Chronicle がイベントとエンティティ データを拡充する方法
セキュリティ調査を可能にするために、Chronicle はさまざまなソースからのコンテキスト データを取り込み、そのデータに対して分析を実行して、お客様の環境でアーティファクトに関する追加のコンテキストを提供します。アナリストは、Detection Engine ルール、調査検索、レポートで、このコンテキストで拡充されたデータを使用できます。このセクションでは、Chronicle が提供する拡充の種類と、その使用方法について説明します。
普及率の統計情報を計算する
Chronicle は、既存のデータと受信データに対して統計分析を実行し、普及率に関連する指標でエンティティに関連するレコードを拡充します。
普及率は、エンティティの人気を示す数値です。人気度は、ドメイン、ファイル ハッシュ、IP アドレスなど、アーティファクトにアクセスするアセットの数によって決まります。数値が大きいほど、エンティティの普及率は高くなります。たとえば、google.com はアクセス頻度が高いため、普及率の値が高くなっています。ドメインへのアクセス頻度が低い場合、普及率は低くなります。より人気の高いなエンティティは通常、悪意がある可能性が低くなります。
これらの拡張値は、ドメイン、IP、ファイル(ハッシュ)でサポートされています。値が計算され、次のフィールドに保存されます。
各エンティティの普及率の統計情報は毎日更新されます。値は、Detection Engine で使用できる独立したエンティティ コンテキストに保存されますが、Chronicle の調査ビューと UDM 検索には表示されません。
Detection Engine ルールの作成時には、次のフィールドを使用できます。
| エンティティ タイプ | UDM フィールド |
|---|---|
| ドメイン | entity.domain.prevalence.day_count
entity.domain.prevalence.day_max
entity.domain.prevalence.day_max_sub_domains
entity.domain.prevalence.rolling_max
entity.domain.prevalence.rolling_max_sub_domains |
| ファイル(Hash) | entity.file.prevalence.day_count
entity.file.prevalence.day_max
entity.file.prevalence.rolling_max |
| IP アドレス | entity.artifact.prevalence.day_count
entity.artifact.prevalence.day_max
entity.artifact.prevalence.rolling_max |
day_max と rolling_max の値は、異なる方法で計算されます。各フィールドは次のように計算されます。
- day_max は、アーティファクトの 1 日における最大普及率として計算されます。ここで、1 日は UTC の午前 12 時 00 分 00 秒 ~ 午後 11 時 59 分 59 秒として定義されます。
rolling_maxは、過去 10 日間のアーティファクトの 1 日あたりの普及率スコアの最大値(day_max)として計算されます。day_countはrolling_maxの計算に使用されます。値は常に 10 です。
ドメインに対して計算される場合、day_max と day_max_sub_domains の違い(および rolling_max と rolling_max_sub_domains)の違いは次のようになります。
- rolling_max と day_max は、特定のドメイン(サブドメインを除く)にアクセスする 1 日あたりの一意の内部 IP アドレスの数を表します。
- rolling_max_sub_domains と day_max_sub_domains は、特定のドメイン(サブドメインを含む)にアクセスする固有の内部 IP アドレスの数を表します。
普及率の統計情報は、新しく取り込まれたエンティティ データに対して計算されます。計算は、以前に取り込まれたデータに対して過去にさかのぼって実行されることはありません。統計情報の計算と保存には約 36 時間かかります。
ルールで普及率関連フィールドを使用する
ルールで普及率の統計情報を使用できます。詳しくは、ルールでコンテキストが拡充されたデータを使用するをご覧ください。
セーフ ブラウジングの脅威リストの情報を使用してエンティティを拡充する
Chronicle が、ファイル ハッシュに関連するデータをセーフ ブラウジングから取り込みます。各ファイルのデータは 1 つのエンティティとして保存され、ファイルに関する追加コンテキストを提供します。アナリストは、このエンティティ コンテキスト データに対してクエリを実行する Detection Engine ルールを作成して、コンテキストアウェア分析を作成できます。
次の情報がエンティティ コンテキスト レコードとともに保存されます。
| UDM フィールド | 説明 |
|---|---|
entity.metadata.product_entity_id |
エンティティの一意の識別子。 |
entity.metadata.entity_type |
この値は FILE で、エンティティがファイルを表していることを示します。 |
entity.metadata.collected_timestamp |
エンティティが確認された日時、またはイベントが発生した日時。 |
entity.metadata.interval |
このデータが有効である開始時間と終了時間を保存します。脅威リストのコンテンツは時間の経過とともに変化するため、start_time と end_time はエンティティに関するデータが有効である時間間隔を反映します。たとえば、start_time の間にファイル ハッシュに悪意があるか、または疑わしいことが確認されました。 |
entity.metadata.threat.category |
これは Chronicle SecurityCategory です。これは、次のいずれかの値に設定されます。
|
entity.metadata.threat.severity |
これは Chronicle の ProductSeverity です。
値が CRITICAL の場合、アーティファクトに悪意があることを示します。値が指定されていない場合、アーティファクトに悪意があることを示す十分な信頼性がありません。 |
entity.metadata.product_name |
値 Google Safe Browsing を保存します。 |
entity.file.sha256 |
ファイルの SHA256 ハッシュ値。 |
位置情報データを使用してイベントを拡充する
受信ログデータには、対応する位置情報のない外部 IP アドレスが含まれる場合があります。これは、イベントがエンタープライズ ネットワークに存在しないデバイス アクティビティに関する情報をロギングしている場合によく発生します。たとえば、クラウド サービスへのログイン イベントには、キャリア NAT によって返されたデバイスの外部 IP アドレスに基づくソース IP アドレスやクライアント IP アドレスが含まれます。
Chronicle は、外部 IP アドレスに対して位置情報を拡充したデータを提供し、より強力なルール検出と調査のためのより多くのコンテキストを提供します。たとえば、Chronicle は外部 IP アドレスを使用して、国(米国など)、特定の州(アラスカなど)、IP アドレスが存在するネットワーク(ASN や携帯通信会社名など)に関する情報でイベントを拡充できます。
Chronicle は、Google が提供する位置情報を使用して、IP アドレスのおおよその地理的位置とネットワーク情報を提供します。イベント内のこれらのフィールドに対して、検知エンジン ルールを作成できます。拡張されたイベントデータは BigQuery にもエクスポートされ、Chronicle のダッシュボードとレポートで使用できます。
次の IP アドレスは拡充されません。
- RFC 1918 プライベート IP アドレス空間。エンタープライズ ネットワークの内部にあるため。
- RFC 5771 のマルチキャスト IP アドレス空間。マルチキャスト アドレスは単一のロケーションに属していないため。
- IPv6 の一意のローカル アドレス。
- Google Cloud サービスの IP アドレス。例外は、拡充された Google Cloud Compute Engine の外部 IP アドレスです。
Chronicle は、位置情報データを使用して次の UDM フィールドを拡充します。
principaltargetsrcobserver
| データの種類 | UDM フィールド |
| ロケーション(米国など) | ( principal | target | src | observer ).ip_geo_artifact.location.country_or_region |
| 州(例: ニューヨーク) | ( principal | target | src | observer ).ip_geo_artifact.location.state |
| Longitude | ( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.longitude |
| Latitude | ( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.latitude |
| ASN(自律システム番号) | ( principal | target | src | observer ).ip_geo_artifact.network.asn |
| 携帯通信会社名(例: Verizon) | ( principal | target | src | observer ).ip_geo_artifact.network.carrier_name |
| DNS ドメイン | ( principal | target | src | observer ).ip_geo_artifact.network.dns_domain |
| 組織名 | ( principal | target | src | observer ).ip_geo_artifact.network.organization_name |
次の例は、IP アドレスがオランダでタグ付けされた UDM イベントに追加される地理情報のタイプを示しています。
| UDM フィールド | 値 |
|---|---|
src.ip_geo_artifact.location.country_or_region |
Netherlands |
src.ip_geo_artifact.location.region_coordinates.latitude |
52.132633 |
src.ip_geo_artifact.location.region_coordinates.longitude |
5.291266 |
src.ip_geo_artifact.network.asn |
8455 |
src.ip_geo_artifact.network.carrier_name |
schuberg philis |
不整合
Google 独自の IP 位置情報技術では、ネットワーク データと他の入力および方法を組み合わせて、IP アドレスの場所とネットワーク解決をユーザーに提供します。他の組織とはシグナルや方法が異なるため、結果が異なる場合があります。
Google が提供する IP 位置情報の結果に不整合が発生した場合は、カスタマー サポートケースを開いてください。Google で調査を進め、必要に応じて今後修正します。
次のステップ
他の Chronicle 機能で拡充データを使用する方法については、以下をご覧ください。