Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Cómo Chronicle enriquece los datos de eventos y entidades

Para habilitar una investigación de seguridad, Chronicle transfiere datos contextuales de diferentes fuentes, realiza análisis de los datos y proporciona contexto adicional sobre artefactos en el entorno de un cliente. Los analistas pueden usar estos datos enriquecidos de forma contextual en los informes, las búsquedas investigativas y las reglas del motor de detección. En esta sección, se describe el tipo de enriquecimiento que proporciona Chronicle y se explica cómo se puede usar.

Estadísticas de prevalencia

Chronicle realiza análisis estadísticos de datos existentes y entrantes, y enriquece los registros de contexto de entidades con métricas relacionadas con la prevalencia.

La prevalencia es un valor numérico que indica la popularidad de una entidad.
La popularidad se define por la cantidad de elementos que acceden a un artefacto, como un dominio, un hash de archivo o una dirección IP. Cuanto mayor sea el número, más popular será la entidad. Por ejemplo, &google 39;google.com tiene valores de prevalencia altos porque se accede con frecuencia. Si se accede a un dominio con poca frecuencia, tendrá valores de prevalencia más bajos. Por lo general, es menos probable que las entidades más populares sean maliciosas.

Estos valores enriquecidos son compatibles con el dominio, la IP y el archivo (hash). Los valores se calculan y almacenan en los siguientes campos.

Las estadísticas de prevalencia de cada entidad se actualizan a diario. Los valores se almacenan en un contexto de entidad independiente que el motor de detección puede usar, pero no se muestra en las vistas de investigación de Chronicle ni en la búsqueda de UDM.

Los siguientes campos se pueden usar cuando se crean reglas de detección de motores de búsqueda.

Tipo de entidad Nombres de campos
Dominio entity.domain.prevalence.day_count
entity.domain.prevalence.day_max
entity.domain.prevalence.day_max_sub_domains:
entity.domain.prevalence.rolling_max
entity.domain.prevalence.rolling_max_sub_domains
Archivo (Hash) entity.file.prevalence.day_count
entity.file.prevalence.day_max
entity.file.prevalence.rolling_max
Dirección IP entity.artifact.prevalence.day_count
entity.artifact.prevalence.day_max
entity.artifact.prevalence.rolling_max

Los valores day_max y Rolling_max se calculan de manera diferente. Los campos se calculan de la siguiente manera:

  • day_max se calcula como la puntuación máxima de prevalencia del artefacto durante el día, en la que un día se define de 12:00:00 a.m. a 11:59:59 p.m. UTC.
  • El valor de Rolling_Max se calcula como la puntuación de prevalencia máxima por día (es decir, day_max) para el artefacto en el período anterior de 10 días.
  • "day_count" se usa para calcular el valor "rolling_max" y siempre es el valor 10.

Cuando se calcula para un dominio, la diferencia entre day_max y day_max_sub_domains (yrolling_max frente a Rolling_max_sub_domains) es la siguiente:

  • Rolling_max y day_max representan la cantidad de direcciones IP internas únicas diarias que acceden a un dominio determinado (excluidos los subdominios).
  • Rolling_max_sub_domains y day_max_sub_domains representan la cantidad de direcciones IP internas únicas que acceden a un dominio determinado (incluidos los subdominios).

Las estadísticas de prevalencia se calculan en función de los datos de entidades recién transferidos. Los cálculos no se realizan de forma retroactiva en datos transferidos con anterioridad. Las estadísticas toman alrededor de 36 horas en calcularse y almacenarse.

Usa campos de prevalencia en reglas

Puedes usar las estadísticas de prevalencia en las reglas. Para obtener más información, consulta Usa datos enriquecidos en el contexto en las reglas.

Listas de amenazas de Navegación segura

Chronicle transfiere datos de la Navegación segura relacionados con hash de archivos. Los datos de cada archivo se almacenan como una entidad y proporcionan contexto adicional sobre el archivo. Los analistas pueden crear reglas de detección de motores de búsqueda que consulten con los datos de contexto de esta entidad para compilar estadísticas contextuales.

La siguiente información se almacena con el registro de contexto de la entidad.

Campo UDM Descripción
entidad.metadata.product_entity_id Un identificador único para la entidad.
entidad.metadata.entity_type Este valor es 'FILE' lo que indica que la entidad describe un archivo.
entidad.metadata.collected_timestamp La fecha y hora en que se observó o se produjo el evento.
entidad.metadata.interval Almacena los campos start_time y end_time en los que estos datos son válidos. Debido a que el contenido de la lista de amenazas cambia con el tiempo, start_time y end_time reflejan el intervalo de tiempo durante el cual los datos sobre la entidad son válidos. Por ejemplo, se observó que un hash de archivo es malicioso o sospechoso entre start_time y end_time.
entidad.metadata.threat.category Esta es la SecurityCategory de Chronicle. Se establece en uno o más de los siguientes valores:
  • SOFTWARE_MALICIOUS: indica que la amenaza está relacionada con software malicioso.
  • SOFTWARE_PUA: indica que la amenaza está relacionada con software no deseado.
entidad.metadata.threat.severity Esta es la versión de ProductSeverity de Chronicle. Si el valor es "CRITICAL", esto indica que el artefacto parece malicioso. Si no se especifica el valor, no hay suficiente confianza para indicar que el artefacto es malicioso.
entidad.metadata.product_name Almacena el valor "Navegación segura de Google".
entidad.archivo.sha256 El valor de hash SHA256 para el archivo.

Qué sigue: Uso de datos enriquecidos en reglas

Puedes usar las estadísticas de prevalencia, los datos de ubicación geográfica y los datos de Navegación segura en las reglas. Para obtener más información, consulta Usa datos enriquecidos en el contexto en las reglas.