So erweitert Google Security Operations Ereignis- und Entitätsdaten

In diesem Dokument wird beschrieben, wie Google Security Operations Daten und die Felder Unified Data Model (UDM), in denen Daten gespeichert werden, anreichert.

Um eine Sicherheitsprüfung zu ermöglichen, nimmt Google Security Operations kontextbezogene Daten aus verschiedenen Quellen auf, analysiert die Daten und stellt zusätzlichen Kontext zu Artefakten in einer Kundenumgebung zur Verfügung. Analysten können mit Kontext angereicherte Daten in Detection Engine-Regeln, investigativen Suchen oder Berichten verwenden.

Google Security Operations führt die folgenden Arten der Anreicherung durch:

• Ergänzt Entitäten mithilfe des Entitätsdiagramms und der Zusammenführung.
• Berechnet und reichert jede Entität mit einer Prävalenzstatistik an, die ihre Beliebtheit in der Umgebung angibt.
• Berechnet, wann bestimmte Entitätstypen zum ersten Mal oder zuletzt in der Umgebung gesehen wurden.
• Ergänzt Entitäten mit Informationen aus Safe Browsing-Bedrohungslisten.
• Ergänzt Ereignisse mit Daten zur Standortbestimmung.
• Ergänzt Entitäten mit WHOIS-Daten.
• Ergänzt Ereignisse mit VirusTotal-Dateimetadaten.
• Füllt Entitäten mit VirusTotal-Beziehungsdaten an.
• Google Cloud Threat Intelligence-Daten aufnehmen und speichern.

Angereicherte Daten aus WHOIS, Safe Browsing, GCTI Threat Intelligence, VirusTotal-Metadaten und der VirusTotal-Beziehung werden durch event_type, product_name und vendor_name identifiziert. Wenn Sie eine Regel erstellen, die diese angereicherten Daten verwendet, sollten Sie einen Filter in die Regel aufnehmen, der den einzuschließenden Anreicherungstyp identifiziert. Mit diesem Filter wird die Leistung der Regel verbessert. Fügen Sie beispielsweise die folgenden Filterfelder in den Abschnitt events der Regel ein, mit der WHOIS-Daten zusammengeführt werden.

$enrichment.graph.metadata.entity_type = "DOMAIN_NAME"
$enrichment.graph.metadata.product_name = "WHOISXMLAPI Simple Whois"
$enrichment.graph.metadata.vendor_name = "WHOIS"

Entitäten mit dem Entitätsdiagramm und dem Zusammenführen anreichern

Im Entitätsdiagramm werden die Beziehungen zwischen Entitäten und Ressourcen in Ihrer Umgebung identifiziert. Wenn Entitäten aus verschiedenen Quellen in Google Security Operations aufgenommen werden, erhält der Entitätsdiagramm eine Liste der Näherungswerte basierend auf der Beziehung zwischen den Entitäten. Die Entitätsgrafik führt eine Kontextanreicherung durch Deduplizierung und Zusammenführung durch.

Während der Deduplizierung werden redundante Daten beseitigt und Intervalle werden gebildet, um eine gemeinsame Entität zu erstellen. Betrachten Sie beispielsweise die beiden Entitäten e1 und e2 mit den Zeitstempeln t1 bzw. t2. Die Entitäten e1 und e2 werden dedupliziert und die unterschiedlichen Zeitstempel werden bei der Deduplizierung nicht verwendet. Die folgenden Felder werden bei der Deduplizierung nicht verwendet:

• collected_timestamp
• creation_timestamp
• interval

Beim Zusammenführen werden Beziehungen zwischen Entitäten für ein Zeitintervall von einem Tag gebildet. Betrachten Sie beispielsweise den Entitätseintrag user A, der Zugriff auf einen Cloud Storage-Bucket hat. Es gibt einen anderen Entitätsdatensatz von user A, dem ein Gerät gehört. Nach der Zusammenführung ergeben diese beiden Entitäten eine einzelne Entität user A, die zwei Beziehungen hat. Eine der Beziehungen besteht darin, dass user A Zugriff auf den Cloud Storage-Bucket hat und die andere darin besteht, dass user A der Inhaber des Geräts ist. Google Security Operations führt beim Erstellen von Entitätskontextdaten ein Lookback-Window von fünf Tagen aus. Damit werden spät ankommende Daten verarbeitet und eine implizite Lebensdauer für Entitätskontextdaten erstellt.

Google Security Operations verwendet Aliasing, um die Telemetriedaten anzureichern, und verwendet Entitätsdiagramme, um die Entitäten anzureichern. Die Regeln der Erkennungs-Engine führen die zusammengeführten Entitäten mit den angereicherten Telemetriedaten zusammen, um kontextsensitive Analysen zu ermöglichen.

Ein Ereignis, das ein Entitätsnomen enthält, wird als Entität betrachtet. Hier sind einige Ereignistypen und die zugehörigen Entitätstypen:

• ASSET_CONTEXT entspricht ASSET.
• RESOURCE_CONTEXT entspricht RESOURCE.
• USER_CONTEXT entspricht USER.
• GROUP_CONTEXT entspricht GROUP.

Im Entitätsdiagramm wird anhand der Bedrohungsinformationen zwischen Kontextdaten und Kompromittierungsindikatoren (Indicators of Compromise, IOCs) unterschieden.

Beachten Sie bei der Verwendung kontextbezogener angereicherter Daten das folgende Verhalten des Entitätsdiagramms:

• Fügen Sie der Entität keine Intervalle hinzu, sondern lassen Sie die Entitätsgrafik stattdessen Intervalle erstellen. Dies liegt daran, dass Intervalle während der Deduplizierung generiert werden, sofern nicht anders angegeben.
• Wenn die Intervalle angegeben sind, werden nur dieselben Ereignisse dedupliziert und die neueste Entität beibehalten.
• Damit Live-Regeln und RetroHunts wie erwartet funktionieren, müssen Entitäten mindestens einmal täglich aufgenommen werden.
• Wenn Entitäten nicht täglich und in zwei oder mehr Tagen nur einmal aufgenommen werden, funktionieren Live-Regeln möglicherweise wie erwartet. Bei Retrohunts kann jedoch der Kontext des Ereignisses verloren gehen.
• Wenn Entitäten mehr als einmal täglich aufgenommen werden, wird die Entität in eine einzelne Entität dedupliziert.
• Wenn die Ereignisdaten für einen Tag fehlen, werden vorübergehend die Daten des vergangenen Tages verwendet, um sicherzustellen, dass Live-Regeln funktionieren.

Im Entitätsdiagramm werden auch Ereignisse mit ähnlichen Kennungen zusammengeführt, um eine konsolidierte Ansicht der Daten zu erhalten. Diese Zusammenführung erfolgt basierend auf der folgenden Liste von Kennungen:

• Asset
  • entity.asset.product_object_id
  • entity.asset.hostname
  • entity.asset.asset_id
  • entity.asset.mac
• User
  • entity.user.product_object_id
  • entity.user.userid
  • entity.user.windows_sid
  • entity.user.email_addresses
  • entity.user.employee_id
• Resource
  • entity.resource.product_object_id
  • entity.resource.name
• Group
  • entity.group.product_object_id
  • entity.group.email_addresses
  • entity.group.windows_sid

Prävalenzstatistiken berechnen

Google Security Operations führt statistische Analysen zu vorhandenen und eingehenden Daten durch und reichert Entitätskontext-Datensätze mit prävalenzbezogenen Messwerten an.

Die Prävalenz ist ein numerischer Wert, der angibt, wie beliebt eine Entität ist. Die Beliebtheit wird durch die Anzahl der Assets definiert, die auf ein Artefakt zugreifen, z. B. eine Domain, einen Datei-Hash oder eine IP-Adresse. Je größer die Zahl, desto beliebter ist die Entität. Beispielsweise hat google.com hohe Prävalenzwerte, da häufig auf die Datei zugegriffen wird. Wird selten auf eine Domain zugegriffen, hat sie niedrigere Prävalenzwerte. Bei beliebten Entitäten ist die Wahrscheinlichkeit, dass sie schädlich sind, in der Regel geringer.

Diese angereicherten Werte werden für Domain, IP-Adresse und Datei (Hash) unterstützt. Die Werte werden in den folgenden Feldern berechnet und gespeichert.

Die Statistik zur Verbreitung der einzelnen Entitäten wird täglich aktualisiert. Werte werden in einem separaten Entitätskontext gespeichert, der von Detection Engine verwendet werden kann. Er wird jedoch in den Untersuchungsansichten von Google Security Operations und der UDM-Suche nicht angezeigt.

Die folgenden Felder können beim Erstellen von Regeln für die Erkennungs-Engine verwendet werden.

Entitätstyp	UDM-Felder
Domain	entity.domain.prevalence.day_count entity.domain.prevalence.day_max entity.domain.prevalence.day_max_sub_domains entity.domain.prevalence.rolling_max entity.domain.prevalence.rolling_max_sub_domains
Datei (Hash)	entity.file.prevalence.day_count entity.file.prevalence.day_max entity.file.prevalence.rolling_max
IP-Adresse	entity.artifact.prevalence.day_count entity.artifact.prevalence.day_max entity.artifact.prevalence.rolling_max

Die Werte für „day_max“ und „rolling_max“ werden unterschiedlich berechnet. Die Felder werden so berechnet:

• day_max wird als maximaler Prävalenzwert für das Artefakt während des Tages berechnet. Ein Tag ist als 00:00:00 Uhr bis 23:59:59 Uhr UTC definiert.
• rolling_max wird als maximaler Prävalenzwert pro Tag (d.h. day_max) für das Artefakt im vorherigen 10-Tage-Fenster berechnet.
• day_count wird zur Berechnung von rolling_max verwendet und ist immer der Wert 10.

Bei der Berechnung für eine Domain sieht der Unterschied zwischen day_max und day_max_sub_domains (sowie rolling_max im Vergleich zu rolling_max_sub_domains) so aus:

• rolling_max und day_max stellen die Anzahl der eindeutigen internen IP-Adressen pro Tag dar, über die auf eine bestimmte Domain (mit Ausnahme von Subdomains) zugegriffen wird.
• rolling_max_sub_domains und day_max_sub_domains stehen für die Anzahl der einzelnen internen IP-Adressen, die auf eine bestimmte Domain (einschließlich Subdomains) zugreifen.

Verbreitungsstatistiken werden für neu aufgenommene Entitätsdaten berechnet. Die Berechnungen werden nicht rückwirkend für zuvor aufgenommene Daten durchgeführt. Es dauert ungefähr 36 Stunden, bis die Statistiken berechnet und gespeichert wurden.

Den Zeitpunkt der ersten und letzten Erfassung von Entitäten berechnen

Google Security Operations führt statistische Analysen eingehender Daten durch und reichert Entitätskontext-Datensätze mit den Zeiten der ersten und letzten Erfassung einer Entität an. Im Feld first_seen_time werden Datum und Uhrzeit gespeichert, zu dem die Entität zum ersten Mal in der Kundenumgebung gesehen wurde. Im Feld last_seen_time werden das Datum und die Uhrzeit der letzten Beobachtung gespeichert.

Da ein Asset oder ein Nutzer anhand mehrerer Indikatoren (UDM-Felder) identifiziert werden kann, wird beim ersten erfassten Zeitpunkt einer der Indikatoren, die den Nutzer oder das Asset identifizieren, zum ersten Mal in der Kundenumgebung erkannt.

Alle UDM-Felder, die ein Asset beschreiben, sind:

• entity.asset.hostname
• entity.asset.ip
• entity.asset.mac
• entity.asset.asset_id
• entity.asset.product_object_id

Alle UDM-Felder, die einen Nutzer beschreiben, sind:

• entity.user.windows_sid
• entity.user.product_object_id
• entity.user.userid
• entity.user.employee_id
• entity.user.email_addresses

Mit der ersten und letzten Erfassungszeit kann ein Analyst bestimmte Aktivitäten korrelieren, die aufgetreten sind, nachdem eine Domain, Datei (Hash), Asset, ein Nutzer oder eine IP-Adresse zum ersten Mal erkannt oder aufgehört wurde, nachdem die Domain, Datei (Hash) oder IP-Adresse das letzte Mal gesehen wurde.

Die Felder first_seen_time und last_seen_time werden mit Entitäten gefüllt, die eine Domain, IP-Adresse und Datei (Hash) beschreiben. Bei Entitäten, die einen Nutzer oder ein Asset beschreiben, wird nur das Feld first_seen_time ausgefüllt. Diese Werte werden nicht für Entitäten berechnet, die andere Typen beschreiben, z. B. eine Gruppe oder Ressource.

Die Statistiken werden für jede Entität in allen Namespaces berechnet. Google Security Operations berechnet nicht die Statistiken für jede Entität in einzelnen Namespaces. Diese Statistiken werden derzeit nicht in das events-Schema von Google Security Operations in BigQuery exportiert.

Die angereicherten Werte werden in den folgenden UDM-Feldern berechnet und gespeichert:

Entitätstyp	UDM-Felder
Domain	entity.domain.first_seen_time entity.domain.last_seen_time
Datei (Hash)	entity.file.first_seen_time entity.file.last_seen_time
IP-Adresse	entity.artifact.first_seen_time entity.artifact.last_seen_time
Asset	entity.asset.first_seen_time
Nutzer	entity.user.first_seen_time

Ereignisse mit Geolocation-Daten anreichern

Eingehende Logdaten können externe IP-Adressen ohne entsprechende Standortinformationen enthalten. Dies kommt häufig vor, wenn ein Ereignis Informationen über Geräteaktivitäten protokolliert, die nicht zu einem Unternehmensnetzwerk gehören. Ein Anmeldeereignis bei einem Cloud-Dienst enthält beispielsweise eine Quell- oder Client-IP-Adresse, die auf der externen IP-Adresse eines Geräts basiert, die von der NAT des Mobilfunkanbieters zurückgegeben wird.

Google Security Operations bietet mit der Standortbestimmung angereicherte Daten für externe IP-Adressen, um eine leistungsstärkere Regelerkennung zu ermöglichen und mehr Kontext für Prüfungen zu bieten. Google Security Operations kann beispielsweise eine externe IP-Adresse verwenden, um das Ereignis mit Informationen über das Land (z. B. die USA), einen bestimmten Bundesstaat (z. B. Alaska) und das Netzwerk anzureichern, in dem sich die IP-Adresse befindet (z. B. die ASN und den Namen des Mobilfunkanbieters).

Google Security Operations verwendet von Google bereitgestellte Standortdaten, um einen ungefähren geografischen Standort und Netzwerkinformationen für eine IP-Adresse anzugeben. Sie können für diese Felder in den Ereignissen Erkennungs-Engine-Regeln schreiben. Die angereicherten Ereignisdaten werden auch nach BigQuery exportiert, wo sie in Google Security Operations-Dashboards und -Berichten verwendet werden können.

Die folgenden IP-Adressen sind nicht angereichert:

• Private IP-Adressbereiche nach RFC 1918, da sie intern im Unternehmensnetzwerk vorhanden sind.
• RFC 5771-Multicast-IP-Adressbereich, da Multicast-Adressen nicht zu einem einzigen Standort gehören.
• Eindeutige lokale IPv6-Adressen.
• IP-Adressen des Google Cloud-Dienstes. Ausnahmen sind externe IP-Adressen von Google Cloud Compute Engine, die angereichert sind.

Google Security Operations ergänzt die folgenden UDM-Felder mit Daten zur Standortbestimmung:

• principal
• target
• src
• observer

Datentyp	UDM-Feld
Standort (z. B. USA)	( principal | target | src | observer ).ip_geo_artifact.location.country_or_region
Bundesland (z. B. New York)	( principal | target | src | observer ).ip_geo_artifact.location.state
Längengrad	( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.longitude
Breitengrad	( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.latitude
ASN (Nummer des autonomen Systems)	( principal | target | src | observer ).ip_geo_artifact.network.asn
Name des Transportunternehmens	( principal | target | src | observer ).ip_geo_artifact.network.carrier_name
DNS-Domain	( principal | target | src | observer ).ip_geo_artifact.network.dns_domain
Name der Organisation	( principal | target | src | observer ).ip_geo_artifact.network.organization_name

Das folgende Beispiel zeigt die Art der geografischen Informationen, die einem UDM-Ereignis mit einer IP-Adresse mit dem Tag „Niederlande“ hinzugefügt werden:

UDM-Feld	Wert
principal.ip_geo_artifact.location.country_or_region	Netherlands
principal.ip_geo_artifact.location.region_coordinates.latitude	52.132633
principal.ip_geo_artifact.location.region_coordinates.longitude	5.291266
principal.ip_geo_artifact.network.asn	8455
principal.ip_geo_artifact.network.carrier_name	schuberg philis

Inkonsistenzen

Die proprietäre IP-Technologie zur Standortbestimmung von Google nutzt eine Kombination aus Netzwerkdaten sowie anderen Eingaben und Methoden, um unseren Nutzern den Standort der IP-Adresse und die Netzwerkauflösung bereitzustellen. Andere Organisationen verwenden möglicherweise unterschiedliche Signale oder Methoden, was gelegentlich zu unterschiedlichen Ergebnissen führen kann.

Wenn Google-Daten zur geografischen Standortbestimmung von IP-Adressen uneinheitlich sind, eröffnen Sie bitte eine Kundensupportanfrage, damit wir unsere Datensätze untersuchen und gegebenenfalls korrigieren können.

Entitäten mit Informationen aus Safe Browsing-Bedrohungslisten anreichern

Google Security Operations nimmt Daten aus Safe Browsing auf, die mit Datei-Hashes zusammenhängen. Die Daten für jede Datei werden als Entität gespeichert und bieten zusätzlichen Kontext zur Datei. Analysten können Detection Engine-Regeln erstellen, die diese Entitätskontextdaten abfragen, um kontextsensitive Analysen zu erstellen.

Die folgenden Informationen werden mit dem Entitätskontexteintrag gespeichert.

UDM-Feld	Beschreibung
entity.metadata.product_entity_id	Eine eindeutige Kennung für die Entität.
entity.metadata.entity_type	Dieser Wert ist FILE und gibt an, dass die Entität eine Datei beschreibt.
entity.metadata.collected_timestamp	Datum und Uhrzeit, zu der die Entität beobachtet wurde oder das Ereignis aufgetreten ist.
entity.metadata.interval	Speichert die Start- und Endzeit, die diese Daten gültig sind. Da sich der Inhalt der Bedrohungsliste im Laufe der Zeit ändert, spiegeln start_time und end_time das Zeitintervall wider, in dem die Daten zur Entität gültig sind. Beispiel: Ein Datei-Hash wurde zwischen start_time and end_time. als schädlich oder verdächtig eingestuft.
entity.metadata.threat.category	Das ist Google Security Operations-SecurityCategory. Sie wird auf einen oder mehrere der folgenden Werte festgelegt: SOFTWARE_MALICIOUS: Gibt an, dass die Bedrohung auf Malware zurückzuführen ist. SOFTWARE_PUA: Gibt an, dass die Bedrohung durch unerwünschte Software verursacht wird.
entity.metadata.threat.severity	Das ist Google Security Operations-ProductSeverity. Wenn der Wert CRITICAL ist, weist das darauf hin, dass das Artefakt schädlich zu sein scheint. Wenn der Wert nicht angegeben ist, ist die Zuverlässigkeit nicht ausreichend, um anzugeben, dass das Artefakt schädlich ist.
entity.metadata.product_name	Speichert den Wert Google Safe Browsing.
entity.file.sha256	Der SHA256-Hashwert für die Datei.

Entitäten mit WHOIS-Daten anreichern

Google Security Operations nimmt täglich WHOIS-Daten auf. Während der Aufnahme eingehender Kundengerätedaten wertet Google Security Operations Domains in Kundendaten anhand der WHOIS-Daten aus. Bei einer Übereinstimmung speichert Google Security Operations die zugehörigen WHOIS-Daten im Entitätseintrag für die Domain. Für jede Entität, wobei entity.metadata.entity_type = DOMAIN_NAME, ergänzt Google Security Operations die Entität mit Informationen aus WHOIS.

Google Security Operations fügt die angereicherten WHOIS-Daten in die folgenden Felder des Entitätseintrags ein:

• entity.domain.admin.attribute.labels
• entity.domain.audit_update_time
• entity.domain.billing.attribute.labels
• entity.domain.billing.office_address.country_or_region
• entity.domain.contact_email
• entity.domain.creation_time
• entity.domain.expiration_time
• entity.domain.iana_registrar_id
• entity.domain.name_server
• entity.domain.private_registration
• entity.domain.registrant.company_name
• entity.domain.registrant.office_address.state
• entity.domain.registrant.office_address.country_or_region
• entity.domain.registrant.email_addresses
• entity.domain.registrant.user_display_name
• entity.domain.registrar
• entity.domain.registry_data_raw_text
• entity.domain.status
• entity.domain.tech.attribute.labels
• entity.domain.update_time
• entity.domain.whois_record_raw_text
• entity.domain.whois_server
• entity.domain.zone

Eine Beschreibung dieser Felder finden Sie im Dokument mit der Liste der Felder für einheitliche Datenmodell.

Google Cloud Threat Intelligence-Daten aufnehmen und speichern

Google Security Operations nimmt Daten aus Google Cloud Threat Intelligence (GCTI)-Datenquellen auf, die Ihnen Kontextinformationen liefern, mit denen Sie Aktivitäten in Ihrer Umgebung untersuchen können. Sie können die folgenden Datenquellen abfragen:

• GCTI-Tor-Ausstiegsknoten: IP-Adressen, die bekannte Tor-Ausstiegsknoten sind.
• benigne GCTI-Binärdateien: Dateien, die entweder Teil der ursprünglichen Distribution des Betriebssystems sind oder von einem offiziellen Betriebssystempatch aktualisiert wurden. Einige offizielle Binärprogramme für Betriebssysteme, die von einem Angreifer durch Aktivitäten missbraucht wurden, die bei Living-Off-the-Land-Angriffen üblich sind, sind von dieser Datenquelle ausgeschlossen, z. B. diejenigen, die sich auf die ersten Angriffsvektoren konzentrieren.

• GCTI Remote Access Tools: Dateien, die häufig von böswilligen Akteuren verwendet werden Bei diesen Tools handelt es sich in der Regel um legitime Anwendungen, die manchmal missbraucht werden, um eine Remoteverbindung zu manipulierten Systemen herzustellen.

  Diese kontextbezogenen Daten werden global als Entitäten gespeichert. Sie können die Daten mithilfe von Erkennungs-Engine-Regeln abfragen. Nehmen Sie die folgenden UDM-Felder und -Werte in die Regel auf, um diese globalen Entitäten abzufragen:

• graph.metadata.vendor_name = Google Cloud Threat Intelligence

• graph.metadata.product_name = GCTI Feed

In diesem Dokument stellt der Platzhalter <variable_name> den eindeutigen Variablennamen dar, der in einer Regel zum Identifizieren eines UDM-Eintrags verwendet wird.

Zeitlich begrenzte und zeitlose Google Cloud Threat Intelligence-Datenquellen im Vergleich

Datenquellen von Google Cloud Threat Intelligence sind entweder zeitlich oder zeitlos.

Bei zeitgesteuerten Datenquellen ist jedem Eintrag ein Zeitraum zugeordnet. Wenn also an Tag 1 eine Erkennung generiert wird, wird bei einer Rückjagd an einem beliebigen Tag in der Zukunft erwartet, dass diese Erkennung an Tag 1 generiert wird.

Mit zeitlosen Datenquellen ist kein Zeitraum verknüpft. Das liegt daran, dass nur der neueste Datensatz berücksichtigt werden sollte. Zeitlose Datenquellen werden häufig für Daten wie Datei-Hashes verwendet, die sich voraussichtlich nicht ändern. Wenn an Tag 1 keine Erkennung generiert wird, kann an Tag 2 während einer Retro-Hunte eine Erkennung für Tag 1 generiert werden, da ein neuer Eintrag hinzugefügt wurde.

Daten zu IP-Adressen von Tor-Exit-Knoten

Google Security Operations nimmt IP-Adressen auf, die bekannte Tor-Exit-Knoten sind, und speichert sie. Tor-Ausstiegsknoten sind Punkte, an denen der Traffic das Tor-Netzwerk verlässt. Informationen aus dieser Datenquelle werden in den folgenden UDM-Feldern gespeichert. Die Daten in dieser Quelle sind zeitlich festgelegt.

UDM-Feld	Beschreibung
<variable_name>.graph.metadata.vendor_name	Speichert den Wert Google Cloud Threat Intelligence.
<variable_name>.graph.metadata.product_name	Speichert den Wert GCTI Feed.
<variable_name>.graph.metadata.threat.threat_feed_name	Speichert den Wert Tor Exit Nodes.
<variable_name>.graph.entity.artifact.ip	Speichert die aus der GCTI-Datenquelle aufgenommene IP-Adresse.

Daten zu ungefähren Betriebssystemdateien

Google Security Operations nimmt Datei-Hashes aus der GCTI Benign Binaries-Datenquelle auf und speichert sie. Informationen, die aus dieser Datenquelle aufgenommen wurden, werden in den folgenden UM-Feldern gespeichert. Die Daten in dieser Quelle sind zeitlos.

UDM-Feld	Beschreibung
<variable_name>.graph.metadata.vendor_name	Speichert den Wert Google Cloud Threat Intelligence.
<variable_name>.graph.metadata.product_name	Speichert den Wert GCTI Feed.
<variable_name>.graph.metadata.threat.threat_feed_name	Speichert den Wert Benign Binaries.
<variable_name>.graph.entity.file.sha256	Speichert den SHA256-Hashwert der Datei.
<variable_name>.graph.entity.file.sha1	Speichert den SHA1-Hashwert der Datei.
<variable_name>.graph.entity.file.md5	Speichert den MD5-Hashwert der Datei.

Daten zu Tools für den Remotezugriff

Tools für den Remotezugriff beinhalten Datei-Hashes für bekannte Tools für den Remotezugriff wie VNC-Clients, die häufig von böswilligen Akteuren verwendet werden. Diese Tools sind im Allgemeinen legitime Anwendungen, die manchmal missbraucht werden, um eine Remoteverbindung zu manipulierten Systemen herzustellen. Informationen aus dieser Datenquelle werden in den folgenden UDM-Feldern gespeichert. Die Daten in dieser Quelle sind zeitlos.

UDM-Feld	Beschreibung
.graph.metadata.vendor_name	Speichert den Wert Google Cloud Threat Intelligence.
.graph.metadata.product_name	Speichert den Wert GCTI Feed.
.graph.metadata.threat.threat_feed_name	Speichert den Wert Remote Access Tools.
.graph.entity.datei.sha256	Speichert den SHA256-Hashwert der Datei.
.graph.entity.file.sha1	Speichert den SHA1-Hashwert der Datei.
.graph.entity.file.md5	Speichert den MD5-Hashwert der Datei.

Ereignisse mit VirusTotal-Dateimetadaten anreichern

Google Security Operations reichert Datei-Hashes in UDM-Ereignisse an und stellt während einer Prüfung zusätzlichen Kontext bereit. UDM-Ereignisse werden in einer Kundenumgebung durch Hash-Aliasing angereichert. Beim Hash-Aliasing werden alle Arten von Datei-Hashes kombiniert und während einer Suche Informationen zu einem Datei-Hash bereitgestellt.

Durch die Einbindung von VirusTotal-Dateimetadaten und die Beziehungsanreicherung in Google SecOps können Muster schädlicher Aktivitäten erkannt und Malwarebewegungen in einem Netzwerk verfolgt werden.

Ein Rohprotokoll bietet begrenzte Informationen über die Datei. VirusTotal reichert das Ereignis mit Dateimetadaten an, um einen Dump fehlerhafter Hashes zusammen mit Metadaten zur fehlerhaften Datei bereitzustellen. Die Metadaten enthalten Informationen wie Dateinamen, Typen, importierte Funktionen und Tags. Sie können diese Informationen in der UDM-Suchmaschine und -Erkennung mit YARA-L verwenden, um ungültige Dateiereignisse und allgemein bei der Bedrohungssuche zu verstehen. Ein Beispiel ist die Erkennung von Änderungen an der Originaldatei, die wiederum die Dateimetadaten zur Bedrohungserkennung importieren würden.

Die folgenden Informationen werden zusammen mit dem Eintrag gespeichert. Eine Liste aller UDM-Felder finden Sie unter Liste der Felder für einheitliche Datenmodell.