このページは Cloud Translation API によって翻訳されました。

Google Security Operations がイベントとエンティティデータを拡充する方法

以下でサポートされています。

Google SecOpsSIEM

このドキュメントでは、Google Security Operations でデータが拡充される方法と、データが保存される統合データモデル（UDM）フィールドについて説明します。

セキュリティ調査を可能にするために、Google Security Operations はさまざまなソースからコンテキストデータを取り込み、データの分析を行い、お客様の環境内のアーティファクトに関する追加のコンテキストを提供します。アナリストは、検出エンジンのルール、調査検索、レポートでコンテキストが強化されたデータを使用できます。

Google Security Operations は、次の種類の拡充を行います。

エンティティグラフを使用してマージを行い、エンティティを拡充します。
各エンティティを計算し、環境での人気度を示す普及率の統計情報でエンティティを拡充します。
特定のエンティティタイプが環境内で最初に検出された日時または直近の日時を計算します。
セーフブラウジングの脅威リストの情報を使用してエンティティを拡充します。
位置情報データを使用してイベントを拡充します。
WHOIS データを使用してエンティティを拡充します。
VirusTotal ファイルのメタデータを使用してイベントを拡充します。
VirusTotal 関係データを使用してエンティティを拡充します。
Google Cloud Threat Intelligence データを取り込んで保存する。

WHOIS、Safe Browsing、GCTI 脅威インテリジェンス、VirusTotal メタデータ、VirusTotal の関係から拡充されたデータは、entity_type、product_name、vendor_name で識別されます。この拡充データを使用したルールを作成する場合は、含める特定の拡充タイプを識別するフィルタをルールに含めることをおすすめします。このフィルタによって、ルールのパフォーマンスを向上させます。たとえば、WHOIS データを結合するルールの events セクションに次のフィルタフィールドを含めます。

$enrichment.graph.metadata.entity_type = "DOMAIN_NAME"
$enrichment.graph.metadata.product_name = "WHOISXMLAPI Simple Whois"
$enrichment.graph.metadata.vendor_name = "WHOIS"

エンティティグラフを使用してマージし、エンティティを拡充する

エンティティグラフでは、環境内のエンティティとリソースの関係を識別します。さまざまなソースのエンティティが Google Security Operations に取り込まれると、エンティティグラフはエンティティ間の関係に基づいて隣接リストを維持します。エンティティグラフでは、重複除去とマージを実行してコンテキストの拡充を行います。

重複除去では、冗長データが除去され、共通のエンティティを作成するために間隔が形成されます。たとえば、タイムスタンプが t1 と t2 の 2 つのエンティティ e1 と e2 について考えてみましょう。e1 と e2 のエンティティは重複が除去され、異なるタイムスタンプは重複除去時に使用されません。次のフィールドは重複除去中には使用されません。

collected_timestamp
creation_timestamp
interval

マージ中は、1 日の時間間隔でエンティティ間の関係が形成されます。たとえば、Cloud Storage バケットにアクセスできる user A のエンティティレコードについて考えてみましょう。デバイスを所有する user A の別のエンティティレコードがあります。これら 2 つのエンティティがマージされると、2 つの関係を持つ単一のエンティティ user A が生成されます。1 つは、user A が Cloud Storage バケットにアクセスできること、もう 1 つは user A がデバイスを所有していることです。Google Security Operations は、エンティティコンテキストデータを作成するときに 5 日間のルックバックを実行します。これにより、遅れて到着するデータが処理され、エンティティコンテキストデータの暗黙的な有効期間が作成されます。

Google Security Operations は、エイリアシングを使用してテレメトリーデータを拡充し、エンティティグラフを使用してエンティティを拡充します。検出エンジンのルールは、マージされたエンティティを拡充されたテレメトリーデータと結合して、コンテキストアウェア分析を提供します。

エンティティ名詞を含むイベントは、エンティティと見なされます。イベントタイプと対応するエンティティタイプをいくつか示します。

ASSET_CONTEXT は ASSET に対応しています。
RESOURCE_CONTEXT は RESOURCE に対応しています。
USER_CONTEXT は USER に対応しています。
GROUP_CONTEXT は GROUP に対応しています。

エンティティグラフは、脅威情報を使用してコンテキストデータとセキュリティ侵害インジケーター（IOC）を区別します。

コンテキスト拡充されたデータを使用する場合は、次のエンティティグラフの動作を考慮してください。

エンティティに区間を追加せず、エンティティグラフに区間を作成させます。これは、特に指定しない限り、重複除去中に間隔が生成されるためです。
間隔を指定すると、同じイベントのみが重複除去され、最新のエンティティが保持されます。
ライブルールと RetroHunt が想定どおりに機能するようにするには、エンティティを少なくとも 1 日に 1 回取り込む必要があります。
エンティティが毎日取り込まれず、2 日以上に 1 回だけ取り込まれると、ライブルールは想定どおりに機能しますが、RetroHunt はイベントのコンテキストを失います。
エンティティが 1 日に複数回取り込まれると、そのエンティティは 1 つのエンティティに重複除去されます。
イベントデータが 1 日分欠落している場合、ライブルールが正常に機能するように、前日の日付のデータが一時的に使用されます。

エンティティグラフでは、類似の ID を持つイベントを統合して、データの統合ビューを取得します。このマージは、次の識別子リストに基づいて行われます。

Asset
- entity.asset.product_object_id
- entity.asset.hostname
- entity.asset.asset_id
- entity.asset.mac
User
- entity.user.product_object_id
- entity.user.userid
- entity.user.windows_sid
- entity.user.email_addresses
- entity.user.employee_id
Resource
- entity.resource.product_object_id
- entity.resource.name
Group
- entity.group.product_object_id
- entity.group.email_addresses
- entity.group.windows_sid

普及率の統計情報を計算する

Google Security Operations は、既存のデータと受信データに対して統計分析を実行し、普及率に関連する指標でエンティティに関連するレコードを拡充します。

プレ valence は、エンティティの人気度を示す数値です。人気度は、ドメイン、ファイルハッシュ、IP アドレスなどのアーティファクトにアクセスするアセットの数によって定義されます。数値が大きいほど、エンティティの普及率は高くなります。たとえば、google.com は頻繁にアクセスされるため、占有率の値が高くなります。ドメインへのアクセス頻度が低い場合、普及率は低くなります。より人気の高いなエンティティは通常、悪意がある可能性が低くなります。

これらの拡充値は、ドメイン、IP、ファイル（ハッシュ）でサポートされています。値が計算され、次のフィールドに保存されます。

各エンティティの普及率の統計情報は毎日更新されます。値は、検出エンジンで使用できる個別のエンティティコンテキストに保存されますが、Google Security Operations の調査ビューと UDM 検索には表示されません。

Detection Engine ルールの作成時に、次のフィールドを使用できます。

エンティティタイプ	UDM フィールド
ドメイン	`entity.domain.prevalence.day_count` `entity.domain.prevalence.day_max` `entity.domain.prevalence.day_max_sub_domains` `entity.domain.prevalence.rolling_max` `entity.domain.prevalence.rolling_max_sub_domains`
ファイル（ハッシュ）	`entity.file.prevalence.day_count` `entity.file.prevalence.day_max` `entity.file.prevalence.rolling_max`
IP アドレス	`entity.artifact.prevalence.day_count` `entity.artifact.prevalence.day_max` `entity.artifact.prevalence.rolling_max`

day_max と rolling_max の値は、異なる方法で計算されます。フィールドは次のように計算されます。

day_max は、アーティファクトの 1 日における最大普及率として計算されます。ここで、1 日は UTC の午前 12 時 00 分 00 秒～午後 11 時 59 分 59 秒として定義されます。
rolling_max は、過去 10 日間のアーティファクトの 1 日あたりの普及率スコアの最大値（day_max）として計算されます。
day_count は rolling_max の計算に使用されます。値は常に 10 です。

ドメインに対して計算される場合、day_max と day_max_sub_domains の違い（および rolling_max と rolling_max_sub_domains）の違いは次のようになります。

rolling_max と day_max は、特定のドメイン（サブドメインを除く）にアクセスする 1 日あたりの一意の内部 IP アドレスの数を表します。
rolling_max_sub_domains と day_max_sub_domains は、特定のドメイン（サブドメインを含む）にアクセスする一意の内部 IP アドレスの数を表します。

普及率の統計情報は、新しく取り込まれたエンティティデータに対して計算されます。以前に取り込まれたデータに対して計算が遡って実行されることはありません。統計情報の計算と保存には約 36 時間かかります。

エンティティの最初と最後の検出時刻を計算する

Google Security Operations は、受信したデータの統計分析を実行し、エンティティの最初と最後の検出時刻でエンティティコンテキストレコードを拡充します。first_seen_time フィールドには、エンティティがお客様の環境で最初に検出された日時が保存されます。last_seen_time フィールドには、最新の観測の日時が保存されます。

複数のインジケーター（UDM フィールド）でアセットやユーザーを識別できるため、ユーザーや環境を識別するインジケーターが初めてお客様の環境で検知された時刻になります。

アセットを記述するすべての UDM フィールドは次のとおりです。

entity.asset.hostname
entity.asset.ip
entity.asset.mac
entity.asset.asset_id
entity.asset.product_object_id

ユーザーを記述するすべての UDM フィールドは次のとおりです。

entity.user.windows_sid
entity.user.product_object_id
entity.user.userid
entity.user.employee_id
entity.user.email_addresses

最初の検出時刻と最後の検出時刻により、アナリストはドメイン、ファイル（ハッシュ）、アセット、ユーザー、または IP アドレスが最初に確認された後に発生した特定のアクティビティ、またはドメイン、ファイル（ハッシュ）、または IP アドレスが最後に確認された後に発生が止まった特定のアクティビティを関連付けることができます。

first_seen_time フィールドと last_seen_time フィールドには、ドメイン、IP アドレス、ファイル（ハッシュ）を記述するエンティティが入力されます。ユーザーまたはアセットを記述するエンティティの場合、first_seen_time フィールドのみが入力されます。これらの値は、グループやリソースなど、他のタイプを記述するエンティティに対しては計算されません。

統計情報は、すべての Namespace の各エンティティに対して計算されます。Google Security Operations は、個々の Namespace 内の各エンティティの統計情報を計算しません。これらの統計情報は現在、BigQuery の Google Security Operations events スキーマにエクスポートされていません。

拡充された値は計算され、次の UDM フィールドに格納されます。

エンティティタイプ	UDM フィールド
ドメイン	`entity.domain.first_seen_time` `entity.domain.last_seen_time`
ファイル（ハッシュ）	`entity.file.first_seen_time` `entity.file.last_seen_time`
IP アドレス	`entity.artifact.first_seen_time` `entity.artifact.last_seen_time`
アセット	`entity.asset.first_seen_time`
ユーザー	`entity.user.first_seen_time`

位置情報データを使用してイベントを拡充する

受信ログデータには、対応するロケーション情報のない外部 IP アドレスが含まれる場合があります。これは、イベントがエンタープライズネットワークに存在しないデバイスアクティビティに関する情報をロギングしている場合によく発生します。たとえば、クラウドサービスへのログインイベントには、携帯通信会社の NAT から返されたデバイスの外部 IP アドレスに基づく送信元またはクライアントの IP アドレスが含まれます。

Google Security Operations は、外部 IP アドレスの位置情報に関するデータ拡充を実現して、より強力なルール検出と調査のためのより多くのコンテキストを可能にします。たとえば、Google Security Operations は外部 IP アドレスを使用して、国（米国など）、特定の州（アラスカなど）、IP アドレスが存在するネットワーク（ASN や携帯通信会社名など）に関する情報でイベントを拡充できます。

Google Security Operations は、Google が提供する位置情報を使用して、IP アドレスのおおよその地理的位置とネットワーク情報を提供します。イベント内のこれらのフィールドに対して、検知エンジンルールを作成できます。拡充されたイベントデータは BigQuery にもエクスポートされ、Google Security Operations のダッシュボードとレポートで使用できます。

次の IP アドレスは拡充されません。

RFC 1918 プライベート IP アドレス空間。エンタープライズネットワークの内部にあるため。
RFC 5771 のマルチキャスト IP アドレス空間。マルチキャストアドレスは単一のロケーションに属していないため。
IPv6 ユニークローカルアドレス。
Google Cloud サービス IP アドレス。例外は、 Google Cloud Compute Engine 外部 IP アドレスです。これは拡充されます。

Google Security Operations では、次の UDM フィールドに位置情報データが追加されます。

principal
target
src
observer

データの種類	UDM フィールド
地域（米国など）	`( principal \| target \| src \| observer ).ip_geo_artifact.location.country_or_region`
州（ニューヨークなど）	`( principal \| target \| src \| observer ).ip_geo_artifact.location.state`
Longitude	`( principal \| target \| src \| observer ).ip_geo_artifact.location.region_coordinates.longitude`
Latitude	`( principal \| target \| src \| observer ).ip_geo_artifact.location.region_coordinates.latitude`
ASN（自律システム番号）	`( principal \| target \| src \| observer ).ip_geo_artifact.network.asn`
配送業者名	`( principal \| target \| src \| observer ).ip_geo_artifact.network.carrier_name`
DNS ドメイン	`( principal \| target \| src \| observer ).ip_geo_artifact.network.dns_domain`
組織名	`( principal \| target \| src \| observer ).ip_geo_artifact.network.organization_name`

次の例は、オランダにタグ付けされた IP アドレスを持つ UDM イベントに追加される地理情報のタイプを示しています。

UDM フィールド	値
`principal.ip_geo_artifact.location.country_or_region`	`Netherlands`
`principal.ip_geo_artifact.location.region_coordinates.latitude`	`52.132633`
`principal.ip_geo_artifact.location.region_coordinates.longitude`	`5.291266`
`principal.ip_geo_artifact.network.asn`	`8455`
`principal.ip_geo_artifact.network.carrier_name`	`schuberg philis`

不整合

Google 独自の IP 位置情報技術では、ネットワークデータと他の入力および方法を組み合わせて、IP アドレスの場所とネットワーク解決をユーザーに提供します。他の組織とはシグナルや方法が異なるため、結果が異なる場合があります。

Google が提供する IP 位置情報の結果に不整合が発生した場合は、カスタマーサポートケースを開いてください。Google で調査を進め、必要に応じて今後修正します。

セーフブラウジングの脅威リストの情報を使用してエンティティを拡充する

Google Security Operations は、ファイルハッシュに関連するデータをセーフブラウジングから取り込みます。各ファイルのデータは 1 つのエンティティとして保存され、ファイルに関する追加コンテキストを提供します。アナリストは、このエンティティコンテキストデータをクエリしてコンテキストに応じた分析を構築する検出エンジンルールを作成できます。

エンティティコンテキストレコードには、次の情報が保存されます。

UDM フィールド	説明
`entity.metadata.product_entity_id`	エンティティの一意の識別子。
`entity.metadata.entity_type`	この値は `FILE` で、エンティティがファイルを表していることを示します。
`entity.metadata.collected_timestamp`	エンティティが確認された日時、またはイベントが発生した日時。
`entity.metadata.interval`	このデータが有効である開始時間と終了時間を保存します。脅威リストの内容は時間の経過とともに変化するため、`start_time` と `end_time` には、エンティティに関するデータが有効な期間が反映されます。たとえば、`start_time and end_time.` の間にファイルハッシュに悪意があるか、または疑わしいことが確認されました。
`entity.metadata.threat.category`	これは Google Security Operations の `SecurityCategory` です。これは、次のいずれかの値に設定されます。 `SOFTWARE_MALICIOUS`: 脅威がマルウェアに関連していることを示します。 `SOFTWARE_PUA`: 脅威が望ましくないソフトウェアに関連していることを示します。
`entity.metadata.threat.severity`	これは Google Security Operations の `ProductSeverity` です。値が `CRITICAL` の場合、アーティファクトに悪意があることを示します。値が指定されていない場合、アーティファクトに悪意があることを示す十分な信頼性がありません。
`entity.metadata.product_name`	値 `Google Safe Browsing` を保存します。
`entity.file.sha256`	ファイルの SHA256 ハッシュ値。

WHOIS データを使用してエンティティを拡充する

Google Security Operations は、WHOIS データを毎日取り込みます。受信したお客様のデバイスデータの取り込み中に、Google Security Operations はお客様データ内のドメインを WHOIS データと照合します。一致すると、Google Security Operations は関連する WHOIS データをドメインのエンティティレコードに保存します。エンティティごとに（この場合は entity.metadata.entity_type = DOMAIN_NAME）、Google Security Operations は WHOIS からの情報の拡充を行います。

Google Security Operations は、エンティティレコードの次のフィールドに WHOIS 拡充データを入力します。

entity.domain.admin.attribute.labels
entity.domain.audit_update_time
entity.domain.billing.attribute.labels
entity.domain.billing.office_address.country_or_region
entity.domain.contact_email
entity.domain.creation_time
entity.domain.expiration_time
entity.domain.iana_registrar_id
entity.domain.name_server
entity.domain.private_registration
entity.domain.registrant.company_name
entity.domain.registrant.office_address.state
entity.domain.registrant.office_address.country_or_region
entity.domain.registrant.email_addresses
entity.domain.registrant.user_display_name
entity.domain.registrar
entity.domain.registry_data_raw_text
entity.domain.status
entity.domain.tech.attribute.labels
entity.domain.update_time
entity.domain.whois_record_raw_text
entity.domain.whois_server
entity.domain.zone

これらのフィールドの説明については、統合データモデルのフィールドリストのドキュメントをご覧ください。

Google Cloud の脅威インテリジェンスデータを取り込んで保存する

Google Security Operations は、 Google Cloud Threat Intelligence（GCTI）データソースからデータを取り込み、環境内のアクティビティの調査に使用できるコンテキスト情報を提供します。次のデータソースに対してクエリを実行できます。

GCTI Tor 出口ノード: 既知の Tor 出口ノード。
GCTI Benign Binaries: オペレーティングシステムの元のディストリビューションの一部であるか、公式のオペレーティングシステムのパッチによって更新されたファイル。最初のエントリベクトルに焦点を当てているものなど、環境寄生型攻撃に一般的に見られる攻撃を通じて悪用された一部の公式のオペレーティングシステムのバイナリは、このデータソースから除外されます。
GCTI リモートアクセスツール: 悪意のあるアクターが頻繁に使用するファイル通常、これらのツールは正規のアプリケーションであり、悪用されて不正使用されたシステムにリモートで接続されることがあります。

このコンテキストデータは、エンティティとしてグローバルに保存されます。検出エンジンのルールを使用してデータをクエリできます。これらのグローバルエンティティをクエリするには、ルールに次の UDM フィールドと値を含めます。
graph.metadata.vendor_name = Google Cloud Threat Intelligence
graph.metadata.product_name = GCTI Feed

このドキュメントでは、プレースホルダ <variable_name> は、UDM レコードを特定するルールで使用される一意の変数名を表します。

時間指定された対時間制限のない Google Cloud Threat Intelligence データソース

Google Cloud Threat Intelligence のデータソースは、時間指定または時間制限のないのいずれかです。

時間指定データソースには、各エントリに時間範囲が関連付けられています。つまり、1 日目に検出が生成された場合、その後の任意の日には、同じ検出が　Retro Hunt 中に 1 日目のために生成されると想定されます。

時間制限のないデータソースには、時間範囲が関連付けられていません。これは、最新のデータセットのみが考慮すべきものであるためです。時間制限のないデータソースは、変更されることが想定されていないファイルハッシュなどのデータに頻繁に使用されます。1 日目に検出が生成されない場合、2 日目には新しいエントリが追加されたため、Retro Hunt 中に 1 日目のために検出が生成される場合があります。

Tor 出口ノードの IP アドレスに関するデータ

Google Security Operations は、Tor 出口ノードと呼ばれる IP アドレスを取り込み、保存します。Tor 出口ノードは、Tor ネットワークからトラフィックが送信されるポイントです。このデータソースから取り込まれた情報は、次の UDM フィールドに格納されます。このソースのデータには時間情報が含まれます。

UDM フィールド	説明
`<variable_name>.graph.metadata.vendor_name`	値 `Google Cloud Threat Intelligence` を保存します。
`<variable_name>.graph.metadata.product_name`	値 `GCTI Feed` を保存します。
`<variable_name>.graph.metadata.threat.threat_feed_name`	値 `Tor Exit Nodes` を保存します。
`<variable_name>.graph.entity.artifact.ip`	GCTI データソースから取り込まれた IP アドレスを保存します。

良性のオペレーティングシステムファイルに関するデータ

Google Security Operations は、GCTI Benign Binaries データソースからファイルハッシュを取り込んで保存します。このデータソースから取り込まれた情報は、次の UDM フィールドに格納されます。このソースのデータは時間制限がありません。

UDM フィールド	説明
`<variable_name>.graph.metadata.vendor_name`	値 `Google Cloud Threat Intelligence` を保存します。
`<variable_name>.graph.metadata.product_name`	値 `GCTI Feed` を格納します。
`<variable_name>.graph.metadata.threat.threat_feed_name`	値 `Benign Binaries` を保存します。
`<variable_name>.graph.entity.file.sha256`	ファイルの SHA256 ハッシュ値を保存します。
`<variable_name>.graph.entity.file.sha1`	ファイルの SHA1 ハッシュ値を保存します。
`<variable_name>.graph.entity.file.md5`	ファイルの MD5 ハッシュ値を保存します。

リモートアクセスツールに関するデータ

リモートアクセスツールには、悪意のあるアクターによって頻繁に使用される、VNC クライアントなどの既知のリモートアクセスツールのファイルハッシュが含まれています。通常、これらのツールは正規のアプリケーションであり、悪用されて不正使用されたシステムにリモートで接続されることがあります。このデータソースから取り込まれた情報は、次の UDM フィールドに格納されます。このソースのデータは時間制限がありません。

UDM フィールド	説明
.graph.metadata.vendor_name	値 `Google Cloud Threat Intelligence` を格納します。
.graph.metadata.product_name	値 `GCTI Feed` を保存します。
.graph.metadata.threat.threat_feed_name	値 `Remote Access Tools` を保存します。
.graph.entity.file.sha256	ファイルの SHA256 ハッシュ値を保存します。
.graph.entity.file.sha1	ファイルの SHA1 ハッシュ値を保存します。
.graph.entity.file.md5	ファイルの MD5 ハッシュ値を保存します。

VirusTotal ファイルのメタデータを使用してイベントを拡充する

Google Security Operations は、ファイルハッシュを UDM イベントに拡充し、調査中に追加のコンテキストを提供します。UDM イベントは、お客様の環境でハッシュエイリアシングによって拡充されます。ハッシュエイリアシングは、すべてのタイプのファイルハッシュを組み合わせて、検索中にファイルハッシュに関する情報を提供します。

VirusTotal ファイルのメタデータと関係性の拡充を Google SecOps と統合すると、悪意のあるアクティビティのパターンを特定し、ネットワーク全体でマルウェアの移動を追跡できます。

未加工ログには、ファイルに関する限られた情報が含まれます。VirusTotal は、ファイルのメタデータを使用してイベントを拡充し、不正なハッシュのダンプと不正なファイルに関するメタデータを提供します。メタデータには、ファイル名、型、インポートされた関数、タグなどの情報が含まれます。この情報は、YARA-L を使用した UDM 検索エンジンで、不正なファイルイベントを把握したり、一般的な脅威ハンティングで使用したりできます。ユースケースの一例は、元のファイルに対する変更を検出し、それによって脅威検出のためにファイルのメタデータをインポートすることです。

レコードには次の情報も保存されます。すべての有効な UDM フィールドの一覧については、統合データモデルのフィールドリストをご覧ください。

データの種類	UDM フィールド
SHA-256	`( principal \| target \| src \| observer ).file.sha256`
MD5	`( principal \| target \| src \| observer ).file.md5`
SHA-1	`( principal \| target \| src \| observer ).file.sha1`
サイズ	`( principal \| target \| src \| observer ).file.size`
ssdeep	`( principal \| target \| src \| observer ).file.ssdeep`
vhash	`( principal \| target \| src \| observer ).file.vhash`
authentihash	`( principal \| target \| src \| observer ).file.authentihash`
ファイル形式	`( principal \| target \| src \| observer ).file.file_type`
タグ	`( principal \| target \| src \| observer ).file.tags`
機能タグ	`( principal \| target \| src \| observer ).file.capabilities_tags`
名前	`( principal \| target \| src \| observer ).file.names`
初回検知時刻	`( principal \| target \| src \| observer ).file.first_seen_time`
最終検知時刻	`( principal \| target \| src \| observer ).file.last_seen_time`
前回の変更日時	`( principal \| target \| src \| observer ).file.last_modification_time`
最終分析時刻	`( principal \| target \| src \| observer ).file.last_analysis_time`
埋め込まれた URL	`( principal \| target \| src \| observer ).file.embedded_urls`
埋め込み IP	`( principal \| target \| src \| observer ).file.embedded_ips`
埋め込みドメイン	`( principal \| target \| src \| observer ).file.embedded_domains`
署名情報	`( principal \| target \| src \| observer ).file.signature_info`
署名情報 Sigcheck	`( principal \| target \| src \| observer).file.signature_info.sigcheck`
署名情報 Sigcheck 確認メッセージ	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.verification_message`
署名情報 Sigcheck 確認済み	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.verified`
署名情報 Sigcheck 署名者	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.signers`
署名情報 Sigcheck 署名者名前	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.signers.name`
署名情報 Sigcheck 署名者ステータス	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.signers.status`
署名情報 Sigcheck 署名者証明書の有効な使用	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.signers.valid_usage`
署名情報 Sigcheck 署名者認証局	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.signers.cert_issuer`
署名情報 Sigcheck X509	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.x509`
署名情報 Sigcheck X509 名前	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.x509.name`
署名情報 Sigcheck X509 アルゴリズム	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.x509.algorithm`
署名情報 Sigcheck X509 サムプリント	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.x509.thumprint`
署名情報 Sigcheck X509 認証局	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.x509.cert_issuer`
署名情報 Sigcheck X509 シリアル番号	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.x509.serial_number`
署名情報 Codesign	`( principal \| target \| src \| observer ).file.signature_info.codesign`
署名情報 Codesign ID	`( principal \| target \| src \| observer ).file.signature_info.codesign.id`
署名情報 Codesign 形式	`( principal \| target \| src \| observer ).file.signature_info.codesign.format`
署名情報 Codesign コンパイル時間	`( principal \| target \| src \| observer ).file.signature_info.codesign.compilation_time`
Exiftool の情報	`( principal \| target \| src \| observer ).file.exif_info`
Exiftool の情報オリジナルファイル名	`( principal \| target \| src \| observer ).file.exif_info.original_file`
Exiftool の情報製品名	`( principal \| target \| src \| observer ).file.exif_info.product`
Exiftool の情報会社名	`( principal \| target \| src \| observer ).file.exif_info.company`
Exiftool の情報ファイルの説明	`( principal \| target \| src \| observer ).file.exif_info.file_description`
Exiftool の情報エントリポイント	`( principal \| target \| src \| observer ).file.exif_info.entry_point`
Exiftool の情報コンパイル時間	`( principal \| target \| src \| observer ).file.exif_info.compilation_time`
PDF 情報	`( principal \| target \| src \| observer ).file.pdf_info`
PDF 情報 /JS タグの数	`( principal \| target \| src \| observer ).file.pdf_info.js`
PDF 情報 /JavaScript タグの数	`( principal \| target \| src \| observer ).file.pdf_info.javascript`
PDF 情報 /Launch タグの数	`( principal \| target \| src \| observer ).file.pdf_info.launch_action_count`
PDF 情報オブジェクトストリームの数	`( principal \| target \| src \| observer ).file.pdf_info.object_stream_count`
PDF 情報オブジェクト定義の数（endobj キーワード）	`( principal \| target \| src \| observer ).file.pdf_info.endobj_count`
PDF 情報 PDF のバージョン	`( principal \| target \| src \| observer ).file.pdf_info.header`
PDF 情報 /AcroForm タグの数	`( principal \| target \| src \| observer ).file.pdf_info.acroform`
PDF 情報 /AA タグの数	`( principal \| target \| src \| observer ).file.pdf_info.autoaction`
PDF 情報 /EmbeddedFile タグの数	`( principal \| target \| src \| observer ).file.pdf_info.embedded_file`
PDF 情報 /Encrypt タグ	`( principal \| target \| src \| observer ).file.pdf_info.encrypted`
PDF 情報 /RichMedia タグの数	`( principal \| target \| src \| observer ).file.pdf_info.flash`
PDF 情報 /JBIG2Decode タグの数	`( principal \| target \| src \| observer ).file.pdf_info.jbig2_compression`
PDF 情報オブジェクト定義の数（obj キーワード）	`( principal \| target \| src \| observer ).file.pdf_info.obj_count`
PDF 情報定義されたストリームオブジェクトの数（stream キーワード）	`( principal \| target \| src \| observer ).file.pdf_info.endstream_count`
PDF 情報 PDF のページ数	`( principal \| target \| src \| observer ).file.pdf_info.page_count`
PDF 情報定義されたストリームオブジェクトの数（stream キーワード）	`( principal \| target \| src \| observer ).file.pdf_info.stream_count`
PDF 情報 /OpenAction タグの数	`( principal \| target \| src \| observer ).file.pdf_info.openaction`
PDF 情報 startxref キーワードの数	`( principal \| target \| src \| observer ).file.pdf_info.startxref`
PDF 情報 3 バイト以上で表現された色の数（CVE-2009-3459）	`( principal \| target \| src \| observer ).file.pdf_info.suspicious_colors`
PDF 情報予告編のキーワードの数	`( principal \| target \| src \| observer ).file.pdf_info.trailer`
PDF 情報見つかった /XFA タグの数	`( principal \| target \| src \| observer ).file.pdf_info.xfa`
PDF 情報 xref キーワードの数	`( principal \| target \| src \| observer ).file.pdf_info.xref`
PE ファイルのメタデータ	`( principal \| target \| src \| observer ).file.pe_file`
PE ファイルのメタデータ Imphash	`( principal \| target \| src \| observer ).file.pe_file.imphash`
PE ファイルのメタデータエントリポイント	`( principal \| target \| src \| observer ).file.pe_file.entry_point`
PE ファイルのメタデータエントリポイントの exitfool	`( principal \| target \| src \| observer ).file.pe_file.entry_point_exiftool`
PE ファイルのメタデータコンパイル時間	`( principal \| target \| src \| observer ).file.pe_file.compilation_time`
PE ファイルのメタデータ exiftool のコンパイル時間	`( principal \| target \| src \| observer ).file.pe_file.compilation_exiftool_time`
PE ファイルのメタデータセクション	`( principal \| target \| src \| observer ).file.pe_file.section`
PE ファイルのメタデータセクション名前	`( principal \| target \| src \| observer ).file.pe_file.section.name`
PE ファイルのメタデータセクションエントロピー	`( principal \| target \| src \| observer ).file.pe_file.section.entropy`
PE ファイルのメタデータセクション元のサイズ（バイト単位）	`( principal \| target \| src \| observer ).file.pe_file.section.raw_size_bytes`
PE ファイルのメタデータセクション仮想サイズ（バイト単位）	`( principal \| target \| src \| observer ).file.pe_file.section.virtual_size_bytes`
PE ファイルのメタデータセクション MD5 16 進数	`( principal \| target \| src \| observer ).file.pe_file.section.md5_hex`
PE ファイルのメタデータインポート	`( principal \| target \| src \| observer ).file.pe_file.imports`
PE ファイルのメタデータインポートライブラリ	`( principal \| target \| src \| observer ).file.pe_file.imports.library`
PE ファイルのメタデータインポート関数	`( principal \| target \| src \| observer ).file.pe_file.imports.functions`
PE ファイルのメタデータリソースの情報	`( principal \| target \| src \| observer ).file.pe_file.resource`
PE ファイルのメタデータリソースの情報 SHA-256 16 進数	`( principal \| target \| src \| observer ).file.pe_file.resource.sha256_hex`
PE ファイルのメタデータリソースの情報マジック Python モジュールで識別されるリソースタイプ	`( principal \| target \| src \| observer ).file.pe_file.resource.filetype_magic`
PE ファイルのメタデータリソースの情報 Windows PE 仕様で定義されている、言語とサブ言語の人が読める識別子のバージョン	`( principal \| target \| src \| observer ).file.pe_file.resource_language_code`
PE ファイルのメタデータリソースの情報エントロピー	`( principal \| target \| src \| observer ).file.pe_file.resource.entropy`
PE ファイルのメタデータリソースの情報ファイル形式	`( principal \| target \| src \| observer ).file.pe_file.resource.file_type`
PE ファイルのメタデータリソースタイプ別のリソース数	`( principal \| target \| src \| observer ).file.pe_file.resources_type_count_str`
PE ファイルのメタデータ言語別のリソース数	`( principal \| target \| src \| observer ).file.pe_file.resources_language_count_str`

VirusTotal の関係データを使用してエンティティを拡充する

VirusTotal は、不審なファイル、ドメイン、IP アドレス、URL を分析してマルウェアなどの侵害を検出し、検出結果をセキュリティコミュニティと共有するのに役立ちます。Google Security Operations は、VirusTotal 関連の接続からデータを取り込みます。このデータはエンティティとして保存され、ファイルハッシュとファイル、ドメイン、IP アドレス、URL の関係に関する情報を提供します。

アナリストは、このデータを使用して、他のソースの URL またはドメインに関する情報に基づいて、ファイルハッシュが不正かどうかを判断できます。この情報を使用して、エンティティコンテキストデータをクエリし、コンテキストに応じた分析を構築するための Detection Engine ルールを作成できます。

このデータは、特定の VirusTotal ライセンスと Google Security Operations ライセンスでのみ利用できます。アカウントマネージャーと一緒に利用資格を確認してください。

エンティティコンテキストレコードには、次の情報が保存されます。

UDM フィールド	説明
`entity.metadata.product_entity_id`	エンティティの一意の識別子
`entity.metadata.entity_type`	エンティティがファイルを表していることを示す値 `FILE` を格納します。
`entity.metadata.interval`	`start_time` は開始時間、`end_time` はデータが有効な終了時間を表します。
`entity.metadata.source_labels`	このフィールドには、このエンティティの `source_id` と `target_id` の Key-Value ペアのリストが格納されます。`source_id` はファイルハッシュで、`target_id` は、このファイルが関連付けられている URL、ドメイン名、IP アドレスのハッシュまたは値にできます。URL、ドメイン名、IP アドレス、またはファイルは、virustotal.com で検索できます。
`entity.metadata.product_name`	値「VirusTotal Relationships」を格納します。
`entity.metadata.vendor_name`	値「VirusTotal」を格納します。
`entity.file.sha256`	ファイルの SHA-256 ハッシュ値を保存します。
`entity.file.relations`	親ファイルエンティティが関連付けられている子エンティティのリスト
`entity.relations.relationship`	このフィールドでは、親エンティティと子エンティティの間の関係の種類について説明します。値は `EXECUTES`、`DOWNLOADED_FROM`、`CONTACTS` のいずれかです。
`entity.relations.direction`	値「UNIDIRECTIONAL」を格納し、子エンティティとの関係の方向を示します。
`entity.relations.entity.url`	親エンティティ内のファイルが接続する URL（親エンティティと URL の関係が `CONTACTS` の場合）、または親エンティティがダウンロードされた URL（親エンティティと URL 間の関係が `DOWNLOADED_FROM` の場合）。
`entity.relations.entity.ip`	親エンティティ内のファイルが接続する IP アドレスまたはダウンロード元の IP アドレスのリスト。1 つの IP アドレスのみが含まれます。
`entity.relations.entity.domain.name`	親エンティティ内のファイルが接続するドメイン名、またはダウンロード元のドメイン名
`entity.relations.entity.file.sha256`	ファイルの SHA-256 ハッシュ値を関係に保存します。
`entity.relations.entity_type`	このフィールドには、関係内のエンティティのタイプが含まれます。値は `URL`、`DOMAIN_NAME`、`IP_ADDRESS`、`FILE` のいずれかです。これらのフィールドは、`entity_type` に従って入力されます。たとえば、`entity_type` が `URL` の場合、`entity.relations.entity.url` が入力されます。

次のステップ

他の Google Security Operations 機能で拡充データを使用する方法については、以下をご覧ください。

データの種類	UDM フィールド
SHA-256	`( principal \| target \| src \| observer ).file.sha256`
MD5	`( principal \| target \| src \| observer ).file.md5`
SHA-1	`( principal \| target \| src \| observer ).file.sha1`
サイズ	`( principal \| target \| src \| observer ).file.size`
ssdeep	`( principal \| target \| src \| observer ).file.ssdeep`
vhash	`( principal \| target \| src \| observer ).file.vhash`
authentihash	`( principal \| target \| src \| observer ).file.authentihash`
ファイル形式	`( principal \| target \| src \| observer ).file.file_type`
タグ	`( principal \| target \| src \| observer ).file.tags`
機能タグ	`( principal \| target \| src \| observer ).file.capabilities_tags`
名前	`( principal \| target \| src \| observer ).file.names`
初回検知時刻	`( principal \| target \| src \| observer ).file.first_seen_time`
最終検知時刻	`( principal \| target \| src \| observer ).file.last_seen_time`
前回の変更日時	`( principal \| target \| src \| observer ).file.last_modification_time`
最終分析時刻	`( principal \| target \| src \| observer ).file.last_analysis_time`
埋め込まれた URL	`( principal \| target \| src \| observer ).file.embedded_urls`
埋め込み IP	`( principal \| target \| src \| observer ).file.embedded_ips`
埋め込みドメイン	`( principal \| target \| src \| observer ).file.embedded_domains`
署名情報	`( principal \| target \| src \| observer ).file.signature_info`
署名情報 Sigcheck	`( principal \| target \| src \| observer).file.signature_info.sigcheck`
署名情報 Sigcheck 確認メッセージ	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.verification_message`
署名情報 Sigcheck 確認済み	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.verified`
署名情報 Sigcheck 署名者	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.signers`
署名情報 Sigcheck 署名者名前	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.signers.name`
署名情報 Sigcheck 署名者ステータス	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.signers.status`
署名情報 Sigcheck 署名者証明書の有効な使用	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.signers.valid_usage`
署名情報 Sigcheck 署名者認証局	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.signers.cert_issuer`
署名情報 Sigcheck X509	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.x509`
署名情報 Sigcheck X509 名前	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.x509.name`
署名情報 Sigcheck X509 アルゴリズム	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.x509.algorithm`
署名情報 Sigcheck X509 サムプリント	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.x509.thumprint`
署名情報 Sigcheck X509 認証局	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.x509.cert_issuer`
署名情報 Sigcheck X509 シリアル番号	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.x509.serial_number`
署名情報 Codesign	`( principal \| target \| src \| observer ).file.signature_info.codesign`
署名情報 Codesign ID	`( principal \| target \| src \| observer ).file.signature_info.codesign.id`
署名情報 Codesign 形式	`( principal \| target \| src \| observer ).file.signature_info.codesign.format`
署名情報 Codesign コンパイル時間	`( principal \| target \| src \| observer ).file.signature_info.codesign.compilation_time`
Exiftool の情報	`( principal \| target \| src \| observer ).file.exif_info`
Exiftool の情報オリジナルファイル名	`( principal \| target \| src \| observer ).file.exif_info.original_file`
Exiftool の情報製品名	`( principal \| target \| src \| observer ).file.exif_info.product`
Exiftool の情報会社名	`( principal \| target \| src \| observer ).file.exif_info.company`
Exiftool の情報ファイルの説明	`( principal \| target \| src \| observer ).file.exif_info.file_description`
Exiftool の情報エントリポイント	`( principal \| target \| src \| observer ).file.exif_info.entry_point`
Exiftool の情報コンパイル時間	`( principal \| target \| src \| observer ).file.exif_info.compilation_time`
PDF 情報	`( principal \| target \| src \| observer ).file.pdf_info`
PDF 情報 /JS タグの数	`( principal \| target \| src \| observer ).file.pdf_info.js`
PDF 情報 /JavaScript タグの数	`( principal \| target \| src \| observer ).file.pdf_info.javascript`
PDF 情報 /Launch タグの数	`( principal \| target \| src \| observer ).file.pdf_info.launch_action_count`
PDF 情報オブジェクトストリームの数	`( principal \| target \| src \| observer ).file.pdf_info.object_stream_count`
PDF 情報オブジェクト定義の数（endobj キーワード）	`( principal \| target \| src \| observer ).file.pdf_info.endobj_count`
PDF 情報 PDF のバージョン	`( principal \| target \| src \| observer ).file.pdf_info.header`
PDF 情報 /AcroForm タグの数	`( principal \| target \| src \| observer ).file.pdf_info.acroform`
PDF 情報 /AA タグの数	`( principal \| target \| src \| observer ).file.pdf_info.autoaction`
PDF 情報 /EmbeddedFile タグの数	`( principal \| target \| src \| observer ).file.pdf_info.embedded_file`
PDF 情報 /Encrypt タグ	`( principal \| target \| src \| observer ).file.pdf_info.encrypted`
PDF 情報 /RichMedia タグの数	`( principal \| target \| src \| observer ).file.pdf_info.flash`
PDF 情報 /JBIG2Decode タグの数	`( principal \| target \| src \| observer ).file.pdf_info.jbig2_compression`
PDF 情報オブジェクト定義の数（obj キーワード）	`( principal \| target \| src \| observer ).file.pdf_info.obj_count`
PDF 情報定義されたストリームオブジェクトの数（stream キーワード）	`( principal \| target \| src \| observer ).file.pdf_info.endstream_count`
PDF 情報 PDF のページ数	`( principal \| target \| src \| observer ).file.pdf_info.page_count`
PDF 情報定義されたストリームオブジェクトの数（stream キーワード）	`( principal \| target \| src \| observer ).file.pdf_info.stream_count`
PDF 情報 /OpenAction タグの数	`( principal \| target \| src \| observer ).file.pdf_info.openaction`
PDF 情報 startxref キーワードの数	`( principal \| target \| src \| observer ).file.pdf_info.startxref`
PDF 情報 3 バイト以上で表現された色の数（CVE-2009-3459）	`( principal \| target \| src \| observer ).file.pdf_info.suspicious_colors`
PDF 情報予告編のキーワードの数	`( principal \| target \| src \| observer ).file.pdf_info.trailer`
PDF 情報見つかった /XFA タグの数	`( principal \| target \| src \| observer ).file.pdf_info.xfa`
PDF 情報 xref キーワードの数	`( principal \| target \| src \| observer ).file.pdf_info.xref`
PE ファイルのメタデータ	`( principal \| target \| src \| observer ).file.pe_file`
PE ファイルのメタデータ Imphash	`( principal \| target \| src \| observer ).file.pe_file.imphash`
PE ファイルのメタデータエントリポイント	`( principal \| target \| src \| observer ).file.pe_file.entry_point`
PE ファイルのメタデータエントリポイントの exitfool	`( principal \| target \| src \| observer ).file.pe_file.entry_point_exiftool`
PE ファイルのメタデータコンパイル時間	`( principal \| target \| src \| observer ).file.pe_file.compilation_time`
PE ファイルのメタデータ exiftool のコンパイル時間	`( principal \| target \| src \| observer ).file.pe_file.compilation_exiftool_time`
PE ファイルのメタデータセクション	`( principal \| target \| src \| observer ).file.pe_file.section`
PE ファイルのメタデータセクション名前	`( principal \| target \| src \| observer ).file.pe_file.section.name`
PE ファイルのメタデータセクションエントロピー	`( principal \| target \| src \| observer ).file.pe_file.section.entropy`
PE ファイルのメタデータセクション元のサイズ（バイト単位）	`( principal \| target \| src \| observer ).file.pe_file.section.raw_size_bytes`
PE ファイルのメタデータセクション仮想サイズ（バイト単位）	`( principal \| target \| src \| observer ).file.pe_file.section.virtual_size_bytes`
PE ファイルのメタデータセクション MD5 16 進数	`( principal \| target \| src \| observer ).file.pe_file.section.md5_hex`
PE ファイルのメタデータインポート	`( principal \| target \| src \| observer ).file.pe_file.imports`
PE ファイルのメタデータインポートライブラリ	`( principal \| target \| src \| observer ).file.pe_file.imports.library`
PE ファイルのメタデータインポート関数	`( principal \| target \| src \| observer ).file.pe_file.imports.functions`
PE ファイルのメタデータリソースの情報	`( principal \| target \| src \| observer ).file.pe_file.resource`
PE ファイルのメタデータリソースの情報 SHA-256 16 進数	`( principal \| target \| src \| observer ).file.pe_file.resource.sha256_hex`
PE ファイルのメタデータリソースの情報マジック Python モジュールで識別されるリソースタイプ	`( principal \| target \| src \| observer ).file.pe_file.resource.filetype_magic`
PE ファイルのメタデータリソースの情報 Windows PE 仕様で定義されている、言語とサブ言語の人が読める識別子のバージョン	`( principal \| target \| src \| observer ).file.pe_file.resource_language_code`
PE ファイルのメタデータリソースの情報エントロピー	`( principal \| target \| src \| observer ).file.pe_file.resource.entropy`
PE ファイルのメタデータリソースの情報ファイル形式	`( principal \| target \| src \| observer ).file.pe_file.resource.file_type`
PE ファイルのメタデータリソースタイプ別のリソース数	`( principal \| target \| src \| observer ).file.pe_file.resources_type_count_str`
PE ファイルのメタデータ言語別のリソース数	`( principal \| target \| src \| observer ).file.pe_file.resources_language_count_str`

Google Security Operations がイベントとエンティティ データを拡充する方法

エンティティ グラフを使用してマージし、エンティティを拡充する

普及率の統計情報を計算する

エンティティの最初と最後の検出時刻を計算する

位置情報データを使用してイベントを拡充する

不整合

セーフ ブラウジングの脅威リストの情報を使用してエンティティを拡充する

WHOIS データを使用してエンティティを拡充する

Google Cloud の脅威インテリジェンス データを取り込んで保存する

時間指定された対時間制限のない Google Cloud Threat Intelligence データソース

Tor 出口ノードの IP アドレスに関するデータ

良性のオペレーティング システム ファイルに関するデータ

リモート アクセス ツールに関するデータ

VirusTotal ファイルのメタデータを使用してイベントを拡充する

VirusTotal の関係データを使用してエンティティを拡充する

次のステップ

Google Security Operations がイベントとエンティティデータを拡充する方法

エンティティグラフを使用してマージし、エンティティを拡充する

セーフブラウジングの脅威リストの情報を使用してエンティティを拡充する

Google Cloud の脅威インテリジェンスデータを取り込んで保存する

良性のオペレーティングシステムファイルに関するデータ

リモートアクセスツールに関するデータ