dei messaggi in entrata
Dati dei dispositivi dei clienti, Google Security Operations valuta i domini nei dati dei clienti
rispetto ai dati WHOIS. Quando viene trovata una corrispondenza, Google Security Operations archivia il
i dati WHOIS correlati con il record dell'entità per il dominio. Per ogni entità,
dove entity.metadata.entity_type = DOMAIN_NAME
, Google Security Operations arricchisce
con le informazioni provenienti da WHOIS.
Google Security Operations inserisce i dati WHOIS estesi nei seguenti campi del record dell'entità:
entity.domain.admin.attribute.labels
entity.domain.audit_update_time
entity.domain.billing.attribute.labels
entity.domain.billing.office_address.country_or_region
entity.domain.contact_email
entity.domain.creation_time
entity.domain.expiration_time
entity.domain.iana_registrar_id
entity.domain.name_server
entity.domain.private_registration
entity.domain.registrant.company_name
entity.domain.registrant.office_address.state
entity.domain.registrant.office_address.country_or_region
entity.domain.registrant.email_addresses
entity.domain.registrant.user_display_name
entity.domain.registrar
entity.domain.registry_data_raw_text
entity.domain.status
entity.domain.tech.attribute.labels
entity.domain.update_time
entity.domain.whois_record_raw_text
entity.domain.whois_server
entity.domain.zone
Per una descrizione di questi campi, consulta Documento con l'elenco dei campi del modello dei dati unificato.
Importa e archivia i dati di Google Cloud Threat Intelligence
Google Security Operations importa i dati da Google Cloud Threat Intelligence (GCTI) origini dati che forniscono informazioni contestuali che puoi utilizzare delle attività nel tuo ambiente. Puoi eseguire query sulle seguenti origini dati:
- Nodi di uscita di GCTI Tor: indirizzi IP che sono nodi di uscita noti di Tor.
- Binari benigni di GCTI: file che fanno parte del sistema operativo distribuzione originale o aggiornati da una patch ufficiale del sistema operativo. Alcuni file binari ufficiali di sistemi operativi utilizzati in modo illecito da un avversario attraverso le attività comuni negli attacchi "live-off-the-land", siano esclusi da questo ad esempio quelli incentrati sui vettori di ingresso iniziale.
GCTI Remote Access Tools: file che sono stati utilizzati spesso da utenti malintenzionati. Questi strumenti sono generalmente applicazioni legittime che a volte vengono utilizzate in modo illecito per connettersi da remoto ai sistemi compromessi.
Questi dati contestuali vengono archiviati a livello globale come entità. Puoi eseguire query sui dati utilizzando delle regole del motore di rilevamento. Includi i seguenti campi e valori UDM nella regola per eseguire query su queste entità globali:
graph.metadata.vendor_name
=Google Cloud Threat Intelligence
graph.metadata.product_name
=GCTI Feed
In questo documento, il segnaposto <variable_name>
rappresenta il nome univoco della variabile
utilizzata in una regola per identificare un record UDM.
Origini dati di Google Cloud Threat Intelligence a confronto con quelle intramontabili
Le origini dati di Google Cloud Threat Intelligence sono a tempo o senza tempo.
Le origini dati a tempo hanno un intervallo di tempo associato a ogni . Ciò significa che se un rilevamento viene generato il giorno 1, in qualsiasi giorno della in futuro si prevede che verrà generato lo stesso rilevamento per il giorno 1 durante la caccia ai retroscena.
Alle origini dati senza tempo non è associato alcun intervallo di tempo. Questo perché è importante considerare solo l'ultimo set di dati. Senza tempo Le origini dati vengono utilizzate spesso per dati come hash di file che non sono previsti per cambiare. Se il giorno 1 non viene generato alcun rilevamento, il giorno 2 potrebbe essere generate per il giorno 1 durante una ricerca retroattiva perché è stata aggiunta una nuova voce.
Dati sugli indirizzi IP dei nodi di uscita di Tor
Google Security Operations importa e archivia gli indirizzi IP che sono nodi di uscita Tor noti. I nodi di uscita Tor sono i punti in cui il traffico esce dalla rete Tor. Informazioni importate di questa origine dati viene archiviata nei seguenti campi UDM. I dati in questa origine sono a tempo.
Campo UDM | Descrizione |
---|---|
<variable_name>.graph.metadata.vendor_name |
Memorizza il valore Google Cloud Threat Intelligence . |
<variable_name>.graph.metadata.product_name |
Memorizza il valore GCTI Feed . |
<variable_name>.graph.metadata.threat.threat_feed_name |
Memorizza il valore Tor Exit Nodes . |
<variable_name>.graph.entity.artifact.ip |
Archivia l'indirizzo IP importato dall'origine dati GCTI. |
Dati relativi a file innocui del sistema operativo
Google Security Operations importa e archivia gli hash dei file dai programmi binari GCTI Benign origine dati. Le informazioni importate da questa origine dati vengono archiviate nei seguenti campi UDM. I dati di questa origine non hanno tempo.
Campo UDM | Descrizione |
---|---|
<variable_name>.graph.metadata.vendor_name |
Memorizza il valore Google Cloud Threat Intelligence . |
<variable_name>.graph.metadata.product_name |
Memorizza il valore GCTI Feed . |
<variable_name>.graph.metadata.threat.threat_feed_name |
Memorizza il valore Benign Binaries . |
<variable_name>.graph.entity.file.sha256 |
Archivia il valore hash SHA256 del file. |
<variable_name>.graph.entity.file.sha1 |
Archivia il valore hash SHA1 del file. |
<variable_name>.graph.entity.file.md5 |
Archivia il valore hash MD5 del file. |
Dati sugli strumenti di accesso remoto
Gli strumenti di accesso remoto includono hash di file per gli strumenti di accesso remoto noti come Client VNC utilizzati di frequente da malintenzionati. Questi strumenti applicazioni generalmente legittime che a volte vengono utilizzate in modo illecito per connettersi da remoto a sistemi compromessi. Le informazioni importate da questa origine dati vengono archiviate in i seguenti campi UDM. I dati di questa origine non hanno tempo.
Campo UDM | Descrizione |
---|---|
Memorizza il valore Google Cloud Threat Intelligence . |
|
Memorizza il valore GCTI Feed . |
|
Memorizza il valore Remote Access Tools . |
|
Archivia il valore hash SHA256 del file. | |
Archivia il valore hash SHA1 del file. | |
Archivia il valore hash MD5 del file. |
Arricchisci gli eventi con i metadati dei file di VirusTotal
Google Security Operations arricchisce gli hash dei file in eventi UDM e fornisce contesto durante un'indagine. Gli eventi UDM vengono arricchiti attraverso l'aliasing di hash in un ambiente del cliente. L'aliasing degli hash combina tutti i tipi di hash di file e fornisce informazioni sull'hash di un file durante una ricerca.
L'integrazione dei metadati dei file di VirusTotal e l'arricchimento delle relazioni con Google SecOps può essere utilizzato per identificare schemi di attività dannose e tenere traccia dei movimenti del malware attraverso una rete.
Un log non elaborato fornisce informazioni limitate sul file. VirusTotal arricchisce l'evento con metadati di file per fornire un dump di hash non validi insieme ai metadati sul non valido. I metadati includono informazioni quali nomi di file, tipi, funzioni e tag. Puoi usare queste informazioni nella ricerca e nel rilevamento UDM con YARA-L per comprendere gli eventi non validi dei file e in generale durante le minacce caccia. Un caso d'uso di esempio è rilevare eventuali modifiche al file originale che, a sua volta, importerebbe i metadati del file per il rilevamento delle minacce.
Le seguenti informazioni vengono memorizzate insieme al record. Per un elenco di tutti i campi UDM, vedi Elenco dei campi del modello di dati unificato.
Tipo di dati | Campo UDM |
---|---|
SHA-256 | ( principal | target | src | observer ).file.sha256 |
MD5 | ( principal | target | src | observer ).file.md5 |
SHA-1 | ( principal | target | src | observer ).file.sha1 |
Dimensioni | ( principal | target | src | observer ).file.size |
SS | ( principal | target | src | observer ).file.ssdeep |
vhash | ( principal | target | src | observer ).file.vhash |
authentihash | ( principal | target | src | observer ).file.authentihash |
Tipo di file | ( principal | target | src | observer ).file.file_type |
Tag | ( principal | target | src | observer ).file.tags |
Tag delle funzionalità | ( principal | target | src | observer ).file.capabilities_tags |
Nomi | ( principal | target | src | observer ).file.names |
Data/ora prima visualizzazione | ( principal | target | src | observer ).file.first_seen_time |
Data/ora ultimo accesso | ( principal | target | src | observer ).file.last_seen_time |
Data/ora ultima modifica | ( principal | target | src | observer ).file.last_modification_time |
Data/ora ultima analisi | ( principal | target | src | observer ).file.last_analysis_time |
URL incorporati | ( principal | target | src | observer ).file.embedded_urls |
IP incorporati | ( principal | target | src | observer ).file.embedded_ips |
Domini incorporati | ( principal | target | src | observer ).file.embedded_domains |
Informazioni sulla firma | ( principal | target | src | observer ).file.signature_info |
Informazioni sulla firma
|
( principal | target | src | observer).file.signature_info.sigcheck |
Informazioni sulla firma
|
( principal | target | src | observer ).file.signature_info.sigcheck.verification_message |
Informazioni sulla firma
|
( principal | target | src | observer ).file.signature_info.sigcheck.verified |
Informazioni sulla firma
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers |
Informazioni sulla firma
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers.name |
Informazioni sulla firma
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers.status |
Informazioni sulla firma
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers.valid_usage |
Informazioni sulla firma
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers.cert_issuer |
Informazioni sulla firma
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509 |
Informazioni sulla firma
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.name |
Informazioni sulla firma
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.algorithm |
Informazioni sulla firma
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.thumprint |
Informazioni sulla firma
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.cert_issuer |
Informazioni sulla firma
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.serial_number |
Informazioni sulla firma
|
( principal | target | src | observer ).file.signature_info.codesign |
Informazioni sulla firma
|
( principal | target | src | observer ).file.signature_info.codesign.id |
Informazioni sulla firma
|
( principal | target | src | observer ).file.signature_info.codesign.format |
Informazioni sulla firma
|
( principal | target | src | observer ).file.signature_info.codesign.compilation_time |
Informazioni su Exiftool | ( principal | target | src | observer ).file.exif_info |
Informazioni su Exiftool
|
( principal | target | src | observer ).file.exif_info.original_file |
Informazioni su Exiftool
|
( principal | target | src | observer ).file.exif_info.product |
Informazioni su Exiftool
|
( principal | target | src | observer ).file.exif_info.company |
Informazioni su Exiftool
|
( principal | target | src | observer ).file.exif_info.file_description |
Informazioni su Exiftool
|
( principal | target | src | observer ).file.exif_info.entry_point |
Informazioni su Exiftool
|
( principal | target | src | observer ).file.exif_info.compilation_time |
Informazioni sul PDF | ( principal | target | src | observer ).file.pdf_info |
Informazioni sul PDF
|
( principal | target | src | observer ).file.pdf_info.js |
Informazioni sul PDF
|
( principal | target | src | observer ).file.pdf_info.javascript |
Informazioni sul PDF
|
( principal | target | src | observer ).file.pdf_info.launch_action_count |
Informazioni sul PDF
|
( principal | target | src | observer ).file.pdf_info.object_stream_count |
Informazioni sul PDF
|
( principal | target | src | observer ).file.pdf_info.endobj_count |
Informazioni sul PDF
|
( principal | target | src | observer ).file.pdf_info.header |
Informazioni sul PDF
|
( principal | target | src | observer ).file.pdf_info.acroform |
Informazioni sul PDF
|
( principal | target | src | observer ).file.pdf_info.autoaction |
Informazioni sul PDF
|
( principal | target | src | observer ).file.pdf_info.embedded_file |
Informazioni sul PDF
|
( principal | target | src | observer ).file.pdf_info.encrypted |
Informazioni sul PDF
|
( principal | target | src | observer ).file.pdf_info.flash |
Informazioni sul PDF
|
( principal | target | src | observer ).file.pdf_info.jbig2_compression |
Informazioni sul PDF
|
( principal | target | src | observer ).file.pdf_info.obj_count |
Informazioni sul PDF
|
( principal | target | src | observer ).file.pdf_info.endstream_count |
Informazioni sul PDF
|
( principal | target | src | observer ).file.pdf_info.page_count |
Informazioni sul PDF
|
( principal | target | src | observer ).file.pdf_info.stream_count |
Informazioni sul PDF
|
( principal | target | src | observer ).file.pdf_info.openaction |
Informazioni sul PDF
|
( principal | target | src | observer ).file.pdf_info.startxref |
Informazioni sul PDF
|
( principal | target | src | observer ).file.pdf_info.suspicious_colors |
Informazioni sul PDF
|
( principal | target | src | observer ).file.pdf_info.trailer |
Informazioni sul PDF
|
( principal | target | src | observer ).file.pdf_info.xfa |
Informazioni sul PDF
|
( principal | target | src | observer ).file.pdf_info.xref |
Metadati dei file PE | ( principal | target | src | observer ).file.pe_file |
Metadati dei file PE
|
( principal | target | src | observer ).file.pe_file.imphash |
Metadati dei file PE
|
( principal | target | src | observer ).file.pe_file.entry_point |
Metadati dei file PE
|
( principal | target | src | observer ).file.pe_file.entry_point_exiftool |
Metadati dei file PE
|
( principal | target | src | observer ).file.pe_file.compilation_time |
Metadati dei file PE
|
( principal | target | src | observer ).file.pe_file.compilation_exiftool_time |
Metadati dei file PE
|
( principal | target | src | observer ).file.pe_file.section |
Metadati dei file PE
|
( principal | target | src | observer ).file.pe_file.section.name |
Metadati dei file PE
|
( principal | target | src | observer ).file.pe_file.section.entropy |
Metadati dei file PE
|
( principal | target | src | observer ).file.pe_file.section.raw_size_bytes |
Metadati dei file PE
|
( principal | target | src | observer ).file.pe_file.section.virtual_size_bytes |
Metadati dei file PE
|
( principal | target | src | observer ).file.pe_file.section.md5_hex |
Metadati dei file PE
|
( principal | target | src | observer ).file.pe_file.imports |
Metadati dei file PE
|
( principal | target | src | observer ).file.pe_file.imports.library |
Metadati dei file PE
|
( principal | target | src | observer ).file.pe_file.imports.functions |
Metadati dei file PE
|
( principal | target | src | observer ).file.pe_file.resource |
Metadati dei file PE
|
( principal | target | src | observer ).file.pe_file.resource.sha256_hex |
Metadati dei file PE
|
( principal | target | src | observer ).file.pe_file.resource.filetype_magic |
Metadati dei file PE
|
( principal | target | src | observer ).file.pe_file.resource_language_code |
Metadati dei file PE
|
( principal | target | src | observer ).file.pe_file.resource.entropy |
Metadati dei file PE
|
( principal | target | src | observer ).file.pe_file.resource.file_type |
Metadati dei file PE
|
( principal | target | src | observer ).file.pe_file.resources_type_count_str |
Metadati dei file PE
|
( principal | target | src | observer ).file.pe_file.resources_language_count_str |
Arricchisci le entità con i dati sulle relazioni di VirusTotal
VirusTotal consente di analizzare file, domini, indirizzi IP e URL sospetti per rilevare malware e altre violazioni e condividere i risultati con la comunità della sicurezza. Google Security Operations importa i dati dalle connessioni correlate a VirusTotal. Questi dati vengono archiviati come entità e fornisce informazioni sulla relazione tra hash dei file e file, domini, indirizzi IP e URL.
Gli analisti possono utilizzare questi dati per determinare se l'hash di un file è errato in base alle informazioni sull'URL o sul dominio da altre fonti. Queste informazioni possono essere utilizzate per creare Regole di Detection Engine che eseguono query sui dati di contesto dell'entità per creare analisi sensibili al contesto.
Questi dati sono disponibili solo per determinate licenze di VirusTotal e Google Security Operations. Verifica la presenza di diritti con il tuo account manager.
Le seguenti informazioni vengono archiviate con il record di contesto dell'entità:
Campo UDM | Descrizione |
---|---|
entity.metadata.product_entity_id |
Un identificatore univoco dell'entità |
entity.metadata.entity_type |
Memorizza il valore FILE , che indica che il valore
o entità descrive un file |
entity.metadata.interval |
start_time si riferisce all'inizio di
ora e end_time è la fine dell'ora per cui i dati sono validi |
entity.metadata.source_labels |
Questo campo archivia un elenco di coppie chiave/valore di source_id e
target_id per questa entità. source_id è l'hash del file
e target_id può essere un hash o un valore dell'URL, del nome di dominio o dell'IP
a cui è correlato questo file. Puoi cercare l'URL, il nome di dominio
indirizzo IP o file all'indirizzo virustotal.com. |
entity.metadata.product_name |
Memorizza il valore "VirusTotal Relationships" |
entity.metadata.vendor_name |
Memorizza il valore "VirusTotal" |
entity.file.sha256 |
Archivia il valore hash SHA-256 per il file |
entity.file.relations |
Un elenco di entità secondarie l'entità del file è correlata |
entity.relations.relationship |
Questo campo spiega il tipo di relazione tra le entità principali e secondarie.
Il valore può essere EXECUTES , DOWNLOADED_FROM o
CONTACTS . |
entity.relations.direction |
Archivia il valore "UNIDIRECTIONAL" e indica la direzione della relazione con l'entità secondaria |
entity.relations.entity.url |
L'URL con cui contatta il file nell'entità padre (se la relazione tra
l'entità padre e l'URL è CONTACTS ) o l'URL da cui
è stato scaricato il file nell'entità padre (se la relazione tra l'entità
e l'URL è DOWNLOADED_FROM ). |
entity.relations.entity.ip |
Un elenco di indirizzi IP a cui il file nei contatti dell'entità padre o che è stata scaricata da Contiene solo un indirizzo IP. |
entity.relations.entity.domain.name |
Il nome di dominio che il file dell'entità padre contatta o è stato scaricato da |
entity.relations.entity.file.sha256 |
Archivia il valore hash SHA-256 del file nella relazione |
entity.relations.entity_type |
Questo campo contiene il tipo di entità nella relazione. Il valore può essere
URL , DOMAIN_NAME , IP_ADDRESS o
FILE . Questi campi vengono compilati in base alla
entity_type . Ad esempio, se entity_type è URL ,
il valore entity.relations.entity.url sarà compilato. |
Passaggi successivi
Per informazioni su come utilizzare i dati estesi con altre operazioni di sicurezza di Google vedi le funzioni seguenti: