In che modo Google Security Operations arricchisce i dati di eventi ed entità

Questo documento descrive in che modo Google Security Operations arricchisce i dati e i campi Unified Data Model (UDM) in cui sono archiviati i dati.

Per consentire un'indagine sulla sicurezza, Google Security Operations importa dati contestuali da origini diverse, esegue analisi sui dati e fornisce ulteriore contesto sugli artefatti in un ambiente del cliente. Gli analisti possono usare dati contestualmente arricchiti nelle regole di Detection Engine, nelle ricerche investigative o nei report.

Google Security Operations esegue i seguenti tipi di arricchimento:

• Arricchisce le entità utilizzando il grafico delle entità e l'unione.
• Calcola e arricchisce ogni entità con una statistica di prevalenza che indica la sua popolarità nell'ambiente.
• Calcola la prima volta in cui determinati tipi di entità sono stati rilevati nell'ambiente o l'ora più recente.
• Arricchisce le entità con informazioni provenienti dagli elenchi delle minacce di Navigazione sicura.
• Arricchisce gli eventi con i dati di geolocalizzazione.
• Arricchisce le entità con i dati WHOIS.
• Arricchisce gli eventi con i metadati dei file di VirusTotal.
• Arricchisce le entità con i dati sulle relazioni di VirusTotal.
• Importa e archivia i dati di Google Cloud Threat Intelligence.

I dati più approfonditi provenienti da WHOIS, Navigazione sicura, GCTI Threat Intelligence, metadati VirusTotal e relazione con VirusTotal sono identificati da event_type, product_name e vendor_name. Quando crei una regola che utilizza questi dati estesi, ti consigliamo di includere un filtro nella regola che identifichi il tipo di potenziamento specifico da includere. Questo filtro consente di migliorare le prestazioni della regola. Ad esempio, includi i seguenti campi filtro nella sezione events della regola che unisce i dati WHOIS.

$enrichment.graph.metadata.entity_type = "DOMAIN_NAME"
$enrichment.graph.metadata.product_name = "WHOISXMLAPI Simple Whois"
$enrichment.graph.metadata.vendor_name = "WHOIS"

Arricchisci le entità utilizzando il grafico delle entità e unendole

Il grafico delle entità identifica le relazioni tra entità e risorse nel tuo ambiente. Quando entità provenienti da origini diverse vengono importate in Google Security Operations, il grafico delle entità mantiene un elenco di adiacenti basato sulla relazione tra le entità. Il grafico delle entità esegue l'arricchimento del contesto eseguendo la deduplicazione e l'unione.

Durante la deduplicazione, i dati ridondanti vengono eliminati e vengono creati intervalli per creare un'entità comune. Ad esempio, considera due entità e1 e e2 con timestamp rispettivamente t1 e t2. Le entità e1 e e2 vengono deduplicate e i timestamp diversi non vengono utilizzati durante la deduplicazione. I seguenti campi non vengono utilizzati durante la deduplicazione:

• collected_timestamp
• creation_timestamp
• interval

Durante l'unione, le relazioni tra le entità vengono formate per un intervallo di tempo di un giorno. Ad esempio, considera un record di entità di user A che ha accesso a un bucket Cloud Storage. Esiste un altro record dell'entità di user A che possiede un dispositivo. Dopo l'unione, queste due entità generano una singola entità user A con due relazioni. Una relazione è che user A ha accesso al bucket Cloud Storage, mentre l'altra è che user A è proprietario del dispositivo. Google Security Operations esegue una finestra temporale di cinque giorni per la creazione dei dati sul contesto dell'entità. In questo modo vengono gestiti i dati arrivati in ritardo e viene creato un tempo implicito per la pubblicazione dei dati relativi al contesto dell'entità.

Google Security Operations utilizza l'aliasing per arricchire i dati di telemetria e i grafici delle entità per arricchire le entità. Le regole del motore di rilevamento uniscono le entità unite ai dati di telemetria estesi per fornire analisi sensibili al contesto.

Un evento che contiene un nome entità viene considerato come un'entità. Ecco alcuni tipi di eventi e i relativi tipi di entità corrispondenti:

• ASSET_CONTEXT corrisponde a ASSET.
• RESOURCE_CONTEXT corrisponde a RESOURCE.
• USER_CONTEXT corrisponde a USER.
• GROUP_CONTEXT corrisponde a GROUP.

Il grafico delle entità distingue tra dati contestuali e indicatori di compromissione (IOC) utilizzando le informazioni sulle minacce.

Quando utilizzi dati arricchiti in base al contesto, considera il seguente comportamento del grafico delle entità:

• Non aggiungere intervalli nell'entità, ma lascia che sia il grafico dell'entità a creare intervalli. Questo perché gli intervalli vengono generati durante la deduplicazione se non diversamente specificato.
• Se gli intervalli vengono specificati, solo gli stessi eventi vengono deduplicati e viene mantenuta l'entità più recente.
• Per garantire che le regole in tempo reale e le ricerche retroattive funzionino come previsto, le entità devono essere importate almeno una volta al giorno.
• Se le entità non vengono importate quotidianamente e solo una volta in due o più giorni, le regole di pubblicazione potrebbero funzionare come previsto, tuttavia, le ricerche retroattive potrebbero perdere il contesto dell'evento.
• Se le entità vengono importate più di una volta al giorno, vengono deduplicate in una singola entità.
• Se i dati sugli eventi non sono presenti per un giorno, i dati del giorno precedente vengono utilizzati temporaneamente per garantire il corretto funzionamento delle regole attive.

Il grafico delle entità unisce anche gli eventi con identificatori simili per ottenere una visualizzazione consolidata dei dati. L'unione avviene in base al seguente elenco di identificatori:

• Asset
  • entity.asset.product_object_id
  • entity.asset.hostname
  • entity.asset.asset_id
  • entity.asset.mac
• User
  • entity.user.product_object_id
  • entity.user.userid
  • entity.user.windows_sid
  • entity.user.email_addresses
  • entity.user.employee_id
• Resource
  • entity.resource.product_object_id
  • entity.resource.name
• Group
  • entity.group.product_object_id
  • entity.group.email_addresses
  • entity.group.windows_sid

Calcolare le statistiche di prevalenza

Google Security Operations esegue analisi statistiche sui dati esistenti e in entrata e arricchisce i record di contesto dell'entità con metriche relative alla prevalenza.

La prevalenza è un valore numerico che indica la popolarità di un'entità. La popolarità è definita dal numero di asset che accedono a un artefatto, come un dominio, un hash di file o un indirizzo IP. Più grande è il numero, più popolare è l'entità. Ad esempio, google.com ha valori di prevalenza elevati perché vi si accede di frequente. Se si accede a un dominio raramente, avrà valori di prevalenza inferiori. Le entità più popolari di solito hanno meno probabilità di essere dannose.

Questi valori estesi sono supportati per dominio, IP e file (hash). I valori vengono calcolati e archiviati nei seguenti campi.

Le statistiche di prevalenza per ciascuna entità vengono aggiornate quotidianamente. I valori vengono archiviati in un contesto di entità separato che può essere utilizzato da Detection Engine, ma non vengono mostrati nelle visualizzazioni investigative di Google Security Operations e nella ricerca UDM.

I seguenti campi possono essere utilizzati durante la creazione di regole di Detection Engine.

Tipo di entità	Campi UDM
Dominio	entity.domain.prevalence.day_count entity.domain.prevalence.day_max entity.domain.prevalence.day_max_sub_domains entity.domain.prevalence.rolling_max entity.domain.prevalence.rolling_max_sub_domains
File (hash)	entity.file.prevalence.day_count entity.file.prevalence.day_max entity.file.prevalence.rolling_max
Indirizzo IP	entity.artifact.prevalence.day_count entity.artifact.prevalence.day_max entity.artifact.prevalence.rolling_max

I valori day_max e rolling_max vengono calcolati in modo diverso. I campi vengono calcolati come segue:

• Il valore day_max è calcolato come punteggio di prevalenza massimo per l'artefatto durante il giorno, dove un giorno è definito dalle ore 00:00:00 alle 23:59:59 UTC.
• Il valore rolling_max è il punteggio di prevalenza massimo giornaliero (ad es. day_max) per l'artefatto nel periodo di 10 giorni precedente.
• day_count viene utilizzato per calcolare rolling_max ed è sempre il valore 10.

Quando viene calcolata per un dominio, la differenza tra day_max e day_max_sub_domains (e rolling_max rispetto a rolling_max_sub_domains) è la seguente:

• rolling_max e day_max rappresentano il numero di indirizzi IP interni univoci giornalieri che accedono a un determinato dominio (esclusi i sottodomini).
• rolling_max_sub_domains e day_max_sub_domains rappresentano il numero di indirizzi IP interni univoci che accedono a un determinato dominio (inclusi i sottodomini).

Le statistiche di prevalenza vengono calcolate sui dati delle entità appena importati. I calcoli non vengono eseguiti in modo retroattivo sui dati importati in precedenza. Sono necessarie circa 36 ore per il calcolo e l'archiviazione delle statistiche.

Calcolare l'ora di prima e di ultima visualizzazione delle entità

Google Security Operations esegue analisi statistiche sui dati in arrivo e arricchisce i record di contesto delle entità con i tempi di prima e ultima visualizzazione di un'entità. Il campo first_seen_time consente di archiviare la data e l'ora della prima visualizzazione dell'entità nell'ambiente del cliente. Il campo last_seen_time memorizza la data e l'ora dell'osservazione più recente.

Poiché più indicatori (campi UDM) possono identificare un asset o un utente, la prima volta è la prima volta che uno degli indicatori che identifica l'utente o l'asset è stato visto nell'ambiente del cliente.

Tutti i campi UDM che descrivono una risorsa sono i seguenti:

• entity.asset.hostname
• entity.asset.ip
• entity.asset.mac
• entity.asset.asset_id
• entity.asset.product_object_id

Tutti i campi UDM che descrivono un utente sono i seguenti:

• entity.user.windows_sid
• entity.user.product_object_id
• entity.user.userid
• entity.user.employee_id
• entity.user.email_addresses

La prima e l'ultima visualizzazione consentono a un analista di correlare determinate attività che si sono verificate dopo che un dominio, un file (hash), un asset, un utente o un indirizzo IP sono stati rilevati per la prima volta o che hanno smesso di verificarsi dopo l'ultima visualizzazione del dominio, del file (hash) o dell'indirizzo IP.

I campi first_seen_time e last_seen_time sono compilati con entità che descrivono un dominio, un indirizzo IP e un file (hash). Per le entità che descrivono un utente o un asset, viene compilato solo il campo first_seen_time. Questi valori non vengono calcolati per entità che descrivono altri tipi, ad esempio un gruppo o una risorsa.

Le statistiche vengono calcolate per ciascuna entità in tutti gli spazi dei nomi. Google Security Operations non calcola le statistiche per ogni entità all'interno dei singoli spazi dei nomi. Al momento queste statistiche non vengono esportate nello schema events di Google Security Operations in BigQuery.

I valori estesi vengono calcolati e archiviati nei seguenti campi UDM:

Tipo di entità	Campi UDM
Dominio	entity.domain.first_seen_time entity.domain.last_seen_time
File (hash)	entity.file.first_seen_time entity.file.last_seen_time
Indirizzo IP	entity.artifact.first_seen_time entity.artifact.last_seen_time
Asset	entity.asset.first_seen_time
Utente	entity.user.first_seen_time

Arricchisci gli eventi con i dati di geolocalizzazione

I dati di log in entrata possono includere indirizzi IP esterni senza informazioni sulla posizione corrispondenti. Si tratta di una situazione comune quando un evento registra informazioni relative all'attività del dispositivo che non si trova in una rete aziendale. Ad esempio, un evento di accesso a un servizio cloud potrebbe contenere un indirizzo IP di origine o client basato sull'indirizzo IP esterno di un dispositivo restituito dall'operatore NAT.

Google Security Operations fornisce dati arricchiti di geolocalizzazione per indirizzi IP esterni al fine di consentire rilevamenti più efficaci delle regole e un contesto più ampio per le indagini. Ad esempio, Google Security Operations potrebbe utilizzare un indirizzo IP esterno per arricchire l'evento con informazioni sul paese (ad esempio gli Stati Uniti), uno stato specifico (ad esempio Alaska) e la rete in cui si trova l'indirizzo IP (come l'ASN e il nome dell'operatore).

Google Security Operations utilizza i dati sulla posizione forniti da Google per fornire una posizione geografica approssimativa e informazioni sulla rete relative a un indirizzo IP. Puoi scrivere le regole di Detection Engine per questi campi degli eventi. I dati avanzati sugli eventi vengono inoltre esportati in BigQuery, dove possono essere utilizzati nelle dashboard e nei report di Google Security Operations.

I seguenti indirizzi IP non sono arricchiti:

• Spazi di indirizzi IP privati RFC 1918 perché sono interni alla rete aziendale.
• Spazio di indirizzi IP multicast RFC 5771 perché gli indirizzi multicast non appartengono a una singola località.
• Indirizzi locali univoci IPv6.
• degli indirizzi IP dei servizi Google Cloud. Le eccezioni sono gli indirizzi IP esterni di Google Cloud Compute Engine, che sono arricchiti.

Google Security Operations arricchisce i seguenti campi UDM con dati di geolocalizzazione:

• principal
• target
• src
• observer

Tipo di dati	Campo UDM
Località (ad es. Stati Uniti)	( principal | target | src | observer ).ip_geo_artifact.location.country_or_region
Stato (ad es. New York)	( principal | target | src | observer ).ip_geo_artifact.location.state
Longitudine	( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.longitude
Latitudine	( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.latitude
ASN (Autonomous System Number)	( principal | target | src | observer ).ip_geo_artifact.network.asn
Nome vettore	( principal | target | src | observer ).ip_geo_artifact.network.carrier_name
Dominio DNS	( principal | target | src | observer ).ip_geo_artifact.network.dns_domain
Nome dell'organizzazione	( principal | target | src | observer ).ip_geo_artifact.network.organization_name

L'esempio seguente mostra il tipo di informazioni geografiche che verranno aggiunte a un evento UDM con un indirizzo IP codificato nei Paesi Bassi:

Campo UDM	Valore
principal.ip_geo_artifact.location.country_or_region	Netherlands
principal.ip_geo_artifact.location.region_coordinates.latitude	52.132633
principal.ip_geo_artifact.location.region_coordinates.longitude	5.291266
principal.ip_geo_artifact.network.asn	8455
principal.ip_geo_artifact.network.carrier_name	schuberg philis

Incoerenze

La tecnologia di geolocalizzazione degli IP di proprietà di Google utilizza una combinazione di dati di networking e altri input e metodi per fornire ai nostri utenti la posizione degli indirizzi IP e la risoluzione della rete. Altre organizzazioni possono utilizzare indicatori o metodi diversi, che a volte potrebbero portare a risultati diversi.

Se riscontri dei casi in cui riscontri un'incoerenza nei risultati di geolocalizzazione IP forniti da Google, apri una richiesta di assistenza clienti per consentirci di effettuare accertamenti e, se opportuno, correggere i nostri dati in futuro.

Arricchisci le entità con informazioni provenienti dagli elenchi delle minacce di Navigazione sicura

Google Security Operations importa da Navigazione sicura i dati relativi agli hash dei file. I dati di ogni file vengono archiviati come entità e forniscono un contesto aggiuntivo sul file. Gli analisti possono creare regole di Detection Engine che eseguono query sui dati di contesto di questa entità per creare analisi sensibili al contesto.

Le seguenti informazioni vengono archiviate con il record di contesto dell'entità.

Campo UDM	Descrizione
entity.metadata.product_entity_id	Un identificatore univoco dell'entità.
entity.metadata.entity_type	Questo valore è FILE e indica che l'entità descrive un file.
entity.metadata.collected_timestamp	La data e l'ora in cui l'entità è stata osservata o si è verificato l'evento.
entity.metadata.interval	Archivia l'ora di inizio e l'ora di fine in cui questi dati sono validi. Poiché i contenuti dell'elenco di minacce cambiano nel tempo, start_time e end_time riflettono l'intervallo di tempo durante il quale sono validi i dati sull'entità. Ad esempio, è stato riscontrato che un hash di file è dannoso o sospetto tra start_time and end_time.
entity.metadata.threat.category	Questo è Google Security Operations SecurityCategory. È impostato su uno o più dei seguenti valori: SOFTWARE_MALICIOUS: indica che la minaccia è correlata al malware. SOFTWARE_PUA: indica che la minaccia è correlata a software indesiderato.
entity.metadata.threat.severity	Questo è Google Security Operations ProductSeverity. Se il valore è CRITICAL, significa che l'elemento sembra dannoso. Se il valore non viene specificato, non esiste una confidenza sufficiente per indicare che l'artefatto è dannoso.
entity.metadata.product_name	Memorizza il valore Google Safe Browsing.
entity.file.sha256	Il valore hash SHA256 per il file.

Arricchisci le entità con i dati WHOIS

Google Security Operations importa ogni giorno i dati WHOIS. Durante l'importazione dei dati dei dispositivi dei clienti in entrata, Google Security Operations valuta i domini nei dati dei clienti in base ai dati WHOIS. In caso di corrispondenza, Google Security Operations archivia i dati WHOIS correlati con il record dell'entità per il dominio. Per ogni entità, in cui entity.metadata.entity_type = DOMAIN_NAME, Google Security Operations arricchisce l'entità con informazioni provenienti da WHOIS.

Google Security Operations inserisce i dati WHOIS estesi nei seguenti campi del record dell'entità:

• entity.domain.admin.attribute.labels
• entity.domain.audit_update_time
• entity.domain.billing.attribute.labels
• entity.domain.billing.office_address.country_or_region
• entity.domain.contact_email
• entity.domain.creation_time
• entity.domain.expiration_time
• entity.domain.iana_registrar_id
• entity.domain.name_server
• entity.domain.private_registration
• entity.domain.registrant.company_name
• entity.domain.registrant.office_address.state
• entity.domain.registrant.office_address.country_or_region
• entity.domain.registrant.email_addresses
• entity.domain.registrant.user_display_name
• entity.domain.registrar
• entity.domain.registry_data_raw_text
• entity.domain.status
• entity.domain.tech.attribute.labels
• entity.domain.update_time
• entity.domain.whois_record_raw_text
• entity.domain.whois_server
• entity.domain.zone

Per una descrizione di questi campi, consulta il documento dell'elenco dei campi del modello di dati unificato.

Importa e archivia i dati di Google Cloud Threat Intelligence

Google Security Operations importa i dati dalle origini dati Google Cloud Threat Intelligence (GCTI) che forniscono informazioni contestuali da utilizzare durante l'analisi delle attività nel tuo ambiente. Puoi eseguire query sulle seguenti origini dati:

• Nodi di uscita di GCTI Tor: indirizzi IP che sono nodi di uscita noti di Tor.
• Binari benigni di GCTI: file che fanno parte della distribuzione originale del sistema operativo o che sono stati aggiornati da una patch ufficiale del sistema operativo. Alcuni file binari ufficiali dei sistemi operativi che sono stati utilizzati in modo illecito da un avversario attraverso attività comuni negli attacchi Live-off-the-land, sono esclusi da questa origine dati, come quelli incentrati sui vettori di ingresso iniziale.

• GCTI Remote Access Tools: file che sono stati utilizzati spesso da utenti malintenzionati. Questi strumenti sono generalmente applicazioni legittime che a volte vengono utilizzate in modo illecito per connettersi da remoto a sistemi compromessi.

  Questi dati contestuali vengono archiviati a livello globale come entità. Puoi eseguire query sui dati usando le regole del motore di rilevamento. Includi i seguenti campi e valori UDM nella regola per eseguire query su queste entità globali:

• graph.metadata.vendor_name = Google Cloud Threat Intelligence

• graph.metadata.product_name = GCTI Feed

In questo documento, il segnaposto <variable_name> rappresenta il nome univoco della variabile utilizzato in una regola per identificare un record UDM.

Origini dati di Google Cloud Threat Intelligence a tempo e intramontabili

Le origini dati di Google Cloud Threat Intelligence sono a tempo o senza tempo.

Le origini dati a tempo hanno un intervallo di tempo associato a ogni voce. Ciò significa che se viene generato un rilevamento il giorno 1, in un qualsiasi giorno futuro, si prevede che verrà generato lo stesso rilevamento per il giorno 1 durante una ricerca retrospettiva.

Alle origini dati senza tempo non è associato alcun intervallo di tempo. Questo perché solo l'ultimo set di dati deve essere preso in considerazione. Le origini dati senza tempo vengono utilizzate di frequente per dati come gli hash dei file che non sono previsti cambiabili. Se il giorno 1 non viene generato alcun rilevamento, il giorno 2 potrebbe essere generato un rilevamento per il giorno 1 durante una ricerca retroattiva perché è stata aggiunta una nuova voce.

Dati sugli indirizzi IP dei nodi di uscita di Tor

Google Security Operations importa e archivia gli indirizzi IP che sono nodi di uscita Tor noti. I nodi di uscita Tor sono i punti in cui il traffico esce dalla rete Tor. Le informazioni importate da questa origine dati vengono archiviate nei seguenti campi UDM. I dati in questa origine sono a tempo.

Campo UDM	Descrizione
<variable_name>.graph.metadata.vendor_name	Memorizza il valore Google Cloud Threat Intelligence.
<variable_name>.graph.metadata.product_name	Memorizza il valore GCTI Feed.
<variable_name>.graph.metadata.threat.threat_feed_name	Memorizza il valore Tor Exit Nodes.
<variable_name>.graph.entity.artifact.ip	Archivia l'indirizzo IP importato dall'origine dati GCTI.

Dati relativi a file innocui del sistema operativo

Google Security Operations importa e archivia gli hash dei file dall'origine dati GCTI Benign Binaries. Le informazioni importate da questa origine dati vengono archiviate nei seguenti campi UDM. I dati di questa origine non hanno tempo.

Campo UDM	Descrizione
<variable_name>.graph.metadata.vendor_name	Memorizza il valore Google Cloud Threat Intelligence.
<variable_name>.graph.metadata.product_name	Memorizza il valore GCTI Feed.
<variable_name>.graph.metadata.threat.threat_feed_name	Memorizza il valore Benign Binaries.
<variable_name>.graph.entity.file.sha256	Archivia il valore hash SHA256 del file.
<variable_name>.graph.entity.file.sha1	Archivia il valore hash SHA1 del file.
<variable_name>.graph.entity.file.md5	Archivia il valore hash MD5 del file.

Dati sugli strumenti di accesso remoto

Questi strumenti includono hash di file per strumenti di accesso remoto noti, come i client VNC, utilizzati spesso da malintenzionati. Questi strumenti sono in genere applicazioni legittime che a volte vengono utilizzate in modo illecito per connettersi da remoto a sistemi compromessi. Le informazioni importate da questa origine dati vengono archiviate nei seguenti campi UDM. I dati di questa origine non hanno tempo.

Campo UDM	Descrizione
.graph.metadata.vendor_name	Memorizza il valore Google Cloud Threat Intelligence.
.graph.metadata.product_name	Memorizza il valore GCTI Feed.
.graph.metadata.threat.threat_feed_name	Memorizza il valore Remote Access Tools.
.graph.entity.file.sha256	Archivia il valore hash SHA256 del file.
.graph.entity.file.sha1	Archivia il valore hash SHA1 del file.
.graph.entity.file.md5	Archivia il valore hash MD5 del file.

Arricchisci gli eventi con i metadati dei file di VirusTotal

Google Security Operations arricchisce gli hash dei file in eventi UDM e fornisce contesto aggiuntivo durante un'indagine. Gli eventi UDM vengono arricchiti attraverso l'aliasing degli hash in un ambiente del cliente. L'aliasing degli hash combina tutti i tipi di hash di file e fornisce informazioni sull'hash di un file durante una ricerca.

L'integrazione dei metadati dei file di VirusTotal e dell'arricchimento delle relazioni con Google SecOps consente di identificare pattern di attività dannose e di tenere traccia dei movimenti del malware attraverso una rete.

Un log non elaborato fornisce informazioni limitate sul file. VirusTotal arricchisce l'evento con metadati del file per fornire un dump degli hash non validi insieme ai metadati sul file non valido. I metadati includono informazioni quali nomi di file, tipi, funzioni importate e tag. Puoi utilizzare queste informazioni nel motore di ricerca e rilevamento UDM con YARA-L per comprendere gli eventi non validi dei file e in generale durante la ricerca delle minacce. Un caso d'uso di esempio è il rilevamento di eventuali modifiche al file originale che, a loro volta, avrebbero importato i metadati del file per il rilevamento delle minacce.

Le seguenti informazioni vengono memorizzate insieme al record. Per un elenco di tutti i campi UDM, vedi Elenco dei campi del modello di dati unificato.