Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

In che modo Chronicle arricchisce i dati di eventi ed entità

Per abilitare un'indagine sulla sicurezza, Chronicle importa i dati contestuali da diverse origini, esegue analisi sui dati e fornisce un contesto aggiuntivo sugli artefatti in un ambiente cliente. Gli analisti possono utilizzare questi dati arricchiti contestualmente nelle regole di Compute Engine, nelle ricerche indagine e nei report. Questa sezione descrive il tipo di arricchimento fornito da Chronicle e spiega come può essere utilizzato.

Statistiche di prevalenza

Chronicle esegue analisi statistiche sui dati esistenti e in entrata e arricchisce i record di contesto delle entità con metriche relative alla prevalenza.

La prevalenza è un valore numerico che indica quanto è popolare un'entità.
La popolarità è definita dal numero di risorse che accedono a un artefatto, ad esempio un dominio, un hash di file o un indirizzo IP. Più grande è il numero, più popolare è l'entità. Ad esempio, 'google.com' ha valori ad alta prevalenza perché è accessibile di frequente. Se un dominio viene eseguito raramente, avrà valori di prevalenza inferiori. In genere, le entità più popolari hanno meno probabilità di essere dannose.

Questi valori estesi sono supportati per il dominio, l'IP e il file (hash). I valori vengono calcolati e memorizzati nei campi seguenti.

Le statistiche sulla prevalenza di ogni entità vengono aggiornate ogni giorno. I valori vengono archiviati in un contesto di entità separato che può essere utilizzato da Compute Engine, ma non viene mostrato nelle viste di indagine di Chronicle e nella ricerca UDM.

I seguenti campi possono essere utilizzati durante la creazione delle regole del motore di rilevamento.

Tipo di entità Nomi dei campi
Dominio entità.dominio.prevalence.day_count
entità.dominio.prevalence.day_max
entità.dominio.prevalence.day_max_sub_domains:
entità.dominio.prevalence.rolling_max
entità.dominio.prevalence.rolling_max_sub_domains
File (Hash) entità.file.prevalence.day_count
entità.file.prevalence.day_max
entità.file.prevalence.rolling_max
Indirizzo IP entità.artifact.prevalence.day_count
entità.artifact.prevalence.day_max
entità.artifact.prevalence.rolling_max

I valori day_max e rolling_max vengono calcolati in modo diverso. I campi vengono calcolati come segue:

  • day_max viene calcolato come punteggio di prevalenza massimo per l'elemento durante la giornata, dove un giorno è definito come 12:00:00 - 23:59:59 UTC.
  • Roll_max è calcolato come punteggio di prevalenza giornaliera massima (ovvero day_max) per l'elemento nella finestra di 10 giorni precedente.
  • day_count viene utilizzato per calcolare il valore rolling_max ed è sempre il valore 10.

Quando viene calcolata per un dominio, la differenza tra day_max e day_max_sub_domains (e rolling_max rispetto a rolling_max_sub_domains) è la seguente:

  • rolling_max e day_max rappresentano il numero di indirizzi IP interni univoci giornalieri che accedono a un determinato dominio (esclusi i sottodomini).
  • rolling_max_sub_domains e day_max_sub_domains rappresentano il numero di indirizzi IP interni univoci che accedono a un determinato dominio (inclusi i sottodomini).

Le statistiche sulla prevalenza vengono calcolate in base ai dati dell'entità appena importati. I calcoli non vengono eseguiti retroattivamente su dati importati in precedenza. Sono necessarie circa 36 ore per calcolare e archiviare le statistiche.

Utilizzo dei campi di prevalenza nelle regole

Nelle regole puoi utilizzare le statistiche sulla prevalenza. Per ulteriori informazioni, consulta la pagina relativa all'uso dei dati arricchiti con il contesto nelle regole

Elenchi di minacce per Navigazione sicura

Chronicle importa i dati di Navigazione sicura relativi agli hash dei file. I dati di ogni file vengono archiviati come entità e forniscono ulteriore contesto sul file. Gli analisti possono creare regole di rilevamento motore per eseguire query su dati di contesto entità per creare dati sensibili al contesto.

Le informazioni seguenti vengono archiviate insieme al record di contesto dell'entità.

Campo UDM Descrizione
entità.metadata.product_entity_id Un identificatore univoco dell'entità.
entità.metadata.entity_type Questo valore è 'FILE', che indica che l'entità descrive un file.
entità.metadata.collected_timestamp La data e l'ora in cui è stata osservata l'entità o l'evento si è verificato.
entità.metadata.interval Memorizza l'ora di inizio e l'ora di fine della validità di questi dati. Poiché i contenuti dell'elenco delle minacce cambiano nel tempo, gli intervalli start_time e end_time riflettono l'intervallo di tempo durante il quale i dati sull'entità sono validi. Ad esempio, è stato rilevato che un hash di file è dannoso o sospetto tra start_time e end_time.
entità.metadata.threat.category Questo è il titolo SecurityCategory di Chronicle. È impostato su uno o più dei seguenti valori:
  • SOFTWARE_MALICIOUS: indica che la minaccia è correlata a malware.
  • SOFTWARE_PUA: indica che la minaccia è correlata a software indesiderato.
entità.metadata.threat.severity Questo è il nome di ProductSeverity di Chronicle. Se il valore è "CRITICA", significa che l'elemento sembra dannoso. Se il valore non è specificato, l'affidabilità non è sufficiente per indicare che l'elemento è dannoso.
entità.metadata.product_name Archivia il valore "Google Navigazione sicura".
entità.file.sha256 Il valore hash SHA256 del file.

Passaggi successivi: utilizzare i dati estesi nelle regole

Nelle regole puoi utilizzare le statistiche di prevalenza, i dati di geolocalizzazione e i dati di Navigazione sicura. Per ulteriori informazioni, consulta la pagina relativa all'uso dei dati arricchiti con il contesto nelle regole