Comment Google Security Operations enrichit les données d'événements et d'entités
Ce document décrit comment Google Security Operations enrichit les données et les Champs de modèle de données unifié (UDM) où les données sont stockées.
Pour permettre une enquête de sécurité, Google Security Operations ingère des données contextuelles provenant de différentes sources, analyse les données et fournit des données sur les artefacts d'un environnement client. Les analystes peuvent utiliser le contexte des données enrichies dans les règles de détection, les recherches d'investigation ou les rapports.
Google Security Operations effectue les types d'enrichissement suivants:
- Enrichit les entités à l'aide du graphique d'entités et de la fusion.
- Calcule et enrichit chaque entité avec une statistique de prévalence qui indique et sa popularité dans l’environnement.
- Calcule la première fois que certains types d'entités ont été vus dans l'environnement ou la date la plus récente.
- Enrichit les entités à l'aide d'informations provenant des listes de menaces de la navigation sécurisée.
- Enrichit les événements avec des données de géolocalisation.
- Enrichit les entités avec des données WHOIS.
- Enrichit les événements avec les métadonnées de fichiers VirusTotal.
- Enrichit les entités avec des données de relation VirusTotal.
- Ingérer et stocker des données Google Cloud Threat Intelligence
Données enrichies provenant de WHOIS, de la navigation sécurisée, de GCTI Threat Intelligence
Les métadonnées VirusTotal et la relation VirusTotal sont identifiées par event_type
, product_name
,
et vendor_name
. Lorsque vous créez une règle qui utilise ces données enrichies, nous vous recommandons
que vous incluez dans la règle un filtre qui identifie
type d'enrichissement à inclure. Ce filtre permet d'améliorer les performances de la règle.
Par exemple, incluez les champs de filtre suivants dans la section events
du
permettant d'associer des données WHOIS.
$enrichment.graph.metadata.entity_type = "DOMAIN_NAME"
$enrichment.graph.metadata.product_name = "WHOISXMLAPI Simple Whois"
$enrichment.graph.metadata.vendor_name = "WHOIS"
Enrichissez les entités à l'aide du graphique d'entités et en les fusionnant
Le graphique des entités identifie les relations entre les entités et les ressources de votre environnement. Lorsque des entités provenant de différentes sources sont ingérées dans Google Security Operations, le graphique des entités une liste de contiguïté basée sur la relation entre les entités. Le graphique d'entité exécute du contexte en effectuant une déduplication et une fusion.
Au cours de la déduplication, les données redondantes sont éliminées et des intervalles sont formés pour créer
une entité commune. Prenons l'exemple de deux entités e1
et e2
avec les horodatages t1
.
et t2
respectivement. Les entités e1
et e2
sont dédupliquées, et les horodatages
qui sont différents ne sont pas utilisés lors de la déduplication. Les champs suivants ne sont pas
utilisé lors de la déduplication:
collected_timestamp
creation_timestamp
interval
Lors de la fusion, des relations entre les entités sont formées pendant un intervalle de temps de
un jour. Prenons l'exemple d'un enregistrement d'entité de user A
qui a accès à un bucket Cloud Storage.
bucket. Il existe un autre enregistrement d'entité pour user A
qui possède un appareil. Après la fusion,
ces deux entités forment une seule entité user A
qui a deux relations. Une relation
user A
a accès au bucket Cloud Storage, et l'autre relation
est que user A
est propriétaire de l'appareil. Google Security Operations effectue une analyse de cinq jours
il crée des données de contexte d'entité. Cela gère les données arrivant en retard et crée une couche
sur les données de contexte des entités.
Google Security Operations utilise la création d'alias pour enrichir les données de télémétrie et utilise des graphiques d'entités pour enrichir les entités. Les règles du moteur de détection associent les entités fusionnées données de télémétrie enrichies pour fournir des analyses contextuelles.
Un événement contenant un nom d'entité est considéré comme une entité. Voici quelques exemples types d'événements et types d'entités correspondants:
ASSET_CONTEXT
correspond àASSET
.RESOURCE_CONTEXT
correspond àRESOURCE
.USER_CONTEXT
correspond àUSER
.GROUP_CONTEXT
correspond àGROUP
.
Le graphique des entités fait la distinction entre les données contextuelles et les indicateurs de compromission (IOC) à l'aide des informations sur la menace.
Lorsque vous utilisez des données enrichies en contexte, tenez compte du comportement suivant dans le graphique des entités:
- N'ajoutez pas d'intervalles à l'entité, mais laissez plutôt l'entité graphique. créer des intervalles. En effet, les intervalles sont générés lors de la déduplication, spécifié.
- Si les intervalles sont spécifiés, seuls les mêmes événements sont dédupliqués et l'entité la plus récente est conservée.
- Pour garantir que les règles actives et la recherche rétroaction fonctionnent comme prévu, les entités doivent être ingérées au moins une fois par jour.
- Si les entités ne sont pas ingérées quotidiennement et ingérées une fois en deux jours ou plus, les règles actives peuvent fonctionner comme prévu, mais les recherches rétro peuvent perdre le contexte de l'événement.
- Si les entités sont ingérées plusieurs fois par jour, elles sont dédupliquées. à une même entité.
- Si les données d'événement sont manquantes pour une journée, les données du jour précédent sont utilisées temporairement pour garantir le bon fonctionnement des règles actives.
Le graphique des entités fusionne également les événements ayant des identifiants similaires afin d'obtenir une vue consolidée des données. Cette fusion est basée sur la liste d'identifiants suivante:
Asset
entity.asset.product_object_id
entity.asset.hostname
entity.asset.asset_id
entity.asset.mac
User
entity.user.product_object_id
entity.user.userid
entity.user.windows_sid
entity.user.email_addresses
entity.user.employee_id
Resource
entity.resource.product_object_id
entity.resource.name
Group
entity.group.product_object_id
entity.group.email_addresses
entity.group.windows_sid
Calculer les statistiques de prévalence
Google Security Operations effectue une analyse statistique des données existantes et entrantes et enrichit les enregistrements de contexte des entités avec des métriques liées à la prévalence.
La prévalence est une valeur numérique qui indique la popularité d'une entité.
La popularité est définie par le nombre d'éléments accédant à un artefact, comme
domaine, hachage de fichier ou adresse IP. Plus le nombre est élevé, plus l'entité est populaire.
Par exemple, google.com
présente des valeurs de prévalence élevées, car
fréquemment consultées. Si un domaine est peu consulté, sa priorité
de prévalence. Les entités les plus populaires sont généralement moins susceptibles d’être malveillantes.
Ces valeurs enrichies sont compatibles avec le domaine, l'adresse IP et le fichier (hachage). Les valeurs sont calculés et stockés dans les champs suivants.
Les statistiques de prévalence pour chaque entité sont mises à jour quotidiennement. Les valeurs sont stockées dans un contexte d'entité distinct pouvant être utilisé par le moteur de détection mais n'apparaît pas dans les vues d'investigation de Google Security Operations ni dans la recherche UDM.
Les champs suivants peuvent être utilisés lorsque vous créez des règles de détection de moteurs.
Type d'entité | Champs UDM |
---|---|
Domaine | entity.domain.prevalence.day_count
entity.domain.prevalence.day_max
entity.domain.prevalence.day_max_sub_domains
entity.domain.prevalence.rolling_max
entity.domain.prevalence.rolling_max_sub_domains |
Fichier (hachage) | entity.file.prevalence.day_count
entity.file.prevalence.day_max
entity.file.prevalence.rolling_max |
Adresse IP | entity.artifact.prevalence.day_count
entity.artifact.prevalence.day_max
entity.artifact.prevalence.rolling_max |
Les valeurs "day_max" et "rolling_max" sont calculées différemment. Les champs sont calculé comme suit:
day_max
correspond au score de prévalence maximal de l'artefact pendant le jour où il est défini comme suit : 00:00:00 – 23:59:59 UTC.rolling_max
correspond au score de prévalence maximal par jour (c'est-à-direday_max
) de l'artefact au cours de la période précédente de 10 jours.day_count
est utilisé pour calculerrolling_max
et correspond toujours à la valeur 10.
Lorsqu'elle est calculée pour un domaine, la différence entre day_max
et day_max_sub_domains
(et rolling_max
et rolling_max_sub_domains
) est la suivante:
rolling_max
etday_max
représentent le nombre d'adresses IP internes uniques quotidiennes. accédant à un domaine donné (à l'exclusion des sous-domaines)rolling_max_sub_domains
etday_max_sub_domains
représentent le nombre les adresses IP internes accédant à un domaine donné (y compris les sous-domaines) ;
Les statistiques de prévalence sont calculées sur les données d'entité nouvellement ingérées. Les calculs ne sont pas de manière rétroactive sur des données déjà ingérées. Il faut environ 36 heures pour le calcul et le stockage des statistiques.
Calculer l'heure de la première et de la dernière occurrences d'entités
Google Security Operations effectue des analyses statistiques sur les données entrantes et enrichit les entités
des enregistrements contextuels avec les heures de la première et de la dernière occurrences d'une entité. first_seen_time
stocke la date et l'heure auxquelles l'entité a été vue pour la première fois dans le client
environnement. Le champ last_seen_time
stocke la date et l'heure des
l’observation.
Étant donné que plusieurs indicateurs (champs UDM) peuvent identifier un élément ou un utilisateur, la première fois est la première fois qu'un des indicateurs permettant d'identifier l'utilisateur ou l'asset a été vu dans l'environnement du client.
Tous les champs UDM qui décrivent d'un élément sont les suivants:
entity.asset.hostname
entity.asset.ip
entity.asset.mac
entity.asset.asset_id
entity.asset.product_object_id
Tous les champs UDM décrivant une utilisateur sont les suivants:
entity.user.windows_sid
entity.user.product_object_id
entity.user.userid
entity.user.employee_id
entity.user.email_addresses
L'heure de la première et de la dernière connexion permet à un analyste de corréler certaines activité survenue après qu'un domaine, un fichier (hachage), un élément, un utilisateur ou une adresse IP ou qui ont cessé de se produire après le domaine, le fichier (hachage) ou l'adresse IP dernière connexion.
Les champs first_seen_time
et last_seen_time
sont renseignés avec des entités qui :
un domaine, une adresse IP et un fichier (hachage). Pour les entités qui décrivent un utilisateur
ou un élément, seul le champ first_seen_time
est renseigné. Ces valeurs ne sont pas
calculé pour les entités qui décrivent d'autres types, comme un groupe ou une ressource.
Les statistiques sont calculées pour chaque entité dans tous les espaces de noms.
Google Security Operations ne calcule pas les statistiques de chaque entité dans des espaces de noms individuels.
Ces statistiques ne sont actuellement pas exportées vers le schéma events
de Google Security Operations dans BigQuery.
Les valeurs "surenrichies" sont calculées et stockées Champs UDM:
Type d'entité | Champs UDM |
---|---|
Domaine | entity.domain.first_seen_time entity.domain.last_seen_time |
Fichier (hachage) | entity.file.first_seen_time entity.file.last_seen_time |
Adresse IP | entity.artifact.first_seen_time entity.artifact.last_seen_time |
Élément | entity.asset.first_seen_time |
Utilisateur | entity.user.first_seen_time |
Enrichir les événements avec des données de géolocalisation
Les données de journaux entrantes peuvent inclure des adresses IP externes sans adresse les informations de localisation. C'est une erreur fréquente lorsqu'un événement enregistre des informations l'activité de l'appareil hors d'un réseau d'entreprise. Par exemple, une connexion à un service cloud contient une adresse IP source ou client basée sur l'adresse IP externe d'un appareil renvoyé par le NAT de l'opérateur.
Google Security Operations fournit des données enrichies par géolocalisation pour les adresses IP externes pour permettre une détection des règles plus efficace et davantage de contexte pour les enquêtes. Par exemple, Google Security Operations peut utiliser une adresse IP externe pour enrichir l'événement avec des informations sur le pays (par exemple, la France), un État spécifique (par exemple, l'Alaska), et le réseau dans lequel se trouve l'adresse IP (comme le numéro ASN et le nom de l'opérateur).
Google Security Operations utilise les données de localisation fournies par Google pour fournir une estimation l'emplacement géographique et les informations réseau d'une adresse IP. Vous pouvez écrire des règles de détection Engine sur ces champs dans les événements. Les données d'événement enrichies sont également exportées vers BigQuery pour les utiliser dans les rapports et les tableaux de bord Google Security Operations.
Les adresses IP suivantes ne sont pas enrichies:
- des espaces d'adressage IP privés RFC 1918, car ils sont internes au réseau de l'entreprise.
- Espace d'adressage IP de multidiffusion RFC 5771, car les adresses de multidiffusion n'appartiennent pas à un seul emplacement.
- Adresses locales uniques IPv6.
- Adresses IP des services Google Cloud. Google Cloud Compute Engine fait exception à cette règle des adresses IP externes, qui sont enrichies.
Google Security Operations enrichit les champs UDM suivants avec des données de géolocalisation:
principal
target
src
observer
Type de données | Champ UDM |
---|---|
Zone géographique (États-Unis, par exemple) | ( principal | target | src | observer ).ip_geo_artifact.location.country_or_region |
État (par exemple, New York) | ( principal | target | src | observer ).ip_geo_artifact.location.state |
Longitude | ( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.longitude |
Latitude | ( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.latitude |
ASN (numéro de système autonome) | ( principal | target | src | observer ).ip_geo_artifact.network.asn |
Nom du transporteur | ( principal | target | src | observer ).ip_geo_artifact.network.carrier_name |
Domaine DNS | ( principal | target | src | observer ).ip_geo_artifact.network.dns_domain |
Nom de l'organisation | ( principal | target | src | observer ).ip_geo_artifact.network.organization_name |
L'exemple suivant montre le type d'informations géographiques ajouté à un événement UDM avec une adresse IP taguée aux Pays-Bas:
Champ UDM | Valeur |
---|---|
principal.ip_geo_artifact.location.country_or_region |
Netherlands |
principal.ip_geo_artifact.location.region_coordinates.latitude |
52.132633 |
principal.ip_geo_artifact.location.region_coordinates.longitude |
5.291266 |
principal.ip_geo_artifact.network.asn |
8455 |
principal.ip_geo_artifact.network.carrier_name |
schuberg philis |
Incohérences
La technologie propriétaire de géolocalisation par IP de Google utilise une combinaison de données réseau et d'autres données. pour fournir l'emplacement de l'adresse IP et la résolution du réseau à nos utilisateurs. D'autres organisations peuvent utiliser des signaux ou des méthodes différents, ce qui peut parfois conduire à des résultats différents.
Si vous constatez une incohérence au niveau Géolocalisation des adresses IP fournie par Google, veuillez ouvrir une demande d'assistance afin que nous puissions enquêter et corriger, le cas échéant, nos dossiers par la suite.
Enrichissez les entités avec des informations issues des listes de menaces de la navigation sécurisée
Google Security Operations ingère les données issues de la navigation sécurisée liées aux hachages de fichiers. Les données de chaque fichier sont stockées en tant qu'entité et fournissent des informations supplémentaires sur le fichier. Les analystes peuvent créer des règles de détection des moteurs qui interrogent cette entité des données contextuelles pour créer des analyses contextuelles.
Les informations suivantes sont stockées avec l'enregistrement de contexte d'entité.
Champ UDM | Description |
---|---|
entity.metadata.product_entity_id |
Identifiant unique de l'entité. |
entity.metadata.entity_type |
Cette valeur est FILE , ce qui indique que l'entité décrit un fichier.
|
entity.metadata.collected_timestamp |
La date et l'heure auxquelles l'entité a été observée ou l'événement s'est produit. |
entity.metadata.interval |
Enregistre l'heure de début et l'heure de fin auxquelles ces données sont valides.
Étant donné que le contenu de la liste des menaces change au fil du temps, le start_time
et end_time représente l'intervalle de temps pendant lequel les données
entité est valide. Par exemple, on a constaté qu’un
hachage de fichier était
malveillant ou suspect entre start_time |
entity.metadata.threat.category |
Il s'agit de l'SecurityCategory Google Security Operations. Défini
à l'une ou plusieurs des valeurs suivantes:
|
entity.metadata.threat.severity |
Il s'agit de l'ProductSeverity Google Security Operations.
Si la valeur est CRITICAL , cela signifie que l'artefact semble être malveillant.
Si la valeur n'est pas spécifiée, le niveau de confiance est insuffisant pour indiquer que la
est malveillant.
|
entity.metadata.product_name |
Stocke la valeur Google Safe Browsing . |
entity.file.sha256 |
Valeur de hachage SHA256 du fichier. |
Enrichir les entités avec des données WHOIS
Google Security Operations ingère des données WHOIS tous les jours. Lors de l'ingestion de données
données des appareils des clients, Google Security Operations évalue les domaines dans les données client
par rapport aux données WHOIS. En cas de correspondance, Google Security Operations stocke
les données WHOIS associées à l'enregistrement d'entité pour le domaine. Pour chaque entité,
où entity.metadata.entity_type = DOMAIN_NAME
, Google Security Operations enrichit
l'entité à l'aide d'informations WHOIS.
Google Security Operations renseigne les données WHOIS enrichies dans les champs suivants de l'enregistrement d'entité:
entity.domain.admin.attribute.labels
entity.domain.audit_update_time
entity.domain.billing.attribute.labels
entity.domain.billing.office_address.country_or_region
entity.domain.contact_email
entity.domain.creation_time
entity.domain.expiration_time
entity.domain.iana_registrar_id
entity.domain.name_server
entity.domain.private_registration
entity.domain.registrant.company_name
entity.domain.registrant.office_address.state
entity.domain.registrant.office_address.country_or_region
entity.domain.registrant.email_addresses
entity.domain.registrant.user_display_name
entity.domain.registrar
entity.domain.registry_data_raw_text
entity.domain.status
entity.domain.tech.attribute.labels
entity.domain.update_time
entity.domain.whois_record_raw_text
entity.domain.whois_server
entity.domain.zone
Pour obtenir une description de ces champs, consultez la Document de liste des champs du modèle de données unifié.
Ingérer et stocker des données Google Cloud Threat Intelligence
Google Security Operations ingère les données de Google Cloud Threat Intelligence (GCTI) des sources de données qui vous fournissent des informations contextuelles que vous pouvez utiliser lorsque pour analyser l'activité de votre environnement. Vous pouvez interroger les sources de données suivantes:
- Nœuds de sortie GCTI Tor: adresses IP qui sont des nœuds de sortie Tor connus.
- GCTI Benign Binaries: fichiers faisant partie du système d'exploitation distribution d'origine ou ont été mises à jour par un correctif du système d'exploitation officiel. certains binaires officiels de systèmes d’exploitation qui ont été utilisés de manière abusive par un adversaire par le biais d'activités courantes dans les attaques contre la terre. source de données, comme celles axées sur les vecteurs d'entrée initiale.
GCTI Remote Access Tools: fichiers fréquemment utilisés par des acteurs malveillants Ces outils sont généralement des applications légitimes qui sont parfois utilisées de manière abusive pour se connecter à distance à des systèmes compromis.
Ces données contextuelles sont stockées globalement en tant qu'entités. Vous pouvez interroger les données en utilisant les règles du moteur de détection. Incluez les champs et valeurs UDM suivants dans la règle pour interroger ces entités globales:
graph.metadata.vendor_name
=Google Cloud Threat Intelligence
graph.metadata.product_name
=GCTI Feed
Dans ce document, l'espace réservé <variable_name>
représente le nom unique de la variable
utilisée dans une règle pour identifier un enregistrement UDM.
Sources de données temporelles et intemporelles de Google Cloud Threat Intelligence
Les sources de données de Google Cloud Threat Intelligence sont soit chromatiques, soit intemporelles.
Les sources de données temporelles sont associées à une période entrée. Cela signifie que si une détection est générée le premier jour, n'importe quel jour du dans le futur. La même détection est censée être générée pour le jour 1 au cours d'une rétro-hunting.
Les sources de données intemporelles ne sont associées à aucune période. Ce est que seul le dernier jeu de données doit être pris en compte. Intemporel Les sources de données sont souvent utilisées pour des données telles que des hachages de fichiers inattendus à modifier. Si aucune détection n'est générée le premier jour, une détection peut être généré pour le jour 1 lors d'une recherche rétro, car une nouvelle entrée a été ajoutée.
Données concernant les adresses IP des nœuds de sortie Tor
Google Security Operations ingère et stocke les adresses IP qui sont des nœuds de sortie Tor connus. Les nœuds de sortie Tor sont les points auxquels le trafic quitte le réseau Tor. Informations ingérées de cette source de données est stocké dans les champs UDM suivants. Les données de cette source sont chronométrées.
Champ UDM | Description |
---|---|
<variable_name>.graph.metadata.vendor_name |
Stocke la valeur Google Cloud Threat Intelligence . |
<variable_name>.graph.metadata.product_name |
Stocke la valeur GCTI Feed . |
<variable_name>.graph.metadata.threat.threat_feed_name |
Stocke la valeur Tor Exit Nodes . |
<variable_name>.graph.entity.artifact.ip |
Stocke l'adresse IP ingérée à partir de la source de données GCTI. |
Données sur les fichiers inoffensifs du système d'exploitation
Google Security Operations ingère et stocke les hachages de fichiers à partir des données bénignes de GCTI source de données. Les informations ingérées à partir de cette source de données sont stockées dans : UDM. Les données de cette source sont intemporelles.
Champ UDM | Description |
---|---|
<variable_name>.graph.metadata.vendor_name |
Stocke la valeur Google Cloud Threat Intelligence . |
<variable_name>.graph.metadata.product_name |
Stocke la valeur GCTI Feed . |
<variable_name>.graph.metadata.threat.threat_feed_name |
Stocke la valeur Benign Binaries . |
<variable_name>.graph.entity.file.sha256 |
Stocke la valeur de hachage SHA256 du fichier. |
<variable_name>.graph.entity.file.sha1 |
Stocke la valeur de hachage SHA1 du fichier. |
<variable_name>.graph.entity.file.md5 |
Stocke la valeur de hachage MD5 du fichier. |
Données sur les outils d'accès à distance
Les outils d’accès à distance incluent des hachages de fichiers pour des outils d’accès à distance connus tels que Clients VNC fréquemment utilisés par des acteurs malveillants. Ces outils sont généralement des applications légitimes qui sont parfois utilisées de manière abusive pour se connecter à distance aux systèmes compromis. Les informations ingérées à partir de cette source de données sont stockées les champs UDM suivants. Les données de cette source sont intemporelles.
Champ UDM | Description |
---|---|
Stocke la valeur Google Cloud Threat Intelligence . |
|
Stocke la valeur GCTI Feed . |
|
Stocke la valeur Remote Access Tools . |
|
Stocke la valeur de hachage SHA256 du fichier. | |
Stocke la valeur de hachage SHA1 du fichier. | |
Stocke la valeur de hachage MD5 du fichier. |
Enrichir les événements avec les métadonnées de fichiers VirusTotal
Google Security Operations enrichit les hachages de fichiers en événements UDM et offre le contexte pendant une enquête. Les événements UDM sont enrichis grâce à la création d'alias de hachage dans un environnement client. La création d’alias de hachage combine tous les types de hachages de fichiers et fournit des informations sur un hachage de fichier lors d’une recherche.
L'intégration des métadonnées de fichiers VirusTotal et l'enrichissement des relations avec Google SecOps permet d'identifier des schémas d'activité malveillante et de suivre les mouvements des logiciels malveillants sur un réseau.
Un journal brut fournit des informations limitées sur le fichier. VirusTotal enrichit l'événement avec les métadonnées de fichier pour fournir une copie des mauvais hachages, ainsi que des métadonnées sur le fichier incorrect. Les métadonnées incluent des informations telles que les noms de fichiers, les types, des fonctions et des tags. Vous pouvez utiliser ces informations pour la recherche et la détection UDM avec YARA-L pour comprendre les événements de fichiers incorrects et en général en cas de menaces la chasse aux données. Un exemple de cas d'utilisation consiste à détecter toute modification apportée au fichier d'origine. qui, à son tour, importerait les métadonnées du fichier pour la détection des menaces.
Les informations suivantes sont stockées avec l'enregistrement. Pour obtenir la liste de tous les champs UDM, consultez la liste des champs du modèle de données unifié.
Type de données | Champ UDM |
---|---|
SHA-256 | ( principal | target | src | observer ).file.sha256 |
MD5 | ( principal | target | src | observer ).file.md5 |
SHA-1 | ( principal | target | src | observer ).file.sha1 |
Taille | ( principal | target | src | observer ).file.size |
Ssdeep | ( principal | target | src | observer ).file.ssdeep |
vhash | ( principal | target | src | observer ).file.vhash |
authentihash | ( principal | target | src | observer ).file.authentihash |
Type de fichier | ( principal | target | src | observer ).file.file_type |
Tags | ( principal | target | src | observer ).file.tags |
Tags de fonctionnalités | ( principal | target | src | observer ).file.capabilities_tags |
Noms | ( principal | target | src | observer ).file.names |
Première connexion | ( principal | target | src | observer ).file.first_seen_time |
Dernière connexion | ( principal | target | src | observer ).file.last_seen_time |
Date/Heure de la dernière modification | ( principal | target | src | observer ).file.last_modification_time |
Heure de la dernière analyse | ( principal | target | src | observer ).file.last_analysis_time |
URL intégrées | ( principal | target | src | observer ).file.embedded_urls |
Adresses IP intégrées | ( principal | target | src | observer ).file.embedded_ips |
Domaines intégrés | ( principal | target | src | observer ).file.embedded_domains |
Informations sur la signature | ( principal | target | src | observer ).file.signature_info |
Informations sur la signature
|
( principal | target | src | observer).file.signature_info.sigcheck |
Informations sur la signature
|
( principal | target | src | observer ).file.signature_info.sigcheck.verification_message |
Informations sur la signature
|
( principal | target | src | observer ).file.signature_info.sigcheck.verified |
Informations sur la signature
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers |
Informations sur la signature
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers.name |
Informations sur la signature
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers.status |
Informations sur la signature
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers.valid_usage |
Informations sur la signature
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers.cert_issuer |
Informations sur la signature
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509 |
Informations sur la signature
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.name |
Informations sur la signature
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.algorithm |
Informations sur la signature
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.thumprint |
Informations sur la signature
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.cert_issuer |
Informations sur la signature
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.serial_number |
Informations sur la signature
|
( principal | target | src | observer ).file.signature_info.codesign |
Informations sur la signature
|
( principal | target | src | observer ).file.signature_info.codesign.id |
Informations sur la signature
|
( principal | target | src | observer ).file.signature_info.codesign.format |
Informations sur la signature
|
( principal | target | src | observer ).file.signature_info.codesign.compilation_time |
Informations Exiftool | ( principal | target | src | observer ).file.exif_info |
Informations Exiftool
|
( principal | target | src | observer ).file.exif_info.original_file |
Informations Exiftool
|
( principal | target | src | observer ).file.exif_info.product |
Informations Exiftool
|
( principal | target | src | observer ).file.exif_info.company |
Informations Exiftool
|
( principal | target | src | observer ).file.exif_info.file_description |
Informations Exiftool
|
( principal | target | src | observer ).file.exif_info.entry_point |
Informations Exiftool
|
( principal | target | src | observer ).file.exif_info.compilation_time |
Informations PDF | ( principal | target | src | observer ).file.pdf_info |
Informations PDF
|
( principal | target | src | observer ).file.pdf_info.js |
Informations PDF
|
( principal | target | src | observer ).file.pdf_info.javascript |
Informations PDF
|
( principal | target | src | observer ).file.pdf_info.launch_action_count |
Informations PDF
|
( principal | target | src | observer ).file.pdf_info.object_stream_count |
Informations PDF
|
( principal | target | src | observer ).file.pdf_info.endobj_count |
Informations PDF
|
( principal | target | src | observer ).file.pdf_info.header |
Informations PDF
|
( principal | target | src | observer ).file.pdf_info.acroform |
Informations PDF
|
( principal | target | src | observer ).file.pdf_info.autoaction |
Informations PDF
|
( principal | target | src | observer ).file.pdf_info.embedded_file |
Informations PDF
|
( principal | target | src | observer ).file.pdf_info.encrypted |
Informations PDF
|
( principal | target | src | observer ).file.pdf_info.flash |
Informations PDF
|
( principal | target | src | observer ).file.pdf_info.jbig2_compression |
Informations PDF
|
( principal | target | src | observer ).file.pdf_info.obj_count |
Informations PDF
|
( principal | target | src | observer ).file.pdf_info.endstream_count |
Informations PDF
|
( principal | target | src | observer ).file.pdf_info.page_count |
Informations PDF
|
( principal | target | src | observer ).file.pdf_info.stream_count |
Informations PDF
|
( principal | target | src | observer ).file.pdf_info.openaction |
Informations PDF
|
( principal | target | src | observer ).file.pdf_info.startxref |
Informations PDF
|
( principal | target | src | observer ).file.pdf_info.suspicious_colors |
Informations PDF
|
( principal | target | src | observer ).file.pdf_info.trailer |
Informations PDF
|
( principal | target | src | observer ).file.pdf_info.xfa |
Informations PDF
|
( principal | target | src | observer ).file.pdf_info.xref |
Métadonnées du fichier PE | ( principal | target | src | observer ).file.pe_file |
Métadonnées du fichier PE
|
( principal | target | src | observer ).file.pe_file.imphash |
Métadonnées du fichier PE
|
( principal | target | src | observer ).file.pe_file.entry_point |
Métadonnées du fichier PE
|
( principal | target | src | observer ).file.pe_file.entry_point_exiftool |
Métadonnées du fichier PE
|
( principal | target | src | observer ).file.pe_file.compilation_time |
Métadonnées du fichier PE
|
( principal | target | src | observer ).file.pe_file.compilation_exiftool_time |
Métadonnées du fichier PE
|
( principal | target | src | observer ).file.pe_file.section |
Métadonnées du fichier PE
|
( principal | target | src | observer ).file.pe_file.section.name |
Métadonnées du fichier PE
|
( principal | target | src | observer ).file.pe_file.section.entropy |
Métadonnées du fichier PE
|
( principal | target | src | observer ).file.pe_file.section.raw_size_bytes |
Métadonnées du fichier PE
|
( principal | target | src | observer ).file.pe_file.section.virtual_size_bytes |
Métadonnées du fichier PE
|
( principal | target | src | observer ).file.pe_file.section.md5_hex |
Métadonnées du fichier PE
|
( principal | target | src | observer ).file.pe_file.imports |
Métadonnées du fichier PE
|
( principal | target | src | observer ).file.pe_file.imports.library |
Métadonnées du fichier PE
|
( principal | target | src | observer ).file.pe_file.imports.functions |
Métadonnées du fichier PE
|
( principal | target | src | observer ).file.pe_file.resource |
Métadonnées du fichier PE
|
( principal | target | src | observer ).file.pe_file.resource.sha256_hex |
Métadonnées du fichier PE
|
( principal | target | src | observer ).file.pe_file.resource.filetype_magic |
Métadonnées du fichier PE
|
( principal | target | src | observer ).file.pe_file.resource_language_code |
Métadonnées du fichier PE
|
( principal | target | src | observer ).file.pe_file.resource.entropy |
Métadonnées du fichier PE
|
( principal | target | src | observer ).file.pe_file.resource.file_type |
Métadonnées du fichier PE
|
( principal | target | src | observer ).file.pe_file.resources_type_count_str |
Métadonnées du fichier PE
|
( principal | target | src | observer ).file.pe_file.resources_language_count_str |
Enrichir les entités avec des données relationnelles VirusTotal
VirusTotal permet d'analyser les fichiers, domaines, adresses IP et URL suspects pour : détecter les logiciels malveillants et autres violations, et en partager les résultats avec la communauté des responsables de la sécurité. Google Security Operations ingère les données des connexions liées à VirusTotal. Ces données sont stockées en tant qu'entité et fournit des informations sur la relation entre les hachages de fichiers et fichiers, domaines, adresses IP et URL.
Les analystes peuvent utiliser ces données pour déterminer si un hachage de fichier est incorrect sur la base des informations à propos de l'URL ou du domaine à partir d'autres sources. Ces informations peuvent être utilisées pour créer Règles de détection Engine qui interrogent les données contextuelles de l'entité pour créer des analyses contextuelles.
Ces données ne sont disponibles que pour certaines licences VirusTotal et Google Security Operations. Vérifiez vos droits d'accès auprès de votre responsable de compte.
Les informations suivantes sont stockées avec l'enregistrement de contexte d'entité:
Champ UDM | Description |
---|---|
entity.metadata.product_entity_id |
Identifiant unique de l'entité. |
entity.metadata.entity_type |
Stocke la valeur FILE , indiquant que
entité décrit un fichier |
entity.metadata.interval |
start_time fait référence au début de
heure et end_time est la fin de la période pour laquelle ces données sont valides |
entity.metadata.source_labels |
Ce champ stocke une liste de paires clé/valeur source_id et
target_id pour cette entité. source_id correspond au hachage du fichier.
et target_id peut être un hachage ou la valeur de l'URL, du nom de domaine ou de l'adresse IP.
adresse à laquelle
ce fichier est lié. Vous pouvez rechercher l'URL, le nom de domaine,
adresse IP ou fichier sur virustotal.com. |
entity.metadata.product_name |
Stocke la valeur "VirusTotal Relationships" |
entity.metadata.vendor_name |
Stocke la valeur "VirusTotal" |
entity.file.sha256 |
Stocke la valeur de hachage SHA-256 du fichier |
entity.file.relations |
Une liste des entités enfants dont le parent est associée à l'entité "file" |
entity.relations.relationship |
Ce champ explique le type de relation entre les entités parentes et enfants.
La valeur peut être EXECUTES , DOWNLOADED_FROM ou
CONTACTS |
entity.relations.direction |
Stocke la valeur "UNIDIRECTAL" et indique la direction de la relation avec l'entité enfant |
entity.relations.entity.url |
L'URL de contact du fichier dans l'entité parente (si la relation entre
l'entité parente et l'URL est CONTACTS ) ou l'URL à partir de laquelle
le fichier de l'entité parente a été téléchargé (si la relation entre le parent
et que l'URL est DOWNLOADED_FROM ). |
entity.relations.entity.ip |
Une liste des adresses IP auxquelles le fichier dans les contacts de l'entité parente ou a été téléchargée depuis Il ne contient qu'une seule adresse IP. |
entity.relations.entity.domain.name |
Nom du domaine dans lequel le fichier figurant dans les contacts de l'entité parente a été téléchargé ou qui a été téléchargé de |
entity.relations.entity.file.sha256 |
Stocke la valeur de hachage SHA-256 du fichier dans la relation |
entity.relations.entity_type |
Ce champ contient le type d'entité dans la relation. La valeur peut être
URL , DOMAIN_NAME , IP_ADDRESS ou
FILE Ces champs sont renseignés conformément aux
entity_type Par exemple, si entity_type est URL ,
entity.relations.entity.url est alors renseigné. |
Étape suivante
Pour en savoir plus sur l'utilisation des données enrichies avec d'autres opérations de sécurité Google , consultez les ressources suivantes: