Google SecOps でイベントとエンティティのデータを拡充する
このドキュメントでは、Google Security Operations がデータを拡充する方法と、データが保存される統合データモデル(UDM)フィールドについて説明します。
セキュリティ調査を可能にするため、Google SecOps はさまざまなソースからコンテキスト データを取り込み、データの分析を行い、お客様の環境内のアーティファクトに関する追加のコンテキストを提供します。アナリストは、検出エンジンのルール、調査検索、レポートでコンテキストが強化されたデータを使用できます。
Google SecOps は、次のタイプのエンリッチメントを実行します。
- エンティティ グラフとマージを使用してエンティティを拡充します。
- 環境での人気度を示す普及率の統計情報を計算し、各エンティティに追加します。
- 位置情報データを使用してイベントを拡充します。
- エンティティの最初と最後の検出タイムスタンプを計算します。
- 位置情報データを使用してイベントを拡充します。
- セーフ ブラウジングの脅威リストの情報を使用してエンティティを拡充します。
- WHOIS データを使用してエンティティを拡充します。
- VirusTotal ファイルのメタデータを使用してイベントを拡充します。
- VirusTotal 関係データを使用してエンティティを拡充します。
- 環境内のさまざまなソース(Windows AD、Azure AD、Okta、 Google Cloud、IAM など)のイベントとエンティティを拡充します。
- Google Cloud Threat Intelligence データを取り込んで保存します。
entity_type
、product_name
、vendor_name
の各パラメータは、次のソースから拡充されたデータを識別します。
- セーフ ブラウジング
- WHOIS
- Google Cloud 脅威インテリジェンス(GCTI)
- VirusTotal メタデータ
- VirusTotal の関係データ
この拡充データ(セーフ ブラウジング、WHOIS、GCTI Threat Intelligence、VirusTotal メタデータ、VirusTotal 関係データから拡充されたデータ)を使用するルールを作成する場合は、含める特定の拡充タイプを識別するフィルタをルールに含めることをおすすめします。このフィルタによって、ルールのパフォーマンスを向上させます。たとえば、WHOIS データを結合するルールの events
セクションに次のフィルタ フィールドを含めます。
$enrichment.graph.metadata.entity_type = "DOMAIN_NAME"
$enrichment.graph.metadata.product_name = "WHOISXMLAPI Simple Whois"
$enrichment.graph.metadata.vendor_name = "WHOIS"
エンティティ グラフを使用してマージし、エンティティを拡充する
エンティティ グラフでは、環境内のエンティティとリソースの関係を識別します。 さまざまなソースのエンティティが Google SecOps に取り込まれると、エンティティ グラフはエンティティ間の関係に基づいて隣接リストを維持します。エンティティ グラフでは、重複除去とマージを実行してコンテキストの拡充を行います。
重複除去では、冗長データが除去され、共通のエンティティを作成するために間隔が形成されます。たとえば、タイムスタンプが t1
と t2
の 2 つのエンティティ e1
と e2
について考えます。e1
と e2
のエンティティは重複が除去され、異なるタイムスタンプは重複除去時に使用されません。次のフィールドは重複除去中には使用されません。
collected_timestamp
creation_timestamp
interval
マージ中は、1 日の時間間隔でエンティティ間の関係が形成されます。たとえば、Cloud Storage バケットにアクセスできる user A
のエンティティ レコードについて考えます。デバイスを所有している user A
の別のエンティティ レコードがあります。これら 2 つのエンティティがマージされると、2 つの関係を持つ単一のエンティティ user A
が生成されます。1 つの関係は user A
が Cloud Storage バケットにアクセスできること、もう 1 つの関係は user A
がデバイスを所有していることです。Google SecOps は、5 日間のルックバック ウィンドウでエンティティ コンテキスト データを作成します。このプロセスは、遅れて到着するデータを処理し、エンティティ コンテキスト データの暗黙的な有効期間を作成します。
Google SecOps は、エイリアスを使用してテレメトリー データを拡充し、エンティティ グラフを使用してエンティティを拡充します。検出エンジンのルールは、マージされたエンティティを拡充されたテレメトリー データと結合して、コンテキストアウェア分析を提供します。
エンティティ名詞を含むイベントはエンティティと見なされます。イベントタイプと対応するエンティティ タイプを次に示します。
ASSET_CONTEXT
はASSET
に対応しています。RESOURCE_CONTEXT
はRESOURCE
に対応しています。USER_CONTEXT
はUSER
に対応しています。GROUP_CONTEXT
はGROUP
に対応しています。
エンティティ グラフは、脅威情報を使用してコンテキスト データとセキュリティ侵害インジケーター(IOC)を区別します。
コンテキスト拡充されたデータを使用する場合は、次のエンティティ グラフの動作を考慮してください。
- エンティティに間隔を追加せず、エンティティ グラフで間隔を作成します。これは、特に指定しない限り、重複除去中に間隔が生成されるためです。
- 間隔を指定すると、同じイベントのみが重複除去され、最新のエンティティが保持されます。
- ライブルールと RetroHunt が想定どおりに機能するようにするには、エンティティを少なくとも 1 日に 1 回取り込む必要があります。
- エンティティが毎日取り込まれず、2 日以上に 1 回だけ取り込まれると、ライブルールは想定どおりに機能しますが、RetroHunt はイベントのコンテキストを失います。
- エンティティが 1 日に複数回取り込まれると、そのエンティティは 1 つのエンティティに重複除去されます。
- 1 日分のイベントデータがない場合、ライブルールが正常に機能するように、前日のデータが一時的に使用されます。
エンティティ グラフでは、類似の ID を持つイベントを統合して、データの統合ビューを取得します。このマージは、次の識別子リストに基づいて行われます。
Asset
entity.asset.product_object_id
entity.asset.hostname
entity.asset.asset_id
entity.asset.mac
User
entity.user.product_object_id
entity.user.userid
entity.user.windows_sid
entity.user.email_addresses
entity.user.employee_id
Resource
entity.resource.product_object_id
entity.resource.name
Group
entity.group.product_object_id
entity.group.email_addresses
entity.group.windows_sid
普及率の統計情報を計算する
Google SecOps は、既存のデータと受信データに対して統計分析を実行し、普及率に関連する指標でエンティティ コンテキスト レコードを拡充します。
普及率は、エンティティの人気度を示す数値です。人気度は、ドメイン、ファイル ハッシュ、IP アドレスなどのアーティファクトにアクセスするアセットの数によって定義されます。数値が大きいほど、エンティティの普及率は高くなります。たとえば、google.com
は頻繁にアクセスされるため、占有率の値が高くなります。ドメインへのアクセス頻度が低い場合、普及率は低くなります。より人気の高いなエンティティは通常、悪意がある可能性が低くなります。
これらの強化された値は、ドメイン、IP、ファイル(ハッシュ)でサポートされています。値が計算され、次のフィールドに保存されます。
各エンティティの普及率の統計情報は毎日更新されます。値は、検出エンジンで使用できる個別のエンティティ コンテキストに保存されますが、Google SecOps の調査ビューや UDM 検索には表示されません。
Detection Engine ルールの作成時に、次のフィールドを使用できます。
エンティティ タイプ | UDM フィールド |
---|---|
ドメイン | entity.domain.prevalence.day_count
entity.domain.prevalence.day_max
entity.domain.prevalence.day_max_sub_domains
entity.domain.prevalence.rolling_max
entity.domain.prevalence.rolling_max_sub_domains |
ファイル(ハッシュ) | entity.file.prevalence.day_count
entity.file.prevalence.day_max
entity.file.prevalence.rolling_max |
IP アドレス | entity.artifact.prevalence.day_count
entity.artifact.prevalence.day_max
entity.artifact.prevalence.rolling_max |
day_max と rolling_max の値は、異なる方法で計算されます。フィールドは次のように計算されます。
day_max
は、アーティファクトの 1 日における最大普及率として計算されます。ここで、1 日は UTC の午前 12 時 00 分 00 秒 ~ 午後 11 時 59 分 59 秒として定義されます。rolling_max
は、過去 10 日間のアーティファクトの 1 日あたりの普及率スコアの最大値(day_max
)として計算されます。day_count
はrolling_max
の計算に使用されます。値は常に 10 です。
ドメインに対して計算される場合、day_max
と day_max_sub_domains
の違い(および rolling_max
と rolling_max_sub_domains
)の違いは次のようになります。
rolling_max
とday_max
は、特定のドメイン(サブドメインを除く)にアクセスする 1 日あたりの一意の内部 IP アドレスの数を表します。rolling_max_sub_domains
とday_max_sub_domains
は、特定のドメイン(サブドメインを含む)にアクセスする一意の内部 IP アドレスの数を表します。
普及率の統計情報は、新しく取り込まれたエンティティ データに対して計算されます。以前に取り込まれたデータに対して計算が遡って実行されることはありません。統計情報が計算されて保存されるまで、約 36 時間かかります。
エンティティの最初と最後の検出時刻を計算する
Google SecOps は、受信したデータの統計分析を実行し、エンティティの最初と最後の検出時刻でエンティティ コンテキスト レコードを拡充します。first_seen_time
フィールドには、エンティティがお客様の環境で最初に検出された日時が保存されます。last_seen_time
フィールドには、最新のモニタリングの日時が保存されます。
複数のインジケーター(UDM フィールド)でアセットやユーザーを識別できるため、ユーザーや環境を識別するインジケーターが初めてお客様の環境で検知された時刻になります。
アセットを記述するすべての UDM フィールドは次のとおりです。
entity.asset.hostname
entity.asset.ip
entity.asset.mac
entity.asset.asset_id
entity.asset.product_object_id
ユーザーを記述するすべての UDM フィールドは次のとおりです。
entity.user.windows_sid
entity.user.product_object_id
entity.user.userid
entity.user.employee_id
entity.user.email_addresses
最初の検出時刻と最後の検出時刻により、アナリストはドメイン、ファイル(ハッシュ)、アセット、ユーザー、または IP アドレスが最初に確認された後に発生した特定のアクティビティ、またはドメイン、ファイル(ハッシュ)、または IP アドレスが最後に確認された後に発生が止まった特定のアクティビティを関連付けることができます。
first_seen_time
フィールドと last_seen_time
フィールドには、ドメイン、IP アドレス、ファイル(ハッシュ)を記述するエンティティが入力されます。ユーザーまたはアセットを記述するエンティティの場合、first_seen_time
フィールドのみが入力されます。これらの値は、グループやリソースなど、他のタイプを記述するエンティティに対しては計算されません。
統計情報は、すべての名前空間のエンティティごとに計算されます。Google SecOps は、個々の Namespace 内の各エンティティの統計情報を計算しません。これらの統計情報は、現在 BigQuery の Google SecOps events
スキーマにエクスポートされていません。
拡充された値は計算され、次の UDM フィールドに格納されます。
エンティティ タイプ | UDM フィールド |
---|---|
ドメイン | entity.domain.first_seen_time entity.domain.last_seen_time |
ファイル(ハッシュ) | entity.file.first_seen_time entity.file.last_seen_time |
IP アドレス | entity.artifact.first_seen_time entity.artifact.last_seen_time |
アセット | entity.asset.first_seen_time |
ユーザー | entity.user.first_seen_time |
位置情報データを使用してイベントを拡充する
受信ログデータには、対応する位置情報のない外部 IP アドレスが含まれる場合があります。これは、イベントがエンタープライズ ネットワークに存在しないデバイス アクティビティに関する情報をロギングしている場合によく発生します。たとえば、クラウド サービスへのログイン イベントには、キャリア NAT によって返されたデバイスの外部 IP アドレスに基づく送信元またはクライアント IP アドレスが含まれます。
Google SecOps は、外部 IP アドレスの位置情報が拡充されたデータを提供し、より強力なルール検出と調査のためのより多くのコンテキストを実現します。たとえば、Google SecOps は外部 IP アドレスを使用して、国(米国など)、特定の州(アラスカなど)、IP アドレスが存在するネットワーク(ASN や携帯通信会社名など)に関する情報でイベントを拡充できます。
Google SecOps は、Google が提供する位置情報を使用して、IP アドレスのおおよその地理的位置とネットワーク情報を提供します。イベント内のこれらのフィールドに対して、検知エンジン ルールを作成できます。拡充されたイベントデータは BigQuery にもエクスポートされ、Google SecOps のダッシュボードとレポートで使用できます。
次の IP アドレスはエンリッチされません。
- RFC 1918 プライベート IP アドレス空間。エンタープライズ ネットワークの内部にあるため。
- RFC 5771 のマルチキャスト IP アドレス空間。マルチキャスト アドレスは単一のロケーションに属していないため。
- IPv6 ユニーク ローカル アドレス。
- Google Cloud サービス IP アドレス例外は、拡充される Google Cloud Compute Engine 外部 IP アドレスです。
Google SecOps は、次の UDM フィールドに位置情報データを追加します。
principal
target
src
observer
データの種類 | UDM フィールド |
---|---|
ロケーション(米国など) | ( principal | target | src | observer ).ip_geo_artifact.location.country_or_region |
州(ニューヨークなど) | ( principal | target | src | observer ).ip_geo_artifact.location.state |
経度 | ( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.longitude |
緯度 | ( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.latitude |
ASN(自律システム番号) | ( principal | target | src | observer ).ip_geo_artifact.network.asn |
配送業者名 | ( principal | target | src | observer ).ip_geo_artifact.network.carrier_name |
DNS ドメイン | ( principal | target | src | observer ).ip_geo_artifact.network.dns_domain |
組織名 | ( principal | target | src | observer ).ip_geo_artifact.network.organization_name |
次の例では、オランダにタグ付けされた IP アドレスを持つ UDM イベントに追加される地理情報のタイプを示します。
UDM フィールド | 値 |
---|---|
principal.ip_geo_artifact.location.country_or_region |
Netherlands |
principal.ip_geo_artifact.location.region_coordinates.latitude |
52.132633 |
principal.ip_geo_artifact.location.region_coordinates.longitude |
5.291266 |
principal.ip_geo_artifact.network.asn |
8455 |
principal.ip_geo_artifact.network.carrier_name |
schuberg philis |
不整合
Google 独自の IP 位置情報技術では、ネットワーク データと他の入力および方法を組み合わせて、IP アドレスの場所とネットワーク解決をユーザーに提供します。他の組織とはシグナルや方法が異なるため、結果が異なる場合があります。
Google が提供する IP 位置情報の結果に不整合が発生した場合は、カスタマー サポートケースを開いてください。Google で調査を進め、必要に応じて今後修正します。
セーフ ブラウジングの脅威リストの情報を使用してエンティティを拡充する
Google SecOps が、ファイル ハッシュに関連するデータをセーフ ブラウジングから取り込みます。各ファイルのデータは 1 つのエンティティとして保存され、ファイルに関する追加コンテキストを提供します。アナリストは、このエンティティ コンテキスト データをクエリしてコンテキストに応じた分析を構築する検出エンジンルールを作成できます。
次の情報はエンティティ コンテキスト レコードに保存されます。
UDM フィールド | 説明 |
---|---|
entity.metadata.product_entity_id |
エンティティの一意の識別子。 |
entity.metadata.entity_type |
この値は FILE で、エンティティがファイルを表していることを示します。 |
entity.metadata.collected_timestamp |
エンティティが確認された日時、またはイベントが発生した日時。 |
entity.metadata.interval |
このデータが有効である開始時間と終了時間を保存します。脅威リストのコンテンツは時間の経過とともに変化するため、start_time と end_time には、エンティティに関するデータが有効な期間が反映されます。たとえば、start_time と end_time の間にファイル ハッシュに悪意があるか、または疑わしいことが確認されました。 |
entity.metadata.threat.category |
Google SecOps の SecurityCategory 。これは、次のいずれかの値に設定されます。
|
entity.metadata.threat.severity |
これは Google SecOps の ProductSeverity です。値が CRITICAL の場合、アーティファクトに悪意があることを示します。
値が指定されていない場合、アーティファクトに悪意があることを示す十分な信頼性がありません。 |
entity.metadata.product_name |
値 Google Safe Browsing を保存します。 |
entity.file.sha256 |
ファイルの SHA256 ハッシュ値。 |
WHOIS データを使用してエンティティを拡充する
Google SecOps は WHOIS データを毎日取り込みます。Google SecOps は、受信した顧客デバイスデータの取り込み中に、顧客データのドメインを WHOIS データと照合して評価します。一致するものが見つかると、Google SecOps は関連する WHOIS データをドメインのエンティティ レコードとともに保存します。エンティティごとに(この場合は entity.metadata.entity_type = DOMAIN_NAME
)、Google SecOps は WHOIS からの情報の拡充を行います。
Google SecOps が、エンティティ レコードの次のフィールドに WHOIS 拡充データを入力します。
entity.domain.admin.attribute.labels
entity.domain.audit_update_time
entity.domain.billing.attribute.labels
entity.domain.billing.office_address.country_or_region
entity.domain.contact_email
entity.domain.creation_time
entity.domain.expiration_time
entity.domain.iana_registrar_id
entity.domain.name_server
entity.domain.private_registration
entity.domain.registrant.company_name
entity.domain.registrant.office_address.state
entity.domain.registrant.office_address.country_or_region
entity.domain.registrant.email_addresses
entity.domain.registrant.user_display_name
entity.domain.registrar
entity.domain.registry_data_raw_text
entity.domain.status
entity.domain.tech.attribute.labels
entity.domain.update_time
entity.domain.whois_record_raw_text
entity.domain.whois_server
entity.domain.zone
これらのフィールドの説明については、統合データモデルのフィールド リストのドキュメントをご覧ください。
Google Cloud 脅威インテリジェンス データの取り込みと保存
Google SecOps は、 Google Cloud Threat Intelligence(GCTI)データソースからデータを取り込み、環境内のアクティビティの調査に使用できるコンテキスト情報を提供します。
次のデータソースに対してクエリを実行できます。
- GCTI Tor 出口ノード: 既知の Tor 出口ノード。
- GCTI Benign Binaries: オペレーティング システムの元のディストリビューションの一部であるか、公式のオペレーティング システムのパッチによって更新されたファイル。 最初のエントリ ベクトルに焦点を当てているものなど、環境寄生型攻撃に一般的に見られる攻撃を通じて悪用された一部の公式のオペレーティング システムのバイナリは、このデータソースから除外されます。
GCTI リモート アクセスツール: 悪意のあるアクターが頻繁に使用するファイル通常、これらのツールは正規のアプリケーションであり、悪用されて不正使用されたシステムにリモートで接続されることがあります。
このコンテキスト データはエンティティとしてグローバルに保存されます。検出エンジンのルールを使用してデータをクエリできます。これらのグローバル エンティティをクエリするには、ルールに次の UDM フィールドと値を含めます。
graph.metadata.vendor_name
=Google Cloud Threat Intelligence
graph.metadata.product_name
=GCTI Feed
このドキュメントでは、プレースホルダ <variable_name>
は、UDM レコードを特定するルールで使用される一意の変数名を表します。
時間指定された対時間制限のない Google Cloud Threat Intelligence データソース
Google Cloud Threat Intelligence のデータソースは、時間指定または時間制限のないのいずれかです。
時間制限のあるデータソースには、各エントリに関連付けられた時間範囲があります。つまり、1 日目に検出が生成された場合、その後の任意の日には、同じ検出が Retro Hunt 中に 1 日目のために生成されると想定されます。
時間制限のないデータソースには、時間範囲が関連付けられていません。これは、最新のデータセットのみが考慮すべきものであるためです。時間制限のないデータソースは、変更されることが想定されていないファイル ハッシュなどのデータに頻繁に使用されます。1 日目に検出が生成されない場合、2 日目には新しいエントリが追加されたため、Retro Hunt 中に 1 日目のために検出が生成される場合があります。
Tor 出口ノードの IP アドレスに関するデータ
Google SecOps は、Tor 出口ノードと呼ばれる IP アドレスを取り込み、保存します。Tor 出口ノードは、Tor ネットワークからトラフィックが送信されるポイントです。このデータソースから取り込まれた情報は、次の UDM フィールドに格納されます。このソースのデータは時間制限があります。
UDM フィールド | 説明 |
---|---|
<variable_name>.graph.metadata.vendor_name |
値 Google Cloud Threat Intelligence を保存します。 |
<variable_name>.graph.metadata.product_name |
値 GCTI Feed を保存します。 |
<variable_name>.graph.metadata.threat.threat_feed_name |
値 Tor Exit Nodes を保存します。 |
<variable_name>.graph.entity.artifact.ip |
GCTI データソースから取り込まれた IP アドレスを保存します。 |
良性のオペレーティング システム ファイルに関するデータ
Google SecOps は、GCTI Benign Binaries データソースからファイル ハッシュを取り込んで保存します。このデータソースから取り込まれた情報は、次の UDM フィールドに格納されます。このソースのデータは時間制限がありません。
UDM フィールド | 説明 |
---|---|
<variable_name>.graph.metadata.vendor_name |
値 Google Cloud Threat Intelligence を保存します。 |
<variable_name>.graph.metadata.product_name |
値 GCTI Feed を保存します。 |
<variable_name>.graph.metadata.threat.threat_feed_name |
値 Benign Binaries を保存します。 |
<variable_name>.graph.entity.file.sha256 |
ファイルの SHA256 ハッシュ値を保存します。 |
<variable_name>.graph.entity.file.sha1 |
ファイルの SHA1 ハッシュ値を保存します。 |
<variable_name>.graph.entity.file.md5 |
ファイルの MD5 ハッシュ値を保存します。 |
リモート アクセス ツールに関するデータ
リモート アクセスツールには、悪意のあるアクターによって頻繁に使用される、VNC クライアントなどの既知のリモート アクセス ツールのファイル ハッシュが含まれています。通常、これらのツールは正規のアプリケーションであり、悪用されて不正使用されたシステムにリモートで接続されることがあります。このデータソースから取り込まれた情報は、次の UDM フィールドに格納されます。このソースのデータは時間制限がありません。
UDM フィールド | 説明 |
---|---|
.graph.metadata.vendor_name |
値 Google Cloud Threat Intelligence を保存します。 |
.graph.metadata.product_name |
値 GCTI Feed を保存します。 |
.graph.metadata.threat.threat_feed_name |
値 Remote Access Tools を保存します。 |
.graph.entity.file.sha256 |
ファイルの SHA256 ハッシュ値を保存します。 |
.graph.entity.file.sha1 |
ファイルの SHA1 ハッシュ値を保存します。 |
.graph.entity.file.md5 |
ファイルの MD5 ハッシュ値を保存します。 |
VirusTotal ファイルのメタデータを使用してイベントを拡充する
Google SecOps は、ファイル ハッシュを UDM イベントに拡充し、調査中に追加のコンテキストを提供します。UDM イベントは、お客様の環境でハッシュ エイリアスを使用して拡充されます。ハッシュ エイリアスは、すべてのタイプのファイル ハッシュを組み合わせて、検索中にファイル ハッシュに関する情報を提供します。
VirusTotal ファイルのメタデータと関係の拡充を Google SecOps と統合することで、悪意のあるアクティビティのパターンを特定し、ネットワーク全体でのマルウェアの動きを追跡できます。
生ログには、ファイルに関する情報がほとんど含まれていません。VirusTotal は、ファイル メタデータを使用してイベントを拡充し、不正なファイルのメタデータとともに不正なハッシュのダンプを提供します。メタデータには、ファイル名、型、インポートされた関数、タグなどの情報が含まれます。この情報を利用して、YARA-L を使用した UDM 検索エンジンで、不正なファイル イベントを把握することや、一般的な脅威ハンティングで使用することが可能です。ユースケースの一例は、元のファイルに対する変更を検出し、それによって脅威検出のためにファイルのメタデータをインポートすることです。
次の情報はレコードとともに保存されます。すべての有効な UDM フィールドの一覧については、統合データモデルのフィールド リストをご覧ください。
データの種類 | UDM フィールド |
---|---|
SHA-256 | ( principal | target | src | observer ).file.sha256 |
MD5 | ( principal | target | src | observer ).file.md5 |
SHA-1 | ( principal | target | src | observer ).file.sha1 |
サイズ | ( principal | target | src | observer ).file.size |
ssdeep | ( principal | target | src | observer ).file.ssdeep |
vhash | ( principal | target | src | observer ).file.vhash |
authentihash | ( principal | target | src | observer ).file.authentihash |
ファイル形式 | ( principal | target | src | observer ).file.file_type |
タグ | ( principal | target | src | observer ).file.tags |
機能タグ | ( principal | target | src | observer ).file.capabilities_tags |
名前 | ( principal | target | src | observer ).file.names |
初回検知時刻 | ( principal | target | src | observer ).file.first_seen_time |
最終検知時刻 | ( principal | target | src | observer ).file.last_seen_time |
前回の変更日時 | ( principal | target | src | observer ).file.last_modification_time |
最終分析時刻 | ( principal | target | src | observer ).file.last_analysis_time |
埋め込み URL | ( principal | target | src | observer ).file.embedded_urls |
埋め込み IP | ( principal | target | src | observer ).file.embedded_ips |
埋め込みドメイン | ( principal | target | src | observer ).file.embedded_domains |
署名情報 | ( principal | target | src | observer ).file.signature_info |
署名情報
|
( principal | target | src | observer).file.signature_info.sigcheck |
署名情報
|
( principal | target | src | observer ).file.signature_info.sigcheck.verification_message |
署名情報
|
( principal | target | src | observer ).file.signature_info.sigcheck.verified |
署名情報
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers |
署名情報
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers.name |
署名情報
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers.status |
署名情報
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers.valid_usage |
署名情報
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers.cert_issuer |
署名情報
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509 |
署名情報
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.name |
署名情報
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.algorithm |
署名情報
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.thumprint |
署名情報
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.cert_issuer |
署名情報
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.serial_number |
署名情報
|
( principal | target | src | observer ).file.signature_info.codesign |
署名情報
|
( principal | target | src | observer ).file.signature_info.codesign.id |
署名情報
|
( principal | target | src | observer ).file.signature_info.codesign.format |
署名情報
|
( principal | target | src | observer ).file.signature_info.codesign.compilation_time |
Exiftool の情報 | ( principal | target | src | observer ).file.exif_info |
Exiftool 情報
|
( principal | target | src | observer ).file.exif_info.original_file |
Exiftool 情報
|
( principal | target | src | observer ).file.exif_info.product |
Exiftool 情報
|
( principal | target | src | observer ).file.exif_info.company |
Exiftool 情報
|
( principal | target | src | observer ).file.exif_info.file_description |
Exiftool 情報
|
( principal | target | src | observer ).file.exif_info.entry_point |
Exiftool 情報
|
( principal | target | src | observer ).file.exif_info.compilation_time |
PDF 情報 | ( principal | target | src | observer ).file.pdf_info |
PDF 情報
|
( principal | target | src | observer ).file.pdf_info.js |
PDF 情報
|
( principal | target | src | observer ).file.pdf_info.javascript |
PDF 情報
|
( principal | target | src | observer ).file.pdf_info.launch_action_count |
PDF 情報
|
( principal | target | src | observer ).file.pdf_info.object_stream_count |
PDF 情報
|
( principal | target | src | observer ).file.pdf_info.endobj_count |
PDF 情報
|
( principal | target | src | observer ).file.pdf_info.header |
PDF 情報
|
( principal | target | src | observer ).file.pdf_info.acroform |
PDF 情報
|
( principal | target | src | observer ).file.pdf_info.autoaction |
PDF 情報
|
( principal | target | src | observer ).file.pdf_info.embedded_file |
PDF 情報
|
( principal | target | src | observer ).file.pdf_info.encrypted |
PDF 情報
|
( principal | target | src | observer ).file.pdf_info.flash |
PDF 情報
|
( principal | target | src | observer ).file.pdf_info.jbig2_compression |
PDF 情報
|
( principal | target | src | observer ).file.pdf_info.obj_count |
PDF 情報
|
( principal | target | src | observer ).file.pdf_info.endstream_count |
PDF 情報
|
( principal | target | src | observer ).file.pdf_info.page_count |
PDF 情報
|
( principal | target | src | observer ).file.pdf_info.stream_count |
PDF 情報
|
( principal | target | src | observer ).file.pdf_info.openaction |
PDF 情報
|
( principal | target | src | observer ).file.pdf_info.startxref |
PDF 情報
|
( principal | target | src | observer ).file.pdf_info.suspicious_colors |
PDF 情報
|
( principal | target | src | observer ).file.pdf_info.trailer |
PDF 情報
|
( principal | target | src | observer ).file.pdf_info.xfa |
PDF 情報
|
( principal | target | src | observer ).file.pdf_info.xref |
PE ファイルのメタデータ | ( principal | target | src | observer ).file.pe_file |
PE ファイルのメタデータ
|
( principal | target | src | observer ).file.pe_file.imphash |
PE ファイルのメタデータ
|
( principal | target | src | observer ).file.pe_file.entry_point |
PE ファイルのメタデータ
|
( principal | target | src | observer ).file.pe_file.entry_point_exiftool |
PE ファイルのメタデータ
|
( principal | target | src | observer ).file.pe_file.compilation_time |
PE ファイルのメタデータ
|
( principal | target | src | observer ).file.pe_file.compilation_exiftool_time |
PE ファイルのメタデータ
|
( principal | target | src | observer ).file.pe_file.section |
PE ファイルのメタデータ
|
( principal | target | src | observer ).file.pe_file.section.name |
PE ファイルのメタデータ
|
( principal | target | src | observer ).file.pe_file.section.entropy |
PE ファイルのメタデータ
|
( principal | target | src | observer ).file.pe_file.section.raw_size_bytes |
PE ファイルのメタデータ
|
( principal | target | src | observer ).file.pe_file.section.virtual_size_bytes |
PE ファイルのメタデータ
|
( principal | target | src | observer ).file.pe_file.section.md5_hex |
PE ファイルのメタデータ
|
( principal | target | src | observer ).file.pe_file.imports |
PE ファイルのメタデータ
|
( principal | target | src | observer ).file.pe_file.imports.library |
PE ファイルのメタデータ
|
( principal | target | src | observer ).file.pe_file.imports.functions |
PE ファイルのメタデータ
|
( principal | target | src | observer ).file.pe_file.resource |
PE ファイルのメタデータ
|
( principal | target | src | observer ).file.pe_file.resource.sha256_hex |
PE ファイルのメタデータ
|
( principal | target | src | observer ).file.pe_file.resource.filetype_magic |
PE ファイルのメタデータ
|
( principal | target | src | observer ).file.pe_file.resource_language_code |
PE ファイルのメタデータ
|
( principal | target | src | observer ).file.pe_file.resource.entropy |
PE ファイルのメタデータ
|
( principal | target | src | observer ).file.pe_file.resource.file_type |
PE ファイルのメタデータ
|
( principal | target | src | observer ).file.pe_file.resources_type_count_str |
PE ファイルのメタデータ
|
( principal | target | src | observer ).file.pe_file.resources_language_count_str |
VirusTotal の関係データを使用してエンティティを拡充する
VirusTotal は、不審なファイル、ドメイン、IP アドレス、URL を分析してマルウェアやその他の侵害を検出し、その結果をセキュリティ コミュニティと共有します。Google SecOps は、VirusTotal 関連の接続からデータを取り込みます。このデータはエンティティとして保存され、ファイル ハッシュとファイル、ドメイン、IP アドレス、URL の関係に関する情報を提供します。
アナリストは、このデータを使用して、他のソースからの URL またはドメインに関する情報に基づいて、ファイル ハッシュが悪意のあるものかどうかを判断できます。この情報を使用して、エンティティ コンテキスト データをクエリし、コンテキストに応じた分析を構築するための Detection Engine ルールを作成できます。
このデータは、特定の VirusTotal ライセンスと Google SecOps ライセンスでのみ利用できます。アカウント マネージャーと一緒に利用資格を確認してください。
次の情報はエンティティ コンテキスト レコードに保存されます。
UDM フィールド | 説明 |
---|---|
entity.metadata.product_entity_id |
エンティティの一意の識別子 |
entity.metadata.entity_type |
エンティティがファイルを表していることを示す値 FILE を保存します。 |
entity.metadata.interval |
start_time は時間の始まりを指し、end_time はこのデータが有効な時間の終わりを指します。 |
entity.metadata.source_labels |
このフィールドには、このエンティティの source_id と target_id の Key-Value ペアのリストが保存されます。source_id はファイル ハッシュで、target_id はこのファイルに関連する URL、ドメイン名、IP アドレスのハッシュまたは値です。URL、ドメイン名、IP アドレス、またはファイルは、virustotal.com で検索できます。 |
entity.metadata.product_name |
値「VirusTotal Relationships」を保存します。 |
entity.metadata.vendor_name |
値「VirusTotal」を保存します。 |
entity.file.sha256 |
ファイルの SHA-256 ハッシュ値を保存します |
entity.file.relations |
親ファイル エンティティに関連付けられている子エンティティのリスト |
entity.relations.relationship |
このフィールドでは、親エンティティと子エンティティの間の関係の種類について説明します。
値は EXECUTES 、DOWNLOADED_FROM 、CONTACTS のいずれかです。 |
entity.relations.direction |
値「UNIDIRECTIONAL」を保存し、子エンティティとの関係の方向を示します。 |
entity.relations.entity.url |
親エンティティ内のファイルが接続する URL(親エンティティと URL の関係が CONTACTS の場合)、または親エンティティがダウンロードされた URL(親エンティティと URL 間の関係が DOWNLOADED_FROM の場合)。 |
entity.relations.entity.ip |
親エンティティ内のファイルが接続する、またはダウンロードされた IP アドレスのリスト。 IP アドレスは 1 つのみ含まれます。 |
entity.relations.entity.domain.name |
親エンティティ内のファイルが接続する、またはダウンロードされたドメイン名 |
entity.relations.entity.file.sha256 |
ファイルに対する SHA-256 ハッシュ値をリレーションに保存します |
entity.relations.entity_type |
このフィールドには、関係内のエンティティのタイプが含まれます。値は URL 、DOMAIN_NAME 、IP_ADDRESS 、FILE のいずれかです。これらのフィールドには、entity_type に従って値が入力されます。たとえば、entity_type が URL の場合、entity.relations.entity.url が入力されます。 |
次のステップ
他の Google SecOps 機能で拡充データを使用する方法については、以下をご覧ください。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。