In che modo Chronicle arricchisce i dati su eventi ed entità
Per abilitare un'indagine sulla sicurezza, Chronicle importa i dati contestuali da origini diverse, esegue l'analisi sui dati e fornisce un contesto aggiuntivo sugli artefatti in un ambiente cliente. Gli analisti possono utilizzare questi dati arricchiti nelle regole di Motore di rilevamento, nelle ricerche investigative e nei report. Questa sezione descrive il tipo di arricchimento fornito da Chronicle e spiega come può essere utilizzato.
Calcola le statistiche di prevalenza
Chronicle esegue analisi statistiche sui dati esistenti e in arrivo e arricchisce i record di contesto delle entità con metriche correlate alla prevalenza.
Prevalenza è un valore numerico che indica quanto è popolare un'entità. La popolarità è definita dal numero di asset che accedono a un artefatto, come un dominio, un hash di file o un indirizzo IP. Più grande è il numero, più popolare sarà l'entità.
Ad esempio, google.com ha un'alta prevalenza perché è frequente. Se un dominio accede raramente, avrà valori di prevalenza inferiori. Generalmente le entità più popolari hanno meno probabilità di essere dannose.
Questi valori estesi sono supportati per dominio, IP e file (hash). I valori sono calcolati e memorizzati nei seguenti campi.
Le statistiche sulla prevalenza per ogni entità vengono aggiornate ogni giorno. I valori vengono archiviati in un contesto di entità separato che può essere utilizzato da Engine di rilevamento, ma non viene mostrato nelle visualizzazioni di indagine di Chronicle e nella ricerca UDM.
Durante la creazione delle regole del motore di rilevamento possono essere utilizzati i seguenti campi.
| Tipo di entità | Campi UDM |
|---|---|
| Dominio | entity.domain.prevalence.day_count
entity.domain.prevalence.day_max
entity.domain.prevalence.day_max_sub_domains
entity.domain.prevalence.rolling_max
entity.domain.prevalence.rolling_max_sub_domains |
| File (hash) | entity.file.prevalence.day_count
entity.file.prevalence.day_max
entity.file.prevalence.rolling_max |
| Indirizzo IP | entity.artifact.prevalence.day_count
entity.artifact.prevalence.day_max
entity.artifact.prevalence.rolling_max |
I valori day_max e rolling_max vengono calcolati in modo diverso. I campi vengono calcolati come segue:
- Il valore day_max viene calcolato come punteggio massimo di prevalenza per l'elemento durante il giorno, dove un giorno è definito come 00:00:00 - 23:59:59 UTC.
- Il valore
rolling_maxviene calcolato come punteggio di prevalenza massimo giornaliero (ovveroday_max) per l'elemento nell'intervallo di 10 giorni precedente. day_countviene utilizzato per calcolarerolling_maxed è sempre il valore 10.
Quando viene calcolato per un dominio, la differenza tra day_max e day_max_sub_domains (e rolling_max rispetto a rolling_max_sub_domains) è la seguente:
- rolling_max e day_max rappresentano il numero di indirizzi IP interni univoci giornalieri che accedono a un determinato dominio (esclusi i sottodomini).
- i domini_max_sub_roll e i domini_max_sub_sub rappresentano il numero di indirizzi IP interni univoci che accedono a un determinato dominio (inclusi i sottodomini).
Le statistiche sulla prevalenza vengono calcolate sui dati delle entità appena importati. I calcoli non vengono eseguiti retroattivamente sui dati importati in precedenza. Sono necessarie circa 36 ore per calcolare e memorizzare le statistiche.
Usare i campi relativi alla prevalenza nelle regole.
Nelle regole puoi utilizzare le statistiche sulla prevalenza. Per ulteriori informazioni, consulta Utilizzo di dati arricchiti dal contesto nelle regole
Arricchisci le entità con informazioni provenienti dagli elenchi delle minacce di Navigazione sicura
Chronicle importa i dati da Navigazione sicura relativi agli hash dei file. I dati relativi a ogni file vengono archiviati come entità e forniscono un contesto aggiuntivo sul file. Gli analisti possono creare regole del motore di rilevamento che eseguono query su questi dati di contesto dell'entità per creare analisi sensibili al contesto.
Le seguenti informazioni vengono archiviate insieme al record di contesto dell'entità.
| Campo UDM | Descrizione |
|---|---|
entity.metadata.product_entity_id |
Un identificatore univoco dell'entità. |
entity.metadata.entity_type |
Questo valore è FILE, a indicare che l'entità descrive un file.
|
entity.metadata.collected_timestamp |
La data e l'ora in cui è stata osservata l'entità o l'evento. |
entity.metadata.interval |
Memorizza l'ora di inizio e l'ora di fine della validità di questi dati.
Poiché i contenuti degli elenchi di minacce cambiano nel tempo, start_time
e end_time riflettono l'intervallo di tempo durante il quale i dati sull'entità
sono validi. Ad esempio, nel periodo start_time è stato rilevato un hash di file dannoso o sospetto |
entity.metadata.threat.category |
Questa è la Chronicle SecurityCategory. È impostato su uno o più dei seguenti valori:
|
entity.metadata.threat.severity |
Questa è la ProductSeverity di Chronicle.
Se il valore è CRITICAL, significa che l'artefatto sembra dannoso.
Se il valore non è specificato, l'affidabilità non è sufficiente per indicare che l'artefatto è dannoso.
|
entity.metadata.product_name |
Archivia il valore Google Safe Browsing. |
entity.file.sha256 |
Il valore hash SHA256 del file. |
Arricchisci gli eventi con i dati di geolocalizzazione
I dati di log in entrata possono includere indirizzi IP esterni senza informazioni sulla posizione corrispondenti. Si tratta di una situazione comune quando un evento registra informazioni sull'attività del dispositivo non inclusa in una rete aziendale. Ad esempio, un evento di accesso a un servizio cloud contiene un indirizzo IP di origine o di client basato sull'indirizzo IP esterno di un dispositivo restituito dal gestore NAT.
Chronicle fornisce dati completi per la geolocalizzazione per gli indirizzi IP esterni, per consentire rilevamenti di regole più efficaci e un maggiore contesto per le indagini. Ad esempio, Chronicle potrebbe utilizzare un indirizzo IP esterno per arricchire l'evento con le informazioni sul paese (come gli Stati Uniti), uno stato specifico (come l'Alaska) e la rete in cui si trova l'indirizzo IP (come l'ASN e il nome dell'operatore).
Chronicle utilizza i dati sulla posizione forniti da Google per fornire una posizione geografica approssimativa e informazioni sulla rete per un indirizzo IP. Puoi scrivere le regole del motore di rilevamento in base a questi campi negli eventi. I dati di eventi estesi vengono esportati anche in BigQuery, dove possono essere utilizzati nelle dashboard e nei report di Chronicle.
I seguenti indirizzi IP non sono estesi:
- Spazi di indirizzi IP privati RFC 1918 perché sono interni alla rete aziendale.
- Spazio di indirizzi IP multicast RFC 5771 perché gli indirizzi multicast non appartengono a una singola posizione.
- Indirizzi locali IPv6.
- Indirizzi IP del servizio Google Cloud. Le eccezioni sono gli indirizzi IP esterni di Google Cloud Compute Engine che vengono arricchiti.
Chronicle arricchisce i seguenti campi UDM con i dati di geolocalizzazione:
principaltargetsrcobserver
| Tipo di dati | Campo UDM |
| Località (ad esempio, Stati Uniti) | ( principal | target | src | observer ).ip_geo_artifact.location.country_or_region |
| Stato (ad esempio New York) | ( principal | target | src | observer ).ip_geo_artifact.location.state |
| Longitudine | ( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.longitude |
| Latitudine | ( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.latitude |
| ASN (numero di sistema autonomo) | ( principal | target | src | observer ).ip_geo_artifact.network.asn |
| Nome dell'operatore (ad esempio, Verizon) | ( principal | target | src | observer ).ip_geo_artifact.network.carrier_name |
| Dominio DNS | ( principal | target | src | observer ).ip_geo_artifact.network.dns_domain |
| Nome dell'organizzazione | ( principal | target | src | observer ).ip_geo_artifact.network.organization_name |
L'esempio seguente mostra il tipo di informazioni geografiche che verrebbero aggiunte a un evento UDM con un indirizzo IP codificato nei Paesi Bassi:
| Campo UDM | valore |
|---|---|
src.ip_geo_artifact.location.country_or_region |
Netherlands |
src.ip_geo_artifact.location.region_coordinates.latitude |
52.132633 |
src.ip_geo_artifact.location.region_coordinates.longitude |
5.291266 |
src.ip_geo_artifact.network.asn |
8455 |
src.ip_geo_artifact.network.carrier_name |
schuberg philis |
Incoerenze
La tecnologia di geolocalizzazione degli IP proprietari di Google utilizza una combinazione di dati di rete e altri metodi e input per fornire l'indirizzo IP e la risoluzione della rete per i nostri utenti. Altre organizzazioni possono utilizzare indicatori o metodi diversi, che a volte possono portare a risultati diversi.
Se si verificano casi in cui riscontri un'incoerenza nei risultati di geolocalizzazione dell'IP forniti da Google, apri una richiesta di assistenza clienti per consentirci di esaminare e, se necessario, correggere i dati in nostro possesso.
Passaggi successivi
Per informazioni su come utilizzare i dati estesi con altre funzionalità di Chronicle, consulta quanto segue:
- Utilizza dati arricchiti dal contesto nella ricerca UDM.
- Utilizza dati arricchiti dal contesto nelle regole.
- Utilizza dati arricchiti dal contesto nei report.