Enriqueça os dados de eventos e entidades com o Google SecOps

Este documento descreve como o Google Security Operations enriquece os dados e os campos do modelo de dados unificado (UDM) onde os dados são armazenados.

Para permitir uma investigação de segurança, o SecOps da Google carrega dados contextuais de diferentes origens, realiza análises aos dados e fornece contexto adicional sobre artefactos num ambiente do cliente. Os analistas podem usar dados enriquecidos contextualmente em regras do motor de deteção, pesquisas de investigação ou relatórios.

A Google SecOps realiza os seguintes tipos de enriquecimento:

• Enriquece as entidades através da união e do gráfico de entidades.
• Calcula e enriquece cada entidade com uma estatística de prevalência que indica a respetiva popularidade no ambiente.
• Enriquece os eventos com dados de geolocalização.
• Calcula as datas/horas da primeira e última vez que a entidade foi vista.
• Enriquece os eventos com dados de geolocalização.
• Enriquece as entidades com informações das listas de ameaças da Navegação Segura.
• Enriquece as entidades com dados WHOIS.
• Enriquece os eventos com metadados de ficheiros do VirusTotal.
• Enriquece as entidades com dados de relações do VirusTotal.
• Enriquece eventos e entidades de várias origens no seu ambiente (por exemplo, Windows AD, Azure AD, Okta Google Cloud, IAM).
• Carrega e armazena dados do Google Cloud Threat Intelligence.

Os parâmetros entity_type, product_name e vendor_name identificam dados enriquecidos das seguintes origens:

• Navegação segura
• WHOIS
• Google Cloud Informações sobre ameaças (GCTI)
• Metadados do VirusTotal
• Dados de relações do VirusTotal

Quando cria uma regra que usa estes dados enriquecidos (ou seja, dados enriquecidos da Navegação Segura, WHOIS, GCTI Threat Intelligence, metadados do VirusTotal e dados de relações do VirusTotal), recomendamos que inclua um filtro na regra que identifique o tipo de enriquecimento específico a incluir. Este filtro ajuda a melhorar o desempenho da regra. Por exemplo, inclua os seguintes campos de filtro na secção events da regra que junta os dados WHOIS.

$enrichment.graph.metadata.entity_type = "DOMAIN_NAME"
$enrichment.graph.metadata.product_name = "WHOISXMLAPI Simple Whois"
$enrichment.graph.metadata.vendor_name = "WHOIS"

Enriqueça as entidades usando o gráfico de entidades e a união

O gráfico de entidades identifica relações entre entidades e recursos no seu ambiente. Quando as entidades de diferentes origens são carregadas no Google SecOps, o gráfico de entidades mantém uma lista de adjacências com base na relação entre as entidades. O gráfico de entidades realiza o enriquecimento do contexto através da eliminação de duplicações e da união.

Durante a remoção de duplicados, os dados redundantes são eliminados e são formados intervalos para criar uma entidade comum. Por exemplo, considere duas entidades e1 e e2 com as datas/horas t1 e t2, respetivamente. As entidades e1 e e2 são desduplicadas e as datas/horas diferentes não são usadas durante a desduplicação. Os seguintes campos não são usados durante a eliminação de duplicados:

• collected_timestamp
• creation_timestamp
• interval

Durante a união, as relações entre entidades são formadas durante um intervalo de tempo de um dia. Por exemplo, considere um registo de entidade de user A que tem acesso a um contentor do Cloud Storage. Existe outro registo de entidade de user A que é proprietário de um dispositivo. Após a união, estas duas entidades resultam numa única entidade user A que tem duas relações. Uma relação é que user A tem acesso ao contentor do Cloud Storage e a outra relação é que user A é proprietário do dispositivo. O Google SecOps cria dados de contexto de entidade com um período de análise de cinco dias. Este processo processa dados que chegam com atraso e cria um tempo de vida implícito para os dados de contexto da entidade.

O Google SecOps usa a criação de alias para enriquecer os dados de telemetria e usa gráficos de entidades para enriquecer as entidades. As regras do motor de deteção juntam as entidades unidas aos dados de telemetria enriquecidos para fornecer estatísticas sensíveis ao contexto.

Um evento que contém um substantivo de entidade é considerado uma entidade. Seguem-se alguns tipos de eventos e os respetivos tipos de entidades:

• ASSET_CONTEXT corresponde a ASSET.
• RESOURCE_CONTEXT corresponde a RESOURCE.
• USER_CONTEXT corresponde a USER.
• GROUP_CONTEXT corresponde a GROUP.

O gráfico de entidades distingue entre dados contextuais e indicadores de comprometimento (IOC) usando as informações de ameaça.

Quando usa dados enriquecidos contextualmente, considere o seguinte comportamento do gráfico de entidades:

• Não adicione intervalos na entidade. Em vez disso, deixe que o gráfico de entidades crie intervalos. Isto acontece porque os intervalos são gerados durante a eliminação de duplicações, salvo indicação em contrário.
• Se os intervalos forem especificados, apenas os mesmos eventos são eliminados, e a entidade mais recente é retida.
• Para garantir que as regras em direto e as retroprocuras funcionam conforme esperado, as entidades têm de ser carregadas, pelo menos, uma vez por dia.
• Se as entidades não forem carregadas diariamente e forem carregadas apenas uma vez em dois ou mais dias, as regras em direto podem funcionar conforme esperado. No entanto, as retroprocuras podem perder o contexto do evento.
• Se as entidades forem carregadas mais do que uma vez por dia, são eliminadas as duplicadas, ficando apenas uma entidade.
• Se os dados de eventos estiverem em falta durante um dia, os dados do dia anterior são usados temporariamente para garantir que as regras dinâmicas funcionam corretamente.

O gráfico de entidades também une eventos com identificadores semelhantes para obter uma vista consolidada dos dados. Esta união ocorre com base na seguinte lista de identificadores:

• Asset
  • entity.asset.product_object_id
  • entity.asset.hostname
  • entity.asset.asset_id
  • entity.asset.mac
• User
  • entity.user.product_object_id
  • entity.user.userid
  • entity.user.windows_sid
  • entity.user.email_addresses
  • entity.user.employee_id
• Resource
  • entity.resource.product_object_id
  • entity.resource.name
• Group
  • entity.group.product_object_id
  • entity.group.email_addresses
  • entity.group.windows_sid

Calcule estatísticas de prevalência

O SecOps da Google realiza uma análise estatística dos dados existentes e recebidos e enriquece os registos de contexto das entidades com métricas relacionadas com a prevalência.

A prevalência é um valor numérico que indica a popularidade de uma entidade. A popularidade é definida pelo número de recursos que acedem a um artefacto, como um domínio, um hash de ficheiro ou um endereço IP. Quanto maior for o número, mais popular é a entidade. Por exemplo, google.com tem valores de prevalência elevados porque é acedido com frequência. Se um domínio for acedido com pouca frequência, tem valores de prevalência mais baixos. Normalmente, as entidades mais populares têm uma menor probabilidade de serem maliciosas.

Estes valores enriquecidos são suportados para domínio, IP e ficheiro (hash). Os valores são calculados e armazenados nos seguintes campos.

As estatísticas de prevalência de cada entidade são atualizadas diariamente. Os valores são armazenados num contexto de entidade separado que pode ser usado pelo motor de deteção, mas não é apresentado nas visualizações de investigação do Google SecOps nem na pesquisa UDM.

Os campos seguintes podem ser usados quando criar regras do motor de deteção.

Os valores day_max e rolling_max são calculados de forma diferente. Os campos são calculados da seguinte forma:

• day_max é calculado como a pontuação de prevalência máxima do artefacto durante o dia, em que um dia é definido como 00:00:00 – 23:59:59 UTC.
• rolling_max é calculado como a pontuação de prevalência máxima por dia (ou seja, day_max) para o artefacto no período de 10 dias anterior.
• day_count é usado para calcular rolling_max e é sempre o valor 10.

Quando calculada para um domínio, a diferença entre day_max e day_max_sub_domains (e rolling_max e rolling_max_sub_domains) é a seguinte:

• rolling_max e day_max representam o número de endereços IP internos únicos diários que acedem a um determinado domínio (excluindo subdomínios).
• rolling_max_sub_domains e day_max_sub_domains representam o número de endereços IP internos exclusivos que acedem a um determinado domínio (incluindo subdomínios).

As estatísticas de prevalência são calculadas com base nos dados de entidades carregados recentemente. Os cálculos não são realizados retroativamente nos dados carregados anteriormente. As estatísticas demoram aproximadamente 36 horas a ser calculadas e armazenadas.

Calcular as horas da primeira e da última deteção de entidades

O SecOps da Google realiza uma análise estatística dos dados recebidos e enriquece os registos de contexto das entidades com as horas da primeira e última deteção de uma entidade. O campo first_seen_time armazena a data e a hora em que a entidade foi vista pela primeira vez no ambiente do cliente. O campo last_seen_time armazena a data e a hora da observação mais recente.

Uma vez que vários indicadores (campos UDM) podem identificar um recurso ou um utilizador, a hora da primeira deteção é a primeira vez que qualquer um dos indicadores que identificam o utilizador ou o recurso foi detetado no ambiente do cliente.

Todos os campos UDM que descrevem um recurso são os seguintes:

• entity.asset.hostname
• entity.asset.ip
• entity.asset.mac
• entity.asset.asset_id
• entity.asset.product_object_id

Todos os campos de UDM que descrevem um utilizador são os seguintes:

• entity.user.windows_sid
• entity.user.product_object_id
• entity.user.userid
• entity.user.employee_id
• entity.user.email_addresses

A hora da primeira deteção e a hora da última deteção permitem a um analista correlacionar determinada atividade que ocorreu após a primeira deteção de um domínio, um ficheiro (hash), um recurso, um utilizador ou um endereço IP, ou que deixou de ocorrer após a última deteção do domínio, do ficheiro (hash) ou do endereço IP.

Os campos first_seen_time e last_seen_time são preenchidos com entidades que descrevem um domínio, um endereço IP e um ficheiro (hash). Para entidades que descrevem um utilizador ou um recurso, apenas o campo first_seen_time é preenchido. Estes valores não são calculados para entidades que descrevem outros tipos, como um grupo ou um recurso.

As estatísticas são calculadas para cada entidade em todos os espaços de nomes. O Google SecOps não calcula as estatísticas para cada entidade em espaços de nomes individuais. Atualmente, estas estatísticas não são exportadas para o esquema do Google SecOps events no BigQuery.

Os valores enriquecidos são calculados e armazenados nos seguintes campos da UDM:

Enriqueça eventos com dados de geolocalização

Os dados de registo recebidos podem incluir endereços IP externos sem informações de localização correspondentes. Isto é comum quando um evento está a registar informações sobre a atividade do dispositivo que não está numa rede empresarial. Por exemplo, um evento de início de sessão num serviço na nuvem contém um endereço IP de origem ou cliente com base no endereço IP externo de um dispositivo devolvido pelo NAT do operador.

O SecOps da Google fornece dados enriquecidos com geolocalização para endereços IP externos, o que permite deteções de regras mais eficazes e um maior contexto para investigações. Por exemplo, o Google SecOps pode usar um endereço IP externo para enriquecer o evento com informações sobre o país (como os Estados Unidos), um estado específico (como o Alasca) e a rede em que o endereço IP se encontra (como o ASN e o nome da operadora).

O Google SecOps usa dados de localização fornecidos pela Google para fornecer uma localização geográfica aproximada e informações de rede para um endereço IP. Pode escrever regras do motor de deteção em função destes campos nos eventos. Os dados de eventos enriquecidos também são exportados para o BigQuery, onde podem ser usados em painéis de controlo e relatórios do Google SecOps.

Os seguintes endereços IP não são enriquecidos:

• Espaços de endereços IP privados RFC 1918, porque são internos à rede empresarial.
• Espaço de endereços IP de multicast RFC 5771, porque os endereços de multicast não pertencem a uma única localização.
• Endereços locais únicos IPv6.
• Google Cloud endereços IP de serviço. As exceções são os endereços IP externos do Google Cloud Compute Engine, que são enriquecidos.

O Google SecOps enriquece os seguintes campos da UDM com dados de geolocalização:

• principal
• target
• src
• observer

O exemplo seguinte mostra o tipo de informações geográficas que seriam adicionadas a um evento de UDM com um endereço IP etiquetado para os Países Baixos:

Inconsistências

A tecnologia de geolocalização de IP proprietária da Google usa uma combinação de dados de rede e outras entradas e métodos para fornecer a localização do endereço IP e a resolução de rede aos nossos utilizadores. Outras organizações podem usar sinais ou métodos diferentes, o que pode, ocasionalmente, levar a resultados diferentes.

Se surgirem casos em que detetar uma inconsistência nos resultados de geolocalização de IP fornecidos pela Google, abra um registo de apoio ao cliente para que possamos investigar e, se for adequado, corrigir os nossos registos no futuro.

Enriqueça as entidades com informações das listas de ameaças da Navegação Segura

O Google SecOps carrega dados da Navegação Segura relacionados com hashes de ficheiros. Os dados de cada ficheiro são armazenados como uma entidade e fornecem contexto adicional sobre o ficheiro. Os analistas podem criar regras do motor de deteção que consultam os dados de contexto desta entidade para criar estatísticas de contexto.

As seguintes informações são armazenadas com o registo do contexto da entidade.

Enriqueça entidades com dados WHOIS

O Google SecOps carrega dados WHOIS diariamente. Durante a ingestão de dados de dispositivos de clientes recebidos, o Google SecOps avalia os domínios nos dados de clientes em comparação com os dados WHOIS. Quando existe uma correspondência, o Google SecOps armazena os dados WHOIS relacionados com o registo da entidade para o domínio. Para cada entidade, onde entity.metadata.entity_type = DOMAIN_NAME, o Google SecOps enriquece a entidade com informações do WHOIS.

O Google SecOps preenche os dados WHOIS enriquecidos nos seguintes campos no registo da entidade:

• entity.domain.admin.attribute.labels
• entity.domain.audit_update_time
• entity.domain.billing.attribute.labels
• entity.domain.billing.office_address.country_or_region
• entity.domain.contact_email
• entity.domain.creation_time
• entity.domain.expiration_time
• entity.domain.iana_registrar_id
• entity.domain.name_server
• entity.domain.private_registration
• entity.domain.registrant.company_name
• entity.domain.registrant.office_address.state
• entity.domain.registrant.office_address.country_or_region
• entity.domain.registrant.email_addresses
• entity.domain.registrant.user_display_name
• entity.domain.registrar
• entity.domain.registry_data_raw_text
• entity.domain.status
• entity.domain.tech.attribute.labels
• entity.domain.update_time
• entity.domain.whois_record_raw_text
• entity.domain.whois_server
• entity.domain.zone

Para uma descrição destes campos, consulte o documento da lista de campos do modelo de dados unificado.

Carregue e armazene Google Cloud dados de informações sobre ameaças

O SecOps da Google introduz dados de origens de dados de Google Cloud informações sobre ameaças (GCTI) que lhe fornecem informações contextuais que pode usar quando investiga a atividade no seu ambiente.

Pode consultar as seguintes origens de dados:

• Nós de saída do Tor da GCTI: endereços IP que são nós de saída conhecidos do Tor.
• Binários benignos da GCTI: ficheiros que fazem parte da distribuição original do sistema operativo ou foram atualizados por um patch oficial do sistema operativo. Alguns binários oficiais do sistema operativo que foram usados indevidamente por um adversário através de atividade comum em ataques de living-off-the-land são excluídos desta origem de dados, como os focados em vetores de entrada iniciais.

• Ferramentas de acesso remoto do GCTI: ficheiros que foram usados frequentemente por autores de ataques maliciosos. Geralmente, estas ferramentas são aplicações legítimas que, por vezes, são usadas indevidamente para se ligarem remotamente a sistemas comprometidos.

  Estes dados contextuais são armazenados globalmente como entidades. Pode consultar os dados através das regras do motor de deteção. Inclua os seguintes campos e valores do UDM na regra para consultar estas entidades globais:

• graph.metadata.vendor_name = Google Cloud Threat Intelligence

• graph.metadata.product_name = GCTI Feed

Neste documento, o marcador de posição <variable_name> representa o nome da variável exclusivo usado numa regra para identificar um registo do UDM.

Origens de dados de informações sobre ameaças com ou sem limite de tempo Google Cloud

Google Cloud As origens de dados de informações sobre ameaças são temporizadas ou intemporais.

As origens de dados cronometradas têm um intervalo de tempo associado a cada entrada. Isto significa que, se for gerada uma deteção no dia 1, em qualquer dia no futuro, espera-se que a mesma deteção seja gerada para o dia 1 durante uma análise retroativa.

As origens de dados intemporais não têm um intervalo de tempo associado. Isto deve-se ao facto de apenas o conjunto de dados mais recente dever ser considerado. As origens de dados intemporais são usadas frequentemente para dados, como hashes de ficheiros, que não se espera que mudem. Se não for gerada nenhuma deteção no dia 1, no dia 2, pode ser gerada uma deteção para o dia 1 durante uma análise retrospetiva porque foi adicionada uma nova entrada.

Dados sobre endereços IP de nós de saída do Tor

A Google SecOps carrega e armazena endereços IP que são nós de saída do Tor conhecidos. Os nós de saída do Tor são pontos nos quais o tráfego sai da rede Tor. As informações carregadas a partir desta origem de dados são armazenadas nos seguintes campos da UDM. Os dados nesta origem têm um limite de tempo.

Dados sobre ficheiros de sistemas operativos benignos

O Google SecOps carrega e armazena hashes de ficheiros da origem de dados de binários benignos da GCTI. As informações carregadas a partir desta origem de dados são armazenadas nos seguintes campos da UDM. Os dados nesta origem são intemporais.

Dados sobre ferramentas de acesso remoto

As ferramentas de acesso remoto incluem hashes de ficheiros para ferramentas de acesso remoto conhecidas, como clientes VNC, que têm sido frequentemente usadas por autores maliciosos. Estas ferramentas são, geralmente, aplicações legítimas que, por vezes, são usadas indevidamente para estabelecer ligação remota a sistemas comprometidos. As informações carregadas a partir desta origem de dados são armazenadas nos seguintes campos da UDM. Os dados nesta origem são intemporais.

Enriqueça eventos com metadados de ficheiros do VirusTotal

O SecOps da Google enriquece os hashes de ficheiros em eventos UDM e fornece contexto adicional durante uma investigação. Os eventos da UDM são enriquecidos através da criação de alias com hash num ambiente do cliente. A criação de alias de hash combina todos os tipos de hashes de ficheiros e fornece informações sobre um hash de ficheiro durante uma pesquisa.

A integração dos metadados de ficheiros e do enriquecimento de relações do VirusTotal com o Google SecOps pode ser usada para identificar padrões de atividade maliciosa e monitorizar os movimentos de software malicioso numa rede.

Um registo não processado fornece informações limitadas sobre o ficheiro. O VirusTotal enriquece o evento com metadados de ficheiros para fornecer um despejo de hashes incorretos juntamente com metadados sobre o ficheiro incorreto. Os metadados incluem informações como nomes de ficheiros, tipos, funções importadas e etiquetas. Pode usar estas informações no motor de deteção e pesquisa da UDM com YARA-L para compreender eventos de ficheiros danosos e, em geral, durante a deteção de ameaças. Um exemplo de utilização é detetar modificações no ficheiro original, o que, por sua vez, importaria os metadados do ficheiro para a deteção de ameaças.

As seguintes informações são armazenadas com o registo. Para ver uma lista de todos os campos do UDM, consulte o artigo Lista de campos do modelo de dados unificado.

Enriqueça as entidades com dados de relações do VirusTotal

O VirusTotal ajuda a analisar ficheiros, domínios, endereços IP e URLs suspeitos para detetar software malicioso e outras violações, e partilhar as conclusões com a comunidade de segurança. O Google SecOps carrega dados de ligações relacionadas com o VirusTotal. Estes dados são armazenados como uma entidade e fornecem informações sobre a relação entre hashes de ficheiros e ficheiros, domínios, endereços IP e URLs.

Os analistas podem usar estes dados para determinar se um hash de ficheiro é malicioso com base em informações sobre o URL ou o domínio de outras origens. Estas informações podem ser usadas para criar regras do Detection Engine que consultam os dados de contexto da entidade para criar estatísticas de análise com reconhecimento do contexto.

Estes dados só estão disponíveis para determinadas licenças do VirusTotal e do Google SecOps. Verifique as suas autorizações junto do gestor de contas.

As seguintes informações são armazenadas com o registo de contexto da entidade:

O que se segue?

Para obter informações sobre como usar dados enriquecidos com outras funcionalidades do Google SecOps, consulte o seguinte:

• Use dados enriquecidos com contexto na UDM Search.
• Use dados enriquecidos com contexto nas regras.
• Use dados enriquecidos com contexto nos relatórios.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.