Chronicle がイベントとエンティティデータを拡充する方法

このドキュメントでは、Chronicle がデータを拡充する方法と、データが格納される Unified Data Model（UDM）フィールドについて説明します。

セキュリティ調査を可能にするために、Chronicle はさまざまなソースからコンテキストデータを取り込み、データの分析を行い、お客様の環境内のアーティファクトに関する追加のコンテキストを提供します。アナリストは、Detection Engine ルール、調査検索、レポートで、コンテキストに基づくデータを使用できます。

Chronicle は、次の種類の拡充を行います。

エンティティグラフを使用してマージを行い、エンティティを拡充します。
各エンティティを計算し、環境内の人気度を示す普及率の統計情報を拡充します。
特定のエンティティタイプが環境で初めて確認された時刻または直近の時刻を計算します。
セーフブラウジングの脅威リストの情報を使用してエンティティを拡充します。
位置情報データを使用してイベントを拡充します。
WHOIS データを使用してエンティティを拡充します。
VirusTotal ファイルのメタデータを使用してイベントを拡充します。
VirusTotal 関係データを使用してエンティティを拡充します。
Google Cloud の Threat Intelligence データを取り込み、保存します。

WHOIS、セーフブラウジング、GCTI の Threat Intelligence、VirusTotal メタデータ、VirusTotal 関係の拡充されたデータは、event_type、product_name、vendor_name で識別されます。この拡充データを使用するルールを作成する場合は、含める特定の拡充タイプを識別するフィルタをルールに含めることをおすすめします。このフィルタによって、ルールのパフォーマンスを向上させます。たとえば、WHOIS データを結合するルールの events セクションに、次のフィルタフィールドを含めます。

$enrichment.graph.metadata.entity_type = "DOMAIN_NAME"
$enrichment.graph.metadata.product_name = "WHOISXMLAPI Simple Whois"
$enrichment.graph.metadata.vendor_name = "WHOIS"

エンティティグラフを使用してマージし、エンティティを拡充する

エンティティグラフでは、環境内のエンティティとリソースの関係を識別します。さまざまなソースのエンティティが Chronicle に取り込まれると、エンティティグラフはエンティティ間の関係に基づいて隣接リストを保持します。エンティティグラフでは、重複除去とマージを実行してコンテキストの拡充を行います。

重複除去では、冗長データが除去され、共通のエンティティを作成するために間隔が形成されます。たとえば、タイムスタンプ t1 と t2 を持つ 2 つのエンティティ e1 と e2 について考えてみます。e1 と e2 のエンティティは重複が除去され、異なるタイムスタンプは重複除去時に使用されません。次のフィールドは重複除去中には使用されません。

collected_timestamp
creation_timestamp
interval

マージ中は、1 日の時間間隔でエンティティ間の関係が形成されます。たとえば、Cloud Storage バケットにアクセスできる user A のエンティティレコードについて考えてみましょう。デバイスを所有する user A の別のエンティティレコードがあります。これら 2 つのエンティティがマージされると、2 つの関係を持つ単一のエンティティ user A が生成されます。1 つの関係は user A が Cloud Storage バケットにアクセスでき、もう 1 つの関係は user A がデバイスを所有していることです。Chronicle は、エンティティコンテキストデータの作成時に 5 日間のルックバックを実行します。これにより、遅れて到着するデータが処理され、エンティティコンテキストデータの暗黙的な有効期間が作成されます。

Chronicle は、エイリアスを使用してテレメトリーデータを拡充し、エンティティグラフを使用してエンティティを拡充します。検出エンジンのルールは、マージされたエンティティを拡充されたテレメトリーデータと結合して、コンテキストアウェア分析を提供します。

エンティティ名詞を含むイベントはエンティティとみなされます。イベントタイプと対応するエンティティタイプは次のとおりです。

ASSET_CONTEXT は ASSET に対応しています。
RESOURCE_CONTEXT は RESOURCE に対応しています。
USER_CONTEXT は USER に対応しています。
GROUP_CONTEXT は GROUP に対応しています。

エンティティグラフは、脅威情報を使用してコンテキストデータとセキュリティ侵害インジケーター（IOC）を区別します。

コンテキスト拡充されたデータを使用する場合は、次のエンティティグラフの動作を考慮してください。

エンティティに間隔を追加するのではなく、エンティティグラフに間隔を作成させます。これは、特に指定しない限り、重複除去中に間隔が生成されるためです。
間隔を指定すると、同じイベントのみが重複除去され、最新のエンティティが保持されます。
ライブルールと RetroHunt が想定どおりに機能するように、エンティティを少なくとも 1 日に 1 回取り込む必要があります。
エンティティが毎日取り込まれず、2 日以上に 1 回だけ取り込まれると、ライブルールは想定どおりに機能しますが、RetroHunt はイベントのコンテキストを失います。
エンティティが 1 日に複数回取り込まれると、そのエンティティは 1 つのエンティティに重複除去されます。
1 日のうちにイベントデータがない場合、ライブルールが正常に機能するよう、前日のデータが一時的に使用されます。

エンティティグラフでも類似した識別子を持つイベントがマージされ、データの統合ビューが取得されます。このマージは、次の識別子リストに基づいて行われます。

Asset
- entity.asset.product_object_id
- entity.asset.hostname
- entity.asset.asset_id
- entity.asset.mac
User
- entity.user.product_object_id
- entity.user.userid
- entity.user.windows_sid
- entity.user.email_addresses
- entity.user.employee_id
Resource
- entity.resource.product_object_id
- entity.resource.name
Group
- entity.group.product_object_id
- entity.group.email_addresses
- entity.group.windows_sid

普及率の統計情報を計算する

Chronicle は、既存のデータと受信データに対して統計分析を実行し、普及率に関連する指標でエンティティに関連するレコードを拡充します。

普及率は、エンティティの人気度を示す数値です。人気度は、ドメイン、ファイルハッシュ、IP アドレスなどのアーティファクトにアクセスするアセットの数によって決まります。数値が大きいほど、エンティティの普及率は高くなります。たとえば、google.com はアクセス頻度が高いため、普及率の値が高くなっています。ドメインへのアクセス頻度が低い場合、普及率は低くなります。より人気の高いなエンティティは通常、悪意がある可能性が低くなります。

これらの拡充された値は、ドメイン、IP、ファイル（ハッシュ）でサポートされています。値が計算され、次のフィールドに保存されます。

各エンティティの罹患率の統計情報は毎日更新されます。値は、別のエンティティコンテキストに保存され、Detection Engine で使用できますが、Chronicle の調査ビューと UDM 検索には表示されません。

検出エンジンのルールの作成時に、次のフィールドを使用できます。

エンティティタイプ	UDM フィールド
ドメイン	`entity.domain.prevalence.day_count` `entity.domain.prevalence.day_max` `entity.domain.prevalence.day_max_sub_domains` `entity.domain.prevalence.rolling_max` `entity.domain.prevalence.rolling_max_sub_domains`
ファイル（ハッシュ）	`entity.file.prevalence.day_count` `entity.file.prevalence.day_max` `entity.file.prevalence.rolling_max`
IP アドレス	`entity.artifact.prevalence.day_count` `entity.artifact.prevalence.day_max` `entity.artifact.prevalence.rolling_max`

day_max と rolling_max の値は、異なる方法で計算されます。フィールドは次のように計算されます。

day_max は、アーティファクトの 1 日における最大普及率として計算されます。ここで、1 日は UTC の午前 12 時 00 分 00 秒～午後 11 時 59 分 59 秒として定義されます。
rolling_max は、過去 10 日間のアーティファクトの 1 日あたりの普及率スコアの最大値（day_max）として計算されます。
day_count は rolling_max の計算に使用されます。値は常に 10 です。

ドメインに対して計算される場合、day_max と day_max_sub_domains の違い（および rolling_max と rolling_max_sub_domains）の違いは次のようになります。

rolling_max と day_max は、特定のドメイン（サブドメインを除く）にアクセスする 1 日あたりの一意の内部 IP アドレスの数を表します。
rolling_max_sub_domains と day_max_sub_domains は、特定のドメイン（サブドメインを含む）にアクセスする一意の内部 IP アドレスの数を表します。

普及率の統計情報は、新しく取り込まれたエンティティデータに対して計算されます。計算は、以前に取り込まれたデータに対して過去にさかのぼって実行されません。統計情報の計算と保存には約 36 時間かかります。

エンティティの最初と最後の検出時刻を計算する

Chronicle は、受信したデータの統計分析を実行し、エンティティの最初と最後の検出時刻でエンティティコンテキストレコードを拡充します。first_seen_time フィールドには、お客様の環境でエンティティが最初に確認された日時が格納されます。last_seen_time フィールドには、最新の観測の日時が格納されます。

複数のインジケーター（UDM フィールド）でアセットやユーザーを識別できるため、ユーザーや環境を識別するインジケーターが初めてお客様の環境で検知された時刻になります。

アセットを記述するすべての UDM フィールドは次のとおりです。

entity.asset.hostname
entity.asset.ip
entity.asset.mac
entity.asset.asset_id
entity.asset.product_object_id

ユーザーを記述するすべての UDM フィールドは次のとおりです。

entity.user.windows_sid
entity.user.product_object_id
entity.user.userid
entity.user.employee_id
entity.user.email_addresses

最初の検出時刻と最後の検出時刻により、アナリストはドメイン、ファイル（ハッシュ）、アセット、ユーザー、または IP アドレスが最初に確認された後に発生した特定のアクティビティ、またはドメイン、ファイル（ハッシュ）、または IP アドレスが最後に確認された後に発生が止まった特定のアクティビティを関連付けることができます。

first_seen_time フィールドと last_seen_time フィールドには、ドメイン、IP アドレス、ファイル（ハッシュ）を記述するエンティティが入力されます。ユーザーまたはアセットを記述するエンティティの場合、first_seen_time フィールドのみが入力されます。これらの値は、グループやリソースなど、他のタイプを記述するエンティティでは計算されません。

統計情報は、すべての名前空間のエンティティごとに計算されます。Chronicle は、個々の名前空間内の各エンティティの統計情報は計算しません。これらの統計情報は現在、BigQuery の Chronicle events スキーマにエクスポートされていません。

拡充された値は計算され、次の UDM フィールドに格納されます。

エンティティタイプ	UDM フィールド
ドメイン	`entity.domain.first_seen_time` `entity.domain.last_seen_time`
ファイル（ハッシュ）	`entity.file.first_seen_time` `entity.file.last_seen_time`
IP アドレス	`entity.artifact.first_seen_time` `entity.artifact.last_seen_time`
アセット	`entity.asset.first_seen_time`
ユーザー	`entity.user.first_seen_time`

位置情報データを使用してイベントを拡充する

受信ログデータには、対応する位置情報のない外部 IP アドレスが含まれる場合があります。これは、イベントがエンタープライズネットワークに存在しないデバイスアクティビティに関する情報をロギングしている場合によく発生します。たとえば、クラウドサービスへのログインイベントには、キャリア NAT によって返されたデバイスの外部 IP アドレスに基づくソース IP アドレスやクライアント IP アドレスが含まれます。

Chronicle は、外部 IP アドレスに対して位置情報を拡充したデータを提供し、より強力なルール検出と調査のためのより多くのコンテキストを提供します。たとえば、Chronicle は外部 IP アドレスを使用して、国（米国など）、特定の州（アラスカなど）、IP アドレスが存在するネットワーク（ASN や携帯通信会社名など）に関する情報でイベントを拡充できます。

Chronicle は、Google が提供する位置情報を使用して、IP アドレスのおおよその地理的位置とネットワーク情報を提供します。イベント内のこれらのフィールドに対して、検知エンジンルールを作成できます。拡張されたイベントデータは BigQuery にもエクスポートされ、Chronicle のダッシュボードとレポートで使用できます。

次の IP アドレスは拡充されません。

RFC 1918 プライベート IP アドレス空間。エンタープライズネットワークの内部にあるため。
RFC 5771 のマルチキャスト IP アドレス空間。マルチキャストアドレスは単一のロケーションに属していないため。
IPv6 の一意のローカルアドレス。
Google Cloud サービスの IP アドレス。例外は、拡充された Google Cloud Compute Engine の外部 IP アドレスです。

Chronicle は、位置情報データを使用して次の UDM フィールドを拡充します。

principal
target
src
observer

データの種類	UDM フィールド
ロケーション（米国など）	`( principal \| target \| src \| observer ).ip_geo_artifact.location.country_or_region`
州（例: ニューヨーク）	`( principal \| target \| src \| observer ).ip_geo_artifact.location.state`
Longitude	`( principal \| target \| src \| observer ).ip_geo_artifact.location.region_coordinates.longitude`
Latitude	`( principal \| target \| src \| observer ).ip_geo_artifact.location.region_coordinates.latitude`
ASN（自律システム番号）	`( principal \| target \| src \| observer ).ip_geo_artifact.network.asn`
配送業者名	`( principal \| target \| src \| observer ).ip_geo_artifact.network.carrier_name`
DNS ドメイン	`( principal \| target \| src \| observer ).ip_geo_artifact.network.dns_domain`
組織名	`( principal \| target \| src \| observer ).ip_geo_artifact.network.organization_name`

次の例は、IP アドレスがオランダでタグ付けされた UDM イベントに追加される地理情報のタイプを示しています。

UDM フィールド	値
`principal.ip_geo_artifact.location.country_or_region`	`Netherlands`
`principal.ip_geo_artifact.location.region_coordinates.latitude`	`52.132633`
`principal.ip_geo_artifact.location.region_coordinates.longitude`	`5.291266`
`principal.ip_geo_artifact.network.asn`	`8455`
`principal.ip_geo_artifact.network.carrier_name`	`schuberg philis`

不整合

Google 独自の IP 位置情報技術では、ネットワークデータと他の入力および方法を組み合わせて、IP アドレスの場所とネットワーク解決をユーザーに提供します。他の組織とはシグナルや方法が異なるため、結果が異なる場合があります。

Google が提供する IP 位置情報の結果に不整合が発生した場合は、カスタマーサポートケースを開いてください。Google で調査を進め、必要に応じて今後修正します。

セーフブラウジングの脅威リストの情報を使用してエンティティを拡充する

Chronicle が、ファイルハッシュに関連するデータをセーフブラウジングから取り込みます。各ファイルのデータは 1 つのエンティティとして保存され、ファイルに関する追加コンテキストを提供します。アナリストは、このエンティティコンテキストデータをクエリしてコンテキストアウェア分析を構築するための Detection Engine ルールを作成できます。

次の情報は、エンティティコンテキストレコードと一緒に保存されます。

UDM フィールド	説明
`entity.metadata.product_entity_id`	エンティティの一意の識別子。
`entity.metadata.entity_type`	この値は `FILE` で、エンティティがファイルを表していることを示します。
`entity.metadata.collected_timestamp`	エンティティが確認された日時、またはイベントが発生した日時。
`entity.metadata.interval`	このデータが有効である開始時間と終了時間を保存します。脅威リストのコンテンツは時間の経過とともに変化するため、`start_time` と `end_time` はエンティティに関するデータが有効である時間間隔を反映します。たとえば、`start_time and end_time.` の間にファイルハッシュに悪意があるか、または疑わしいことが確認されました。
`entity.metadata.threat.category`	これは Chronicle `SecurityCategory` です。これは、次のいずれかの値に設定されます。 `SOFTWARE_MALICIOUS`: 脅威がマルウェアに関連することを示します。 `SOFTWARE_PUA`: 脅威が望ましくないソフトウェアに関連していることを示します。
`entity.metadata.threat.severity`	これは Chronicle `ProductSeverity` です。値が `CRITICAL` の場合、アーティファクトに悪意があることを示します。値が指定されていない場合、アーティファクトに悪意があることを示す十分な信頼性がありません。
`entity.metadata.product_name`	値 `Google Safe Browsing` を保存します。
`entity.file.sha256`	ファイルの SHA256 ハッシュ値。

WHOIS データを使用してエンティティを拡充する

Chronicle は毎日 WHOIS データの取り込みを行います。お客様のデバイスデータの取り込み中に、Chronicle は顧客データのドメインを WHOIS データに対して評価します。一致する場合、Chronicle は関連する WHOIS データをドメインのエンティティレコードに保存します。エンティティごとに（この場合は entity.metadata.entity_type = DOMAIN_NAME）、Chronicle は WHOIS からの情報の拡充を行います。

Chronicle が、エンティティレコードの次のフィールドに WHOIS 拡充データを入力します。

entity.domain.admin.attribute.labels
entity.domain.audit_update_time
entity.domain.billing.attribute.labels
entity.domain.billing.office_address.country_or_region
entity.domain.contact_email
entity.domain.creation_time
entity.domain.expiration_time
entity.domain.iana_registrar_id
entity.domain.name_server
entity.domain.private_registration
entity.domain.registrant.company_name
entity.domain.registrant.office_address.state
entity.domain.registrant.office_address.country_or_region
entity.domain.registrant.email_addresses
entity.domain.registrant.user_display_name
entity.domain.registrar
entity.domain.registry_data_raw_text
entity.domain.status
entity.domain.tech.attribute.labels
entity.domain.update_time
entity.domain.whois_record_raw_text
entity.domain.whois_server
entity.domain.zone

これらのフィールドの説明については、統合データモデルのフィールドリストのドキュメントをご覧ください。

Google Cloud の Threat Intelligence データを取り込み、保存する

Chronicle は、Google Cloud Threat Intelligence（GCTI）データソースからデータを取り込み、環境内のアクティビティを調査する際に使用できるコンテキスト情報を提供します。次のデータソースに対してクエリを実行できます。

GCTI Tor 出口ノード: 既知の Tor 出口ノード。
GCTI Benign Binaries: オペレーティングシステムの元のディストリビューションの一部であるか、公式のオペレーティングシステムのパッチによって更新されたファイル。最初のエントリベクトルに焦点を当てているものなど、環境寄生型攻撃に一般的に見られる攻撃を通じて悪用された一部の公式のオペレーティングシステムのバイナリは、このデータソースから除外されます。
GCTI リモートアクセスツール: 悪意のあるアクターが頻繁に使用するファイル通常、これらのツールは正規のアプリケーションであり、悪用されて不正使用されたシステムにリモートで接続されることがあります。

このコンテキストデータはエンティティとしてグローバルに保存されます。検出エンジンのルールを使用してデータをクエリできます。これらのグローバルエンティティに対してクエリを実行するには、ルールに次の UDM フィールドと値を含めます。
graph.metadata.vendor_name = Google Cloud Threat Intelligence
graph.metadata.product_name = GCTI Feed

このドキュメントでは、プレースホルダ <variable_name> は、UDM レコードを特定するルールで使用される一意の変数名を表します。

時間指定された対時間制限のない Google Cloud の Threat Intelligence データソース

Google Cloud の Threat Intelligence のデータソースは、時間指定または時間制限のないのいずれかです。

時間指定データソースには、各エントリに関連付けられた時間範囲があります。つまり、1 日目に検出が生成された場合、その後の任意の日には、同じ検出が　Retro Hunt 中に 1 日目のために生成されると想定されます。

時間制限のないデータソースには、時間範囲が関連付けられていません。これは、最新のデータセットのみが考慮すべきものであるためです。時間制限のないデータソースは、変更されることが想定されていないファイルハッシュなどのデータに頻繁に使用されます。1 日目に検出が生成されない場合、2 日目には新しいエントリが追加されたため、Retro Hunt 中に 1 日目のために検出が生成される場合があります。

Tor 出口ノードの IP アドレスに関するデータ

Chronicle は、Tor 出口ノードと呼ばれる IP アドレスを取り込み、保存します。Tor 出口ノードは、Tor ネットワークからトラフィックが送信されるポイントです。このデータソースから取り込まれた情報は、次の UDM フィールドに格納されます。このソースのデータは時間指定されています。

UDM フィールド	説明
`<variable_name>.graph.metadata.vendor_name`	値 `Google Cloud Threat Intelligence` を保存します。
`<variable_name>.graph.metadata.product_name`	値 `GCTI Feed` を保存します。
`<variable_name>.graph.metadata.threat.threat_feed_name`	値 `Tor Exit Nodes` を保存します。
`<variable_name>.graph.entity.artifact.ip`	GCTI データソースから取り込まれた IP アドレスを保存します。

無害なオペレーティングシステムファイルに関するデータ

Chronicle は、GCTI Benign Binaries データソースからファイルハッシュを取り込んで保存します。このデータソースから取り込まれた情報は、次の UDM フィールドに格納されます。このソースのデータは時間制限がありません。

UDM フィールド	説明
`<variable_name>.graph.metadata.vendor_name`	値 `Google Cloud Threat Intelligence` を保存します。
`<variable_name>.graph.metadata.product_name`	値 `GCTI Feed` を保存します。
`<variable_name>.graph.metadata.threat.threat_feed_name`	値 `Benign Binaries` を保存します。
`<variable_name>.graph.entity.file.sha256`	ファイルの SHA256 ハッシュ値を保存します。
`<variable_name>.graph.entity.file.sha1`	ファイルの SHA1 ハッシュ値を保存します。
`<variable_name>.graph.entity.file.md5`	ファイルの MD5 ハッシュ値を保存します。

リモートアクセスツールに関するデータ

リモートアクセスツールには、悪意のあるアクターによって頻繁に使用される、VNC クライアントなどの既知のリモートアクセスツールのファイルハッシュが含まれています。通常、これらのツールは正規のアプリケーションであり、悪用されて不正使用されたシステムにリモートで接続されることがあります。このデータソースから取り込まれた情報は、次の UDM フィールドに格納されます。このソースのデータは時間制限がありません。

UDM フィールド	説明
.graph.metadata.vendor_name	値 `Google Cloud Threat Intelligence` を保存します。
.graph.metadata.product_name	値 `GCTI Feed` を保存します。
.graph.metadata.threat.threat_feed_name	値 `Remote Access Tools` を保存します。
.graph.entity.file.sha256	ファイルの SHA256 ハッシュ値を保存します。
.graph.entity.file.sha1	ファイルの SHA1 ハッシュ値を保存します。
.graph.entity.file.md5	ファイルの MD5 ハッシュ値を保存します。

VirusTotal ファイルのメタデータを使用してイベントを拡充する

Chronicle は、ファイルハッシュを UDM イベントに拡充し、調査中に追加のコンテキストを提供します。UDM イベントは、お客様の環境でハッシュエイリアスを使用して拡充されます。ハッシュエイリアスは、あらゆるタイプのファイルハッシュを組み合わせて、検索中にファイルハッシュに関する情報を提供します。

VirusTotal ファイルのメタデータと Chronicle の統合関係により、悪意のあるアクティビティのパターンを特定し、ネットワーク全体でのマルウェアの動きを追跡できます。

未加工ログは、ファイルに関する限定的な情報を提供します。VirusTotal は、ファイルのメタデータでイベントを拡充し、不正なハッシュのダンプと不正なファイルに関するメタデータを提供します。メタデータには、ファイル名、型、インポートされた関数、タグなどの情報が含まれます。YARA-L を使用して UDM の検索エンジンと検出エンジンでこの情報を使用すると、不適切なファイルイベントを把握できます。ユースケースの一例は、元のファイルに対する変更を検出し、それによって脅威検出のためにファイルのメタデータをインポートすることです。

次の情報がレコードと一緒に保存されます。すべての有効な UDM フィールドの一覧については、統合データモデルのフィールドリストをご覧ください。

データの種類	UDM フィールド
SHA-256	`( principal \| target \| src \| observer ).file.sha256`
MD5	`( principal \| target \| src \| observer ).file.md5`
SHA-1	`( principal \| target \| src \| observer ).file.sha1`
サイズ	`( principal \| target \| src \| observer ).file.size`
ssdeep	`( principal \| target \| src \| observer ).file.ssdeep`
vhash	`( principal \| target \| src \| observer ).file.vhash`
authentihash	`( principal \| target \| src \| observer ).file.authentihash`
ファイル形式	`( principal \| target \| src \| observer ).file.file_type`
タグ	`( principal \| target \| src \| observer ).file.tags`
機能タグ	`( principal \| target \| src \| observer ).file.capabilities_tags`
名前	`( principal \| target \| src \| observer ).file.names`
初回検知時刻	`( principal \| target \| src \| observer ).file.first_seen_time`
最終検知時刻	`( principal \| target \| src \| observer ).file.last_seen_time`
前回の変更日時	`( principal \| target \| src \| observer ).file.last_modification_time`
最終分析時刻	`( principal \| target \| src \| observer ).file.last_analysis_time`
埋め込み URL	`( principal \| target \| src \| observer ).file.embedded_urls`
埋め込み IP	`( principal \| target \| src \| observer ).file.embedded_ips`
埋め込みドメイン	`( principal \| target \| src \| observer ).file.embedded_domains`
署名情報	`( principal \| target \| src \| observer ).file.signature_info`
署名情報 Sigcheck	`( principal \| target \| src \| observer).file.signature_info.sigcheck`
署名情報 Sigcheck 確認メッセージ	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.verification_message`
署名情報 Sigcheck 確認済み	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.verified`
署名情報 Sigcheck 署名者	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.signers`
署名情報 Sigcheck 署名者名前	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.signers.name`
署名情報 Sigcheck 署名者ステータス	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.signers.status`
署名情報 Sigcheck 署名者証明書の有効な使用方法	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.signers.valid_usage`
署名情報 Sigcheck 署名者認証局	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.signers.cert_issuer`
署名情報 Sigcheck X509	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.x509`
署名情報 Sigcheck X509 名前	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.x509.name`
署名情報 Sigcheck X509 アルゴリズム	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.x509.algorithm`
署名情報 Sigcheck X509 サムプリント	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.x509.thumprint`
署名情報 Sigcheck X509 認証局	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.x509.cert_issuer`
署名情報 Sigcheck X509 シリアル番号	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.x509.serial_number`
署名情報 Codesign	`( principal \| target \| src \| observer ).file.signature_info.codesign`
署名情報 Codesign ID	`( principal \| target \| src \| observer ).file.signature_info.codesign.id`
署名情報 Codesign 形式	`( principal \| target \| src \| observer ).file.signature_info.codesign.format`
署名情報 Codesign コンパイル時間	`( principal \| target \| src \| observer ).file.signature_info.codesign.compilation_time`
Exiftool の情報	`( principal \| target \| src \| observer ).file.exif_info`
Exiftool の情報オリジナルファイル名	`( principal \| target \| src \| observer ).file.exif_info.original_file`
Exiftool の情報製品名	`( principal \| target \| src \| observer ).file.exif_info.product`
Exiftool の情報会社名	`( principal \| target \| src \| observer ).file.exif_info.company`
Exiftool の情報ファイルの説明	`( principal \| target \| src \| observer ).file.exif_info.file_description`
Exiftool の情報エントリポイント	`( principal \| target \| src \| observer ).file.exif_info.entry_point`
Exiftool の情報コンパイル時間	`( principal \| target \| src \| observer ).file.exif_info.compilation_time`
PDF の情報	`( principal \| target \| src \| observer ).file.pdf_info`
PDF の情報 /JS タグの数	`( principal \| target \| src \| observer ).file.pdf_info.js`
PDF の情報 /JavaScript タグの数	`( principal \| target \| src \| observer ).file.pdf_info.javascript`
PDF の情報 /Launch タグの数	`( principal \| target \| src \| observer ).file.pdf_info.launch_action_count`
PDF の情報オブジェクトストリームの数	`( principal \| target \| src \| observer ).file.pdf_info.object_stream_count`
PDF の情報オブジェクト定義の数（endobj キーワード）	`( principal \| target \| src \| observer ).file.pdf_info.endobj_count`
PDF の情報 PDF のバージョン	`( principal \| target \| src \| observer ).file.pdf_info.header`
PDF の情報 /AcroForm タグの数	`( principal \| target \| src \| observer ).file.pdf_info.acroform`
PDF の情報 /AA タグの数	`( principal \| target \| src \| observer ).file.pdf_info.autoaction`
PDF の情報 /EmbeddedFile タグの数	`( principal \| target \| src \| observer ).file.pdf_info.embedded_file`
PDF の情報 /Encrypt タグ	`( principal \| target \| src \| observer ).file.pdf_info.encrypted`
PDF の情報 /RichMedia タグの数	`( principal \| target \| src \| observer ).file.pdf_info.flash`
PDF の情報 /JBIG2Decode タグの数	`( principal \| target \| src \| observer ).file.pdf_info.jbig2_compression`
PDF の情報オブジェクト定義の数（obj キーワード）	`( principal \| target \| src \| observer ).file.pdf_info.obj_count`
PDF の情報定義されたストリームオブジェクトの数（ストリームキーワード）	`( principal \| target \| src \| observer ).file.pdf_info.endstream_count`
PDF の情報 PDF のページ数	`( principal \| target \| src \| observer ).file.pdf_info.page_count`
PDF の情報定義されたストリームオブジェクトの数（ストリームキーワード）	`( principal \| target \| src \| observer ).file.pdf_info.stream_count`
PDF の情報 /OpenAction タグの数	`( principal \| target \| src \| observer ).file.pdf_info.openaction`
PDF の情報 startxref キーワードの数	`( principal \| target \| src \| observer ).file.pdf_info.startxref`
PDF の情報 3 バイト以上で表現された色の数（CVE-2009-3459）	`( principal \| target \| src \| observer ).file.pdf_info.suspicious_colors`
PDF の情報トレーラーキーワードの数	`( principal \| target \| src \| observer ).file.pdf_info.trailer`
PDF の情報見つかった /XFA タグの数	`( principal \| target \| src \| observer ).file.pdf_info.xfa`
PDF の情報 xref キーワードの数	`( principal \| target \| src \| observer ).file.pdf_info.xref`
PE ファイルのメタデータ	`( principal \| target \| src \| observer ).file.pe_file`
PE ファイルメタデータ Imphash	`( principal \| target \| src \| observer ).file.pe_file.imphash`
PE ファイルメタデータエントリポイント	`( principal \| target \| src \| observer ).file.pe_file.entry_point`
PE ファイルメタデータエントリポイントの exitfool	`( principal \| target \| src \| observer ).file.pe_file.entry_point_exiftool`
PE ファイルメタデータコンパイル時間	`( principal \| target \| src \| observer ).file.pe_file.compilation_time`
PE ファイルメタデータコンパイルの exiftool の時間	`( principal \| target \| src \| observer ).file.pe_file.compilation_exiftool_time`
PE ファイルメタデータセクション	`( principal \| target \| src \| observer ).file.pe_file.section`
PE ファイルメタデータセクション名前	`( principal \| target \| src \| observer ).file.pe_file.section.name`
PE ファイルメタデータセクションエントロピー	`( principal \| target \| src \| observer ).file.pe_file.section.entropy`
PE ファイルメタデータセクション未加工のサイズ（バイト単位）	`( principal \| target \| src \| observer ).file.pe_file.section.raw_size_bytes`
PE ファイルメタデータセクション仮想サイズ（バイト単位）	`( principal \| target \| src \| observer ).file.pe_file.section.virtual_size_bytes`
PE ファイルメタデータセクション MD5 16 進数	`( principal \| target \| src \| observer ).file.pe_file.section.md5_hex`
PE ファイルメタデータインポート	`( principal \| target \| src \| observer ).file.pe_file.imports`
PE ファイルメタデータインポートライブラリ	`( principal \| target \| src \| observer ).file.pe_file.imports.library`
PE ファイルメタデータインポート関数	`( principal \| target \| src \| observer ).file.pe_file.imports.functions`
PE ファイルメタデータリソースの情報	`( principal \| target \| src \| observer ).file.pe_file.resource`
PE ファイルメタデータリソースの情報 SHA-256 16 進数	`( principal \| target \| src \| observer ).file.pe_file.resource.sha256_hex`
PE ファイルメタデータリソースの情報マジック Python モジュールで識別されるリソースタイプ	`( principal \| target \| src \| observer ).file.pe_file.resource.filetype_magic`
PE ファイルメタデータリソースの情報 Windows PE 仕様で定義されている、言語とサブ言語の人が読める識別子のバージョン	`( principal \| target \| src \| observer ).file.pe_file.resource_language_code`
PE ファイルメタデータリソースの情報エントロピー	`( principal \| target \| src \| observer ).file.pe_file.resource.entropy`
PE ファイルメタデータリソースの情報ファイル形式	`( principal \| target \| src \| observer ).file.pe_file.resource.file_type`
PE ファイルメタデータリソースタイプごとのリソース数	`( principal \| target \| src \| observer ).file.pe_file.resources_type_count_str`
PE ファイルメタデータ言語別のリソース数	`( principal \| target \| src \| observer ).file.pe_file.resources_language_count_str`

VirusTotal の関係データを使用してエンティティを拡充する

VirusTotal を使用して、不審なファイル、ドメイン、IP アドレス、URL を分析し、マルウェアやその他の侵害を検出し、その結果をセキュリティコミュニティと共有します。Chronicle が VirusTotal 関連の接続からデータを取り込みます。このデータはエンティティとして保存され、ファイルのハッシュとファイル、ドメイン、IP アドレス、URL の関係に関する情報を提供します。

アナリストは、このデータを使用して、他のソースからの URL またはドメインに関する情報に基づいてファイルのハッシュが不正かどうかを判断できます。この情報を使用して、エンティティコンテキストデータをクエリし、コンテキストに応じた分析を構築するための Detection Engine ルールを作成できます。

このデータは、特定の VirusTotal と Chronicle のライセンスでのみご利用いただけます。アカウントマネージャーと一緒に利用資格を確認してください。

次の情報は、エンティティコンテキストレコードと一緒に保存されます。

UDM フィールド	説明
`entity.metadata.product_entity_id`	エンティティの一意の識別子
`entity.metadata.entity_type`	エンティティがファイルを記述していることを示す値 `FILE` を保存します。
`entity.metadata.interval`	`start_time` は開始時刻であり、`end_time` はこのデータが有効である終了時刻です。
`entity.metadata.source_labels`	このフィールドには、このエンティティの `source_id` と `target_id` の Key-Value ペアのリストが格納されます。`source_id` はファイルのハッシュで、`target_id` はこのファイルが関連付けられている URL、ドメイン名、IP アドレスのハッシュまたは値です。URL、ドメイン名、IP アドレス、またはファイルは、virustotal.com で検索できます。
`entity.metadata.product_name`	値「VirusTotal Relationships」を保存します。
`entity.metadata.vendor_name`	値「VirusTotal」を保存します。
`entity.file.sha256`	ファイルの SHA-256 ハッシュ値を保存します。
`entity.file.relations`	親ファイルエンティティが関連付けられている子エンティティのリスト
`entity.relations.relationship`	このフィールドでは、親エンティティと子エンティティの間の関係の種類について説明します。値は、`EXECUTES`、`DOWNLOADED_FROM`、`CONTACTS` のいずれかです。
`entity.relations.direction`	値「UNIDIRECTIONAL」を格納し、子エンティティとの関係の方向を示します。
`entity.relations.entity.url`	親エンティティ内のファイルが接続する URL（親エンティティと URL の関係が `CONTACTS` の場合）、または親エンティティがダウンロードされた URL（親エンティティと URL 間の関係が `DOWNLOADED_FROM` の場合）。
`entity.relations.entity.ip`	親エンティティ内のファイルが接続している、またはダウンロード元の IP アドレスのリスト。IP アドレスは 1 つだけです。
`entity.relations.entity.domain.name`	親エンティティのファイルが接続している、またはダウンロード元のドメイン名
`entity.relations.entity.file.sha256`	リレーション内のファイルの SHA-256 ハッシュ値を保存します。
`entity.relations.entity_type`	このフィールドには、リレーションに含まれるエンティティのタイプが含まれます。値は `URL`、`DOMAIN_NAME`、`IP_ADDRESS`、`FILE` のいずれかです。これらのフィールドは、`entity_type` に従って入力されます。たとえば、`entity_type` が `URL` の場合、`entity.relations.entity.url` が入力されます。

次のステップ

他の Chronicle 機能で拡充データを使用する方法については、以下をご覧ください。

データの種類	UDM フィールド
SHA-256	`( principal \| target \| src \| observer ).file.sha256`
MD5	`( principal \| target \| src \| observer ).file.md5`
SHA-1	`( principal \| target \| src \| observer ).file.sha1`
サイズ	`( principal \| target \| src \| observer ).file.size`
ssdeep	`( principal \| target \| src \| observer ).file.ssdeep`
vhash	`( principal \| target \| src \| observer ).file.vhash`
authentihash	`( principal \| target \| src \| observer ).file.authentihash`
ファイル形式	`( principal \| target \| src \| observer ).file.file_type`
タグ	`( principal \| target \| src \| observer ).file.tags`
機能タグ	`( principal \| target \| src \| observer ).file.capabilities_tags`
名前	`( principal \| target \| src \| observer ).file.names`
初回検知時刻	`( principal \| target \| src \| observer ).file.first_seen_time`
最終検知時刻	`( principal \| target \| src \| observer ).file.last_seen_time`
前回の変更日時	`( principal \| target \| src \| observer ).file.last_modification_time`
最終分析時刻	`( principal \| target \| src \| observer ).file.last_analysis_time`
埋め込み URL	`( principal \| target \| src \| observer ).file.embedded_urls`
埋め込み IP	`( principal \| target \| src \| observer ).file.embedded_ips`
埋め込みドメイン	`( principal \| target \| src \| observer ).file.embedded_domains`
署名情報	`( principal \| target \| src \| observer ).file.signature_info`
署名情報 Sigcheck	`( principal \| target \| src \| observer).file.signature_info.sigcheck`
署名情報 Sigcheck 確認メッセージ	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.verification_message`
署名情報 Sigcheck 確認済み	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.verified`
署名情報 Sigcheck 署名者	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.signers`
署名情報 Sigcheck 署名者名前	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.signers.name`
署名情報 Sigcheck 署名者ステータス	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.signers.status`
署名情報 Sigcheck 署名者証明書の有効な使用方法	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.signers.valid_usage`
署名情報 Sigcheck 署名者認証局	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.signers.cert_issuer`
署名情報 Sigcheck X509	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.x509`
署名情報 Sigcheck X509 名前	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.x509.name`
署名情報 Sigcheck X509 アルゴリズム	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.x509.algorithm`
署名情報 Sigcheck X509 サムプリント	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.x509.thumprint`
署名情報 Sigcheck X509 認証局	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.x509.cert_issuer`
署名情報 Sigcheck X509 シリアル番号	`( principal \| target \| src \| observer ).file.signature_info.sigcheck.x509.serial_number`
署名情報 Codesign	`( principal \| target \| src \| observer ).file.signature_info.codesign`
署名情報 Codesign ID	`( principal \| target \| src \| observer ).file.signature_info.codesign.id`
署名情報 Codesign 形式	`( principal \| target \| src \| observer ).file.signature_info.codesign.format`
署名情報 Codesign コンパイル時間	`( principal \| target \| src \| observer ).file.signature_info.codesign.compilation_time`
Exiftool の情報	`( principal \| target \| src \| observer ).file.exif_info`
Exiftool の情報オリジナルファイル名	`( principal \| target \| src \| observer ).file.exif_info.original_file`
Exiftool の情報製品名	`( principal \| target \| src \| observer ).file.exif_info.product`
Exiftool の情報会社名	`( principal \| target \| src \| observer ).file.exif_info.company`
Exiftool の情報ファイルの説明	`( principal \| target \| src \| observer ).file.exif_info.file_description`
Exiftool の情報エントリポイント	`( principal \| target \| src \| observer ).file.exif_info.entry_point`
Exiftool の情報コンパイル時間	`( principal \| target \| src \| observer ).file.exif_info.compilation_time`
PDF の情報	`( principal \| target \| src \| observer ).file.pdf_info`
PDF の情報 /JS タグの数	`( principal \| target \| src \| observer ).file.pdf_info.js`
PDF の情報 /JavaScript タグの数	`( principal \| target \| src \| observer ).file.pdf_info.javascript`
PDF の情報 /Launch タグの数	`( principal \| target \| src \| observer ).file.pdf_info.launch_action_count`
PDF の情報オブジェクトストリームの数	`( principal \| target \| src \| observer ).file.pdf_info.object_stream_count`
PDF の情報オブジェクト定義の数（endobj キーワード）	`( principal \| target \| src \| observer ).file.pdf_info.endobj_count`
PDF の情報 PDF のバージョン	`( principal \| target \| src \| observer ).file.pdf_info.header`
PDF の情報 /AcroForm タグの数	`( principal \| target \| src \| observer ).file.pdf_info.acroform`
PDF の情報 /AA タグの数	`( principal \| target \| src \| observer ).file.pdf_info.autoaction`
PDF の情報 /EmbeddedFile タグの数	`( principal \| target \| src \| observer ).file.pdf_info.embedded_file`
PDF の情報 /Encrypt タグ	`( principal \| target \| src \| observer ).file.pdf_info.encrypted`
PDF の情報 /RichMedia タグの数	`( principal \| target \| src \| observer ).file.pdf_info.flash`
PDF の情報 /JBIG2Decode タグの数	`( principal \| target \| src \| observer ).file.pdf_info.jbig2_compression`
PDF の情報オブジェクト定義の数（obj キーワード）	`( principal \| target \| src \| observer ).file.pdf_info.obj_count`
PDF の情報定義されたストリームオブジェクトの数（ストリームキーワード）	`( principal \| target \| src \| observer ).file.pdf_info.endstream_count`
PDF の情報 PDF のページ数	`( principal \| target \| src \| observer ).file.pdf_info.page_count`
PDF の情報定義されたストリームオブジェクトの数（ストリームキーワード）	`( principal \| target \| src \| observer ).file.pdf_info.stream_count`
PDF の情報 /OpenAction タグの数	`( principal \| target \| src \| observer ).file.pdf_info.openaction`
PDF の情報 startxref キーワードの数	`( principal \| target \| src \| observer ).file.pdf_info.startxref`
PDF の情報 3 バイト以上で表現された色の数（CVE-2009-3459）	`( principal \| target \| src \| observer ).file.pdf_info.suspicious_colors`
PDF の情報トレーラーキーワードの数	`( principal \| target \| src \| observer ).file.pdf_info.trailer`
PDF の情報見つかった /XFA タグの数	`( principal \| target \| src \| observer ).file.pdf_info.xfa`
PDF の情報 xref キーワードの数	`( principal \| target \| src \| observer ).file.pdf_info.xref`
PE ファイルのメタデータ	`( principal \| target \| src \| observer ).file.pe_file`
PE ファイルメタデータ Imphash	`( principal \| target \| src \| observer ).file.pe_file.imphash`
PE ファイルメタデータエントリポイント	`( principal \| target \| src \| observer ).file.pe_file.entry_point`
PE ファイルメタデータエントリポイントの exitfool	`( principal \| target \| src \| observer ).file.pe_file.entry_point_exiftool`
PE ファイルメタデータコンパイル時間	`( principal \| target \| src \| observer ).file.pe_file.compilation_time`
PE ファイルメタデータコンパイルの exiftool の時間	`( principal \| target \| src \| observer ).file.pe_file.compilation_exiftool_time`
PE ファイルメタデータセクション	`( principal \| target \| src \| observer ).file.pe_file.section`
PE ファイルメタデータセクション名前	`( principal \| target \| src \| observer ).file.pe_file.section.name`
PE ファイルメタデータセクションエントロピー	`( principal \| target \| src \| observer ).file.pe_file.section.entropy`
PE ファイルメタデータセクション未加工のサイズ（バイト単位）	`( principal \| target \| src \| observer ).file.pe_file.section.raw_size_bytes`
PE ファイルメタデータセクション仮想サイズ（バイト単位）	`( principal \| target \| src \| observer ).file.pe_file.section.virtual_size_bytes`
PE ファイルメタデータセクション MD5 16 進数	`( principal \| target \| src \| observer ).file.pe_file.section.md5_hex`
PE ファイルメタデータインポート	`( principal \| target \| src \| observer ).file.pe_file.imports`
PE ファイルメタデータインポートライブラリ	`( principal \| target \| src \| observer ).file.pe_file.imports.library`
PE ファイルメタデータインポート関数	`( principal \| target \| src \| observer ).file.pe_file.imports.functions`
PE ファイルメタデータリソースの情報	`( principal \| target \| src \| observer ).file.pe_file.resource`
PE ファイルメタデータリソースの情報 SHA-256 16 進数	`( principal \| target \| src \| observer ).file.pe_file.resource.sha256_hex`
PE ファイルメタデータリソースの情報マジック Python モジュールで識別されるリソースタイプ	`( principal \| target \| src \| observer ).file.pe_file.resource.filetype_magic`
PE ファイルメタデータリソースの情報 Windows PE 仕様で定義されている、言語とサブ言語の人が読める識別子のバージョン	`( principal \| target \| src \| observer ).file.pe_file.resource_language_code`
PE ファイルメタデータリソースの情報エントロピー	`( principal \| target \| src \| observer ).file.pe_file.resource.entropy`
PE ファイルメタデータリソースの情報ファイル形式	`( principal \| target \| src \| observer ).file.pe_file.resource.file_type`
PE ファイルメタデータリソースタイプごとのリソース数	`( principal \| target \| src \| observer ).file.pe_file.resources_type_count_str`
PE ファイルメタデータ言語別のリソース数	`( principal \| target \| src \| observer ).file.pe_file.resources_language_count_str`

Chronicle がイベントとエンティティ データを拡充する方法

エンティティ グラフを使用してマージし、エンティティを拡充する

普及率の統計情報を計算する

エンティティの最初と最後の検出時刻を計算する

位置情報データを使用してイベントを拡充する

不整合

セーフ ブラウジングの脅威リストの情報を使用してエンティティを拡充する

WHOIS データを使用してエンティティを拡充する

Google Cloud の Threat Intelligence データを取り込み、保存する

時間指定された対時間制限のない Google Cloud の Threat Intelligence データソース

Tor 出口ノードの IP アドレスに関するデータ

無害なオペレーティング システム ファイルに関するデータ

リモート アクセスツールに関するデータ

VirusTotal ファイルのメタデータを使用してイベントを拡充する

VirusTotal の関係データを使用してエンティティを拡充する

次のステップ

Chronicle がイベントとエンティティデータを拡充する方法

エンティティグラフを使用してマージし、エンティティを拡充する

セーフブラウジングの脅威リストの情報を使用してエンティティを拡充する

無害なオペレーティングシステムファイルに関するデータ

リモートアクセスツールに関するデータ