このページは Cloud Translation API によって翻訳されました。

Google SecOps でイベントとエンティティのデータを拡充する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Google Security Operations がデータを拡充する方法と、データが保存される統合データモデル（UDM）フィールドについて説明します。

セキュリティ調査を可能にするため、Google SecOps はさまざまなソースからコンテキストデータを取り込み、データの分析を行い、お客様の環境内のアーティファクトに関する追加のコンテキストを提供します。アナリストは、検出エンジンのルール、調査検索、レポートでコンテキストが強化されたデータを使用できます。

Google SecOps は、次のタイプのエンリッチメントを実行します。

エンティティグラフとマージを使用してエンティティを拡充します。
環境での人気度を示す普及率の統計情報を計算し、各エンティティに追加します。
位置情報データを使用してイベントを拡充します。
エンティティの最初と最後の検出タイムスタンプを計算します。
位置情報データを使用してイベントを拡充します。
セーフブラウジングの脅威リストの情報を使用してエンティティを拡充します。
WHOIS データを使用してエンティティを拡充します。
VirusTotal ファイルのメタデータを使用してイベントを拡充します。
VirusTotal 関係データを使用してエンティティを拡充します。
環境内のさまざまなソース（Windows AD、Azure AD、Okta、 Google Cloud、IAM など）のイベントとエンティティを拡充します。
Google Cloud Threat Intelligence データを取り込んで保存します。

entity_type、product_name、vendor_name の各パラメータは、次のソースから拡充されたデータを識別します。

セーフブラウジング
WHOIS
Google Cloud 脅威インテリジェンス（GCTI）
VirusTotal メタデータ
VirusTotal の関係データ

この拡充データ（セーフブラウジング、WHOIS、GCTI Threat Intelligence、VirusTotal メタデータ、VirusTotal 関係データから拡充されたデータ）を使用するルールを作成する場合は、含める特定の拡充タイプを識別するフィルタをルールに含めることをおすすめします。このフィルタによって、ルールのパフォーマンスを向上させます。たとえば、WHOIS データを結合するルールの events セクションに次のフィルタフィールドを含めます。

$enrichment.graph.metadata.entity_type = "DOMAIN_NAME"
$enrichment.graph.metadata.product_name = "WHOISXMLAPI Simple Whois"
$enrichment.graph.metadata.vendor_name = "WHOIS"

エンティティグラフを使用してマージし、エンティティを拡充する

エンティティグラフでは、環境内のエンティティとリソースの関係を識別します。さまざまなソースのエンティティが Google SecOps に取り込まれると、エンティティグラフはエンティティ間の関係に基づいて隣接リストを維持します。エンティティグラフでは、重複除去とマージを実行してコンテキストの拡充を行います。

重複除去では、冗長データが除去され、共通のエンティティを作成するために間隔が形成されます。たとえば、タイムスタンプが t1 と t2 の 2 つのエンティティ e1 と e2 について考えます。e1 と e2 のエンティティは重複が除去され、異なるタイムスタンプは重複除去時に使用されません。次のフィールドは重複除去中には使用されません。

collected_timestamp
creation_timestamp
interval

マージ中は、1 日の時間間隔でエンティティ間の関係が形成されます。たとえば、Cloud Storage バケットにアクセスできる user A のエンティティレコードについて考えます。デバイスを所有している user A の別のエンティティレコードがあります。これら 2 つのエンティティがマージされると、2 つの関係を持つ単一のエンティティ user A が生成されます。1 つの関係は user A が Cloud Storage バケットにアクセスできること、もう 1 つの関係は user A がデバイスを所有していることです。Google SecOps は、5 日間のルックバックウィンドウでエンティティコンテキストデータを作成します。このプロセスは、遅れて到着するデータを処理し、エンティティコンテキストデータの暗黙的な有効期間を作成します。

Google SecOps は、エイリアスを使用してテレメトリーデータを拡充し、エンティティグラフを使用してエンティティを拡充します。検出エンジンのルールは、マージされたエンティティを拡充されたテレメトリーデータと結合して、コンテキストアウェア分析を提供します。

エンティティ名詞を含むイベントはエンティティと見なされます。イベントタイプと対応するエンティティタイプを次に示します。

ASSET_CONTEXT は ASSET に対応しています。
RESOURCE_CONTEXT は RESOURCE に対応しています。
USER_CONTEXT は USER に対応しています。
GROUP_CONTEXT は GROUP に対応しています。

エンティティグラフは、脅威情報を使用してコンテキストデータとセキュリティ侵害インジケーター（IOC）を区別します。

コンテキスト拡充されたデータを使用する場合は、次のエンティティグラフの動作を考慮してください。

エンティティに間隔を追加せず、エンティティグラフで間隔を作成します。これは、特に指定しない限り、重複除去中に間隔が生成されるためです。
間隔を指定すると、同じイベントのみが重複除去され、最新のエンティティが保持されます。
ライブルールと RetroHunt が想定どおりに機能するようにするには、エンティティを少なくとも 1 日に 1 回取り込む必要があります。
エンティティが毎日取り込まれず、2 日以上に 1 回だけ取り込まれると、ライブルールは想定どおりに機能しますが、RetroHunt はイベントのコンテキストを失います。
エンティティが 1 日に複数回取り込まれると、そのエンティティは 1 つのエンティティに重複除去されます。
1 日分のイベントデータがない場合、ライブルールが正常に機能するように、前日のデータが一時的に使用されます。

エンティティグラフでは、類似の ID を持つイベントを統合して、データの統合ビューを取得します。このマージは、次の識別子リストに基づいて行われます。

Asset
- entity.asset.product_object_id
- entity.asset.hostname
- entity.asset.asset_id
- entity.asset.mac
User
- entity.user.product_object_id
- entity.user.userid
- entity.user.windows_sid
- entity.user.email_addresses
- entity.user.employee_id
Resource
- entity.resource.product_object_id
- entity.resource.name
Group
- entity.group.product_object_id
- entity.group.email_addresses
- entity.group.windows_sid

注: Google SecOps は、遅延して到着したデータを処理するために、5 日間のルックバックウィンドウでエンティティコンテキストデータを作成します。このプロセスでは、entity.metatdata.interval の end_time が省略された場合、データの暗黙的な有効期間も作成されます。エンティティコンテキストデータに暗黙的な有効期間がある場合、Google SecOps は 5 日間のルックバック全体でデータを保存しますが、Google SecOps ユーザーインターフェースには、interval.start_time の後に 1 日の始まりに切り捨てられたタイムスタンプを含む interval.end_time フィールドが表示されます。たとえば、5 月 1 日に interval.start_time を指定してエンティティコンテキストレコードを保存し、interval.end_time field を省略したとします。Google SecOps は、5 月 5 日までレコードを保存します。ただし、UI では 5 月 2 日に interval.end_time が 00:00:00 として表示されます。レコードは 5 月 6 日以降には表示されません。

普及率の統計情報を計算する

Google SecOps は、既存のデータと受信データに対して統計分析を実行し、普及率に関連する指標でエンティティコンテキストレコードを拡充します。

普及率は、エンティティの人気度を示す数値です。人気度は、ドメイン、ファイルハッシュ、IP アドレスなどのアーティファクトにアクセスするアセットの数によって定義されます。数値が大きいほど、エンティティの普及率は高くなります。たとえば、google.com は頻繁にアクセスされるため、占有率の値が高くなります。ドメインへのアクセス頻度が低い場合、普及率は低くなります。より人気の高いなエンティティは通常、悪意がある可能性が低くなります。

これらの強化された値は、ドメイン、IP、ファイル（ハッシュ）でサポートされています。値が計算され、次のフィールドに保存されます。

各エンティティの普及率の統計情報は毎日更新されます。値は、検出エンジンで使用できる個別のエンティティコンテキストに保存されますが、Google SecOps の調査ビューや UDM 検索には表示されません。

Detection Engine ルールの作成時に、次のフィールドを使用できます。

エンティティタイプ	UDM フィールド
ドメイン	`entity.domain.prevalence.day_count` `entity.domain.prevalence.day_max` `entity.domain.prevalence.day_max_sub_domains` `entity.domain.prevalence.rolling_max` `entity.domain.prevalence.rolling_max_sub_domains`
ファイル（ハッシュ）	`entity.file.prevalence.day_count` `entity.file.prevalence.day_max` `entity.file.prevalence.rolling_max`
IP アドレス	`entity.artifact.prevalence.day_count` `entity.artifact.prevalence.day_max` `entity.artifact.prevalence.rolling_max`

day_max と rolling_max の値は、異なる方法で計算されます。フィールドは次のように計算されます。

day_max は、アーティファクトの 1 日における最大普及率として計算されます。ここで、1 日は UTC の午前 12 時 00 分 00 秒～午後 11 時 59 分 59 秒として定義されます。
rolling_max は、過去 10 日間のアーティファクトの 1 日あたりの普及率スコアの最大値（day_max）として計算されます。
day_count は rolling_max の計算に使用されます。値は常に 10 です。

ドメインに対して計算される場合、day_max と day_max_sub_domains の違い（および rolling_max と rolling_max_sub_domains）の違いは次のようになります。

rolling_max と day_max は、特定のドメイン（サブドメインを除く）にアクセスする 1 日あたりの一意の内部 IP アドレスの数を表します。
rolling_max_sub_domains と day_max_sub_domains は、特定のドメイン（サブドメインを含む）にアクセスする一意の内部 IP アドレスの数を表します。

普及率の統計情報は、新しく取り込まれたエンティティデータに対して計算されます。以前に取り込まれたデータに対して計算が遡って実行されることはありません。統計情報が計算されて保存されるまで、約 36 時間かかります。

エンティティの最初と最後の検出時刻を計算する

Google SecOps は、受信したデータの統計分析を実行し、エンティティの最初と最後の検出時刻でエンティティコンテキストレコードを拡充します。first_seen_time フィールドには、エンティティがお客様の環境で最初に検出された日時が保存されます。last_seen_time フィールドには、最新のモニタリングの日時が保存されます。

複数のインジケーター（UDM フィールド）でアセットやユーザーを識別できるため、ユーザーや環境を識別するインジケーターが初めてお客様の環境で検知された時刻になります。

アセットを記述するすべての UDM フィールドは次のとおりです。

entity.asset.hostname
entity.asset.ip
entity.asset.mac
entity.asset.asset_id
entity.asset.product_object_id

ユーザーを記述するすべての UDM フィールドは次のとおりです。

entity.user.windows_sid
entity.user.product_object_id
entity.user.userid
entity.user.employee_id
entity.user.email_addresses

最初の検出時刻と最後の検出時刻により、アナリストはドメイン、ファイル（ハッシュ）、アセット、ユーザー、または IP アドレスが最初に確認された後に発生した特定のアクティビティ、またはドメイン、ファイル（ハッシュ）、または IP アドレスが最後に確認された後に発生が止まった特定のアクティビティを関連付けることができます。

first_seen_time フィールドと last_seen_time フィールドには、ドメイン、IP アドレス、ファイル（ハッシュ）を記述するエンティティが入力されます。ユーザーまたはアセットを記述するエンティティの場合、first_seen_time フィールドのみが入力されます。これらの値は、グループやリソースなど、他のタイプを記述するエンティティに対しては計算されません。

統計情報は、すべての名前空間のエンティティごとに計算されます。Google SecOps は、個々の Namespace 内の各エンティティの統計情報を計算しません。これらの統計情報は、現在 BigQuery の Google SecOps events スキーマにエクスポートされていません。

拡充された値は計算され、次の UDM フィールドに格納されます。

エンティティタイプ	UDM フィールド
ドメイン	`entity.domain.first_seen_time` `entity.domain.last_seen_time`
ファイル（ハッシュ）	`entity.file.first_seen_time` `entity.file.last_seen_time`
IP アドレス	`entity.artifact.first_seen_time` `entity.artifact.last_seen_time`
アセット	`entity.asset.first_seen_time`
ユーザー	`entity.user.first_seen_time`

位置情報データを使用してイベントを拡充する

受信ログデータには、対応する位置情報のない外部 IP アドレスが含まれる場合があります。これは、イベントがエンタープライズネットワークに存在しないデバイスアクティビティに関する情報をロギングしている場合によく発生します。たとえば、クラウドサービスへのログインイベントには、キャリア NAT によって返されたデバイスの外部 IP アドレスに基づく送信元またはクライアント IP アドレスが含まれます。

Google SecOps は、外部 IP アドレスの位置情報が拡充されたデータを提供し、より強力なルール検出と調査のためのより多くのコンテキストを実現します。たとえば、Google SecOps は外部 IP アドレスを使用して、国（米国など）、特定の州（アラスカなど）、IP アドレスが存在するネットワーク（ASN や携帯通信会社名など）に関する情報でイベントを拡充できます。

Google SecOps は、Google が提供する位置情報を使用して、IP アドレスのおおよその地理的位置とネットワーク情報を提供します。イベント内のこれらのフィールドに対して、検知エンジンルールを作成できます。拡充されたイベントデータは BigQuery にもエクスポートされ、Google SecOps のダッシュボードとレポートで使用できます。

次の IP アドレスはエンリッチされません。

RFC 1918 プライベート IP アドレス空間。エンタープライズネットワークの内部にあるため。
RFC 5771 のマルチキャスト IP アドレス空間。マルチキャストアドレスは単一のロケーションに属していないため。
IPv6 ユニークローカルアドレス。
Google Cloud サービス IP アドレス例外は、拡充される Google Cloud Compute Engine 外部 IP アドレスです。

Google SecOps は、次の UDM フィールドに位置情報データを追加します。

principal
target
src
observer

データの種類	UDM フィールド
ロケーション（米国など）	`( principal \| target \| src \| observer ).ip_geo_artifact.location.country_or_region`
州（ニューヨークなど）	`( principal \| target \| src \| observer ).ip_geo_artifact.location.state`
経度	`( principal \| target \| src \| observer ).ip_geo_artifact.location.region_coordinates.longitude`
緯度	`( principal \| target \| src \| observer ).ip_geo_artifact.location.region_coordinates.latitude`
ASN（自律システム番号）	`( principal \| target \| src \| observer ).ip_geo_artifact.network.asn`
配送業者名	`( principal \| target \| src \| observer ).ip_geo_artifact.network.carrier_name`
DNS ドメイン	`( principal \| target \| src \| observer ).ip_geo_artifact.network.dns_domain`
組織名	`( principal \| target \| src \| observer ).ip_geo_artifact.network.organization_name`

次の例では、オランダにタグ付けされた IP アドレスを持つ UDM イベントに追加される地理情報のタイプを示します。

UDM フィールド	値
`principal.ip_geo_artifact.location.country_or_region`	`Netherlands`
`principal.ip_geo_artifact.location.region_coordinates.latitude`	`52.132633`
`principal.ip_geo_artifact.location.region_coordinates.longitude`	`5.291266`
`principal.ip_geo_artifact.network.asn`	`8455`
`principal.ip_geo_artifact.network.carrier_name`	`schuberg philis`

不整合

Google 独自の IP 位置情報技術では、ネットワークデータと他の入力および方法を組み合わせて、IP アドレスの場所とネットワーク解決をユーザーに提供します。他の組織とはシグナルや方法が異なるため、結果が異なる場合があります。

Google が提供する IP 位置情報の結果に不整合が発生した場合は、カスタマーサポートケースを開いてください。Google で調査を進め、必要に応じて今後修正します。

セーフブラウジングの脅威リストの情報を使用してエンティティを拡充する

Google SecOps が、ファイルハッシュに関連するデータをセーフブラウジングから取り込みます。各ファイルのデータは 1 つのエンティティとして保存され、ファイルに関する追加コンテキストを提供します。アナリストは、このエンティティコンテキストデータをクエリしてコンテキストに応じた分析を構築する検出エンジンルールを作成できます。

次の情報はエンティティコンテキストレコードに保存されます。

UDM フィールド	説明
`entity.metadata.product_entity_id`	エンティティの一意の識別子。
`entity.metadata.entity_type`	この値は `FILE` で、エンティティがファイルを表していることを示します。
`entity.metadata.collected_timestamp`	エンティティが確認された日時、またはイベントが発生した日時。
`entity.metadata.interval`	このデータが有効である開始時間と終了時間を保存します。脅威リストのコンテンツは時間の経過とともに変化するため、`start_time` と `end_time` には、エンティティに関するデータが有効な期間が反映されます。たとえば、`start_time` と `end_time` の間にファイルハッシュに悪意があるか、または疑わしいことが確認されました。
`entity.metadata.threat.category`	Google SecOps の `SecurityCategory`。これは、次のいずれかの値に設定されます。 `SOFTWARE_MALICIOUS`: 脅威がマルウェアに関連していることを示します。 `SOFTWARE_PUA`: 脅威が望ましくないソフトウェアに関連していることを示します。
`entity.metadata.threat.severity`	これは Google SecOps の `ProductSeverity` です。値が `CRITICAL` の場合、アーティファクトに悪意があることを示します。値が指定されていない場合、アーティファクトに悪意があることを示す十分な信頼性がありません。
`entity.metadata.product_name`	値 `Google Safe Browsing` を保存します。
`entity.file.sha256`	ファイルの SHA256 ハッシュ値。

WHOIS データを使用してエンティティを拡充する

Google SecOps は WHOIS データを毎日取り込みます。Google SecOps は、受信した顧客デバイスデータの取り込み中に、顧客データのドメインを WHOIS データと照合して評価します。一致するものが見つかると、Google SecOps は関連する WHOIS データをドメインのエンティティレコードとともに保存します。エンティティごとに（この場合は entity.metadata.entity_type = DOMAIN_NAME）、Google SecOps は WHOIS からの情報の拡充を行います。

Google SecOps が、エンティティレコードの次のフィールドに WHOIS 拡充データを入力します。

entity.domain.admin.attribute.labels
entity.domain.audit_update_time
entity.domain.billing.attribute.labels
entity.domain.billing.office_address.country_or_region
entity.domain.contact_email
entity.domain.creation_time
entity.domain.expiration_time
entity.domain.iana_registrar_id
entity.domain.name_server
entity.domain.private_registration
entity.domain.registrant.company_name
entity.domain.registrant.office_address.state
entity.domain.registrant.office_address.country_or_region
entity.domain.registrant.email_addresses
entity.domain.registrant.user_display_name
entity.domain.registrar
entity.domain.registry_data_raw_text
entity.domain.status
entity.domain.tech.attribute.labels
entity.domain.update_time
entity.domain.whois_record_raw_text
entity.domain.whois_server
entity.domain.zone

これらのフィールドの説明については、統合データモデルのフィールドリストのドキュメントをご覧ください。

Google Cloud 脅威インテリジェンスデータの取り込みと保存

Google SecOps は、 Google Cloud Threat Intelligence（GCTI）データソースからデータを取り込み、環境内のアクティビティの調査に使用できるコンテキスト情報を提供します。

次のデータソースに対してクエリを実行できます。

GCTI Tor 出口ノード: 既知の Tor 出口ノード。
GCTI Benign Binaries: オペレーティングシステムの元のディストリビューションの一部であるか、公式のオペレーティングシステムのパッチによって更新されたファイル。最初のエントリベクトルに焦点を当てているものなど、環境寄生型攻撃に一般的に見られる攻撃を通じて悪用された一部の公式のオペレーティングシステムのバイナリは、このデータソースから除外されます。
GCTI リモートアクセスツール: 悪意のあるアクターが頻繁に使用するファイル通常、これらのツールは正規のアプリケーションであり、悪用されて不正使用されたシステムにリモートで接続されることがあります。

このコンテキストデータはエンティティとしてグローバルに保存されます。検出エンジンのルールを使用してデータをクエリできます。これらのグローバルエンティティをクエリするには、ルールに次の UDM フィールドと値を含めます。
graph.metadata.vendor_name = Google Cloud Threat Intelligence
graph.metadata.product_name = GCTI Feed

このドキュメントでは、プレースホルダ <variable_name> は、UDM レコードを特定するルールで使用される一意の変数名を表します。

時間指定された対時間制限のない Google Cloud Threat Intelligence データソース

Google Cloud Threat Intelligence のデータソースは、時間指定または時間制限のないのいずれかです。

時間制限のあるデータソースには、各エントリに関連付けられた時間範囲があります。つまり、1 日目に検出が生成された場合、その後の任意の日には、同じ検出が　Retro Hunt 中に 1 日目のために生成されると想定されます。

時間制限のないデータソースには、時間範囲が関連付けられていません。これは、最新のデータセットのみが考慮すべきものであるためです。時間制限のないデータソースは、変更されることが想定されていないファイルハッシュなどのデータに頻繁に使用されます。1 日目に検出が生成されない場合、2 日目には新しいエントリが追加されたため、Retro Hunt 中に 1 日目のために検出が生成される場合があります。

Tor 出口ノードの IP アドレスに関するデータ

Google SecOps は、Tor 出口ノードと呼ばれる IP アドレスを取り込み、保存します。Tor 出口ノードは、Tor ネットワークからトラフィックが送信されるポイントです。このデータソースから取り込まれた情報は、次の UDM フィールドに格納されます。このソースのデータは時間制限があります。

UDM フィールド	説明
`<variable_name>.graph.metadata.vendor_name`	値 `Google Cloud Threat Intelligence` を保存します。
`<variable_name>.graph.metadata.product_name`	値 `GCTI Feed` を保存します。
`<variable_name>.graph.metadata.threat.threat_feed_name`	値 `Tor Exit Nodes` を保存します。
`<variable_name>.graph.entity.artifact.ip`	GCTI データソースから取り込まれた IP アドレスを保存します。

良性のオペレーティングシステムファイルに関するデータ

Google SecOps は、GCTI Benign Binaries データソースからファイルハッシュを取り込んで保存します。このデータソースから取り込まれた情報は、次の UDM フィールドに格納されます。このソースのデータは時間制限がありません。

UDM フィールド	説明
`<variable_name>.graph.metadata.vendor_name`	値 `Google Cloud Threat Intelligence` を保存します。
`<variable_name>.graph.metadata.product_name`	値 `GCTI Feed` を保存します。
`<variable_name>.graph.metadata.threat.threat_feed_name`	値 `Benign Binaries` を保存します。
`<variable_name>.graph.entity.file.sha256`	ファイルの SHA256 ハッシュ値を保存します。
`<variable_name>.graph.entity.file.sha1`	ファイルの SHA1 ハッシュ値を保存します。
`<variable_name>.graph.entity.file.md5`	ファイルの MD5 ハッシュ値を保存します。

リモートアクセスツールに関するデータ

リモートアクセスツールには、悪意のあるアクターによって頻繁に使用される、VNC クライアントなどの既知のリモートアクセスツールのファイルハッシュが含まれています。通常、これらのツールは正規のアプリケーションであり、悪用されて不正使用されたシステムにリモートで接続されることがあります。このデータソースから取り込まれた情報は、次の UDM フィールドに格納されます。このソースのデータは時間制限がありません。

UDM フィールド	説明
`.graph.metadata.vendor_name`	値 `Google Cloud Threat Intelligence` を保存します。
`.graph.metadata.product_name`	値 `GCTI Feed` を保存します。
`.graph.metadata.threat.threat_feed_name`	値 `Remote Access Tools` を保存します。
`.graph.entity.file.sha256`	ファイルの SHA256 ハッシュ値を保存します。
`.graph.entity.file.sha1`	ファイルの SHA1 ハッシュ値を保存します。
`.graph.entity.file.md5`	ファイルの MD5 ハッシュ値を保存します。

VirusTotal ファイルのメタデータを使用してイベントを拡充する

Google SecOps は、ファイルハッシュを UDM イベントに拡充し、調査中に追加のコンテキストを提供します。UDM イベントは、お客様の環境でハッシュエイリアスを使用して拡充されます。ハッシュエイリアスは、すべてのタイプのファイルハッシュを組み合わせて、検索中にファイルハッシュに関する情報を提供します。

VirusTotal ファイルのメタデータと関係の拡充を Google SecOps と統合することで、悪意のあるアクティビティのパターンを特定し、ネットワーク全体でのマルウェアの動きを追跡できます。

生ログには、ファイルに関する情報がほとんど含まれていません。VirusTotal は、ファイルメタデータを使用してイベントを拡充し、不正なファイルのメタデータとともに不正なハッシュのダンプを提供します。メタデータには、ファイル名、型、インポートされた関数、タグなどの情報が含まれます。この情報を利用して、YARA-L を使用した UDM 検索エンジンで、不正なファイルイベントを把握することや、一般的な脅威ハンティングで使用することが可能です。ユースケースの一例は、元のファイルに対する変更を検出し、それによって脅威検出のためにファイルのメタデータをインポートすることです。

次の情報はレコードとともに保存されます。すべての有効な UDM フィールドの一覧については、統合データモデルのフィールドリストをご覧ください。

データの種類	UDM フィールド
SHA-256	`( principal \| target \| src \| observer ).file.sha256`
MD5	`( principal \| target \| src \| observer ).file.md5`
SHA-1	`( principal \| target \| src \| observer ).file.sha1`
サイズ	`( principal \| target \| src \| observer ).file.size`
ssdeep	`( principal \| target \| src \| observer ).file.ssdeep`
vhash	`( principal \| target \| src \| observer ).file.vhash`
authentihash	`( principal \| target \| src \| observer ).file.authentihash`
ファイル形式	`( principal \| target \| src \| observer ).file.file_type`
タグ	`( principal \| target \| src \| observer ).file.tags`
機能タグ	`( principal \| target \| src \| observer ).file.capabilities_tags`
名前	`( principal \| target \| src \| observer ).file.names`
初回検知時刻	`( principal \| target \| src \| observer ).file.first_seen_time`
最終検知時刻	`( principal \| target \| src \| observer ).file.last_seen_time`
前回の変更日時	`( principal \| target \| src \| observer ).file.last_modification_time`
最終分析時刻	`( principal \| target \| src \| observer ).file.last_analysis_time`
埋め込み URL	`( principal \| target \| src \| observer ).file.embedded_urls`
埋め込み IP	`( principal \| target \| src \| observer ).file.embedded_ips`
埋め込みドメイン	`( principal \| target \| src \| observer ).file.embedded_domains`
署名情報	`( principal \| target \| src \| observer ).file.signature_info`
署名情報 Sigcheck	`( principal \| target \| src \| observer).file.signature_info.sigcheck`
署名情報 Sigcheck 確認メッセージ	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.verification_message`
署名情報 Sigcheck 確認済み	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.verified`
署名情報 Sigcheck 署名者	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.signers`
署名情報 Sigcheck 署名者名前	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.signers.name`
署名情報 Sigcheck 署名者ステータス	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.signers.status`
署名情報 Sigcheck 署名者証明書の有効な使用法	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.signers.valid_usage`
署名情報 Sigcheck 署名者認証局	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.signers.cert_issuer`
署名情報 Sigcheck X509	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.x509`
署名情報 Sigcheck X509 名前	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.x509.name`
署名情報 Sigcheck X509 アルゴリズム	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.x509.algorithm`
署名情報 Sigcheck X509 サムプリント	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.x509.thumprint`
署名情報 Sigcheck X509 認証局	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.x509.cert_issuer`
署名情報 Sigcheck X509 シリアル番号	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.x509.serial_number`
署名情報 Codesign	`( principal \| target \| src \| observer ).file.signature_info.codesign`
署名情報 Codesign ID	`( principal \| target \| src \| observer ).file.signature_info.codesign.id`
署名情報 Codesign 形式	`( principal \| target \| src \| observer ).file.signature_info.codesign.format`
署名情報 Codesign コンパイル時間	`( principal \| target \| src \| observer ).file.signature_info.codesign.compilation_time`
Exiftool の情報	`( principal \| target \| src \| observer ).file.exif_info`
Exiftool 情報オリジナルファイル名	`( principal \| target \| src \| observer ).file.exif_info.original_file`
Exiftool 情報商品名	`( principal \| target \| src \| observer ).file.exif_info.product`
Exiftool 情報会社名	`( principal \| target \| src \| observer ).file.exif_info.company`
Exiftool 情報ファイルの説明	`( principal \| target \| src \| observer ).file.exif_info.file_description`
Exiftool 情報エントリポイント	`( principal \| target \| src \| observer ).file.exif_info.entry_point`
Exiftool 情報コンパイル時間	`( principal \| target \| src \| observer ).file.exif_info.compilation_time`
PDF 情報	`( principal \| target \| src \| observer ).file.pdf_info`
PDF 情報 /JS タグの数	`( principal \| target \| src \| observer ).file.pdf_info.js`
PDF 情報 /JavaScript タグの数	`( principal \| target \| src \| observer ).file.pdf_info.javascript`
PDF 情報 /Launch タグの数	`( principal \| target \| src \| observer ).file.pdf_info.launch_action_count`
PDF 情報オブジェクトストリームの数	`( principal \| target \| src \| observer ).file.pdf_info.object_stream_count`
PDF 情報オブジェクト定義の数（endobj キーワード）	`( principal \| target \| src \| observer ).file.pdf_info.endobj_count`
PDF 情報 PDF のバージョン	`( principal \| target \| src \| observer ).file.pdf_info.header`
PDF 情報 /AcroForm タグの数	`( principal \| target \| src \| observer ).file.pdf_info.acroform`
PDF 情報 /AA タグの数	`( principal \| target \| src \| observer ).file.pdf_info.autoaction`
PDF 情報 /EmbeddedFile タグの数	`( principal \| target \| src \| observer ).file.pdf_info.embedded_file`
PDF 情報 /Encrypt タグ	`( principal \| target \| src \| observer ).file.pdf_info.encrypted`
PDF 情報 /RichMedia タグの数	`( principal \| target \| src \| observer ).file.pdf_info.flash`
PDF 情報 /JBIG2Decode タグの数	`( principal \| target \| src \| observer ).file.pdf_info.jbig2_compression`
PDF 情報オブジェクト定義の数（obj キーワード）	`( principal \| target \| src \| observer ).file.pdf_info.obj_count`
PDF 情報定義されたストリームオブジェクトの数（stream キーワード）	`( principal \| target \| src \| observer ).file.pdf_info.endstream_count`
PDF 情報 PDF のページ数	`( principal \| target \| src \| observer ).file.pdf_info.page_count`
PDF 情報定義されたストリームオブジェクトの数（stream キーワード）	`( principal \| target \| src \| observer ).file.pdf_info.stream_count`
PDF 情報 /OpenAction タグの数	`( principal \| target \| src \| observer ).file.pdf_info.openaction`
PDF 情報 startxref キーワードの数	`( principal \| target \| src \| observer ).file.pdf_info.startxref`
PDF 情報 3 バイト以上で表現された色の数（CVE-2009-3459）	`( principal \| target \| src \| observer ).file.pdf_info.suspicious_colors`
PDF 情報予告編のキーワードの数	`( principal \| target \| src \| observer ).file.pdf_info.trailer`
PDF 情報 /XFA タグの検出数	`( principal \| target \| src \| observer ).file.pdf_info.xfa`
PDF 情報相互参照キーワードの数	`( principal \| target \| src \| observer ).file.pdf_info.xref`
PE ファイルのメタデータ	`( principal \| target \| src \| observer ).file.pe_file`
PE ファイルのメタデータ Imphash	`( principal \| target \| src \| observer ).file.pe_file.imphash`
PE ファイルのメタデータエントリポイント	`( principal \| target \| src \| observer ).file.pe_file.entry_point`
PE ファイルのメタデータエントリポイントの exitfool	`( principal \| target \| src \| observer ).file.pe_file.entry_point_exiftool`
PE ファイルのメタデータコンパイル時間	`( principal \| target \| src \| observer ).file.pe_file.compilation_time`
PE ファイルのメタデータコンパイル exiftool 時間	`( principal \| target \| src \| observer ).file.pe_file.compilation_exiftool_time`
PE ファイルのメタデータセクション	`( principal \| target \| src \| observer ).file.pe_file.section`
PE ファイルのメタデータセクション名前	`( principal \| target \| src \| observer ).file.pe_file.section.name`
PE ファイルのメタデータセクションエントロピー	`( principal \| target \| src \| observer ).file.pe_file.section.entropy`
PE ファイルのメタデータセクション元のサイズ（バイト）	`( principal \| target \| src \| observer ).file.pe_file.section.raw_size_bytes`
PE ファイルのメタデータセクション仮想サイズ（バイト）	`( principal \| target \| src \| observer ).file.pe_file.section.virtual_size_bytes`
PE ファイルのメタデータセクション MD5（16 進数）	`( principal \| target \| src \| observer ).file.pe_file.section.md5_hex`
PE ファイルのメタデータインポート	`( principal \| target \| src \| observer ).file.pe_file.imports`
PE ファイルのメタデータインポートライブラリ	`( principal \| target \| src \| observer ).file.pe_file.imports.library`
PE ファイルのメタデータインポート関数	`( principal \| target \| src \| observer ).file.pe_file.imports.functions`
PE ファイルのメタデータリソースの情報	`( principal \| target \| src \| observer ).file.pe_file.resource`
PE ファイルのメタデータリソースの情報 SHA-256 16 進数	`( principal \| target \| src \| observer ).file.pe_file.resource.sha256_hex`
PE ファイルのメタデータリソースの情報マジック Python モジュールで識別されるリソースタイプ	`( principal \| target \| src \| observer ).file.pe_file.resource.filetype_magic`
PE ファイルのメタデータリソースの情報 Windows PE 仕様で定義されている、言語とサブ言語の人が読める識別子のバージョン	`( principal \| target \| src \| observer ).file.pe_file.resource_language_code`
PE ファイルのメタデータリソースの情報エントロピー	`( principal \| target \| src \| observer ).file.pe_file.resource.entropy`
PE ファイルのメタデータリソースの情報ファイル形式	`( principal \| target \| src \| observer ).file.pe_file.resource.file_type`
PE ファイルのメタデータリソースタイプ別のリソース数	`( principal \| target \| src \| observer ).file.pe_file.resources_type_count_str`
PE ファイルのメタデータ言語別のリソース数	`( principal \| target \| src \| observer ).file.pe_file.resources_language_count_str`

VirusTotal の関係データを使用してエンティティを拡充する

VirusTotal は、不審なファイル、ドメイン、IP アドレス、URL を分析してマルウェアやその他の侵害を検出し、その結果をセキュリティコミュニティと共有します。Google SecOps は、VirusTotal 関連の接続からデータを取り込みます。このデータはエンティティとして保存され、ファイルハッシュとファイル、ドメイン、IP アドレス、URL の関係に関する情報を提供します。

アナリストは、このデータを使用して、他のソースからの URL またはドメインに関する情報に基づいて、ファイルハッシュが悪意のあるものかどうかを判断できます。この情報を使用して、エンティティコンテキストデータをクエリし、コンテキストに応じた分析を構築するための Detection Engine ルールを作成できます。

このデータは、特定の VirusTotal ライセンスと Google SecOps ライセンスでのみ利用できます。アカウントマネージャーと一緒に利用資格を確認してください。

次の情報はエンティティコンテキストレコードに保存されます。

UDM フィールド	説明
`entity.metadata.product_entity_id`	エンティティの一意の識別子
`entity.metadata.entity_type`	エンティティがファイルを表していることを示す値 `FILE` を保存します。
`entity.metadata.interval`	`start_time` は時間の始まりを指し、`end_time` はこのデータが有効な時間の終わりを指します。
`entity.metadata.source_labels`	このフィールドには、このエンティティの `source_id` と `target_id` の Key-Value ペアのリストが保存されます。`source_id` はファイルハッシュで、`target_id` はこのファイルに関連する URL、ドメイン名、IP アドレスのハッシュまたは値です。URL、ドメイン名、IP アドレス、またはファイルは、virustotal.com で検索できます。
`entity.metadata.product_name`	値「VirusTotal Relationships」を保存します。
`entity.metadata.vendor_name`	値「VirusTotal」を保存します。
`entity.file.sha256`	ファイルの SHA-256 ハッシュ値を保存します
`entity.file.relations`	親ファイルエンティティに関連付けられている子エンティティのリスト
`entity.relations.relationship`	このフィールドでは、親エンティティと子エンティティの間の関係の種類について説明します。値は `EXECUTES`、`DOWNLOADED_FROM`、`CONTACTS` のいずれかです。
`entity.relations.direction`	値「UNIDIRECTIONAL」を保存し、子エンティティとの関係の方向を示します。
`entity.relations.entity.url`	親エンティティ内のファイルが接続する URL（親エンティティと URL の関係が `CONTACTS` の場合）、または親エンティティがダウンロードされた URL（親エンティティと URL 間の関係が `DOWNLOADED_FROM` の場合）。
`entity.relations.entity.ip`	親エンティティ内のファイルが接続する、またはダウンロードされた IP アドレスのリスト。 IP アドレスは 1 つのみ含まれます。
`entity.relations.entity.domain.name`	親エンティティ内のファイルが接続する、またはダウンロードされたドメイン名
`entity.relations.entity.file.sha256`	ファイルに対する SHA-256 ハッシュ値をリレーションに保存します
`entity.relations.entity_type`	このフィールドには、関係内のエンティティのタイプが含まれます。値は `URL`、`DOMAIN_NAME`、`IP_ADDRESS`、`FILE` のいずれかです。これらのフィールドには、`entity_type` に従って値が入力されます。たとえば、`entity_type` が `URL` の場合、`entity.relations.entity.url` が入力されます。

次のステップ

他の Google SecOps 機能で拡充データを使用する方法については、以下をご覧ください。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。

データの種類	UDM フィールド
SHA-256	`( principal \| target \| src \| observer ).file.sha256`
MD5	`( principal \| target \| src \| observer ).file.md5`
SHA-1	`( principal \| target \| src \| observer ).file.sha1`
サイズ	`( principal \| target \| src \| observer ).file.size`
ssdeep	`( principal \| target \| src \| observer ).file.ssdeep`
vhash	`( principal \| target \| src \| observer ).file.vhash`
authentihash	`( principal \| target \| src \| observer ).file.authentihash`
ファイル形式	`( principal \| target \| src \| observer ).file.file_type`
タグ	`( principal \| target \| src \| observer ).file.tags`
機能タグ	`( principal \| target \| src \| observer ).file.capabilities_tags`
名前	`( principal \| target \| src \| observer ).file.names`
初回検知時刻	`( principal \| target \| src \| observer ).file.first_seen_time`
最終検知時刻	`( principal \| target \| src \| observer ).file.last_seen_time`
前回の変更日時	`( principal \| target \| src \| observer ).file.last_modification_time`
最終分析時刻	`( principal \| target \| src \| observer ).file.last_analysis_time`
埋め込み URL	`( principal \| target \| src \| observer ).file.embedded_urls`
埋め込み IP	`( principal \| target \| src \| observer ).file.embedded_ips`
埋め込みドメイン	`( principal \| target \| src \| observer ).file.embedded_domains`
署名情報	`( principal \| target \| src \| observer ).file.signature_info`
署名情報 Sigcheck	`( principal \| target \| src \| observer).file.signature_info.sigcheck`
署名情報 Sigcheck 確認メッセージ	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.verification_message`
署名情報 Sigcheck 確認済み	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.verified`
署名情報 Sigcheck 署名者	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.signers`
署名情報 Sigcheck 署名者名前	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.signers.name`
署名情報 Sigcheck 署名者ステータス	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.signers.status`
署名情報 Sigcheck 署名者証明書の有効な使用法	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.signers.valid_usage`
署名情報 Sigcheck 署名者認証局	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.signers.cert_issuer`
署名情報 Sigcheck X509	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.x509`
署名情報 Sigcheck X509 名前	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.x509.name`
署名情報 Sigcheck X509 アルゴリズム	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.x509.algorithm`
署名情報 Sigcheck X509 サムプリント	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.x509.thumprint`
署名情報 Sigcheck X509 認証局	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.x509.cert_issuer`
署名情報 Sigcheck X509 シリアル番号	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.x509.serial_number`
署名情報 Codesign	`( principal \| target \| src \| observer ).file.signature_info.codesign`
署名情報 Codesign ID	`( principal \| target \| src \| observer ).file.signature_info.codesign.id`
署名情報 Codesign 形式	`( principal \| target \| src \| observer ).file.signature_info.codesign.format`
署名情報 Codesign コンパイル時間	`( principal \| target \| src \| observer ).file.signature_info.codesign.compilation_time`
Exiftool の情報	`( principal \| target \| src \| observer ).file.exif_info`
Exiftool 情報オリジナルファイル名	`( principal \| target \| src \| observer ).file.exif_info.original_file`
Exiftool 情報商品名	`( principal \| target \| src \| observer ).file.exif_info.product`
Exiftool 情報会社名	`( principal \| target \| src \| observer ).file.exif_info.company`
Exiftool 情報ファイルの説明	`( principal \| target \| src \| observer ).file.exif_info.file_description`
Exiftool 情報エントリポイント	`( principal \| target \| src \| observer ).file.exif_info.entry_point`
Exiftool 情報コンパイル時間	`( principal \| target \| src \| observer ).file.exif_info.compilation_time`
PDF 情報	`( principal \| target \| src \| observer ).file.pdf_info`
PDF 情報 /JS タグの数	`( principal \| target \| src \| observer ).file.pdf_info.js`
PDF 情報 /JavaScript タグの数	`( principal \| target \| src \| observer ).file.pdf_info.javascript`
PDF 情報 /Launch タグの数	`( principal \| target \| src \| observer ).file.pdf_info.launch_action_count`
PDF 情報オブジェクトストリームの数	`( principal \| target \| src \| observer ).file.pdf_info.object_stream_count`
PDF 情報オブジェクト定義の数（endobj キーワード）	`( principal \| target \| src \| observer ).file.pdf_info.endobj_count`
PDF 情報 PDF のバージョン	`( principal \| target \| src \| observer ).file.pdf_info.header`
PDF 情報 /AcroForm タグの数	`( principal \| target \| src \| observer ).file.pdf_info.acroform`
PDF 情報 /AA タグの数	`( principal \| target \| src \| observer ).file.pdf_info.autoaction`
PDF 情報 /EmbeddedFile タグの数	`( principal \| target \| src \| observer ).file.pdf_info.embedded_file`
PDF 情報 /Encrypt タグ	`( principal \| target \| src \| observer ).file.pdf_info.encrypted`
PDF 情報 /RichMedia タグの数	`( principal \| target \| src \| observer ).file.pdf_info.flash`
PDF 情報 /JBIG2Decode タグの数	`( principal \| target \| src \| observer ).file.pdf_info.jbig2_compression`
PDF 情報オブジェクト定義の数（obj キーワード）	`( principal \| target \| src \| observer ).file.pdf_info.obj_count`
PDF 情報定義されたストリームオブジェクトの数（stream キーワード）	`( principal \| target \| src \| observer ).file.pdf_info.endstream_count`
PDF 情報 PDF のページ数	`( principal \| target \| src \| observer ).file.pdf_info.page_count`
PDF 情報定義されたストリームオブジェクトの数（stream キーワード）	`( principal \| target \| src \| observer ).file.pdf_info.stream_count`
PDF 情報 /OpenAction タグの数	`( principal \| target \| src \| observer ).file.pdf_info.openaction`
PDF 情報 startxref キーワードの数	`( principal \| target \| src \| observer ).file.pdf_info.startxref`
PDF 情報 3 バイト以上で表現された色の数（CVE-2009-3459）	`( principal \| target \| src \| observer ).file.pdf_info.suspicious_colors`
PDF 情報予告編のキーワードの数	`( principal \| target \| src \| observer ).file.pdf_info.trailer`
PDF 情報 /XFA タグの検出数	`( principal \| target \| src \| observer ).file.pdf_info.xfa`
PDF 情報相互参照キーワードの数	`( principal \| target \| src \| observer ).file.pdf_info.xref`
PE ファイルのメタデータ	`( principal \| target \| src \| observer ).file.pe_file`
PE ファイルのメタデータ Imphash	`( principal \| target \| src \| observer ).file.pe_file.imphash`
PE ファイルのメタデータエントリポイント	`( principal \| target \| src \| observer ).file.pe_file.entry_point`
PE ファイルのメタデータエントリポイントの exitfool	`( principal \| target \| src \| observer ).file.pe_file.entry_point_exiftool`
PE ファイルのメタデータコンパイル時間	`( principal \| target \| src \| observer ).file.pe_file.compilation_time`
PE ファイルのメタデータコンパイル exiftool 時間	`( principal \| target \| src \| observer ).file.pe_file.compilation_exiftool_time`
PE ファイルのメタデータセクション	`( principal \| target \| src \| observer ).file.pe_file.section`
PE ファイルのメタデータセクション名前	`( principal \| target \| src \| observer ).file.pe_file.section.name`
PE ファイルのメタデータセクションエントロピー	`( principal \| target \| src \| observer ).file.pe_file.section.entropy`
PE ファイルのメタデータセクション元のサイズ（バイト）	`( principal \| target \| src \| observer ).file.pe_file.section.raw_size_bytes`
PE ファイルのメタデータセクション仮想サイズ（バイト）	`( principal \| target \| src \| observer ).file.pe_file.section.virtual_size_bytes`
PE ファイルのメタデータセクション MD5（16 進数）	`( principal \| target \| src \| observer ).file.pe_file.section.md5_hex`
PE ファイルのメタデータインポート	`( principal \| target \| src \| observer ).file.pe_file.imports`
PE ファイルのメタデータインポートライブラリ	`( principal \| target \| src \| observer ).file.pe_file.imports.library`
PE ファイルのメタデータインポート関数	`( principal \| target \| src \| observer ).file.pe_file.imports.functions`
PE ファイルのメタデータリソースの情報	`( principal \| target \| src \| observer ).file.pe_file.resource`
PE ファイルのメタデータリソースの情報 SHA-256 16 進数	`( principal \| target \| src \| observer ).file.pe_file.resource.sha256_hex`
PE ファイルのメタデータリソースの情報マジック Python モジュールで識別されるリソースタイプ	`( principal \| target \| src \| observer ).file.pe_file.resource.filetype_magic`
PE ファイルのメタデータリソースの情報 Windows PE 仕様で定義されている、言語とサブ言語の人が読める識別子のバージョン	`( principal \| target \| src \| observer ).file.pe_file.resource_language_code`
PE ファイルのメタデータリソースの情報エントロピー	`( principal \| target \| src \| observer ).file.pe_file.resource.entropy`
PE ファイルのメタデータリソースの情報ファイル形式	`( principal \| target \| src \| observer ).file.pe_file.resource.file_type`
PE ファイルのメタデータリソースタイプ別のリソース数	`( principal \| target \| src \| observer ).file.pe_file.resources_type_count_str`
PE ファイルのメタデータ言語別のリソース数	`( principal \| target \| src \| observer ).file.pe_file.resources_language_count_str`