Wie Google Security Operations Ereignis- und Entitätsdaten anreichert

Unterstützt in:

In diesem Dokument wird beschrieben, wie Google Security Operations Daten anreichert Felder des Unified Data Model (UDM), in denen Daten gespeichert werden.

Für eine Sicherheitsprüfung nimmt Google Security Operations kontextbezogene Daten auf Daten aus verschiedenen Quellen analysieren, zusätzliche Kontext zu Artefakten in einer Kundenumgebung. Analysten können kontextbezogen angereicherte Daten in Regeln der Detection Engine, in explorativen Suchanfragen oder in Berichten verwenden.

Google Security Operations führt die folgenden Arten von Datenanreicherung durch:

  • Entitäten werden mithilfe des Entitätsgraphen angereichert und zusammengeführt.
  • Für jede Entität wird eine Prävalenzstatistik berechnet und hinzugefügt, die ihre Beliebtheit in der Umgebung angibt.
  • Berechnet, wann bestimmte Entitätstypen zum ersten Mal oder zuletzt in der Umgebung gesehen wurden.
  • Entitäten werden mit Informationen aus den Safe Browsing-Bedrohungslisten angereichert.
  • Erweitert Ereignisse um Daten zur Standortbestimmung.
  • Ergänzt Entitäten mit WHOIS-Daten.
  • Ergänzt Ereignisse mit VirusTotal-Dateimetadaten.
  • Entitäten werden mit VirusTotal-Beziehungsdaten angereichert.
  • Google Cloud Threat Intelligence-Daten aufnehmen und speichern

Angereicherte Daten aus WHOIS, Safe Browsing, GCTI Threat Intelligence VirusTotal-Metadaten und VirusTotal-Beziehung werden von event_type, product_name, und vendor_name. Wenn Sie eine Regel mit diesen angereicherten Daten erstellen, fügen Sie einen Filter in die Regel ein, der die spezifische Anreicherungstyp enthält. Mit diesem Filter wird die Leistung der Regel verbessert. Fügen Sie beispielsweise die folgenden Filterfelder in den Abschnitt events der die WHOIS-Daten zusammenführt.

$enrichment.graph.metadata.entity_type = "DOMAIN_NAME"
$enrichment.graph.metadata.product_name = "WHOISXMLAPI Simple Whois"
$enrichment.graph.metadata.vendor_name = "WHOIS"

Entitäten mit dem Entitätsdiagramm und dem Zusammenführen anreichern

Im Entitätsgraphen werden Beziehungen zwischen Entitäten und Ressourcen in Ihrer Umgebung dargestellt. Wenn Entitäten aus verschiedenen Quellen in Google Security Operations aufgenommen werden, wird im Entitätsgraphen eine Adjazenzliste basierend auf der Beziehung zwischen den Entitäten verwaltet. Der Entitätsdiagramm Kontextanreicherung durch Deduplizierung und Zusammenführung.

Während der Deduplizierung werden redundante Daten eliminiert und Intervalle entstehen, um einer gemeinsamen Entität. Angenommen, Sie haben zwei Entitäten e1 und e2 mit den Zeitstempeln t1 und t2. Die Entitäten e1 und e2 werden dedupliziert und die unterschiedlichen Zeitstempel werden bei der Deduplizierung nicht verwendet. Die folgenden Felder sind nicht bei der Deduplizierung verwendet wird:

  • collected_timestamp
  • creation_timestamp
  • interval

Beim Zusammenführen werden Beziehungen zwischen Entitäten für einen Zeitraum von einem Tag hergestellt. Angenommen, es gibt einen Entitätseintrag für user A, der Zugriff auf einen Cloud Storage-Bucket hat. Es gibt einen weiteren Entitätseintrag für user A, der Inhaber eines Geräts ist. Nach der Zusammenführung Diese beiden Entitäten ergeben eine einzelne Entität user A, die zwei Beziehungen hat. Eine Beziehung besteht darin, dass user A Zugriff auf den Cloud Storage-Bucket hat, und die andere Beziehung besteht darin, dass user A der Eigentümer des Geräts ist. Google Security Operations führt ein Lookback-Window von fünf Tagen durch, werden Entitätskontextdaten erstellt. Damit werden spät ankommende Daten verarbeitet und eine implizite der Entitätskontextdaten.

Google Security Operations verwendet Aliasing, um die Telemetriedaten anzureichern, und verwendet Entitätsdiagramme um die Entitäten anzureichern. Die Regeln der Erkennungs-Engine verbinden die zusammengeführten Entitäten mit um kontextsensitive Analysen mit den angereicherten Telemetriedaten zu ermöglichen.

Ein Ereignis, das ein Entitätssubstantiv enthält, wird als Entität betrachtet. Hier sind einige und die zugehörigen Entitätstypen:

  • ASSET_CONTEXT entspricht ASSET.
  • RESOURCE_CONTEXT entspricht RESOURCE.
  • USER_CONTEXT entspricht USER.
  • GROUP_CONTEXT entspricht GROUP.

Im Entitätsdiagramm wird zwischen Kontextdaten und Kompromittierungsindikatoren unterschieden. mithilfe der Bedrohungsinformationen.

Beachten Sie bei der Verwendung kontextbezogener angereicherter Daten das folgende Verhalten des Entitätsdiagramms:

  • Fügen Sie der Entität keine Intervalle hinzu, sondern lassen Sie die Intervalle von der Entitätsgrafik erstellen. Das liegt daran, dass Intervalle bei der Deduplizierung generiert werden, sofern nicht anders angegeben.
  • Wenn die Intervalle angegeben sind, werden nur dieselben Ereignisse dedupliziert und das neueste Element wird beibehalten.
  • Damit Live-Regeln und Retrohunts wie erwartet funktionieren, müssen Entitäten mindestens einmal täglich aufgenommen werden.
  • Wenn Entitäten nicht täglich, sondern nur einmal in zwei oder mehr Tagen aufgenommen werden, Live-Regeln funktionieren möglicherweise wie erwartet, bei RetroHunts kann jedoch der Kontext des Ereignisses verloren gehen.
  • Wenn Entitäten mehrmals täglich aufgenommen werden, werden sie zu einer einzelnen Entität dedupliziert.
  • Wenn die Ereignisdaten für einen Tag fehlen, werden vorübergehend die Daten des Vortags verwendet, damit die Live-Regeln ordnungsgemäß funktionieren.

In der Entitätsgrafik werden auch Ereignisse mit ähnlichen IDs zusammengeführt, um eine konsolidierte Ansicht der Daten zu erhalten. Diese Zusammenführung erfolgt basierend auf der folgenden Liste von Kennungen:

  • Asset
    • entity.asset.product_object_id
    • entity.asset.hostname
    • entity.asset.asset_id
    • entity.asset.mac
  • User
    • entity.user.product_object_id
    • entity.user.userid
    • entity.user.windows_sid
    • entity.user.email_addresses
    • entity.user.employee_id
  • Resource
    • entity.resource.product_object_id
    • entity.resource.name
  • Group
    • entity.group.product_object_id
    • entity.group.email_addresses
    • entity.group.windows_sid

Statistiken zur Prävalenz berechnen

Google Security Operations führt statistische Analysen zu vorhandenen und eingehenden Daten durch und reichert Entitätskontext-Datensätze mit prävalenzbezogenen Messwerten an.

Die Verbreitung ist ein numerischer Wert, der angibt, wie beliebt eine Entität ist. Die Beliebtheit wird durch die Anzahl der Assets definiert, die auf ein Artefakt zugreifen, z. B. Domain, Datei-Hash oder IP-Adresse. Je größer die Zahl, desto beliebter ist die Entität. google.com hat beispielsweise hohe Prävalenzwerte, da häufig darauf zugegriffen wird. Wird nur selten auf eine Domain zugegriffen, ist die Wahrscheinlichkeit geringer, Prävalenzwerte. Bei beliebten Entitäten ist die Wahrscheinlichkeit, dass sie schädlich sind, in der Regel geringer.

Diese angereicherten Werte werden für Domain, IP-Adresse und Datei (Hash) unterstützt. Die Werte werden berechnet und in den folgenden Feldern gespeichert.

Die Statistik zur Verbreitung der einzelnen Entitäten wird täglich aktualisiert. Die Werte werden in einem separaten Entitätskontext gespeichert, der von der Detection Engine verwendet werden kann, aber nicht in den explorativen Ansichten von Google Security Operations und in der UDM-Suche angezeigt wird.

Die folgenden Felder können beim Erstellen von Regeln für die Erkennungs-Engine verwendet werden.

Entitätstyp UDM-Felder
Domain entity.domain.prevalence.day_count
entity.domain.prevalence.day_max
entity.domain.prevalence.day_max_sub_domains
entity.domain.prevalence.rolling_max
entity.domain.prevalence.rolling_max_sub_domains
Datei (Hash) entity.file.prevalence.day_count
entity.file.prevalence.day_max
entity.file.prevalence.rolling_max
IP-Adresse entity.artifact.prevalence.day_count
entity.artifact.prevalence.day_max
entity.artifact.prevalence.rolling_max

Die Werte für „day_max“ und „rolling_max“ werden unterschiedlich berechnet. Die Felder sind wie folgt berechnet:

  • day_max wird als maximaler Prävalenzwert für das Artefakt während den Tag, wobei ein Tag von 00:00:00 bis 23:59:59 Uhr UTC definiert ist.
  • rolling_max wird als maximaler Wert der täglichen Prävalenz (d. h. day_max) für das Artefakt im vorangegangenen 10-Tage-Zeitraum berechnet.
  • day_count wird zur Berechnung von rolling_max verwendet und ist immer der Wert 10.

Bei der Berechnung für eine Domain ist der Unterschied zwischen day_max und day_max_sub_domains (und rolling_max und rolling_max_sub_domains) folgender:

  • rolling_max und day_max stehen für die Anzahl der eindeutigen internen IP-Adressen pro Tag. Zugriff auf eine bestimmte Domain (mit Ausnahme von Subdomains)
  • rolling_max_sub_domains und day_max_sub_domains geben die Anzahl der eindeutigen internen IP-Adressen an, die auf eine bestimmte Domain (einschließlich Subdomains) zugreifen.

Prävalenzstatistiken werden anhand von neu aufgenommenen Entitätsdaten berechnet. Berechnungen werden nicht rückwirkend auf zuvor aufgenommene Daten angewendet. Die Fahrt dauert etwa 36 Minuten Stunden, bis die Statistiken berechnet und gespeichert werden.

Erst- und Letztaufrufzeit von Entitäten berechnen

Google Security Operations führt statistische Analysen eingehender Daten durch und reichert die Entität an Kontextdatensätze mit den Zeiten der ersten und letzten Erfassung einer Entität. Im Feld first_seen_time werden das Datum und die Uhrzeit gespeichert, an dem die Entität zum ersten Mal in der Kundenumgebung erfasst wurde. Im Feld last_seen_time werden das Datum und die Uhrzeit der letzten Beobachtung gespeichert.

Da ein Asset oder ein Nutzer durch mehrere Indikatoren (UDM-Felder) identifiziert werden kann, wird beim ersten gibt an, wann ein Indikator zur Identifizierung des Nutzers oder Assets zum ersten Mal gesehen wurde. in der Kundenumgebung.

Folgende UDM-Felder beschreiben ein Asset:

  • entity.asset.hostname
  • entity.asset.ip
  • entity.asset.mac
  • entity.asset.asset_id
  • entity.asset.product_object_id

Alle UDM-Felder, die einen Nutzer beschreiben, sind:

  • entity.user.windows_sid
  • entity.user.product_object_id
  • entity.user.userid
  • entity.user.employee_id
  • entity.user.email_addresses

Anhand der Zeit, zu der eine Domain, Datei (Hash), ein Asset, ein Nutzer oder eine IP-Adresse zum ersten Mal oder zum letzten Mal erkannt wurde, können Analysten bestimmte Aktivitäten in Beziehung setzen.

Die Felder first_seen_time und last_seen_time werden mit Entitäten gefüllt, die beschreiben eine Domain, IP-Adresse und Datei (Hash). Für Entitäten, die einen Nutzer beschreiben oder Asset enthält, wird nur das Feld first_seen_time ausgefüllt. Diese Werte sind nicht berechnet für Entitäten, die andere Typen beschreiben, z. B. eine Gruppe oder Ressource.

Die Statistiken werden für jede Entität in allen Namespaces berechnet. Google Security Operations berechnet nicht die Statistiken für jede Entität innerhalb einzelner Namespaces. Diese Statistiken werden derzeit nicht in das events-Schema von Google Security Operations in BigQuery exportiert.

Die angereicherten Werte werden hier berechnet und gespeichert: UDM-Felder:

Entitätstyp UDM-Felder
Domain entity.domain.first_seen_time
entity.domain.last_seen_time
Datei (Hash) entity.file.first_seen_time
entity.file.last_seen_time
IP-Adresse entity.artifact.first_seen_time
entity.artifact.last_seen_time
Asset entity.asset.first_seen_time
Nutzer entity.user.first_seen_time

Ereignisse mit Geolocation-Daten anreichern

Eingehende Protokolldaten können externe IP-Adressen ohne entsprechende Standortinformationen. Das ist häufig der Fall, wenn bei einem Ereignis Informationen zu Geräteaktivitäten protokolliert werden, die sich nicht in einem Unternehmensnetzwerk befinden. Beispiel: Ein Log-in an einen Cloud-Dienst mit einer Quell- oder Client-IP-Adresse Die externe IP-Adresse eines Geräts, das von der Carrier-NAT zurückgegeben wird.

Google Security Operations bietet Daten mit Geoinformationen für externe IP-Adressen, um eine bessere Regelerkennung und mehr Kontext für Untersuchungen zu ermöglichen. So kann Google Security Operations beispielsweise eine externe IP-Adresse verwenden, um das Ereignis mit Informationen zum Land (z. B. USA), zu einem bestimmten Bundesstaat (z. B. Alaska) und zum Netzwerk, in dem sich die IP-Adresse befindet (z. B. ASN und Name des Mobilfunkanbieters), anzureichern.

Google Security Operations verwendet von Google bereitgestellte Standortdaten, um einen ungefähren geografischen Standort und Netzwerkinformationen für eine IP-Adresse anzugeben. Sie können Regeln für die diese Felder in den Ereignissen an. Die angereicherten Ereignisdaten werden auch in BigQuery exportiert, wo sie in Google Security Operations-Dashboards und -Berichten verwendet werden können.

Die folgenden IP-Adressen sind nicht angereichert:

  • Private IP-Adressbereiche von RFC 1918, da sie intern im Unternehmensnetzwerk sind.
  • Multicast-IP-Adressbereich von RFC 5771, da Multicast-Adressen keinem einzelnen Standort zugeordnet sind.
  • Eindeutige lokale IPv6-Adressen.
  • IP-Adressen von Google Cloud-Diensten Ausnahmen sind Google Cloud Compute Engine externe IP-Adressen, die angereichert sind.

Google Security Operations ergänzt die folgenden UDM-Felder mit Daten zur Standortbestimmung:

  • principal
  • target
  • src
  • observer
Datentyp UDM-Feld
Standort (z. B. USA) ( principal | target | src | observer ).ip_geo_artifact.location.country_or_region
Bundesland (z. B. New York) ( principal | target | src | observer ).ip_geo_artifact.location.state
Längengrad ( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.longitude
Breitengrad ( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.latitude
ASN (Autonomous System Number) ( principal | target | src | observer ).ip_geo_artifact.network.asn
Name des Mobilfunkanbieters ( principal | target | src | observer ).ip_geo_artifact.network.carrier_name
DNS-Domain ( principal | target | src | observer ).ip_geo_artifact.network.dns_domain
Name der Organisation ( principal | target | src | observer ).ip_geo_artifact.network.organization_name

Im folgenden Beispiel sehen Sie, welche Art von geografischen Informationen zu einem UDM-Ereignis mit einer in den Niederlanden getaggten IP-Adresse hinzugefügt wurde:

UDM-Feld Wert
principal.ip_geo_artifact.location.country_or_region Netherlands
principal.ip_geo_artifact.location.region_coordinates.latitude 52.132633
principal.ip_geo_artifact.location.region_coordinates.longitude 5.291266
principal.ip_geo_artifact.network.asn 8455
principal.ip_geo_artifact.network.carrier_name schuberg philis

Inkonsistenzen

Die von Google entwickelte IP-Standortbestimmungstechnologie verwendet eine Kombination aus Netzwerkdaten und anderen Eingaben und Methoden, um Nutzern den Standort der IP-Adresse und die Netzwerkauflösung zur Verfügung zu stellen. Andere Organisationen verwenden möglicherweise unterschiedliche Signale oder Methoden, was gelegentlich zu unterschiedlichen Ergebnissen führen kann.

Wenn Sie Abweichungen bei den von Google bereitgestellten Ergebnissen zur IP-Standortbestimmung feststellen, eröffnen Sie bitte eine Supportanfrage, damit wir die Angelegenheit untersuchen und gegebenenfalls unsere Daten korrigieren können.

Entitäten mit Informationen aus Safe Browsing-Bedrohungslisten anreichern

Google Security Operations nimmt Daten von Safe Browsing zu Datei-Hashes auf. Die Daten für jede Datei werden als Entität gespeichert und liefern zusätzlichen Kontext zur Datei. Analysten können Regeln für die Erkennungs-Engine erstellen, die Abfragen an diese Entitätskontextdaten stellen, um kontextbezogene Analysen zu erstellen.

Die folgenden Informationen werden im Entitätskontext-Eintrag gespeichert.

UDM-Feld Beschreibung
entity.metadata.product_entity_id Eine eindeutige Kennung für die Entität.
entity.metadata.entity_type Dieser Wert ist FILE, was bedeutet, dass die Entität eine Datei beschreibt.
entity.metadata.collected_timestamp Datum und Uhrzeit der Beobachtung der Entität oder des Ereignisses aufgetreten.
entity.metadata.interval Hier werden die Start- und Endzeit gespeichert, für die diese Daten gültig sind. Da sich der Inhalt der Bedrohungsliste im Laufe der Zeit ändert, geben start_time und end_time das Zeitintervall an, in dem die Daten zur Entität gültig sind. Beispiel: Ein Datei-Hash wurde zwischen start_time and end_time.
entity.metadata.threat.category Das ist das Symbol für Google Security Operations SecurityCategory. Dieser Wert wird auf einen oder mehrere der folgenden Werte festgelegt:
  • SOFTWARE_MALICIOUS: Gibt an, dass die Bedrohung auf Malware zurückzuführen ist.
  • SOFTWARE_PUA: gibt an, dass die Bedrohung mit unerwünschter Software zusammenhängt.
entity.metadata.threat.severity Das ist Google Security Operations-ProductSeverity. Wenn der Wert CRITICAL ist, weist das darauf hin, dass das Artefakt schädlich zu sein scheint. Wenn der Wert nicht angegeben ist, ist die Zuverlässigkeit nicht ausreichend, um anzugeben, dass der Artefakt ist schädlich.
entity.metadata.product_name Speichert den Wert Google Safe Browsing.
entity.file.sha256 Der SHA256-Hashwert für die Datei.

Entitäten mit WHOIS-Daten anreichern

Google Security Operations nimmt täglich WHOIS-Daten auf. Bei der Aufnahme eingehender Gerätedaten von Kunden werden in Google Security Operations die Domains in den Kundendaten anhand der WHOIS-Daten überprüft. Bei einer Übereinstimmung speichert Google Security Operations die zugehörigen WHOIS-Daten im Entitätseintrag für die Domain. Für jede Entität wobei entity.metadata.entity_type = DOMAIN_NAME, Google Security Operations die Entität mit WHOIS-Informationen.

Google Security Operations füllt die folgenden Felder im Entitätseintrag mit angereicherten WHOIS-Daten aus:

  • entity.domain.admin.attribute.labels
  • entity.domain.audit_update_time
  • entity.domain.billing.attribute.labels
  • entity.domain.billing.office_address.country_or_region
  • entity.domain.contact_email
  • entity.domain.creation_time
  • entity.domain.expiration_time
  • entity.domain.iana_registrar_id
  • entity.domain.name_server
  • entity.domain.private_registration
  • entity.domain.registrant.company_name
  • entity.domain.registrant.office_address.state
  • entity.domain.registrant.office_address.country_or_region
  • entity.domain.registrant.email_addresses
  • entity.domain.registrant.user_display_name
  • entity.domain.registrar
  • entity.domain.registry_data_raw_text
  • entity.domain.status
  • entity.domain.tech.attribute.labels
  • entity.domain.update_time
  • entity.domain.whois_record_raw_text
  • entity.domain.whois_server
  • entity.domain.zone

Eine Beschreibung dieser Felder finden Sie in der Dokument mit Liste der Felder des einheitlichen Datenmodells

Google Cloud Threat Intelligence-Daten aufnehmen und speichern

Google Security Operations nimmt Daten aus Google Cloud Threat Intelligence-Datenquellen (GCTI) auf, die Ihnen Kontextinformationen zur Verfügung stellen, die Sie bei der Untersuchung von Aktivitäten in Ihrer Umgebung verwenden können. Sie können die folgenden Datenquellen abfragen:

  • GCTI Tor-Ausgangsknoten: IP-Adressen, die bekannte Tor-Ausgangsknoten sind.
  • GCTI-harmlose Binärdateien: Dateien, die entweder Teil der ursprünglichen Betriebssystemverteilung sind oder durch einen offiziellen Betriebssystem-Patch aktualisiert wurden. Einige offizielle Binärprogramme für Betriebssysteme, die von einem Angreifer missbraucht wurden Aktivitäten, die häufig bei Angriffen außerhalb des Landes verbreitet sind, sind davon ausgeschlossen. Datenquelle, z. B. für diejenigen, die sich auf die anfänglichen Eintragsvektoren konzentrieren.
  • GCTI Remote Access Tools: Dateien, die häufig von böswilligen Akteuren verwendet werden Diese Tools sind in der Regel legitime Anwendungen, die manchmal missbraucht werden, um eine Remote-Verbindung zu manipulierten Systemen herzustellen.

    Diese Kontextdaten werden global als Entitäten gespeichert. Sie können die Daten mithilfe von Regeln der Erkennungs-Engine abfragen. Nehmen Sie die folgenden UDM-Felder und -Werte in die Regel auf, um diese globalen Entitäten abzufragen:

  • graph.metadata.vendor_name = Google Cloud Threat Intelligence

  • graph.metadata.product_name = GCTI Feed

In diesem Dokument steht der Platzhalter <variable_name> für den eindeutigen Variablennamen. die in einer Regel zur Identifizierung eines UDM-Eintrags verwendet werden.

Zeitlich begrenzte und zeitlose Google Cloud Threat Intelligence-Datenquellen

Google Cloud Threat Intelligence-Datenquellen sind entweder zeitlich oder zeitlos.

Mit zeitgesteuerten Datenquellen ist jeweils ein Zeitraum verknüpft. zu erstellen. Wird also am ersten Tag eine Erkennung an einem beliebigen Tag im dass dieselbe Erkennung am ersten Tag während eines Retro-Hunt.

Zeitlich unbegrenzte Datenquellen sind keinem Zeitraum zugeordnet. Das liegt daran, dass nur die neuesten Daten berücksichtigt werden sollten. Zeitlos Datenquellen werden häufig für nicht erwartete Daten wie Datei-Hashes verwendet. ändern können. Wenn an Tag 1 keine Erkennung generiert wird, kann an Tag 2 bei einer Retro-Suche eine Erkennung für Tag 1 generiert werden, weil ein neuer Eintrag hinzugefügt wurde.

Daten zu IP-Adressen von Tor-Exit-Knoten

Google Security Operations nimmt IP-Adressen auf, die bekannte Tor-Ausgangsknoten sind, und speichert sie. Tor-Ausstiegsknoten sind Punkte, an denen der Traffic das Tor-Netzwerk verlässt. Aufgenommene Informationen aus dieser Datenquelle wird in den folgenden UDM-Feldern gespeichert. Die Daten in dieser Quelle sind zeitbasiert.

UDM-Feld Beschreibung
<variable_name>.graph.metadata.vendor_name Speichert den Wert Google Cloud Threat Intelligence.
<variable_name>.graph.metadata.product_name Speichert den Wert GCTI Feed.
<variable_name>.graph.metadata.threat.threat_feed_name Speichert den Wert Tor Exit Nodes.
<variable_name>.graph.entity.artifact.ip Hier wird die IP-Adresse gespeichert, die aus der GCTI-Datenquelle aufgenommen wurde.

Daten zu ungefähren Betriebssystemdateien

Google Security Operations nimmt Datei-Hashes aus den Benign-Binärdateien der GCTI auf und speichert sie Datenquelle verwendet werden. Die aus dieser Datenquelle aufgenommenen Informationen werden in den folgenden UDM-Feldern gespeichert. Die Daten in dieser Quelle sind zeitlos.

UDM-Feld Beschreibung
<variable_name>.graph.metadata.vendor_name Speichert den Wert Google Cloud Threat Intelligence.
<variable_name>.graph.metadata.product_name Speichert den Wert GCTI Feed.
<variable_name>.graph.metadata.threat.threat_feed_name Speichert den Wert Benign Binaries.
<variable_name>.graph.entity.file.sha256 Speichert den SHA256-Hashwert der Datei.
<variable_name>.graph.entity.file.sha1 Hier wird der SHA1-Hashwert der Datei gespeichert.
<variable_name>.graph.entity.file.md5 Hier wird der MD5-Hashwert der Datei gespeichert.

Daten zu Tools für den Remotezugriff

Zu den Tools für den Remotezugriff gehören Datei-Hashes für bekannte Tools für den Remotezugriff wie VNC-Clients, die häufig von böswilligen Akteuren verwendet wurden. Diese Tools sind im Allgemeinen legitimen Anwendungen, die manchmal missbraucht werden, um Remote-Verbindungen herzustellen bis hin zu gehackten Systemen. Informationen aus dieser Datenquelle werden hier gespeichert: folgenden UDM-Feldern. Die Daten in dieser Quelle sind zeitlos.

UDM-Feld Beschreibung
.graph.metadata.vendor_name Speichert den Wert Google Cloud Threat Intelligence.
.graph.metadata.product_name Speichert den Wert GCTI Feed.
.graph.metadata.threat.threat_feed_name Speichert den Wert Remote Access Tools.
.graph.entity.file.sha256 Speichert den SHA256-Hashwert der Datei.
.graph.entity.file.sha1 Speichert den SHA1-Hashwert der Datei.
.graph.entity.file.md5 Hier wird der MD5-Hashwert der Datei gespeichert.

Ereignisse mit VirusTotal-Dateimetadaten anreichern

Google Security Operations ergänzt Datei-Hashes in UDM-Ereignissen und bietet während einer Untersuchung zusätzlichen Kontext. UDM-Ereignisse werden in einer Kundenumgebung durch Hash-Aliasse angereichert. Beim Hash-Aliasing werden alle Arten von Datei-Hashes und liefert Informationen zu einem Datei-Hash während einer Suche.

Die Integration von VirusTotal-Dateimetadaten und die Beziehungsanreicherung mit Mit Google SecOps können Muster bösartiger Aktivitäten identifiziert werden und Malware-Bewegungen in einem Netzwerk zu verfolgen.

Ein Rohprotokoll bietet begrenzte Informationen über die Datei. VirusTotal ergänzt das Ereignis mit Dateimetadaten, um einen Dump fehlerhafter Hashes zusammen mit Metadaten über den Ungültige Datei. Die Metadaten enthalten Informationen wie Dateinamen, Typen, importierte Funktionen und Tags. Sie können diese Informationen in der UDM-Suche und -Erkennung verwenden mit YARA-L, um schädliche Dateiereignisse zu verstehen, und im Allgemeinen bei Bedrohungen Jagd. Ein Beispiel ist die Erkennung von Änderungen an der Originaldatei. die wiederum die Metadaten der Datei zur Bedrohungserkennung importieren würde.

Die folgenden Informationen werden zusammen mit dem Eintrag gespeichert. Eine Liste aller UDM-Felder finden Sie unter Liste der Felder für einheitliche Datenmodell.

Datentyp UDM-Feld
SHA-256 ( principal | target | src | observer ).file.sha256
MD5 ( principal | target | src | observer ).file.md5
SHA-1 ( principal | target | src | observer ).file.sha1
Größe ( principal | target | src | observer ).file.size
ssdeep ( principal | target | src | observer ).file.ssdeep
vhash ( principal | target | src | observer ).file.vhash
authentihash ( principal | target | src | observer ).file.authentihash
Dateityp ( principal | target | src | observer ).file.file_type
Tags ( principal | target | src | observer ).file.tags
Funktions-Tags ( principal | target | src | observer ).file.capabilities_tags
Namen ( principal | target | src | observer ).file.names
Datum und Uhrzeit der ersten Erfassung ( principal | target | src | observer ).file.first_seen_time
Zuletzt gesehen, Zeit ( principal | target | src | observer ).file.last_seen_time
Letzte Änderung ( principal | target | src | observer ).file.last_modification_time
Zeitpunkt der letzten Analyse ( principal | target | src | observer ).file.last_analysis_time
Eingebettete URLs ( principal | target | src | observer ).file.embedded_urls
Eingebettete IP-Adressen ( principal | target | src | observer ).file.embedded_ips
Eingebettete Domains ( principal | target | src | observer ).file.embedded_domains
Informationen zur Unterschrift ( principal | target | src | observer ).file.signature_info
Informationen zur Signatur
  • Sigcheck
( principal | target | src | observer).file.signature_info.sigcheck
Informationen zur Signatur
  • Sigcheck
    • Bestätigungsnachricht
( principal | target | src | observer ).file.signature_info.sigcheck.verification_message
Informationen zur Unterschrift
  • Sigcheck
    • Bestätigt
( principal | target | src | observer ).file.signature_info.sigcheck.verified
Informationen zur Signatur
  • Sigcheck
    • Signaturgeber
( principal | target | src | observer ).file.signature_info.sigcheck.signers
Informationen zur Signatur
  • Sigcheck
    • Signaturgeber
      • Name
( principal | target | src | observer ).file.signature_info.sigcheck.signers.name
Informationen zur Unterschrift
  • Sigcheck
    • Signaturgeber
      • Status
( principal | target | src | observer ).file.signature_info.sigcheck.signers.status
Informationen zur Signatur
  • Sigcheck
    • Signaturgeber
      • Gültige Verwendung des Zertifikats
( principal | target | src | observer ).file.signature_info.sigcheck.signers.valid_usage
Informationen zur Signatur
  • Sigcheck
    • Signaturgeber
      • Zertifikatsaussteller
( principal | target | src | observer ).file.signature_info.sigcheck.signers.cert_issuer
Informationen zur Signatur
  • Logo: Sigcheck
    • X509
( principal | target | src | observer ).file.signature_info.sigcheck.x509
Informationen zur Unterschrift
  • Logo: Sigcheck
    • X509
      • Name
( principal | target | src | observer ).file.signature_info.sigcheck.x509.name
Informationen zur Unterschrift
  • Logo: Sigcheck
    • X509
      • Algorithmus
( principal | target | src | observer ).file.signature_info.sigcheck.x509.algorithm
Informationen zur Signatur
  • Logo: Sigcheck
    • X509
      • Fingerabdruck
( principal | target | src | observer ).file.signature_info.sigcheck.x509.thumprint
Informationen zur Signatur
  • Logo: Sigcheck
    • X509
      • Zertifikatsaussteller
( principal | target | src | observer ).file.signature_info.sigcheck.x509.cert_issuer
Informationen zur Signatur
  • Logo: Sigcheck
    • X509
      • Seriennummer
( principal | target | src | observer ).file.signature_info.sigcheck.x509.serial_number
Informationen zur Unterschrift
  • Codesign
( principal | target | src | observer ).file.signature_info.codesign
Informationen zur Signatur
  • Codesign
    • ID
( principal | target | src | observer ).file.signature_info.codesign.id
Informationen zur Unterschrift
  • Codesign
    • Format
( principal | target | src | observer ).file.signature_info.codesign.format
Informationen zur Unterschrift
  • Codesign
    • Kompilierungszeit
( principal | target | src | observer ).file.signature_info.codesign.compilation_time
Informationen zu Exiftool ( principal | target | src | observer ).file.exif_info
Informationen zu Exiftool
  • Name der ursprünglichen Datei
( principal | target | src | observer ).file.exif_info.original_file
Informationen zu Exiftool
  • Produktname
( principal | target | src | observer ).file.exif_info.product
EXIFtool-Informationen
  • Name des Unternehmens
( principal | target | src | observer ).file.exif_info.company
Informationen zu Exiftool
  • Dateibeschreibung
( principal | target | src | observer ).file.exif_info.file_description
Informationen zu Exiftool
  • Einstiegspunkt
( principal | target | src | observer ).file.exif_info.entry_point
EXIFtool-Informationen
  • Kompilierungszeit
( principal | target | src | observer ).file.exif_info.compilation_time
PDF-Informationen ( principal | target | src | observer ).file.pdf_info
PDF-Informationen
  • Anzahl der /JS-Tags
( principal | target | src | observer ).file.pdf_info.js
PDF-Informationen
  • Anzahl der JavaScript-Tags
( principal | target | src | observer ).file.pdf_info.javascript
PDF-Informationen
  • Anzahl der /Launch-Tags
( principal | target | src | observer ).file.pdf_info.launch_action_count
PDF-Informationen
  • Anzahl der Objektstreams
( principal | target | src | observer ).file.pdf_info.object_stream_count
PDF-Informationen
  • Anzahl der Objektdefinitionen (endobj-Keyword)
( principal | target | src | observer ).file.pdf_info.endobj_count
PDF-Informationen
  • PDF-Version
( principal | target | src | observer ).file.pdf_info.header
PDF-Informationen
  • Anzahl der /AcroForm-Tags
( principal | target | src | observer ).file.pdf_info.acroform
PDF-Informationen
  • Anzahl der /AA-Tags
( principal | target | src | observer ).file.pdf_info.autoaction
PDF-Informationen
  • Anzahl der /EmbeddedFile-Tags
( principal | target | src | observer ).file.pdf_info.embedded_file
PDF-Informationen
  • /Encrypt-Tag
( principal | target | src | observer ).file.pdf_info.encrypted
PDF-Informationen
  • Anzahl der /RichMedia-Tags
( principal | target | src | observer ).file.pdf_info.flash
PDF-Informationen
  • Anzahl der /JBIG2Decode-Tags
( principal | target | src | observer ).file.pdf_info.jbig2_compression
PDF-Informationen
  • Anzahl der Objektdefinitionen (Keyword „obj“)
( principal | target | src | observer ).file.pdf_info.obj_count
PDF-Informationen
  • Anzahl der definierten Streamobjekte (Stream-Keyword)
( principal | target | src | observer ).file.pdf_info.endstream_count
PDF-Informationen
  • Anzahl der Seiten im PDF
( principal | target | src | observer ).file.pdf_info.page_count
PDF-Informationen
  • Anzahl der definierten Streamobjekte (Stream-Keyword)
( principal | target | src | observer ).file.pdf_info.stream_count
PDF-Informationen
  • Anzahl der /OpenAction-Tags
( principal | target | src | observer ).file.pdf_info.openaction
PDF-Informationen
  • Anzahl der startxref-Keywords
( principal | target | src | observer ).file.pdf_info.startxref
PDF-Informationen
  • Anzahl der Farben mit mehr als 3 Byte (CVE-2009-3459)
( principal | target | src | observer ).file.pdf_info.suspicious_colors
PDF-Informationen
  • Anzahl der Keywords für Trailer
( principal | target | src | observer ).file.pdf_info.trailer
PDF-Informationen
  • Anzahl der gefundenen /XFA-Tags
( principal | target | src | observer ).file.pdf_info.xfa
PDF-Informationen
  • Anzahl der xref-Keywords
( principal | target | src | observer ).file.pdf_info.xref
PE-Dateimetadaten ( principal | target | src | observer ).file.pe_file
PE-Dateimetadaten
  • Imphash
( principal | target | src | observer ).file.pe_file.imphash
PE-Dateimetadaten
  • Einstiegspunkt
( principal | target | src | observer ).file.pe_file.entry_point
Metadaten der PE-Datei
  • Einstiegspunkt exiftool
( principal | target | src | observer ).file.pe_file.entry_point_exiftool
PE-Dateimetadaten
  • Kompilierungszeit
( principal | target | src | observer ).file.pe_file.compilation_time
PE-Dateimetadaten
  • Kompilierungszeit von ExifTool
( principal | target | src | observer ).file.pe_file.compilation_exiftool_time
Metadaten der PE-Datei
  • Bereiche
( principal | target | src | observer ).file.pe_file.section
Metadaten der PE-Datei
  • Bereiche
    • Name
( principal | target | src | observer ).file.pe_file.section.name
Metadaten der PE-Datei
  • Bereiche
    • Entropie
( principal | target | src | observer ).file.pe_file.section.entropy
Metadaten der PE-Datei
  • Bereiche
    • Rohgröße in Byte
( principal | target | src | observer ).file.pe_file.section.raw_size_bytes
Metadaten der PE-Datei
  • Bereiche
    • Virtuelle Größe in Byte
( principal | target | src | observer ).file.pe_file.section.virtual_size_bytes
Metadaten der PE-Datei
  • Bereiche
    • MD5-Hexadezimalwert
( principal | target | src | observer ).file.pe_file.section.md5_hex
PE-Dateimetadaten
  • Importe
( principal | target | src | observer ).file.pe_file.imports
Metadaten der PE-Datei
  • Importe
    • Bibliothek
( principal | target | src | observer ).file.pe_file.imports.library
Metadaten der PE-Datei
  • Importe
    • Funktionen
( principal | target | src | observer ).file.pe_file.imports.functions
PE-Dateimetadaten
  • Ressourceninformationen
( principal | target | src | observer ).file.pe_file.resource
Metadaten der PE-Datei
  • Ressourceninformationen
    • SHA-256-Hex
( principal | target | src | observer ).file.pe_file.resource.sha256_hex
PE-Dateimetadaten
  • Ressourceninformationen
    • Vom magischem Python-Modul identifizierter Ressourcentyp
( principal | target | src | observer ).file.pe_file.resource.filetype_magic
PE-Dateimetadaten
  • Ressourceninformationen
    • Für Menschen lesbare Version der Sprach- und Subsprachenkennungen wie in der Windows-PE-Spezifikation definiert
( principal | target | src | observer ).file.pe_file.resource_language_code
Metadaten der PE-Datei
  • Ressourceninformationen
    • Entropie
( principal | target | src | observer ).file.pe_file.resource.entropy
Metadaten der PE-Datei
  • Ressourceninformationen
    • Dateityp
( principal | target | src | observer ).file.pe_file.resource.file_type
PE-Dateimetadaten
  • Anzahl der Ressourcen nach Ressourcentyp
( principal | target | src | observer ).file.pe_file.resources_type_count_str
PE-Dateimetadaten
  • Anzahl der Ressourcen nach Sprache
( principal | target | src | observer ).file.pe_file.resources_language_count_str

Entitäten mit VirusTotal-Beziehungsdaten anreichern

VirusTotal analysiert verdächtige Dateien, Domains, IP-Adressen und URLs, Malware und andere Sicherheitsverletzungen zu erkennen und die Ergebnisse mit der Sicherheits-Community zu teilen. Google Security Operations nimmt Daten aus VirusTotal-Verbindungen auf. Diese Daten werden als Entität gespeichert und enthalten Informationen zur Beziehung zwischen Datei-Hashes und Dateien, Domains, IP-Adressen und URLs.

Fachkräfte für Datenanalyse können anhand dieser Daten anhand von Informationen feststellen, ob ein Datei-Hash ungültig ist. zur URL oder Domain aus anderen Quellen. Diese Informationen können verwendet werden, um Regeln für die Detection Engine zu erstellen, die die Daten zum Entitätskontext abfragen, um kontextbezogene Analysen zu erstellen.

Diese Daten sind nur für bestimmte VirusTotal- und Google Security Operations-Lizenzen verfügbar. Fragen Sie Ihren Account Manager, ob Sie die Voraussetzungen erfüllen.

Die folgenden Informationen werden im Entitätskontext-Eintrag gespeichert:

UDM-Feld Beschreibung
entity.metadata.product_entity_id Eine eindeutige Kennung für die Entität.
entity.metadata.entity_type Der Wert FILE wird gespeichert, um anzugeben, dass die Entität eine Datei beschreibt.
entity.metadata.interval start_time bezieht sich auf den Beginn und end_time auf das Ende des Zeitraums, für den diese Daten gültig sind.
entity.metadata.source_labels In diesem Feld wird eine Liste von Schlüssel/Wert-Paaren von source_id und target_id für diese Entität. source_id ist der Datei-Hash und target_id kann der Hash oder Wert der URL, des Domainnamens oder der IP-Adresse sein, mit der diese Datei verknüpft ist. Sie können nach URL, Domainname, IP-Adresse oder Datei unter virustotal.com.
entity.metadata.product_name Speichert den Wert „VirusTotal-Beziehungen“
entity.metadata.vendor_name Speichert den Wert „VirusTotal“
entity.file.sha256 Speichert den SHA-256-Hashwert der Datei
entity.file.relations Eine Liste der untergeordneten Entitäten, Dateientität zu
entity.relations.relationship In diesem Feld wird die Art der Beziehung zwischen übergeordneten und untergeordneten Entitäten beschrieben. Der Wert kann EXECUTES, DOWNLOADED_FROM oder CONTACTS sein.
entity.relations.direction Speichert den Wert „UNIDIRECTIONAL“ und gibt die Richtung der Beziehung zur untergeordneten Entität an.
entity.relations.entity.url Die URL, auf die sich die Datei in der übergeordneten Entität bezieht (falls die Beziehung zwischen die übergeordnete Entität und die URL CONTACTS) oder die URL, von der die Datei in der übergeordneten Entität heruntergeladen wurde (wenn die Beziehung zwischen der übergeordneten Entität Entität und die URL lautet DOWNLOADED_FROM.
entity.relations.entity.ip Eine Liste der IP-Adressen, die von der Datei in Kontakten der übergeordneten Entität enthalten oder aus Sie enthält nur eine IP-Adresse.
entity.relations.entity.domain.name Der Domainname, über den die Datei in der übergeordneten Entität kontaktiert wird oder von dem sie heruntergeladen wurde
entity.relations.entity.file.sha256 Speichert den SHA-256-Hashwert für die Datei in der Beziehung
entity.relations.entity_type Dieses Feld enthält den Typ der Entität in der Beziehung. Der Wert kann URL, DOMAIN_NAME, IP_ADDRESS oder FILE sein. Diese Felder werden gemäß der entity_type ausgefüllt. Wenn entity_type beispielsweise URL ist, wird entity.relations.entity.url ausgefüllt.

Nächste Schritte

Informationen zur Verwendung angereicherter Daten mit anderen Funktionen von Google Security Operations finden Sie hier: