Google Security Operations 如何丰富事件和实体数据
本文档介绍了 Google Security Operations 如何丰富数据和 存储数据的统一数据模型 (UDM) 字段。
为支持安全调查,Google Security Operations 会注入情境数据 对数据进行分析,并提供额外的 客户环境中的工件的背景信息。分析人员可以使用 检测引擎规则、调查搜索或报告中的丰富数据。
Google Security Operations 可执行以下类型的扩充:
- 通过使用实体图和合并来丰富实体。
- 计算并丰富每个实体的普遍性统计,指示 以及它在环境中的受欢迎程度
- 计算特定实体类型在环境中首次出现的时间或最近出现的时间。
- 利用安全浏览威胁列表中的信息来丰富实体。
- 利用地理位置数据丰富活动信息。
- 利用 WHOIS 数据丰富实体。
- 利用 VirusTotal 文件元数据丰富事件。
- 利用 VirusTotal 关系数据来丰富实体。
- 注入和存储 Google Cloud 威胁情报数据。
来自 WHOIS、安全浏览、GCTI 威胁情报、
VirusTotal 元数据与 VirusTotal 关系由 event_type、product_name、
和 vendor_name。在创建使用此丰富数据的规则时,我们建议您
您需要在规则中添加一个过滤条件
要包含的扩充项类型。此过滤条件有助于提升规则的效果。
例如,在events
合并 WHOIS 数据的规则。
$enrichment.graph.metadata.entity_type = "DOMAIN_NAME"
$enrichment.graph.metadata.product_name = "WHOISXMLAPI Simple Whois"
$enrichment.graph.metadata.vendor_name = "WHOIS"
使用实体图和合并来丰富实体
实体图可识别您环境中的实体和资源之间的关系。 当来自不同来源的实体被注入到 Google Security Operations 中时,实体图会维护 创建基于实体间关系的相邻关系列表。实体图执行 通过执行去重和合并来丰富上下文。
在重复信息删除过程中,系统会消除冗余数据并形成间隔,以便创建
共同的实体。例如,假设时间戳为 t1 的两个实体 e1 和 e2
和 t2。删除实体 e1 和 e2 以及时间戳
删除重复信息时,系统不会使用 不同的两个对象。以下字段
删除重复信息的次数:
collected_timestampcreation_timestampinterval
在合并过程中,实体之间的关系会在以下时间段内形成:
。例如,假设有一条 user A 的实体记录,该实体记录可以访问 Cloud Storage
存储桶。还有一条关于设备所有者为 user A 的实体记录。合并后
这两个实体会生成具有两个关系的单个实体 user A。一个关系
user A有权访问 Cloud Storage 存储桶
设备归 user A 所有。当发生以下情况时,Google Security Operations 会执行 5 天的回溯期:
它会创建实体上下文数据。这样可以处理延迟到达的数据,并创建一个隐式
实体上下文数据的存留时间 (TTL)。
Google Security Operations 使用别名来丰富遥测数据并使用实体图 来丰富实体。检测引擎规则会根据 丰富的遥测数据,以提供情境感知分析。
包含实体名词的事件被视为实体。以下是一些 事件类型及其对应的实体类型:
ASSET_CONTEXT对应于ASSET。RESOURCE_CONTEXT对应于RESOURCE。USER_CONTEXT对应于USER。GROUP_CONTEXT对应于GROUP。
实体图区分了情境数据和妥协指标 (IOC) 威胁信息。
使用内容丰富的数据时,请考虑以下实体图行为:
- 不要在实体中添加区间,而应使用实体图 创建区间。这是因为,时间间隔会在去重期间生成,除非 。
- 如果指定了时间间隔,则系统只会对相同的事件进行重复信息删除, 最近的实体。
- 为确保有效规则和追溯搜寻按预期运行,必须提取实体 至少每天一次
- 如果实体并非每天注入,而是在两天或两天内仅注入一次, 实时规则可能会按预期运行,但是,追溯搜寻可能会丢失事件的背景信息。
- 如果实体每天提取多次,系统会删除该实体的重复信息 单个实体。
- 如果某一天的事件数据缺失,系统会暂时使用前一天的数据 以确保生效规则能够正常运行
实体图还会合并具有类似标识符的事件,以获取经过整合的 数据视图这种合并基于以下标识符列表:
Assetentity.asset.product_object_identity.asset.hostnameentity.asset.asset_identity.asset.mac
Userentity.user.product_object_identity.user.useridentity.user.windows_sidentity.user.email_addressesentity.user.employee_id
Resourceentity.resource.product_object_identity.resource.name
Groupentity.group.product_object_identity.group.email_addressesentity.group.windows_sid
计算发生率统计信息
Google Security Operations 可对现有数据和传入数据进行统计分析 并使用与发生率相关的指标来丰富实体上下文记录。
发生率是一个数值,表示实体的受欢迎程度。
热门程度由访问工件(例如
域名、文件哈希或 IP 地址。数字越大,实体越受欢迎。
例如,google.com 的普及率值较高,因为它
经常访问如果某个网域的访问频率较低,
普遍性值。较为热门的实体通常不太可能是恶意的。
网域、IP 和文件(哈希)支持这些扩充值。值 计算并存储在以下字段中。
每个实体的发生率统计信息每天都会更新。值的存储位置 可供检测引擎使用的独立实体上下文, 但它不会显示在 Google Security Operations 调查视图和 UDM 搜索中。
创建 Detection Engine 规则时可以使用以下字段。
| 实体类型 | UDM 字段 |
|---|---|
| 网域 | entity.domain.prevalence.day_count
entity.domain.prevalence.day_max
entity.domain.prevalence.day_max_sub_domains
entity.domain.prevalence.rolling_max
entity.domain.prevalence.rolling_max_sub_domains |
| 文件(哈希) | entity.file.prevalence.day_count
entity.file.prevalence.day_max
entity.file.prevalence.rolling_max |
| IP 地址 | entity.artifact.prevalence.day_count
entity.artifact.prevalence.day_max
entity.artifact.prevalence.rolling_max |
day_max 和 rollout_max 值的计算方式不同。这些字段是 计算方法如下:
day_max是以下时间段内该制品的发生率最高得分: 日期,一天的定义为世界协调时间 (UTC) 凌晨 12:00:00 到晚上 11:59:59。rolling_max是相应制品在上一个 10 天时段的每日最高发生率分数(即day_max)计算得出的。day_count用于计算rolling_max,并且始终为 10。
针对某个网域计算时,day_max 与 day_max_sub_domains(以及 rolling_max 与 rolling_max_sub_domains)之间的差异如下:
rolling_max和day_max表示每日唯一内部 IP 地址的数量 访问指定网域(不包括子网域)的用户。rolling_max_sub_domains和day_max_sub_domains表示 访问指定网域(包括子网域)的内部 IP 地址。
发生率统计信息是根据新提取的实体数据计算的。计算 对之前提取的数据执行追溯。大约需要 36 计算和存储统计信息的时间。
计算实体的首次看到时间和上次看到时间
Google Security Operations 对传入数据执行统计分析并丰富实体
上下文记录。first_seen_time
字段存储实体在客户中首次出现的日期和时间
环境last_seen_time 字段存储
观察。
由于一项资产或用户可通过多个指标(UDM 字段)标识,因此其首次出现时间 是指用户首次看到标识用户或资产的任何指标 客户环境中的变化
所有描述以下各项的 UDM 字段: 的特征如下:
entity.asset.hostnameentity.asset.ipentity.asset.macentity.asset.asset_identity.asset.product_object_id
描述以下各项的所有 UDM 字段: 以下用户:
entity.user.windows_sidentity.user.product_object_identity.user.useridentity.user.employee_identity.user.email_addresses
首次看到时间和最后一次看到时间可以让分析师将特定事件 更改域名、文件(哈希)、资产、用户或 IP 地址后发生的活动 首次出现的请求,或者在域名、文件(哈希)或 IP 地址之后停止发生的事件 上次出现时间。
first_seen_time 和 last_seen_time 字段填充的是
来描述域名、IP 地址和文件(哈希)。对于描述用户的实体
或素材资源,系统只会填充 first_seen_time 字段。这些值不是
针对描述其他类型(如群组或资源)的实体计算。
系统将针对所有命名空间中的每个实体计算该统计信息。
Google Security Operations 不会计算各个命名空间内每个实体的统计信息。
这些统计信息目前未导出到 BigQuery 中的 Google Security Operations events 架构。
丰富的值计算并存储在以下位置: UDM 字段:
| 实体类型 | UDM 字段 |
|---|---|
| 网域 | entity.domain.first_seen_timeentity.domain.last_seen_time |
| 文件(哈希) | entity.file.first_seen_timeentity.file.last_seen_time |
| IP 地址 | entity.artifact.first_seen_timeentity.artifact.last_seen_time |
| 素材资源 | entity.asset.first_seen_time |
| 用户 | entity.user.first_seen_time |
利用地理位置数据丰富活动信息
传入的日志数据可能包含没有对应的外部 IP 地址 位置信息。这在事件记录有关以下内容的信息时很常见: 企业网络中的设备活动。例如,登录 事件都将包含来源或客户端 IP 地址(基于 运营商 NAT 返回的设备的外部 IP 地址。
Google Security Operations 可为外部 IP 提供丰富地理定位的数据 实现更强大的规则检测和更强的上下文 以便开展调查。例如,Google Security Operations 可能会使用外部 IP 地址 包含国家/地区(如中国)、特定州(如阿拉斯加)相关信息的事件; 以及 IP 地址所在的网络(例如 ASN 和运营商名称)。
Google Security Operations 使用 Google 提供的位置数据来提供大致的 IP 地址的地理位置和网络信息。您可以编写检测引擎规则, 这些字段扩充后的事件数据也会导出到 BigQuery Google Security Operations 信息中心和报告中都可以使用它。
以下 IP 地址未经过扩充:
- RFC 1918 专用 IP 地址空间,因为它们是企业网络内部的。
- RFC 5771 多播 IP 地址空间,因为多播地址不属于单个位置。
- IPv6 唯一本地地址。
- Google Cloud 服务 IP 地址。Google Cloud Compute Engine 属于例外情况 经过扩充的外部 IP 地址
Google Security Operations 使用地理定位数据丰富以下 UDM 字段:
principaltargetsrcobserver
| 数据类型 | UDM 字段 |
|---|---|
| 地理位置(例如美国) | ( principal | target | src | observer ).ip_geo_artifact.location.country_or_region |
| 州(例如纽约) | ( principal | target | src | observer ).ip_geo_artifact.location.state |
| 经度 | ( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.longitude |
| 纬度 | ( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.latitude |
| ASN(自治系统编号) | ( principal | target | src | observer ).ip_geo_artifact.network.asn |
| 运营商名称 | ( principal | target | src | observer ).ip_geo_artifact.network.carrier_name |
| DNS 域名 | ( principal | target | src | observer ).ip_geo_artifact.network.dns_domain |
| 组织名称 | ( principal | target | src | observer ).ip_geo_artifact.network.organization_name |
以下示例显示了 添加到 UDM 活动,并将 IP 地址标记为荷兰:
| UDM 字段 | 值 |
|---|---|
principal.ip_geo_artifact.location.country_or_region |
Netherlands |
principal.ip_geo_artifact.location.region_coordinates.latitude |
52.132633 |
principal.ip_geo_artifact.location.region_coordinates.longitude |
5.291266 |
principal.ip_geo_artifact.network.asn |
8455 |
principal.ip_geo_artifact.network.carrier_name |
schuberg philis |
不一致性
Google 专有的 IP 地理定位技术结合使用网络数据和其他输入数据, 方法,为用户提供 IP 地址位置和网络解析。 其他组织可能会采用不同的信号或方法,这偶尔可能会带来不同的结果。
如果出现不一致的情况, Google 提供的 IP 地理定位结果,请创建客户支持请求, 以便我们可以开展调查,并在适当的情况下更正我们的记录。
利用安全浏览威胁列表中的信息丰富实体
Google Security Operations 会从安全浏览中提取与文件哈希相关的数据。 每个文件的数据均作为实体存储,并提供有关该文件的其他上下文。 分析师可以创建针对此实体进行查询的检测引擎规则 从而构建情境感知分析。
以下信息使用实体上下文记录进行存储。
| UDM 字段 | 说明 |
|---|---|
entity.metadata.product_entity_id |
实体的唯一标识符。 |
entity.metadata.entity_type |
此值为 FILE,表示该实体描述的是文件。
|
entity.metadata.collected_timestamp |
观察到实体或事件的日期和时间 错误。 |
entity.metadata.interval |
存储此数据有效的开始时间和结束时间。
由于威胁列表的内容会随时间推移而发生变化,因此start_time
end_time表示的是
实体有效。例如,观察到文件哈希
start_time期间存在恶意或可疑行为 |
entity.metadata.threat.category |
这里是 Google Security Operations SecurityCategory。设置完成
以下一个或多个值:
|
entity.metadata.threat.severity |
这里是 Google Security Operations ProductSeverity。
如果值为 CRITICAL,则表示工件似乎是恶意的。
如果未指定该值,则没有足够的置信度来指示
工件是恶意的。
|
entity.metadata.product_name |
存储值 Google Safe Browsing。 |
entity.file.sha256 |
文件的 SHA256 哈希值。 |
利用 WHOIS 数据丰富实体
Google Security Operations 每天都会注入 WHOIS 数据。在注入传入的传入流量期间
客户设备数据,Google Security Operations 会评估客户数据中的网域
与 WHOIS 数据进行比对如果有匹配项,Google Security Operations 会将
将 WHOIS 数据与域名的实体记录相关联。对于每个实体
entity.metadata.entity_type = DOMAIN_NAME,Google Security Operations 可丰富
将来自 WHOIS 的信息与实体相关联。
Google Security Operations 会将丰富的 WHOIS 数据填充到实体记录中的以下字段:
entity.domain.admin.attribute.labelsentity.domain.audit_update_timeentity.domain.billing.attribute.labelsentity.domain.billing.office_address.country_or_regionentity.domain.contact_emailentity.domain.creation_timeentity.domain.expiration_timeentity.domain.iana_registrar_identity.domain.name_serverentity.domain.private_registrationentity.domain.registrant.company_nameentity.domain.registrant.office_address.stateentity.domain.registrant.office_address.country_or_regionentity.domain.registrant.email_addressesentity.domain.registrant.user_display_nameentity.domain.registrarentity.domain.registry_data_raw_textentity.domain.statusentity.domain.tech.attribute.labelsentity.domain.update_timeentity.domain.whois_record_raw_textentity.domain.whois_serverentity.domain.zone
有关这些字段的说明,请参阅 统一数据模型字段列表文档。
注入和存储 Google Cloud 威胁情报数据
Google Security Operations 从 Google Cloud 威胁情报 (GCTI) 中提取数据 数据源,可为您提供相关情境信息,供您在 调查您环境中的活动。您可以查询以下数据源:
- GCTI Tor 退出节点:已知 Tor 退出节点的 IP 地址。
- GCTI 良性二进制文件:属于操作系统一部分的文件 原始发行版或通过官方操作系统补丁进行了更新。 一些已被攻击者滥用的官方操作系统二进制文件 都被排除在 例如那些侧重于初始输入矢量的数据源。
GCTI 远程访问工具:恶意操作者经常使用的文件。 这些工具通常是合法应用,有时滥用 远程连接到受损系统
这些环境数据以实体形式全局存储。您可以使用 检测引擎规则。在规则中添加以下 UDM 字段和值,以查询这些全局实体:
graph.metadata.vendor_name=Google Cloud Threat Intelligencegraph.metadata.product_name=GCTI Feed
在本文档中,占位符 <variable_name> 表示唯一变量名称
来标识 UDM 记录
定时与永恒的 Google Cloud 威胁情报数据源
Google Cloud 威胁情报数据源可以是定时数据源,也可以是无时间数据源。
每个定时数据源都有一个相关联的时间范围 条目。也就是说,如果在第 1 天、 那么,在将来的 怀旧之情。
永恒的数据源没有与之关联的时间范围。这个 因为我们只应考虑最新的数据集。永恒 数据源经常用于计算不符合预期的文件哈希值等数据 进行更改。如果第 1 天没有生成任何检测,则第 2 天 在怀旧搜索期间为第 1 天生成的,因为添加了一个新条目。
有关 Tor 退出节点 IP 地址的数据
Google Security Operations 会注入和存储称为 Tor 退出节点的 IP 地址。 Tor 退出节点是流量离开 Tor 网络的点。注入的信息 存储在以下 UDM 字段中。此来源中的数据已定时。
| UDM 字段 | 说明 |
|---|---|
<variable_name>.graph.metadata.vendor_name |
存储值 Google Cloud Threat Intelligence。 |
<variable_name>.graph.metadata.product_name |
存储值 GCTI Feed。 |
<variable_name>.graph.metadata.threat.threat_feed_name |
存储值 Tor Exit Nodes。 |
<variable_name>.graph.entity.artifact.ip |
存储从 GCTI 数据源注入的 IP 地址。 |
与良性操作系统文件相关的数据
Google Security Operations 会从 GCTI 良性二进制文件中提取并存储文件哈希 数据源。从此数据源提取的信息存储在以下位置: UDM 字段。此来源中的数据是永久性的。
| UDM 字段 | 说明 |
|---|---|
<variable_name>.graph.metadata.vendor_name |
存储值 Google Cloud Threat Intelligence。 |
<variable_name>.graph.metadata.product_name |
存储值 GCTI Feed。 |
<variable_name>.graph.metadata.threat.threat_feed_name |
存储值 Benign Binaries。 |
<variable_name>.graph.entity.file.sha256 |
存储文件的 SHA256 哈希值。 |
<variable_name>.graph.entity.file.sha1 |
存储文件的 SHA1 哈希值。 |
<variable_name>.graph.entity.file.md5 |
存储文件的 MD5 哈希值。 |
有关远程访问工具的数据
远程访问工具包括已知远程访问工具(例如 恶意操作者经常使用的 VNC 客户端。这些工具包括 通常是合法的应用,有时会被滥用以远程连接 入侵系统从此数据源提取的信息存储在以下位置: 以下 UDM 字段。此来源中的数据是永久性的。
| UDM 字段 | 说明 |
|---|---|
存储值 Google Cloud Threat Intelligence。 |
|
存储值 GCTI Feed。 |
|
存储值 Remote Access Tools。 |
|
| 存储文件的 SHA256 哈希值。 | |
| 存储文件的 SHA1 哈希值。 | |
| 存储文件的 MD5 哈希值。 |
使用 VirusTotal 文件元数据丰富事件数据
Google Security Operations 将文件哈希丰富为 UDM 事件,并提供 背景信息。通过哈希别名丰富 UDM 事件 客户环境中的需求哈希别名结合了所有类型的文件哈希和 提供搜索期间有关文件哈希的信息。
VirusTotal 文件元数据和关系扩充功能与 Google SecOps 可用于识别恶意活动模式 和跟踪恶意软件在网络中的移动。
原始日志仅提供有关该文件的有限信息。VirusTotal 为活动锦上添花 文件元数据,用于提供错误哈希的转储以及有关 错误文件。元数据包括文件名、类型、导入的 函数和代码。您可以在 UDM 搜索和检测中使用此信息 YARA-L 引擎,以理解不良文件事件,以及 狩猎一个示例用例是检测对原始文件的任何修改 进而导入文件元数据以进行威胁检测。
以下信息将随记录一起存储。 如需查看所有 UDM 字段的列表,请参阅统一数据模型字段列表。
| 数据类型 | UDM 字段 |
|---|---|
| SHA-256 | ( principal | target | src | observer ).file.sha256 |
| MD5 | ( principal | target | src | observer ).file.md5 |
| SHA-1 | ( principal | target | src | observer ).file.sha1 |
| 大小 | ( principal | target | src | observer ).file.size |
| Ssdeep | ( principal | target | src | observer ).file.ssdeep |
| vhash | ( principal | target | src | observer ).file.vhash |
| 真实哈希 | ( principal | target | src | observer ).file.authentihash |
| 文件类型 | ( principal | target | src | observer ).file.file_type |
| 标记 | ( principal | target | src | observer ).file.tags |
| 功能标记 | ( principal | target | src | observer ).file.capabilities_tags |
| 名称 | ( principal | target | src | observer ).file.names |
| 首次出现时间 | ( principal | target | src | observer ).file.first_seen_time |
| 上次上线时间 | ( principal | target | src | observer ).file.last_seen_time |
| 上次修改时间 | ( principal | target | src | observer ).file.last_modification_time |
| 上次分析时间 | ( principal | target | src | observer ).file.last_analysis_time |
| 嵌入式网址 | ( principal | target | src | observer ).file.embedded_urls |
| 嵌入式 IP | ( principal | target | src | observer ).file.embedded_ips |
| 嵌入式网域 | ( principal | target | src | observer ).file.embedded_domains |
| 签名信息 | ( principal | target | src | observer ).file.signature_info |
签名信息
|
( principal | target | src | observer).file.signature_info.sigcheck |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.verification_message |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.verified |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers.name |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers.status |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers.valid_usage |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers.cert_issuer |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509 |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.name |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.algorithm |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.thumprint |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.cert_issuer |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.serial_number |
签名信息
|
( principal | target | src | observer ).file.signature_info.codesign |
签名信息
|
( principal | target | src | observer ).file.signature_info.codesign.id |
签名信息
|
( principal | target | src | observer ).file.signature_info.codesign.format |
签名信息
|
( principal | target | src | observer ).file.signature_info.codesign.compilation_time |
| Exiftool 信息 | ( principal | target | src | observer ).file.exif_info |
Exiftool 信息
|
( principal | target | src | observer ).file.exif_info.original_file |
Exiftool 信息
|
( principal | target | src | observer ).file.exif_info.product |
Exiftool 信息
|
( principal | target | src | observer ).file.exif_info.company |
Exiftool 信息
|
( principal | target | src | observer ).file.exif_info.file_description |
Exiftool 信息
|
( principal | target | src | observer ).file.exif_info.entry_point |
Exiftool 信息
|
( principal | target | src | observer ).file.exif_info.compilation_time |
| PDF 信息 | ( principal | target | src | observer ).file.pdf_info |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.js |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.javascript |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.launch_action_count |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.object_stream_count |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.endobj_count |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.header |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.acroform |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.autoaction |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.embedded_file |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.encrypted |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.flash |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.jbig2_compression |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.obj_count |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.endstream_count |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.page_count |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.stream_count |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.openaction |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.startxref |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.suspicious_colors |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.trailer |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.xfa |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.xref |
| PE 文件元数据 | ( principal | target | src | observer ).file.pe_file |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.imphash |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.entry_point |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.entry_point_exiftool |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.compilation_time |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.compilation_exiftool_time |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.section |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.section.name |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.section.entropy |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.section.raw_size_bytes |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.section.virtual_size_bytes |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.section.md5_hex |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.imports |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.imports.library |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.imports.functions |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.resource |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.resource.sha256_hex |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.resource.filetype_magic |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.resource_language_code |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.resource.entropy |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.resource.file_type |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.resources_type_count_str |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.resources_language_count_str |
利用 VirusTotal 关系数据丰富实体
VirusTotal 可帮助分析可疑文件、网域、IP 地址和网址, 检测恶意软件和其他漏洞,并与安全社区分享发现结果。 Google Security Operations 会从 VirusTotal 相关连接中提取数据。这些数据已存储 作为实体,并提供有关文件哈希值和 IP 地址和网址。
分析人员可以使用这些数据根据信息判断文件哈希是否有误 有关其他来源的网址或域名的信息。这些信息可用于创建 根据实体上下文数据进行查询以构建情境感知分析的检测引擎规则。
此数据仅适用于某些 VirusTotal 和 Google Security Operations 许可。 请与客户经理确认您的使用权。
使用实体上下文记录存储以下信息:
| UDM 字段 | 说明 |
|---|---|
entity.metadata.product_entity_id |
实体的唯一标识符 |
entity.metadata.entity_type |
存储值 FILE,它表示
entity 用于描述文件 |
entity.metadata.interval |
start_time 是指
时间,end_time 是此数据有效的结束时间 |
entity.metadata.source_labels |
此字段存储 source_id 和
此实体的target_id。source_id 是文件哈希值
和 target_id 可以是网址、域名或 IP 的哈希值或值
与此文件相关的地址。您可以搜索网址、域名
IP 地址或位于 virustotal.com 的文件。 |
entity.metadata.product_name |
存储值“VirusTotal Relationships” |
entity.metadata.vendor_name |
存储值“VirusTotal” |
entity.file.sha256 |
存储文件的 SHA-256 哈希值 |
entity.file.relations |
作为父实体的子实体的列表 与文件实体相关 |
entity.relations.relationship |
此字段说明了父实体与子实体之间的关系类型。
该值可以是 EXECUTES、DOWNLOADED_FROM 或
CONTACTS。 |
entity.relations.direction |
存储值“UNIDIRECTIONAL”并指示关系的方向 包含子实体 |
entity.relations.entity.url |
父实体中的文件联系的网址(如果
父实体,网址为 CONTACTS)或
父实体中的文件已下载(如果父实体之间的关系
实体,网址为 DOWNLOADED_FROM)。 |
entity.relations.entity.ip |
文件用来访问 或下载自 它只包含一个 IP 地址。 |
entity.relations.entity.domain.name |
父实体联系人中文件或下载后的文件的域名 来自 |
entity.relations.entity.file.sha256 |
存储关系中文件的 SHA-256 哈希值 |
entity.relations.entity_type |
此字段包含关系中的实体类型。该值可以是
URL、DOMAIN_NAME、IP_ADDRESS 或
FILE。这些字段的填充依据是
entity_type.例如,如果 entity_type 为 URL,
系统会填充 entity.relations.entity.url。 |
后续步骤
了解如何将丰富数据与其他 Google Security Operations 结合使用 请参阅以下内容: