Como as operações de segurança do Google enriquecem dados de eventos e entidades
Neste documento, descrevemos como as Operações de segurança do Google enriquecem os dados e os campos do Unified Data Model (UDM) em que os dados são armazenados.
Para permitir uma investigação de segurança, o Google Security Operations processa dados contextuais de diferentes fontes, realiza análises nos dados e fornece mais contexto sobre artefatos em um ambiente de cliente. Os analistas podem usar dados enriquecidos contextualmente nas regras do Mecanismo de detecção, em pesquisas investigativas ou em relatórios.
As operações de segurança do Google realizam os seguintes tipos de enriquecimento:
- Enriquece entidades usando o gráfico de entidades e mesclando.
- Calcula e enriquece cada entidade com uma estatística de prevalência que indica sua popularidade no ambiente.
- Calcula a primeira vez que determinados tipos de entidade foram vistos no ambiente ou o horário mais recente.
- Enriquece as entidades com informações das listas de ameaças da Navegação segura.
- Aprimora os eventos com dados de geolocalização.
- Enriquece as entidades com dados WHOIS.
- Aprimora os eventos com metadados de arquivos do VirusTotal.
- Enriquece as entidades com dados de relacionamento do VirusTotal.
- Faça a ingestão e o armazenamento de dados do Google Cloud Threat Intelligence.
Os dados aprimorados do WHOIS, Navegação segura, GCTI Threat Intelligence,
metadados do VirusTotal e relação do VirusTotal são identificados por event_type
, product_name
e vendor_name
. Ao criar uma regra que usa esses dados enriquecidos, recomendamos que você inclua um filtro na regra que identifique o tipo de enriquecimento específico a ser incluído. Esse filtro ajuda a melhorar o desempenho da regra.
Por exemplo, inclua os seguintes campos de filtro na seção events
da regra que mescla os dados WHOIS.
$enrichment.graph.metadata.entity_type = "DOMAIN_NAME"
$enrichment.graph.metadata.product_name = "WHOISXMLAPI Simple Whois"
$enrichment.graph.metadata.vendor_name = "WHOIS"
Aprimorar entidades usando o gráfico de entidades e fazendo a mesclagem
O gráfico de entidades identifica as relações entre entidades e recursos no ambiente. Quando entidades de diferentes fontes são ingeridas nas Operações de Segurança do Google, o gráfico de entidades mantém uma lista de continuidade com base na relação entre as entidades. O gráfico de entidades realiza o enriquecimento de contexto por meio da eliminação de duplicação e mesclagem.
Durante a eliminação de duplicação, os dados redundantes são eliminados e os intervalos são formados para criar
uma entidade comum. Por exemplo, considere duas entidades e1
e e2
com carimbos de data/hora t1
e t2
, respectivamente. A duplicação das entidades e1
e e2
será eliminada, e os carimbos de data/hora
diferentes não serão usados durante a eliminação de duplicação. Os campos a seguir não são usados durante a eliminação de duplicação:
collected_timestamp
creation_timestamp
interval
Durante a mesclagem, as relações entre entidades são formadas por um intervalo de tempo de
um dia. Por exemplo, considere um registro de entidade de user A
que tem acesso a um bucket do Cloud Storage. Há outro registro de entidade de user A
, que tem um dispositivo. Após a mesclagem,
essas duas entidades resultam em uma única entidade user A
com duas relações. Uma relação
é que user A
tem acesso ao bucket do Cloud Storage e a outra relação
é que user A
é proprietário do dispositivo. As Operações de segurança do Google realizam um lookback de cinco dias ao
criar dados de contexto de entidade. Isso processa os dados de chegada tardia e cria um tempo implícito
para viver nos dados de contexto da entidade.
O serviço de operações de segurança do Google usa a atribuição de alias para enriquecer os dados de telemetria e os gráficos de entidade para aprimorar as entidades. As regras do mecanismo de detecção mesclam as entidades mescladas aos dados de telemetria aprimorados para fornecer análises contextuais.
Um evento que contém um substantivo de entidade é considerado uma entidade. Confira alguns tipos de evento e os tipos de entidade correspondentes:
ASSET_CONTEXT
corresponde aASSET
.RESOURCE_CONTEXT
corresponde aRESOURCE
.USER_CONTEXT
corresponde aUSER
.GROUP_CONTEXT
corresponde aGROUP
.
O gráfico de entidades distingue entre dados contextuais e indicadores de comprometimento (IOC, na sigla em inglês) usando as informações de ameaça.
Ao usar dados enriquecidos contextualmente, considere o comportamento do gráfico de entidades a seguir:
- Não adicione intervalos na entidade. Em vez disso, deixe o gráfico de entidades criar intervalos. Isso ocorre porque os intervalos são gerados durante a eliminação de duplicação, a menos que especificado de outra forma.
- Se os intervalos forem especificados, somente os mesmos eventos serão eliminados, e a entidade mais recente será mantida.
- Para garantir que as regras ativas e as retrohunts funcionem conforme o esperado, as entidades precisam ser ingeridas pelo menos uma vez por dia.
- Se as entidades não forem ingeridas diariamente e ingeridas apenas uma vez em dois ou mais dias, as regras ativas poderão funcionar conforme o esperado. No entanto, as retrohunts podem perder o contexto do evento.
- Se as entidades forem ingeridas mais de uma vez por dia, a duplicação da entidade será eliminada em uma única entidade.
- Se os dados do evento estiverem ausentes por um dia, os dados do dia anterior serão usados temporariamente para garantir que as regras ativas funcionem bem.
O gráfico de entidades também mescla eventos com identificadores semelhantes para ter uma visualização consolidada dos dados. Essa mesclagem acontece com base na lista de identificadores abaixo:
Asset
entity.asset.product_object_id
entity.asset.hostname
entity.asset.asset_id
entity.asset.mac
User
entity.user.product_object_id
entity.user.userid
entity.user.windows_sid
entity.user.email_addresses
entity.user.employee_id
Resource
entity.resource.product_object_id
entity.resource.name
Group
entity.group.product_object_id
entity.group.email_addresses
entity.group.windows_sid
Calcular estatísticas de prevalência
As Operações de segurança do Google realizam análises estatísticas sobre dados atuais e recebidos e enriquecem os registros de contexto de entidade com métricas relacionadas à prevalência.
A prevalência é um valor numérico que indica a popularidade de uma entidade.
A popularidade é definida pelo número de recursos que acessam um artefato, como um
domínio, hash de arquivo ou endereço IP. Quanto maior o número, mais popular a entidade.
Por exemplo, google.com
tem valores de prevalência alta porque é
acessado com frequência. Se um domínio for acessado com pouca frequência, ele terá valores de prevalência menores. Entidades mais conhecidas costumam ser menos propensas a ser maliciosas.
Esses valores aprimorados são compatíveis com domínio, IP e arquivo (hash). Os valores são calculados e armazenados nos campos a seguir.
As estatísticas de prevalência de cada entidade são atualizadas diariamente. Os valores são armazenados em um contexto de entidade separado que pode ser usado pelo Mecanismo de detecção, mas não são mostrados nas visualizações investigativas das Operações de segurança do Google e na pesquisa de UDM.
Os campos a seguir podem ser usados ao criar regras do Mecanismo de detecção.
Tipo de entidade | Campos de UDM |
---|---|
Domínio | entity.domain.prevalence.day_count
entity.domain.prevalence.day_max
entity.domain.prevalence.day_max_sub_domains
entity.domain.prevalence.rolling_max
entity.domain.prevalence.rolling_max_sub_domains |
Arquivo (hash) | entity.file.prevalence.day_count
entity.file.prevalence.day_max
entity.file.prevalence.rolling_max |
Endereço IP | entity.artifact.prevalence.day_count
entity.artifact.prevalence.day_max
entity.artifact.prevalence.rolling_max |
Os valores de day_max e rolling_max são calculados de maneira diferente. Os campos são calculados da seguinte maneira:
day_max
é calculada como a pontuação de prevalência máxima do artefato durante o dia, em que um dia é definido como das 0h às 23h59min59s UTC.- A
rolling_max
é calculada como a pontuação de prevalência máxima por dia (ou seja,day_max
) do artefato nos últimos 10 dias. day_count
é usado para calcularrolling_max
e é sempre o valor 10.
Quando calculada para um domínio, a diferença entre day_max
versus day_max_sub_domains
(e rolling_max
versus rolling_max_sub_domains
) é a seguinte:
rolling_max
eday_max
representam o número de endereços IP internos exclusivos diários que acessam um determinado domínio (com exceção de subdomínios).rolling_max_sub_domains
eday_max_sub_domains
representam o número de endereços IP internos exclusivos que acessam um determinado domínio (incluindo subdomínios).
As estatísticas de prevalência são calculadas com base nos dados de entidade recém-ingeridos. Os cálculos não são realizados de maneira retroativa em dados ingeridos anteriormente. Leva aproximadamente 36 horas para que as estatísticas sejam calculadas e armazenadas.
Calcular o horário da primeira e da última visualização das entidades
As Operações de segurança do Google realizam análises estatísticas sobre os dados recebidos e enriquecem os registros de contexto
da entidade com os horários da primeira e da última visualização de uma entidade. O campo first_seen_time
armazena a data e a hora em que a entidade foi vista pela primeira vez no ambiente do cliente. O campo last_seen_time
armazena a data e a hora da observação mais recente.
Como vários indicadores (campos de UDM) podem identificar um recurso ou um usuário, a primeira visualização é a primeira vez que qualquer um dos indicadores que identificam o usuário ou recurso foi visto no ambiente do cliente.
Todos os campos UDM que descrevem um recurso são os seguintes:
entity.asset.hostname
entity.asset.ip
entity.asset.mac
entity.asset.asset_id
entity.asset.product_object_id
Todos os campos UDM que descrevem um usuário são os seguintes:
entity.user.windows_sid
entity.user.product_object_id
entity.user.userid
entity.user.employee_id
entity.user.email_addresses
A hora da primeira e da última visualização permitem que um analista correlacione determinadas atividades que ocorreram após um domínio, arquivo (hash), recurso, usuário ou endereço IP ser visto pela primeira vez ou que parou de ocorrer após o domínio, arquivo (hash) ou endereço IP ser visto pela última vez.
Os campos first_seen_time
e last_seen_time
são preenchidos com entidades que descrevem um domínio, endereço IP e arquivo (hash). No caso de entidades que descrevem um usuário
ou recurso, apenas o campo first_seen_time
é preenchido. Esses valores não são
calculados para entidades que descrevem outros tipos, como um grupo ou um recurso.
As estatísticas são calculadas para cada entidade em todos os namespaces.
As Operações de segurança do Google não calculam as estatísticas de cada entidade nos namespaces individuais.
No momento, essas estatísticas não são exportadas para o esquema events
de operações de segurança do Google no BigQuery.
Os valores aprimorados são calculados e armazenados nos seguintes campos de UDM:
Tipo de entidade | Campos de UDM |
---|---|
Domínio | entity.domain.first_seen_time entity.domain.last_seen_time |
Arquivo (hash) | entity.file.first_seen_time entity.file.last_seen_time |
Endereço IP | entity.artifact.first_seen_time entity.artifact.last_seen_time |
Recurso | entity.asset.first_seen_time |
Usuário | entity.user.first_seen_time |
Aprimorar eventos com dados de geolocalização
Os dados de registro recebidos podem incluir endereços IP externo sem informações de local correspondentes. Isso é comum quando um evento registra informações sobre a atividade do dispositivo que não está em uma rede corporativa. Por exemplo, um evento de login em um serviço na nuvem conteria um endereço IP de origem ou cliente com base no endereço IP externo de um dispositivo retornado pela NAT da operadora.
As operações de segurança do Google fornecem dados aprimorados por geolocalização para endereços IP externo, o que permite detecções de regras mais avançadas e maior contexto para investigações. Por exemplo, a equipe de operações de segurança do Google pode usar um endereço IP externo para enriquecer o evento com informações sobre o país (como os Estados Unidos), um estado específico (como o Alasca) e a rede em que o endereço IP está (como ASN e nome da operadora).
O Google Security Operations usa dados de local fornecidos pelo Google para fornecer informações de localização geográfica e rede aproximadas para um endereço IP. É possível escrever regras do mecanismo de detecção nesses campos nos eventos. Os dados aprimorados de eventos também são exportados para o BigQuery, onde podem ser usados nos painéis e relatórios das Operações de Segurança do Google.
Os seguintes endereços IP não foram aprimorados:
- Espaços de endereço IP privados RFC 1918 porque são internos da rede da empresa.
- Espaço de endereços IP multicast RFC 5771 porque os endereços multicast não pertencem a um único local.
- Endereços locais IPv6 exclusivos.
- Endereços IP do serviço do Google Cloud. As exceções são os endereços IP externo do Google Cloud Compute Engine, que são enriquecidos.
As Operações de Segurança do Google enriquecem os seguintes campos de UDM com dados de geolocalização:
principal
target
src
observer
Tipos de dados | Campo de UDM |
---|---|
Local (por exemplo, Estados Unidos) | ( principal | target | src | observer ).ip_geo_artifact.location.country_or_region |
Estado (por exemplo, Nova York) | ( principal | target | src | observer ).ip_geo_artifact.location.state |
Longitude | ( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.longitude |
Latitude | ( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.latitude |
ASN (número do sistema autônomo) | ( principal | target | src | observer ).ip_geo_artifact.network.asn |
Nome da transportadora | ( principal | target | src | observer ).ip_geo_artifact.network.carrier_name |
Domínio DNS | ( principal | target | src | observer ).ip_geo_artifact.network.dns_domain |
Nome da organização | ( principal | target | src | observer ).ip_geo_artifact.network.organization_name |
O exemplo a seguir mostra o tipo de informação geográfica que seria adicionada a um evento de UDM com um endereço IP marcado para a Holanda:
Campo de UDM | Valor |
---|---|
principal.ip_geo_artifact.location.country_or_region |
Netherlands |
principal.ip_geo_artifact.location.region_coordinates.latitude |
52.132633 |
principal.ip_geo_artifact.location.region_coordinates.longitude |
5.291266 |
principal.ip_geo_artifact.network.asn |
8455 |
principal.ip_geo_artifact.network.carrier_name |
schuberg philis |
Inconsistências
A tecnologia de geolocalização de IP reservada do Google usa uma combinação de dados de rede e outras entradas e métodos para fornecer a localização do endereço IP e a resolução da rede para nossos usuários. Outras organizações podem usar sinais ou métodos diferentes, que ocasionalmente podem levar a resultados diferentes.
Se surgirem casos em que você notar uma inconsistência nos resultados de geolocalização de IP fornecidos pelo Google, abra um caso de suporte ao cliente para que possamos investigar e, se apropriado, corrigir nossos registros.
Aprimore as entidades com informações das listas de ameaças da Navegação segura
As operações de segurança do Google processam dados da Navegação segura relacionados a hashes de arquivos. Os dados de cada arquivo são armazenados como uma entidade e fornecem contexto adicional sobre o arquivo. Os analistas podem criar regras do mecanismo de detecção que fazem consultas nos dados de contexto da entidade para criar análises com reconhecimento de contexto.
As informações a seguir são armazenadas com o registro de contexto da entidade.
Campo de UDM | Descrição |
---|---|
entity.metadata.product_entity_id |
Identificador exclusivo da entidade. |
entity.metadata.entity_type |
Esse valor é FILE , indicando que a entidade descreve um arquivo.
|
entity.metadata.collected_timestamp |
A data e a hora em que a entidade foi observada ou o evento ocorreu. |
entity.metadata.interval |
Armazena o horário de início e de término em que estes dados são válidos.
Como o conteúdo da lista de ameaças muda ao longo do tempo, start_time
e end_time refletem o intervalo de tempo em que os dados sobre a
entidade são válidos. Por exemplo, foi observado um hash de arquivo
malicioso ou suspeito entre start_time |
entity.metadata.threat.category |
Aqui é a equipe de operações de segurança do Google SecurityCategory . Ele é definido como um ou mais dos seguintes valores:
|
entity.metadata.threat.severity |
Aqui é a equipe de operações de segurança do Google ProductSeverity .
Se o valor for CRITICAL , isso indica que o artefato parece malicioso.
Se o valor não for especificado, não haverá confiança suficiente para indicar que o artefato é malicioso.
|
entity.metadata.product_name |
Armazena o valor Google Safe Browsing . |
entity.file.sha256 |
O valor de hash SHA256 para o arquivo. |
Aprimorar entidades com dados WHOIS
As operações de segurança do Google processam dados WHOIS diariamente. Durante a ingestão de dados de dispositivos de clientes recebidos, as Operações de segurança do Google avaliam os domínios em dados de clientes em relação aos dados do WHOIS. Quando há uma correspondência, as operações de segurança do Google armazenam os dados WHOIS relacionados com o registro de entidade do domínio. Para cada entidade,
em que entity.metadata.entity_type = DOMAIN_NAME
, as Operações de segurança do Google enriquecem
a entidade com informações do WHOIS.
O Google Security Operations preenche os dados WHOIS enriquecidos nos seguintes campos do registro da entidade:
entity.domain.admin.attribute.labels
entity.domain.audit_update_time
entity.domain.billing.attribute.labels
entity.domain.billing.office_address.country_or_region
entity.domain.contact_email
entity.domain.creation_time
entity.domain.expiration_time
entity.domain.iana_registrar_id
entity.domain.name_server
entity.domain.private_registration
entity.domain.registrant.company_name
entity.domain.registrant.office_address.state
entity.domain.registrant.office_address.country_or_region
entity.domain.registrant.email_addresses
entity.domain.registrant.user_display_name
entity.domain.registrar
entity.domain.registry_data_raw_text
entity.domain.status
entity.domain.tech.attribute.labels
entity.domain.update_time
entity.domain.whois_record_raw_text
entity.domain.whois_server
entity.domain.zone
Para conferir uma descrição desses campos, consulte o documento da lista de campos do modelo unificado de dados.
Faça a ingestão e o armazenamento de dados do Google Cloud Threat Intelligence
O Google Security Operations processa dados das fontes de dados do Google Cloud Threat Intelligence (GCTI) que fornecem informações contextuais que podem ser usadas ao investigar a atividade no seu ambiente. É possível consultar as seguintes fontes de dados:
- Nós de saída do Tor do GCTI: endereços IP que são nós de saída do Tor conhecidos.
- Binários benignos de GCTI: arquivos que fazem parte da distribuição original do sistema operacional ou que foram atualizados por um patch de sistema operacional oficial. Alguns binários oficiais do sistema operacional que foram abusados por um adversário por atividades comuns em ataques terrestres são excluídos dessa fonte de dados, como os que se concentram em vetores de entrada iniciais.
Ferramentas de acesso remoto da GCTI: arquivos usados com frequência por agentes maliciosos. Essas ferramentas geralmente são aplicativos legítimos que às vezes são usados indevidamente para se conectar remotamente a sistemas comprometidos.
Esses dados contextuais são armazenados globalmente como entidades. É possível consultar os dados usando as regras do mecanismo de detecção. Inclua os seguintes campos e valores de UDM na regra para consultar essas entidades globais:
graph.metadata.vendor_name
=Google Cloud Threat Intelligence
graph.metadata.product_name
=GCTI Feed
Neste documento, o marcador <variable_name>
representa o nome da variável exclusiva usado em uma regra para identificar um registro UDM.
Origens de dados cronometradas e atemporais do Google Cloud Threat Intelligence
As fontes de dados do Google Cloud Threat Intelligence são cronometradas ou atemporais.
As fontes de dados com marcação de tempo têm um intervalo associado a cada entrada. Isso significa que, se uma detecção for gerada no dia 1, em qualquer dia no futuro, ela deverá ser gerada para o dia 1 durante uma caça retroativa.
As fontes de dados atemporais não têm um período associado a elas. Isso ocorre porque apenas o conjunto mais recente de dados é o que deve ser considerado. As fontes de dados atemporais são frequentemente usadas para dados que não precisam mudar, como hashes de arquivos. Se nenhuma detecção for gerada no dia 1, no dia 2, uma detecção poderá ser gerada para o dia 1 durante uma busca retroativa porque uma nova entrada foi adicionada.
Dados sobre endereços IP do nó de saída do Tor
O Operações de segurança do Google ingere e armazena endereços IP que são nós de saída do Tor conhecidos. Os nós de saída do Tor são pontos em que o tráfego sai da rede Tor. As informações ingeridas dessa fonte de dados são armazenadas nos campos do UDM a seguir. Os dados desta origem são cronometrados.
Campo de UDM | Descrição |
---|---|
<variable_name>.graph.metadata.vendor_name |
Armazena o valor Google Cloud Threat Intelligence . |
<variable_name>.graph.metadata.product_name |
Armazena o valor GCTI Feed . |
<variable_name>.graph.metadata.threat.threat_feed_name |
Armazena o valor Tor Exit Nodes . |
<variable_name>.graph.entity.artifact.ip |
Armazena o endereço IP ingerido da fonte de dados do GCTI. |
Dados sobre arquivos benignos do sistema operacional
O Operações de segurança do Google ingere e armazena hashes de arquivos da fonte de dados de binários benignos do GCTI. As informações ingeridas dessa fonte de dados são armazenadas nos seguintes campos de UDM. Os dados nesta origem são atemporais.
Campo de UDM | Descrição |
---|---|
<variable_name>.graph.metadata.vendor_name |
Armazena o valor Google Cloud Threat Intelligence . |
<variable_name>.graph.metadata.product_name |
Armazena o valor GCTI Feed . |
<variable_name>.graph.metadata.threat.threat_feed_name |
Armazena o valor Benign Binaries . |
<variable_name>.graph.entity.file.sha256 |
Armazena o valor de hash SHA256 do arquivo. |
<variable_name>.graph.entity.file.sha1 |
Armazena o valor de hash SHA1 do arquivo. |
<variable_name>.graph.entity.file.md5 |
Armazena o valor de hash MD5 do arquivo. |
Dados sobre ferramentas de acesso remoto
Essas ferramentas incluem hashes de arquivo para ferramentas de acesso remoto conhecidas, como clientes VNC que foram usados com frequência por agentes maliciosos. Geralmente, essas ferramentas são aplicativos legítimos que às vezes são usados indevidamente para se conectar remotamente a sistemas comprometidos. As informações ingeridas dessa fonte de dados são armazenadas nos campos de UDM a seguir. Os dados nesta origem são atemporais.
Campo de UDM | Descrição |
---|---|
Armazena o valor Google Cloud Threat Intelligence . |
|
Armazena o valor GCTI Feed . |
|
Armazena o valor Remote Access Tools . |
|
Armazena o valor de hash SHA256 do arquivo. | |
Armazena o valor de hash SHA1 do arquivo. | |
Armazena o valor de hash MD5 do arquivo. |
Aprimore eventos com metadados de arquivos do VirusTotal
As operações de segurança do Google enriquecem os hashes de arquivos em eventos do UDM e oferecem mais contexto durante uma investigação. Os eventos de UDM são aprimorados com o alias de hash em um ambiente de cliente. O alias de hash combina todos os tipos de hashes de arquivo e fornece informações sobre um hash de arquivo durante uma pesquisa.
A integração dos metadados de arquivos do VirusTotal e o enriquecimento do relacionamento com o Google SecOps podem ser usadas para identificar padrões de atividade maliciosa e rastrear os movimentos de malware em uma rede.
Um registro bruto fornece informações limitadas sobre o arquivo. O VirusTotal enriquece o evento com metadados de arquivo para fornecer um despejo de hashes incorretos, além de metadados sobre o arquivo inválido. Os metadados incluem informações como nomes de arquivos, tipos, funções importadas e tags. É possível usar essas informações no mecanismo de pesquisa e detecção de UDM com o YARA-L para entender eventos de arquivo inválidos e em geral durante a busca de ameaças. Um exemplo de caso de uso é detectar qualquer modificação no arquivo original, que, por sua vez, importaria os metadados do arquivo para detecção de ameaças.
As informações a seguir são armazenadas com o registro. Para uma lista de todos os campos do UDM, consulte a Lista de campos do modelo de dados unificado.
Tipos de dados | Campo de UDM |
---|---|
SHA-256 | ( principal | target | src | observer ).file.sha256 |
MD5 | ( principal | target | src | observer ).file.md5 |
SHA-1 | ( principal | target | src | observer ).file.sha1 |
Tamanho | ( principal | target | src | observer ).file.size |
ssdeep | ( principal | target | src | observer ).file.ssdeep |
Vhash | ( principal | target | src | observer ).file.vhash |
Authentihash | ( principal | target | src | observer ).file.authentihash |
Tipo de arquivo | ( principal | target | src | observer ).file.file_type |
Tags | ( principal | target | src | observer ).file.tags |
Tags de recursos | ( principal | target | src | observer ).file.capabilities_tags |
Nomes | ( principal | target | src | observer ).file.names |
Horário da primeira visualização | ( principal | target | src | observer ).file.first_seen_time |
Horário da última visualização | ( principal | target | src | observer ).file.last_seen_time |
Horário da última modificação | ( principal | target | src | observer ).file.last_modification_time |
Horário da última análise | ( principal | target | src | observer ).file.last_analysis_time |
URLs incorporados | ( principal | target | src | observer ).file.embedded_urls |
IPs incorporados | ( principal | target | src | observer ).file.embedded_ips |
Domínios incorporados | ( principal | target | src | observer ).file.embedded_domains |
Informações da assinatura | ( principal | target | src | observer ).file.signature_info |
Informações da assinatura
|
( principal | target | src | observer).file.signature_info.sigcheck |
Informações da assinatura
|
( principal | target | src | observer ).file.signature_info.sigcheck.verification_message |
Informações da assinatura
|
( principal | target | src | observer ).file.signature_info.sigcheck.verified |
Informações da assinatura
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers |
Informações da assinatura
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers.name |
Informações da assinatura
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers.status |
Informações da assinatura
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers.valid_usage |
Informações da assinatura
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers.cert_issuer |
Informações da assinatura
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509 |
Informações da assinatura
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.name |
Informações da assinatura
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.algorithm |
Informações da assinatura
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.thumprint |
Informações da assinatura
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.cert_issuer |
Informações da assinatura
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.serial_number |
Informações da assinatura
|
( principal | target | src | observer ).file.signature_info.codesign |
Informações da assinatura
|
( principal | target | src | observer ).file.signature_info.codesign.id |
Informações da assinatura
|
( principal | target | src | observer ).file.signature_info.codesign.format |
Informações da assinatura
|
( principal | target | src | observer ).file.signature_info.codesign.compilation_time |
Informações do Exiftool | ( principal | target | src | observer ).file.exif_info |
Informações do Exiftool
|
( principal | target | src | observer ).file.exif_info.original_file |
Informações do Exiftool
|
( principal | target | src | observer ).file.exif_info.product |
Informações do Exiftool
|
( principal | target | src | observer ).file.exif_info.company |
Informações do Exiftool
|
( principal | target | src | observer ).file.exif_info.file_description |
Informações do Exiftool
|
( principal | target | src | observer ).file.exif_info.entry_point |
Informações do Exiftool
|
( principal | target | src | observer ).file.exif_info.compilation_time |
Informações do PDF | ( principal | target | src | observer ).file.pdf_info |
Informações do PDF
|
( principal | target | src | observer ).file.pdf_info.js |
Informações do PDF
|
( principal | target | src | observer ).file.pdf_info.javascript |
Informações do PDF
|
( principal | target | src | observer ).file.pdf_info.launch_action_count |
Informações do PDF
|
( principal | target | src | observer ).file.pdf_info.object_stream_count |
Informações do PDF
|
( principal | target | src | observer ).file.pdf_info.endobj_count |
Informações do PDF
|
( principal | target | src | observer ).file.pdf_info.header |
Informações do PDF
|
( principal | target | src | observer ).file.pdf_info.acroform |
Informações do PDF
|
( principal | target | src | observer ).file.pdf_info.autoaction |
Informações do PDF
|
( principal | target | src | observer ).file.pdf_info.embedded_file |
Informações do PDF
|
( principal | target | src | observer ).file.pdf_info.encrypted |
Informações do PDF
|
( principal | target | src | observer ).file.pdf_info.flash |
Informações do PDF
|
( principal | target | src | observer ).file.pdf_info.jbig2_compression |
Informações do PDF
|
( principal | target | src | observer ).file.pdf_info.obj_count |
Informações do PDF
|
( principal | target | src | observer ).file.pdf_info.endstream_count |
Informações do PDF
|
( principal | target | src | observer ).file.pdf_info.page_count |
Informações do PDF
|
( principal | target | src | observer ).file.pdf_info.stream_count |
Informações do PDF
|
( principal | target | src | observer ).file.pdf_info.openaction |
Informações do PDF
|
( principal | target | src | observer ).file.pdf_info.startxref |
Informações do PDF
|
( principal | target | src | observer ).file.pdf_info.suspicious_colors |
Informações do PDF
|
( principal | target | src | observer ).file.pdf_info.trailer |
Informações do PDF
|
( principal | target | src | observer ).file.pdf_info.xfa |
Informações do PDF
|
( principal | target | src | observer ).file.pdf_info.xref |
Metadados do arquivo PE | ( principal | target | src | observer ).file.pe_file |
Metadados do arquivo PE
|
( principal | target | src | observer ).file.pe_file.imphash |
Metadados do arquivo PE
|
( principal | target | src | observer ).file.pe_file.entry_point |
Metadados do arquivo PE
|
( principal | target | src | observer ).file.pe_file.entry_point_exiftool |
Metadados do arquivo PE
|
( principal | target | src | observer ).file.pe_file.compilation_time |
Metadados do arquivo PE
|
( principal | target | src | observer ).file.pe_file.compilation_exiftool_time |
Metadados do arquivo PE
|
( principal | target | src | observer ).file.pe_file.section |
Metadados do arquivo PE
|
( principal | target | src | observer ).file.pe_file.section.name |
Metadados do arquivo PE
|
( principal | target | src | observer ).file.pe_file.section.entropy |
Metadados do arquivo PE
|
( principal | target | src | observer ).file.pe_file.section.raw_size_bytes |
Metadados do arquivo PE
|
( principal | target | src | observer ).file.pe_file.section.virtual_size_bytes |
Metadados do arquivo PE
|
( principal | target | src | observer ).file.pe_file.section.md5_hex |
Metadados do arquivo PE
|
( principal | target | src | observer ).file.pe_file.imports |
Metadados do arquivo PE
|
( principal | target | src | observer ).file.pe_file.imports.library |
Metadados do arquivo PE
|
( principal | target | src | observer ).file.pe_file.imports.functions |
Metadados do arquivo PE
|
( principal | target | src | observer ).file.pe_file.resource |
Metadados do arquivo PE
|
( principal | target | src | observer ).file.pe_file.resource.sha256_hex |
Metadados do arquivo PE
|
( principal | target | src | observer ).file.pe_file.resource.filetype_magic |
Metadados do arquivo PE
|
( principal | target | src | observer ).file.pe_file.resource_language_code |
Metadados do arquivo PE
|
( principal | target | src | observer ).file.pe_file.resource.entropy |
Metadados do arquivo PE
|
( principal | target | src | observer ).file.pe_file.resource.file_type |
Metadados do arquivo PE
|
( principal | target | src | observer ).file.pe_file.resources_type_count_str |
Metadados do arquivo PE
|
( principal | target | src | observer ).file.pe_file.resources_language_count_str |
Enriquecer entidades com dados de relacionamento do VirusTotal
O VirusTotal ajuda a analisar arquivos, domínios, endereços IP e URLs suspeitos para detectar malware e outras violações e compartilhar as descobertas com a comunidade de segurança. A equipe de Operações de Segurança do Google processa dados de conexões relacionadas ao VirusTotal. Esses dados são armazenados como uma entidade e fornecem informações sobre a relação entre hashes e arquivos de arquivo, domínios, endereços IP e URLs.
Os analistas podem usar esses dados para determinar se um hash de arquivo está incorreto com base em informações sobre o URL ou o domínio de outras fontes. Essas informações podem ser usadas para criar regras do mecanismo de detecção que consultam os dados de contexto da entidade para criar análises contextuais.
Esses dados só estão disponíveis para algumas licenças do VirusTotal e do Google Security Operations. Verifique seus direitos com o gerente de contas.
As informações a seguir são armazenadas com o registro de contexto da entidade:
Campo de UDM | Descrição |
---|---|
entity.metadata.product_entity_id |
Identificador exclusivo da entidade |
entity.metadata.entity_type |
Armazena o valor FILE , indicando que a entidade descreve um arquivo |
entity.metadata.interval |
start_time refere-se ao início do tempo, e end_time é o fim do horário em que esses dados são válidos. |
entity.metadata.source_labels |
Esse campo armazena uma lista de pares de chave-valor de source_id e
target_id para essa entidade. source_id é o hash do arquivo, e target_id pode ser o hash ou o valor do URL, nome de domínio ou endereço IP a que esse arquivo está relacionado. Pesquise o URL, o nome de domínio,
o endereço IP ou o arquivo em virustotal.com. |
entity.metadata.product_name |
Armazena o valor "VirusTotal Relationships" |
entity.metadata.vendor_name |
Armazena o valor "VirusTotal" |
entity.file.sha256 |
Armazena o valor de hash SHA-256 do arquivo |
entity.file.relations |
Uma lista de entidades filhas a que a entidade do arquivo pai está relacionada |
entity.relations.relationship |
Esse campo explica o tipo de relação entre entidades pai e filho.
O valor pode ser EXECUTES , DOWNLOADED_FROM ou CONTACTS . |
entity.relations.direction |
Armazena o valor "UNI DIREITA" e indica a direção da relação com a entidade filha |
entity.relations.entity.url |
O URL com que o arquivo na entidade pai entra em contato (se a relação entre
a entidade pai e o URL for CONTACTS ) ou o URL do qual
foi feito o download do arquivo na entidade pai (se a relação entre a entidade pai
e o URL for DOWNLOADED_FROM ). |
entity.relations.entity.ip |
Uma lista de endereços IP de onde o arquivo na entidade pai entra em contato ou foi transferido por download. Contém apenas um endereço IP. |
entity.relations.entity.domain.name |
O nome de domínio do qual o arquivo na entidade pai entra em contato ou foi transferido por download |
entity.relations.entity.file.sha256 |
Armazena o valor de hash SHA-256 do arquivo na relação |
entity.relations.entity_type |
Esse campo contém o tipo de entidade na relação. O valor pode ser URL , DOMAIN_NAME , IP_ADDRESS ou FILE . Esses campos são preenchidos de acordo com o
entity_type . Por exemplo, se entity_type for URL , entity.relations.entity.url será preenchido. |
A seguir
Para informações sobre como usar dados enriquecidos com outros recursos das Operações de segurança do Google, consulte: