So erweitert Google Security Operations Ereignis- und Entitätsdaten

In diesem Dokument wird beschrieben, wie Google Security Operations Daten anreichert Felder des Unified Data Model (UDM), in denen Daten gespeichert werden.

Für eine Sicherheitsprüfung nimmt Google Security Operations kontextbezogene Daten auf Daten aus verschiedenen Quellen analysieren, zusätzliche Kontext zu Artefakten in einer Kundenumgebung. Analysten können kontextbasierte angereicherte Daten in Regeln der Erkennungs-Engine, investigativen Suchen oder Berichten.

Google Security Operations führt die folgenden Arten der Anreicherung durch:

• Ergänzt Entitäten mithilfe des Entitätsdiagramms und der Zusammenführung.
• Berechnet und reichert jede Entität mit einer Prävalenzstatistik an, die angibt, auch in der Umwelt.
• Berechnet, wann bestimmte Entitätstypen zum ersten Mal oder zuletzt in der Umgebung gesehen wurden.
• Ergänzt Entitäten mit Informationen aus Safe Browsing-Bedrohungslisten.
• Ergänzt Ereignisse mit Daten zur Standortbestimmung.
• Ergänzt Entitäten mit WHOIS-Daten.
• Ergänzt Ereignisse mit VirusTotal-Dateimetadaten.
• Füllt Entitäten mit VirusTotal-Beziehungsdaten an.
• Google Cloud Threat Intelligence-Daten aufnehmen und speichern.

Angereicherte Daten aus WHOIS, Safe Browsing, GCTI Threat Intelligence VirusTotal-Metadaten und VirusTotal-Beziehung werden von event_type, product_name, und vendor_name. Wenn Sie eine Regel mit diesen angereicherten Daten erstellen, fügen Sie einen Filter in die Regel ein, der die spezifische Anreicherungstyp enthält. Mit diesem Filter wird die Leistung der Regel verbessert. Fügen Sie beispielsweise die folgenden Filterfelder in den Abschnitt events der die WHOIS-Daten zusammenführt.

$enrichment.graph.metadata.entity_type = "DOMAIN_NAME"
$enrichment.graph.metadata.product_name = "WHOISXMLAPI Simple Whois"
$enrichment.graph.metadata.vendor_name = "WHOIS"

Entitäten mit dem Entitätsdiagramm und dem Zusammenführen anreichern

Im Entitätsdiagramm werden die Beziehungen zwischen Entitäten und Ressourcen in Ihrer Umgebung identifiziert. Wenn Entitäten aus verschiedenen Quellen in Google Security Operations aufgenommen werden, zeigt das Entitätsdiagramm Dies ist eine Liste der Näherungswerte, die auf der Beziehung zwischen den Entitäten basiert. Der Entitätsdiagramm Kontextanreicherung durch Deduplizierung und Zusammenführung.

Während der Deduplizierung werden redundante Daten eliminiert und Intervalle entstehen, um einer gemeinsamen Entität. Angenommen, Sie haben die beiden Entitäten e1 und e2 mit den Zeitstempeln t1. bzw. t2. Die Entitäten e1 und e2 werden dedupliziert und die Zeitstempel die unterschiedlich sind, werden bei der Deduplizierung nicht verwendet. Die folgenden Felder sind nicht bei der Deduplizierung verwendet wird:

• collected_timestamp
• creation_timestamp
• interval

Beim Zusammenführen werden Beziehungen zwischen Entitäten für folgendes Zeitintervall gebildet: an einem Tag. Betrachten Sie beispielsweise den Entitätseintrag user A, der Zugriff auf einen Cloud Storage-Speicherort hat. Bucket. Es gibt einen anderen Entitätsdatensatz von user A, dem ein Gerät gehört. Nach der Zusammenführung Diese beiden Entitäten ergeben eine einzelne Entität user A, die zwei Beziehungen hat. Eine Beziehung ist, dass user A Zugriff auf den Cloud Storage-Bucket hat und die andere Beziehung dass das Gerät user A gehört. Google Security Operations führt ein Lookback-Window von fünf Tagen durch, werden Entitätskontextdaten erstellt. Damit werden spät ankommende Daten verarbeitet und eine implizite die Lebensdauer von Entitätskontextdaten.

Google Security Operations verwendet Aliasing, um die Telemetriedaten anzureichern, und verwendet Entitätsdiagramme um die Entitäten anzureichern. Die Regeln der Erkennungs-Engine verbinden die zusammengeführten Entitäten mit um kontextsensitive Analysen mit den angereicherten Telemetriedaten zu ermöglichen.

Ein Ereignis, das ein Entitätsnomen enthält, wird als Entität betrachtet. Hier sind einige und die zugehörigen Entitätstypen:

• ASSET_CONTEXT entspricht ASSET.
• RESOURCE_CONTEXT entspricht RESOURCE.
• USER_CONTEXT entspricht USER.
• GROUP_CONTEXT entspricht GROUP.

Im Entitätsdiagramm wird zwischen Kontextdaten und Kompromittierungsindikatoren unterschieden. mithilfe der Bedrohungsinformationen.

Beachten Sie bei der Verwendung kontextbezogener angereicherter Daten das folgende Verhalten des Entitätsdiagramms:

• Fügen Sie der Entität keine Intervalle hinzu, sondern lassen Sie die Entität grafisch darstellen Intervalle zu erstellen. Dies liegt daran, dass Intervalle während der Deduplizierung generiert werden, es sei denn, die nicht anderweitig angegeben sind.
• Wenn Intervalle angegeben sind, werden nur dieselben Ereignisse dedupliziert und der Die letzte Entität wird beibehalten.
• Damit Live-Regeln und RetroHunts wie erwartet funktionieren, müssen Entitäten aufgenommen werden. mindestens einmal täglich.
• Wenn Entitäten nicht täglich, sondern nur einmal in zwei oder mehr Tagen aufgenommen werden, Live-Regeln funktionieren möglicherweise wie erwartet, bei RetroHunts kann jedoch der Kontext des Ereignisses verloren gehen.
• Wenn Entitäten mehr als einmal täglich aufgenommen werden, wird die Entität dedupliziert auf eine einzelne Entität.
• Wenn die Ereignisdaten für einen Tag fehlen, werden vorübergehend die Daten des vergangenen Tages verwendet um sicherzustellen, dass Live-Regeln funktionieren.

Im Entitätsdiagramm werden auch Ereignisse mit ähnlichen Kennungen zusammengeführt, um eine konsolidierte Ansicht der Daten. Diese Zusammenführung erfolgt basierend auf der folgenden Liste von Kennungen:

• Asset
  • entity.asset.product_object_id
  • entity.asset.hostname
  • entity.asset.asset_id
  • entity.asset.mac
• User
  • entity.user.product_object_id
  • entity.user.userid
  • entity.user.windows_sid
  • entity.user.email_addresses
  • entity.user.employee_id
• Resource
  • entity.resource.product_object_id
  • entity.resource.name
• Group
  • entity.group.product_object_id
  • entity.group.email_addresses
  • entity.group.windows_sid

Prävalenzstatistiken berechnen

Google Security Operations führt statistische Analysen zu vorhandenen und eingehenden Daten durch und reichert Entitätskontext-Datensätze mit prävalenzbezogenen Messwerten an.

Die Verbreitung ist ein numerischer Wert, der angibt, wie beliebt eine Entität ist. Die Beliebtheit wird durch die Anzahl der Assets definiert, die auf ein Artefakt zugreifen, z. B. Domain, Datei-Hash oder IP-Adresse. Je größer die Zahl, desto beliebter ist die Entität. Beispielsweise hat google.com hohe Prävalenzwerte, da es auf die Sie häufig zugreifen. Wird selten auf eine Domain zugegriffen, hat sie weniger Prävalenzwerte. Bei beliebten Entitäten ist die Wahrscheinlichkeit, dass sie schädlich sind, in der Regel geringer.

Diese angereicherten Werte werden für Domain, IP-Adresse und Datei (Hash) unterstützt. Die Werte werden in den folgenden Feldern berechnet und gespeichert.

Die Statistik zur Verbreitung der einzelnen Entitäten wird täglich aktualisiert. Werte werden gespeichert in separater Entitätskontext, der von der Detection Engine verwendet werden kann, wird jedoch nicht in den Untersuchungsansichten von Google Security Operations und der UDM-Suche angezeigt.

Die folgenden Felder können beim Erstellen von Regeln für die Erkennungs-Engine verwendet werden.

Entitätstyp	UDM-Felder
Domain	entity.domain.prevalence.day_count entity.domain.prevalence.day_max entity.domain.prevalence.day_max_sub_domains entity.domain.prevalence.rolling_max entity.domain.prevalence.rolling_max_sub_domains
Datei (Hash)	entity.file.prevalence.day_count entity.file.prevalence.day_max entity.file.prevalence.rolling_max
IP-Adresse	entity.artifact.prevalence.day_count entity.artifact.prevalence.day_max entity.artifact.prevalence.rolling_max

Die Werte für „day_max“ und „rolling_max“ werden unterschiedlich berechnet. Die Felder sind wie folgt berechnet:

• day_max wird als maximaler Prävalenzwert für das Artefakt während den Tag, wobei ein Tag von 00:00:00 bis 23:59:59 Uhr UTC definiert ist.
• rolling_max wird als maximaler Prävalenzwert pro Tag (d.h. day_max) für das Artefakt im vorherigen 10-Tage-Fenster berechnet.
• day_count wird zur Berechnung von rolling_max verwendet und ist immer der Wert 10.

Bei der Berechnung für eine Domain sieht der Unterschied zwischen day_max und day_max_sub_domains (sowie rolling_max im Vergleich zu rolling_max_sub_domains) so aus:

• rolling_max und day_max stehen für die Anzahl der eindeutigen internen IP-Adressen pro Tag. Zugriff auf eine bestimmte Domain (mit Ausnahme von Subdomains)
• rolling_max_sub_domains und day_max_sub_domains stehen für die Anzahl der eindeutigen interne IP-Adressen, die auf eine bestimmte Domain (einschließlich Subdomains) zugreifen

Verbreitungsstatistiken werden für neu aufgenommene Entitätsdaten berechnet. Berechnungen sind nicht rückwirkend für zuvor aufgenommene Daten durchgeführt werden. Die Fahrt dauert etwa 36 Minuten Stunden, bis die Statistiken berechnet und gespeichert werden.

Den Zeitpunkt der ersten und letzten Erfassung von Entitäten berechnen

Google Security Operations führt statistische Analysen eingehender Daten durch und reichert die Entität an Kontextdatensätze mit den Zeiten der ersten und letzten Erfassung einer Entität. Das first_seen_time das Datum und die Uhrzeit speichert, wann die Entität zum ersten Mal beim Kunden gesehen wurde zu verbessern. Im Feld last_seen_time werden das Datum und die Uhrzeit der letzten Beobachtung.

Da ein Asset oder ein Nutzer durch mehrere Indikatoren (UDM-Felder) identifiziert werden kann, wird beim ersten gibt an, wann ein Indikator zur Identifizierung des Nutzers oder Assets zum ersten Mal gesehen wurde. in der Kundenumgebung.

Alle UDM-Felder, die beschreiben, eines Assets:

• entity.asset.hostname
• entity.asset.ip
• entity.asset.mac
• entity.asset.asset_id
• entity.asset.product_object_id

Alle UDM-Felder, die einen Nutzer:

• entity.user.windows_sid
• entity.user.product_object_id
• entity.user.userid
• entity.user.employee_id
• entity.user.email_addresses

Die Zeit, die zum ersten Mal erfasst wurde, und die zuletzt erfasste Zeit ermöglichen es einer Fachkraft, Aktivitäten, die aufgetreten sind, nachdem eine Domain, Datei (Hash), ein Asset, ein Nutzer oder eine IP-Adresse Zuerst aufgetreten oder nach der Domain, Datei (Hash) oder IP-Adresse nicht mehr wurde zuletzt gesehen.

Die Felder first_seen_time und last_seen_time werden mit Entitäten gefüllt, die beschreiben eine Domain, IP-Adresse und Datei (Hash). Für Entitäten, die einen Nutzer beschreiben oder Asset enthält, wird nur das Feld first_seen_time ausgefüllt. Diese Werte sind nicht berechnet für Entitäten, die andere Typen beschreiben, z. B. eine Gruppe oder Ressource.

Die Statistiken werden für jede Entität in allen Namespaces berechnet. Google Security Operations berechnet nicht die Statistiken für jede Entität in einzelnen Namespaces. Diese Statistiken werden derzeit nicht in das events-Schema von Google Security Operations in BigQuery exportiert.

Die angereicherten Werte werden hier berechnet und gespeichert: UDM-Felder:

Entitätstyp	UDM-Felder
Domain	entity.domain.first_seen_time entity.domain.last_seen_time
Datei (Hash)	entity.file.first_seen_time entity.file.last_seen_time
IP-Adresse	entity.artifact.first_seen_time entity.artifact.last_seen_time
Asset	entity.asset.first_seen_time
Nutzer	entity.user.first_seen_time

Ereignisse mit Geolocation-Daten anreichern

Eingehende Protokolldaten können externe IP-Adressen ohne entsprechende Standortinformationen. Das kommt häufig vor, wenn mit einem Ereignis Informationen Geräteaktivität, die nicht in einem Unternehmensnetzwerk erfolgt. Zum Beispiel ist eine Anmeldung an einen Cloud-Dienst eine Quell- oder Client-IP-Adresse basierend auf Die externe IP-Adresse eines Geräts, das von der Carrier-NAT zurückgegeben wird.

Google Security Operations stellt mit der Standortbestimmung angereicherte Daten für externe IP-Adressen bereit für eine leistungsstärkere Regelerkennung und mehr Kontext . Google Security Operations kann beispielsweise eine externe IP-Adresse verwenden, um das Ereignis mit Informationen über das Land (z. B. die USA), einen bestimmten Bundesstaat (z. B. Alaska), und das Netzwerk, in dem sich die IP-Adresse befindet (z. B. die ASN und den Namen des Mobilfunkanbieters).

Google Security Operations verwendet von Google bereitgestellte Standortdaten, um eine ungefähre Angabe geografischen Standort und Netzwerkinformationen für eine IP-Adresse. Sie können Regeln für die diese Felder in den Ereignissen an. Die angereicherten Ereignisdaten werden auch nach BigQuery exportiert. wo sie in Google Security Operations-Dashboards und -Berichten verwendet werden können.

Die folgenden IP-Adressen sind nicht angereichert:

• Private IP-Adressbereiche nach RFC 1918, da sie intern im Unternehmensnetzwerk vorhanden sind.
• RFC 5771-Multicast-IP-Adressbereich, da Multicast-Adressen nicht zu einem einzigen Standort gehören.
• Eindeutige lokale IPv6-Adressen.
• IP-Adressen des Google Cloud-Dienstes. Ausnahmen sind Google Cloud Compute Engine externe IP-Adressen, die angereichert sind.

Google Security Operations ergänzt die folgenden UDM-Felder mit Daten zur Standortbestimmung:

• principal
• target
• src
• observer

Datentyp	UDM-Feld
Standort (z. B. USA)	( principal | target | src | observer ).ip_geo_artifact.location.country_or_region
Bundesland (z. B. New York)	( principal | target | src | observer ).ip_geo_artifact.location.state
Längengrad	( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.longitude
Breitengrad	( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.latitude
ASN (Nummer des autonomen Systems)	( principal | target | src | observer ).ip_geo_artifact.network.asn
Name des Transportunternehmens	( principal | target | src | observer ).ip_geo_artifact.network.carrier_name
DNS-Domain	( principal | target | src | observer ).ip_geo_artifact.network.dns_domain
Name der Organisation	( principal | target | src | observer ).ip_geo_artifact.network.organization_name

Im folgenden Beispiel sehen Sie, welche Art von geografischen Informationen einem UDM-Ereignis mit einer in den Niederlanden getaggten IP-Adresse hinzugefügt wurde:

UDM-Feld	Wert
principal.ip_geo_artifact.location.country_or_region	Netherlands
principal.ip_geo_artifact.location.region_coordinates.latitude	52.132633
principal.ip_geo_artifact.location.region_coordinates.longitude	5.291266
principal.ip_geo_artifact.network.asn	8455
principal.ip_geo_artifact.network.carrier_name	schuberg philis

Inkonsistenzen

Die proprietäre IP-Technologie von Google zur Standortbestimmung basiert auf einer Kombination aus Netzwerkdaten und anderen Daten. , um unseren Nutzern den Standort von IP-Adressen und die Netzwerkauflösung bereitzustellen. Andere Organisationen verwenden möglicherweise unterschiedliche Signale oder Methoden, was gelegentlich zu unterschiedlichen Ergebnissen führen kann.

Wenn es zu Unstimmigkeiten beim von Google bereitgestellte Ergebnisse zur Standortbestimmung anhand der IP-Adresse, stellen Sie bitte eine Kundensupportanfrage. damit wir die Angaben überprüfen und gegebenenfalls korrigieren können.

Entitäten mit Informationen aus Safe Browsing-Bedrohungslisten anreichern

Google Security Operations nimmt Daten aus Safe Browsing auf, die mit Datei-Hashes zusammenhängen. Die Daten für jede Datei werden als Entität gespeichert und bieten zusätzlichen Kontext zur Datei. Analysten können Detection Engine-Regeln erstellen, die diese Entität abfragen um kontextsensitive Analysen zu erstellen.

Die folgenden Informationen werden mit dem Entitätskontexteintrag gespeichert.

UDM-Feld	Beschreibung
entity.metadata.product_entity_id	Eine eindeutige Kennung für die Entität.
entity.metadata.entity_type	Dieser Wert ist FILE und gibt an, dass die Entität eine Datei beschreibt.
entity.metadata.collected_timestamp	Datum und Uhrzeit der Beobachtung der Entität oder des Ereignisses aufgetreten.
entity.metadata.interval	Speichert die Start- und Endzeit, die diese Daten gültig sind. Da sich der Inhalt der Bedrohungsliste im Laufe der Zeit ändert, start_time und end_time das Zeitintervall widerspiegelt, in dem die Daten zur Entität ist gültig. Es wurde beispielsweise festgestellt, dass ein Datei-Hash schädlich oder verdächtig zwischen start_time and end_time.
entity.metadata.threat.category	Das ist Google Security Operations-SecurityCategory. Dies ist festgelegt auf einen oder mehrere der folgenden Werte festlegen: SOFTWARE_MALICIOUS: Gibt an, dass die Bedrohung auf Malware zurückzuführen ist. SOFTWARE_PUA: Gibt an, dass die Bedrohung durch unerwünschte Software verursacht wird.
entity.metadata.threat.severity	Das ist Google Security Operations-ProductSeverity. Wenn der Wert CRITICAL ist, weist das darauf hin, dass das Artefakt schädlich zu sein scheint. Wenn der Wert nicht angegeben ist, ist die Zuverlässigkeit nicht ausreichend, um anzugeben, dass der Artefakt ist schädlich.
entity.metadata.product_name	Speichert den Wert Google Safe Browsing.
entity.file.sha256	Der SHA256-Hashwert für die Datei.

Entitäten mit WHOIS-Daten anreichern

Google Security Operations nimmt täglich WHOIS-Daten auf. Während der Aufnahme eines eingehenden Kundengerätedaten werden Domains von Google Security Operations anhand von Kundendaten ausgewertet mit den WHOIS-Daten vergleichen. Bei einer Übereinstimmung speichert Google Security Operations zugehörige WHOIS-Daten mit dem Entitätseintrag für die Domain. Für jede Entität wobei entity.metadata.entity_type = DOMAIN_NAME, Google Security Operations die Entität mit WHOIS-Informationen.

Google Security Operations fügt die angereicherten WHOIS-Daten in die folgenden Felder des Entitätseintrags ein:

• entity.domain.admin.attribute.labels
• entity.domain.audit_update_time
• entity.domain.billing.attribute.labels
• entity.domain.billing.office_address.country_or_region
• entity.domain.contact_email
• entity.domain.creation_time
• entity.domain.expiration_time
• entity.domain.iana_registrar_id
• entity.domain.name_server
• entity.domain.private_registration
• entity.domain.registrant.company_name
• entity.domain.registrant.office_address.state
• entity.domain.registrant.office_address.country_or_region
• entity.domain.registrant.email_addresses
• entity.domain.registrant.user_display_name
• entity.domain.registrar
• entity.domain.registry_data_raw_text
• entity.domain.status
• entity.domain.tech.attribute.labels
• entity.domain.update_time
• entity.domain.whois_record_raw_text
• entity.domain.whois_server
• entity.domain.zone

Eine Beschreibung dieser Felder finden Sie in der Dokument mit Liste der Felder des einheitlichen Datenmodells

Google Cloud Threat Intelligence-Daten aufnehmen und speichern

Google Security Operations nimmt Daten aus Google Cloud Threat Intelligence (GCTI) auf Datenquellen, die Kontextinformationen liefern, die Sie für Aktivitäten in Ihrer Umgebung untersuchen. Sie können die folgenden Datenquellen abfragen:

• GCTI-Tor-Ausstiegsknoten: IP-Adressen, die bekannte Tor-Ausstiegsknoten sind.
• Benign-Binärdateien von GCTI: Dateien, die entweder Teil des Betriebssystems sind die ursprüngliche Distribution haben oder durch einen offiziellen Betriebssystem-Patch aktualisiert wurden. Einige offizielle Binärprogramme für Betriebssysteme, die von einem Angreifer missbraucht wurden Aktivitäten, die häufig bei Angriffen außerhalb des Landes verbreitet sind, sind davon ausgeschlossen. Datenquelle, z. B. für diejenigen, die sich auf anfängliche Eintragsvektoren konzentrieren.

• GCTI Remote Access Tools: Dateien, die häufig von böswilligen Akteuren verwendet werden Bei diesen Tools handelt es sich in der Regel um seriöse Anwendungen, die manchmal missbraucht werden, Remote-Verbindungen zu kompromittierten Systemen herstellen.

  Diese kontextbezogenen Daten werden global als Entitäten gespeichert. Sie können die Daten mit Erkennungs-Engines. Nehmen Sie die folgenden UDM-Felder und -Werte in die Regel auf, um diese globalen Entitäten abzufragen:

• graph.metadata.vendor_name = Google Cloud Threat Intelligence

• graph.metadata.product_name = GCTI Feed

In diesem Dokument steht der Platzhalter <variable_name> für den eindeutigen Variablennamen. die in einer Regel zur Identifizierung eines UDM-Eintrags verwendet werden.

Zeitlich begrenzte und zeitlose Google Cloud Threat Intelligence-Datenquellen im Vergleich

Datenquellen von Google Cloud Threat Intelligence sind entweder zeitlich oder zeitlos.

Mit zeitgesteuerten Datenquellen ist jeweils ein Zeitraum verknüpft. zu erstellen. Wird also am ersten Tag eine Erkennung an einem beliebigen Tag im dass dieselbe Erkennung am ersten Tag während eines Retro-Hunt.

Mit zeitlosen Datenquellen ist kein Zeitraum verknüpft. Dieses da nur die neuesten Daten berücksichtigt werden sollten. Zeitlos Datenquellen werden häufig für nicht erwartete Daten wie Datei-Hashes verwendet. ändern können. Wenn am ersten Tag keine Erkennung erfolgt, wird an Tag 2 möglicherweise eine Erkennung generiert für Tag 1 während einer Retro-Jagd, da ein neuer Eintrag hinzugefügt wurde.

Daten zu IP-Adressen von Tor-Exit-Knoten

Google Security Operations nimmt IP-Adressen auf, die bekannte Tor-Exit-Knoten sind, und speichert sie. Tor-Ausstiegsknoten sind Punkte, an denen der Traffic das Tor-Netzwerk verlässt. Aufgenommene Informationen aus dieser Datenquelle wird in den folgenden UDM-Feldern gespeichert. Die Daten in dieser Quelle sind zeitlich festgelegt.

UDM-Feld	Beschreibung
<variable_name>.graph.metadata.vendor_name	Speichert den Wert Google Cloud Threat Intelligence.
<variable_name>.graph.metadata.product_name	Speichert den Wert GCTI Feed.
<variable_name>.graph.metadata.threat.threat_feed_name	Speichert den Wert Tor Exit Nodes.
<variable_name>.graph.entity.artifact.ip	Speichert die aus der GCTI-Datenquelle aufgenommene IP-Adresse.

Daten zu ungefähren Betriebssystemdateien

Google Security Operations nimmt Datei-Hashes aus den Benign-Binärdateien von GCTI auf und speichert sie Datenquelle verwendet werden. Aus dieser Datenquelle aufgenommene Informationen werden hier gespeichert UDM-Felder. Die Daten in dieser Quelle sind zeitlos.

UDM-Feld	Beschreibung
<variable_name>.graph.metadata.vendor_name	Speichert den Wert Google Cloud Threat Intelligence.
<variable_name>.graph.metadata.product_name	Speichert den Wert GCTI Feed.
<variable_name>.graph.metadata.threat.threat_feed_name	Speichert den Wert Benign Binaries.
<variable_name>.graph.entity.file.sha256	Speichert den SHA256-Hashwert der Datei.
<variable_name>.graph.entity.file.sha1	Speichert den SHA1-Hashwert der Datei.
<variable_name>.graph.entity.file.md5	Speichert den MD5-Hashwert der Datei.

Daten zu Tools für den Remotezugriff

Zu den Tools für den Remotezugriff gehören Datei-Hashes für bekannte Tools für den Remotezugriff, z. B. VNC-Clients, die häufig von böswilligen Akteuren verwendet werden Diese Tools sind im Allgemeinen legitimen Anwendungen, die manchmal missbraucht werden, um Remote-Verbindungen herzustellen bis hin zu gehackten Systemen. Informationen aus dieser Datenquelle werden hier gespeichert: folgenden UDM-Feldern. Die Daten in dieser Quelle sind zeitlos.

UDM-Feld	Beschreibung
.graph.metadata.vendor_name	Speichert den Wert Google Cloud Threat Intelligence.
.graph.metadata.product_name	Speichert den Wert GCTI Feed.
.graph.metadata.threat.threat_feed_name	Speichert den Wert Remote Access Tools.
.graph.entity.datei.sha256	Speichert den SHA256-Hashwert der Datei.
.graph.entity.file.sha1	Speichert den SHA1-Hashwert der Datei.
.graph.entity.file.md5	Speichert den MD5-Hashwert der Datei.

Ereignisse mit VirusTotal-Dateimetadaten anreichern

Google Security Operations reichert Datei-Hashes zu UDM-Ereignissen an und bietet zusätzliche in den Kontext einer Untersuchung. UDM-Ereignisse werden durch Hash-Aliasing angereichert in einer Kundenumgebung. Beim Hash-Aliasing werden alle Arten von Datei-Hashes und liefert Informationen zu einem Datei-Hash während einer Suche.

Die Integration von VirusTotal-Dateimetadaten und die Beziehungsanreicherung mit Mit Google SecOps können Muster bösartiger Aktivitäten identifiziert werden und Malware-Bewegungen in einem Netzwerk zu verfolgen.

Ein Rohprotokoll bietet begrenzte Informationen über die Datei. VirusTotal ergänzt das Ereignis mit Dateimetadaten, um einen Dump fehlerhafter Hashes zusammen mit Metadaten über den Ungültige Datei. Die Metadaten enthalten Informationen wie Dateinamen, Typen, importierte Funktionen und Tags. Sie können diese Informationen in der UDM-Suche und -Erkennung verwenden mit YARA-L, um schädliche Dateiereignisse zu verstehen, und im Allgemeinen bei Bedrohungen Jagd. Ein Beispiel ist die Erkennung von Änderungen an der Originaldatei. die wiederum die Metadaten der Datei zur Bedrohungserkennung importieren würde.

Die folgenden Informationen werden zusammen mit dem Eintrag gespeichert. Eine Liste aller UDM-Felder finden Sie unter Liste der Felder für einheitliche Datenmodell.