Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Cómo Chronicle enriquece los datos de eventos y entidades

Para habilitar una investigación de seguridad, Chronicle transfiere datos contextuales de diferentes fuentes, realiza análisis de los datos y proporciona contexto adicional sobre los artefactos en el entorno de un cliente. Los analistas pueden usar estos datos enriquecidos en función del contexto en las reglas del motor de detección, las búsquedas investigativas y los informes. En esta sección, se describe el tipo de enriquecimiento que proporciona Chronicle y se explica cómo se puede usar.

Calcular estadísticas de prevalencia

Chronicle realiza un análisis estadístico de los datos existentes y entrantes, y enriquece los registros de contexto de entidades con métricas relacionadas con la prevalencia.

La prevalencia es un valor numérico que indica qué tan popular es una entidad. La popularidad se define por la cantidad de elementos que acceden a un artefacto, como un dominio, un hash de archivos o una dirección IP. Cuanto más grande sea el número, más popular será la entidad. Por ejemplo, google.com tiene valores de prevalencia altos porque se accede a ellos con frecuencia. Si se accede a un dominio con poca frecuencia, tendrán valores de prevalencia más bajos. Por lo general, es menos probable que las entidades más populares sean maliciosas.

Estos valores enriquecidos son compatibles con el dominio, la IP y el archivo (hash). Los valores se calculan y almacenan en los siguientes campos.

Las estadísticas de prevalencia de cada entidad se actualizan todos los días. Los valores se almacenan en un contexto de entidad independiente que el motor de detección puede usar, pero no se muestra en las vistas de investigación de Chronicle ni en la búsqueda de UDM.

Los siguientes campos se pueden usar cuando se crean reglas de detección de motor.

Tipo de entidad Campos UDM
Dominio entity.domain.prevalence.day_count
entity.domain.prevalence.day_max
entity.domain.prevalence.day_max_sub_domains
entity.domain.prevalence.rolling_max
entity.domain.prevalence.rolling_max_sub_domains
Archivo (Hash) entity.file.prevalence.day_count
entity.file.prevalence.day_max
entity.file.prevalence.rolling_max
Dirección IP entity.artifact.prevalence.day_count
entity.artifact.prevalence.day_max
entity.artifact.prevalence.rolling_max

Los valores de day_max y progresiva_max se calculan de manera diferente. Los campos se calculan de la siguiente manera:

  • day_max se calcula como la puntuación máxima de prevalencia del artefacto durante el día, en la que un día se define de 12:00:00 a.m. a 11:59:59 p.m. UTC.
  • rolling_max se calcula como la puntuación de prevalencia máxima por día (es decir, day_max) para el artefacto en el período anterior de 10 días.
  • day_count se usa para calcular rolling_max y siempre es el valor 10.

Cuando se calcula para un dominio, la diferencia entre day_max y day_max_sub_domains (y rolling_max frente a rolling_max_sub_domains) es la siguiente:

  • Rolling_max y day_max representan la cantidad de direcciones IP internas únicas diarias que acceden a un dominio determinado (excluidos los subdominios).
  • Rolling_max_sub_domains y day_max_sub_domains representan la cantidad de direcciones IP internas únicas que acceden a un dominio determinado (incluidos los subdominios).

Las estadísticas de prevalencia se calculan en función de los datos de entidades recién transferidos. Los cálculos no se realizan de forma retroactiva en datos transferidos con anterioridad. Las estadísticas tardan, aproximadamente, 36 horas en calcularse y almacenarse.

Puede usar las estadísticas de prevalencia en las normas. A fin de obtener más información, consulta Usa datos enriquecidos en el contexto en las reglas.

Enriquece entidades con información de las listas de amenazas de la Navegación segura

Chronicle transfiere los datos de la Navegación segura relacionados con los hash de los archivos. Los datos de cada archivo se almacenan como una entidad y proporcionan contexto adicional sobre el archivo. Los analistas pueden crear reglas de detección de motor para realizar consultas a los datos de contexto de esta entidad a fin de compilar estadísticas contextuales.

La siguiente información se almacena con el registro de contexto de la entidad.

Campo de UDM Descripción
entity.metadata.product_entity_id Un identificador único para la entidad.
entity.metadata.entity_type Este valor es FILE, lo que indica que la entidad describe un archivo.
entity.metadata.collected_timestamp Fecha y hora en que se observó o se produjo el evento.
entity.metadata.interval Almacena la hora de inicio y de finalización de la validez de estos datos. Debido a que el contenido de la lista de amenazas cambia con el tiempo, start_time y end_time reflejan el intervalo de tiempo durante el cual los datos sobre la entidad son válidos. Por ejemplo, se observó que un hash de archivo es malicioso o sospechoso entre los start_time and end_time..
entity.metadata.threat.category Así suena Chronicle SecurityCategory. Se establece en uno o más de los siguientes valores:
  • SOFTWARE_MALICIOUS: Indica que la amenaza está relacionada con software malicioso.
  • SOFTWARE_PUA: Indica que la amenaza está relacionada con software no deseado.
entity.metadata.threat.severity Esta es la ProductSeverity de Chronicle. Si el valor es CRITICAL, esto indica que el artefacto parece malicioso. Si no se especifica el valor, no hay suficiente confianza para indicar que el artefacto es malicioso.
entity.metadata.product_name Almacena el valor Google Safe Browsing.
entity.file.sha256 El valor de hash SHA256 del archivo.

Enriquece eventos con datos de ubicación geográfica

Los datos de registro entrantes pueden incluir direcciones IP externas sin la información de ubicación correspondiente. Esto es común cuando un evento registra información sobre la actividad del dispositivo que no está en una red empresarial. Por ejemplo, un evento de acceso a un servicio en la nube contendría una dirección IP de origen o de cliente basada en la dirección IP externa de un dispositivo que muestra la NAT del proveedor.

Chronicle proporciona datos enriquecidos mediante ubicación geográfica para direcciones IP externas a fin de permitir detecciones de reglas más potentes y un contexto mayor para las investigaciones. Por ejemplo, Chronicle puede usar una dirección IP externa para enriquecer el evento con información sobre el país (como Estados Unidos), un estado específico (como Alaska) y la red en la que se encuentra la dirección IP (como el ASN y el nombre del proveedor).

Chronicle usa los datos de ubicación que proporciona Google a fin de proporcionar la ubicación geográfica aproximada y la información de red de una dirección IP. Puedes escribir reglas de detección de motor en estos campos de los eventos. Los datos de eventos enriquecidos también se exportan a BigQuery, donde se pueden usar en los informes y paneles de Chronicle.

Las siguientes direcciones IP no están enriquecidas:

  • Espacios de direcciones IP privadas RFC 1918 porque son internos de la red empresarial.
  • Espacio de direcciones IP multidifusión RFC 5771 porque las direcciones multidifusión no pertenecen a una sola ubicación.
  • Direcciones locales IPv6 únicas
  • Direcciones IP del servicio de Google Cloud. Las excepciones son direcciones IP externas de Google Cloud Compute Engine, que están enriquecidas.

Chronicle enriquece los siguientes campos UDM con datos de ubicación geográfica:

  • principal
  • target
  • src
  • observer
Tipo de datos Campo de UDM
Ubicación (por ejemplo, Estados Unidos) ( principal | target | src | observer ).ip_geo_artifact.location.country_or_region
Estado (por ejemplo, Nueva York) ( principal | target | src | observer ).ip_geo_artifact.location.state
Longitud ( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.longitude
Latitud ( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.latitude
ASN (número de sistema autónomo) ( principal | target | src | observer ).ip_geo_artifact.network.asn
Nombre del proveedor (por ejemplo, Verizon) ( principal | target | src | observer ).ip_geo_artifact.network.carrier_name
Dominio DNS ( principal | target | src | observer ).ip_geo_artifact.network.dns_domain
Nombre de la organización ( principal | target | src | observer ).ip_geo_artifact.network.organization_name

En el siguiente ejemplo, se muestra el tipo de información geográfica que se agregaría a un evento de UDM con una dirección IP etiquetada en los Países Bajos:

Campo de UDM valor
src.ip_geo_artifact.location.country_or_region Netherlands
src.ip_geo_artifact.location.region_coordinates.latitude 52.132633
src.ip_geo_artifact.location.region_coordinates.longitude 5.291266
src.ip_geo_artifact.network.asn 8455
src.ip_geo_artifact.network.carrier_name schuberg philis

Inconsistencias

La tecnología de ubicación geográfica de IP de propiedad de Google usa una combinación de datos de red y otras entradas y métodos para proporcionar la ubicación de la dirección IP y la resolución de red a nuestros usuarios. Otras organizaciones pueden usar diferentes indicadores o métodos, lo que a veces puede generar distintos resultados.

Si surge alguna inconsistencia en los resultados de ubicación geográfica de IP que proporciona Google, abre un caso de asistencia al cliente para que podamos investigar y, si corresponde, corregir nuestros registros de aquí en adelante.

¿Qué sigue?

Para obtener información sobre cómo usar los datos enriquecidos con otras funciones de Chronicle, consulta los siguientes vínculos: