Como o Chronicle enriquece os dados de eventos e de entidades

Para possibilitar uma investigação de segurança, o Chronicle ingere dados contextuais de diferentes fontes, realiza análises nos dados e fornece mais contexto sobre artefatos em um ambiente do cliente. Os analistas podem usar dados enriquecidos contextualmente em regras do Mecanismo de detecção, pesquisas investigativas ou relatórios.

O Chronicle realiza os seguintes tipos de enriquecimento:

• Calcula e enriquece cada entidade com uma estatística de prevalência que indica a popularidade no ambiente.
• Calcula a primeira vez que determinados tipos de entidade foram vistos no ambiente ou a hora mais recente.
• enriquece entidades com informações de listas de ameaças do Navegação segura;
• Enriquece eventos com dados de geolocalização.
• Enriquece entidades com dados WHOIS.
• Enriquece eventos com metadados do arquivo do VirusTotal.
• Enriquece entidades com dados de relacionamento do VirusTotal.
• Faça a ingestão e armazene os dados do Google Cloud Threat Intelligence.

Neste documento, descrevemos como o Chronicle enriquece dados e os campos do Modelo de dados unificado (UDM, na sigla em inglês) em que os dados são armazenados.

Os dados avançados de WHOIS, navegação segura, GCTI Threat Intelligence, metadados do VirusTotal e o relacionamento do VirusTotal são identificados por event_type, product_name e vendor_name. Ao criar uma regra que usa esses dados enriquecidos, recomendamos que você inclua um filtro na regra que identifique o tipo de enriquecimento específico a ser incluído. Esse filtro ajuda a melhorar o desempenho da regra. Por exemplo, inclua os seguintes campos de filtro na seção events da regra que une os dados WHOIS.

$enrichment.graph.metadata.entity_type = "DOMAIN_NAME"
$enrichment.graph.metadata.product_name = "WHOISXMLAPI Simple Whois"
$enrichment.graph.metadata.vendor_name = "WHOIS"

Calcular estatísticas de prevalência

O Chronicle realiza uma análise estatística de dados atuais e recebidos e enriquece os registros de contexto da entidade com métricas relacionadas à prevalência.

A prevalência é um valor numérico que indica a popularidade de uma entidade. A popularidade é definida pelo número de recursos que acessam um artefato, como um domínio, hash de arquivo ou endereço IP. Quanto maior o número, mais popular a entidade. Por exemplo, google.com tem valores de alta prevalência porque é acessado com frequência. Se um domínio for acessado com pouca frequência, ele terá valores de prevalência menores. As entidades mais populares têm menos probabilidade de serem mal-intencionadas.

Esses valores enriquecidos são compatíveis com domínio, IP e arquivo (hash). Os valores são calculados e armazenados nos campos a seguir.

As estatísticas de prevalência de cada entidade são atualizadas todos os dias. Os valores são armazenados em um contexto de entidade separado que pode ser usado pelo Detection Engine, mas não é mostrado nas visualizações investigativas do Chronicle e na pesquisa UDM.

Os campos a seguir podem ser usados ao criar regras do Mecanismo de detecção.

Tipo de entidade	Campos de UDM
Domínio	entity.domain.prevalence.day_count entity.domain.prevalence.day_max entity.domain.prevalence.day_max_sub_domains entity.domain.prevalence.rolling_max entity.domain.prevalence.rolling_max_sub_domains
Arquivo (Hash)	entity.file.prevalence.day_count entity.file.prevalence.day_max entity.file.prevalence.rolling_max
Endereço IP	entity.artifact.prevalence.day_count entity.artifact.prevalence.day_max entity.artifact.prevalence.rolling_max

Os valores de day_max e rolling_max são calculados de maneira diferente. Os campos são calculados da seguinte maneira:

• day_max é calculado como a pontuação máxima de prevalência do artefato durante o dia, em que um dia é definido como 12h - 23h59 (UTC).
• rolling_max é calculado como a pontuação máxima de prevalência por dia (ou seja, day_max) para o artefato nos últimos 10 dias.
• day_count é usado para calcular rolling_max e é sempre o valor 10.

Quando calculada para um domínio, a diferença entre day_max x day_max_sub_domains (e rolling_max x rolling_max_sub_domains) é a seguinte:

• rolling_max e day_max representam o número de endereços IP internos exclusivos diários que acessam um determinado domínio (excluindo subdomínios).
• rolling_max_sub_domains e day_max_sub_domains representam o número de endereços IP internos exclusivos que acessam um determinado domínio (incluindo subdomínios).

As estatísticas de prevalência são calculadas com base nos dados de entidade recém-ingeridos. Os cálculos não são realizados retroativamente em dados ingeridos anteriormente. Leva cerca de 36 horas para que as estatísticas sejam calculadas e armazenadas.

Calcular o tempo da primeira e da última visualizações das entidades

O Chronicle realiza uma análise estatística dos dados recebidos e enriquece os registros de contexto da entidade com os tempos da primeira e da última visualizações de uma entidade. O campo first_seen_time armazena a data e a hora em que a entidade foi vista pela primeira vez no ambiente do cliente. O campo last_seen_time armazena a data e a hora da observação mais recente.

Como vários indicadores (campos UDM) podem identificar um recurso ou um usuário, o primeiro momento visto é a primeira vez que qualquer um dos indicadores que identifica o usuário ou recurso foi visto no ambiente do cliente.

Todos os campos UDM que descrevem um recurso são os seguintes:

• entity.asset.hostname
• entity.asset.ip
• entity.asset.mac
• entity.asset.asset_id
• entity.asset.product_object_id

Todos os campos UDM que descrevem um usuário são os seguintes:

• entity.user.windows_sid
• entity.user.product_object_id
• entity.user.userid
• entity.user.employee_id
• entity.user.email_addresses

Os tempos vistos pela primeira e a última vez permitem que um analista correlacione determinadas atividades que ocorreram depois que um domínio, arquivo (hash), recurso, usuário ou endereço IP foi visto pela primeira vez ou que parou de ocorrer depois que o domínio, arquivo (hash) ou endereço IP foi visto pela última vez.

Os campos first_seen_time e last_seen_time são preenchidos com entidades que descrevem um domínio, endereço IP e arquivo (hash). Para entidades que descrevem um usuário ou recurso, somente o campo first_seen_time é preenchido. Esses valores não são calculados para entidades que descrevem outros tipos, como um grupo ou recurso.

As estatísticas são calculadas para cada entidade em todos os namespaces. O Chronicle não calcula as estatísticas para cada entidade dentro de namespaces individuais. No momento, essas estatísticas não são exportadas para o esquema events do Chronicle no BigQuery.

Os valores enriquecidos são calculados e armazenados nos seguintes campos UDM:

Tipo de entidade	Campos de UDM
Domínio	entity.domain.first_seen_time entity.domain.last_seen_time
Arquivo (hash)	entity.file.first_seen_time entity.file.last_seen_time
Endereço IP	entity.artifact.first_seen_time entity.artifact.last_seen_time
Recurso	entity.asset.first_seen_time
Usuário	entity.user.first_seen_time

Enriqueça eventos com dados de geolocalização

Os dados de registro de entrada podem incluir endereços IP externo sem informações de local correspondentes. Isso é comum quando um evento está registrando informações sobre a atividade do dispositivo que não está em uma rede corporativa. Por exemplo, um evento de login em um serviço de nuvem conteria um endereço IP de origem ou de cliente com base no endereço IP externo de um dispositivo retornado pelo NAT da operadora.

O Chronicle fornece dados enriquecidos com geolocalização para endereços IP externo para permitir a detecção de regras mais avançadas e mais contexto para investigações. Por exemplo, o Chronicle pode usar um endereço IP externo para enriquecer o evento com informações sobre o país (como os Estados Unidos), um estado específico (como o Alasca) e a rede em que o endereço IP está (como o ASN e o nome da operadora).

O Chronicle usa dados de local fornecidos pelo Google para fornecer uma localização geográfica e informações de rede aproximadas para um endereço IP. Grave regras de mecanismo de detecção nesses campos nos eventos. Os dados de eventos enriquecidos também são exportados para o BigQuery, onde podem ser usados em painéis e relatórios do Chronicle.

Os seguintes endereços IP não são enriquecidos:

• Espaços de endereços IP privados RFC 1918 porque eles são internos à rede corporativa.
• Espaço de endereços IP multicast RFC 5771 porque os endereços multicast não pertencem a um único local.
• Endereços locais exclusivos IPv6.
• Endereços IP de serviço do Google Cloud. As exceções são os endereços IP externo do Google Cloud Compute Engine, que são enriquecidos.

O Chronicle enriquece os seguintes campos de UDM com dados de geolocalização:

• principal
• target
• src
• observer

Tipos de dados	Campo de UDM
Local (por exemplo, Estados Unidos)	( principal | target | src | observer ).ip_geo_artifact.location.country_or_region
Estado (por exemplo, Nova York)	( principal | target | src | observer ).ip_geo_artifact.location.state
Longitude	( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.longitude
Latitude	( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.latitude
ASN (número do sistema autônomo)	( principal | target | src | observer ).ip_geo_artifact.network.asn
Nome da operadora	( principal | target | src | observer ).ip_geo_artifact.network.carrier_name
Domínio DNS	( principal | target | src | observer ).ip_geo_artifact.network.dns_domain
Nome da organização	( principal | target | src | observer ).ip_geo_artifact.network.organization_name

O exemplo a seguir mostra o tipo de informação geográfica que seria adicionada a um evento UDM com um endereço IP marcado para a Holanda:

Campo de UDM	Valor
principal.ip_geo_artifact.location.country_or_region	Netherlands
principal.ip_geo_artifact.location.region_coordinates.latitude	52.132633
principal.ip_geo_artifact.location.region_coordinates.longitude	5.291266
principal.ip_geo_artifact.network.asn	8455
principal.ip_geo_artifact.network.carrier_name	schuberg philis

Inconsistências

A tecnologia de geolocalização de IP reservada do Google usa uma combinação de dados de rede e outras entradas e métodos para fornecer a localização de endereços IP e a resolução de rede aos nossos usuários. Outras organizações podem usar sinais ou métodos diferentes, o que pode levar a resultados diferentes.

Em caso de inconsistência nos resultados de geolocalização de IP fornecidos pelo Google, abra um caso de suporte ao cliente para que possamos investigar e, se apropriado, corrigir nossos registros.

Aprimore entidades com informações das listas de ameaças do Navegação segura

O Chronicle ingere dados do Navegação segura relacionados a hashes de arquivos. Os dados de cada arquivo são armazenados como uma entidade e fornecem mais contexto sobre o arquivo. Os analistas podem criar regras do Detection Engine que fazem consultas nos dados de contexto da entidade para criar análises com base no contexto.

As informações a seguir são armazenadas com o registro de contexto da entidade.

Campo de UDM	Descrição
entity.metadata.product_entity_id	Um identificador exclusivo da entidade.
entity.metadata.entity_type	Esse valor é FILE, indicando que a entidade descreve um arquivo.
entity.metadata.collected_timestamp	A data e a hora em que a entidade foi observada ou o evento ocorreu.
entity.metadata.interval	Armazena o horário de início e de término da validade desses dados. Como o conteúdo da lista de ameaças muda ao longo do tempo, start_time e end_time refletem o intervalo de tempo em que os dados sobre a entidade são válidos. Por exemplo, um hash de arquivo foi detectado como malicioso ou suspeito entre start_time and end_time..
entity.metadata.threat.category	Este é o Chronicle SecurityCategory. Isso é definido como um ou mais dos seguintes valores: SOFTWARE_MALICIOUS: indica que a ameaça está relacionada a malware. SOFTWARE_PUA: indica que a ameaça está relacionada a software indesejado.
entity.metadata.threat.severity	Este é o Chronicle ProductSeverity. Se o valor for CRITICAL, isso indica que o artefato parece malicioso. Se o valor não for especificado, não haverá confiança suficiente para indicar que o artefato é malicioso.
entity.metadata.product_name	Armazena o valor Google Safe Browsing.
entity.file.sha256	O valor de hash SHA256 do arquivo.

Aprimore entidades com dados WHOIS

O Chronicle ingere dados WHOIS diariamente. Durante a ingestão de dados do dispositivo do cliente, o Chronicle avalia domínios nos dados do cliente em relação aos dados do WHOIS. Quando há uma correspondência, o Chronicle armazena os dados WHOIS relacionados com o registro de entidade do domínio. Para cada entidade, em que entity.metadata.entity_type = DOMAIN_NAME, o Chronicle enriquece a entidade com informações do WHOIS.

O Chronicle preenche os dados WHOIS enriquecidos nos seguintes campos do registro de entidade:

• entity.domain.admin.attribute.labels
• entity.domain.audit_update_time
• entity.domain.billing.attribute.labels
• entity.domain.billing.office_address.country_or_region
• entity.domain.contact_email
• entity.domain.creation_time
• entity.domain.expiration_time
• entity.domain.iana_registrar_id
• entity.domain.name_server
• entity.domain.private_registration
• entity.domain.registrant.company_name
• entity.domain.registrant.office_address.state
• entity.domain.registrant.office_address.country_or_region
• entity.domain.registrant.email_addresses
• entity.domain.registrant.user_display_name
• entity.domain.registrar
• entity.domain.registry_data_raw_text
• entity.domain.status
• entity.domain.tech.attribute.labels
• entity.domain.update_time
• entity.domain.whois_record_raw_text
• entity.domain.whois_server
• entity.domain.zone

Para uma descrição desses campos, consulte o documento de lista de campos do modelo de dados unificado.

Ingerir e armazenar dados do Google Cloud Threat Intelligence

O Chronicle ingere dados das fontes de dados do Google Cloud Threat Intelligence (GCTI) que fornecem informações contextuais que podem ser usadas ao investigar atividades no seu ambiente. Você pode consultar as fontes de dados a seguir:

• Nós de saída Tor da GCTI: endereços IP conhecidos como nós de saída.
• Binários Benignes do GCTI: arquivos que fazem parte da distribuição original do sistema operacional ou que foram atualizados por um patch oficial do sistema operacional. Alguns binários oficiais do sistema operacional que foram usados indevidamente por um invasor por meio de atividades comuns em ataques de pessoas fora da terra são excluídos dessa fonte de dados, como os que se concentram nos vetores de entrada iniciais.

Esses dados contextuais são armazenados globalmente como entidades. É possível consultar os dados usando as regras do mecanismo de detecção. Inclua os seguintes campos e valores de UDM na regra para consultar essas entidades globais:

• graph.metadata.vendor_name = Google Cloud Threat Intelligence
• graph.metadata.product_name = GCTI Feed

Neste documento, o marcador <variable_name> representa o nome da variável única usada em uma regra para identificar um registro de UDM.

Dados sobre endereços IP de nós de saída Tor

O Chronicle ingere e armazena endereços IP que são conhecidos como nós de saída Tor. Os nós de saída Tor são pontos em que o tráfego sai da rede Tor. As informações ingeridas dessa fonte de dados são armazenadas nos seguintes campos de UDM.

Campo de UDM	Descrição
<variable_name>.graph.metadata.vendor_name	Armazena o valor Google Cloud Threat Intelligence.
<variable_name>.graph.metadata.product_name	Armazena o valor GCTI Feed.
<variable_name>.graph.metadata.threat.threat_feed_name	Armazena o valor Tor Exit Nodes.
<variable_name>.graph.entity.artifact.ip	Armazena o endereço IP ingerido da fonte de dados GCTI.

Dados sobre arquivos benignos do sistema operacional

O Chronicle ingere e armazena hashes de arquivos da fonte de dados GCTI Benign Binaries. As informações ingeridas dessa fonte de dados são armazenadas nos campos UDM a seguir.

Campo de UDM	Descrição
<variable_name>.graph.metadata.vendor_name	Armazena o valor Google Cloud Threat Intelligence.
<variable_name>.graph.metadata.product_name	Armazena o valor GCTI Feed.
<variable_name>.graph.metadata.threat.threat_feed_name	Armazena o valor Benign Binaries.
<variable_name>.graph.entity.file.sha256	Armazena o valor de hash SHA256 do arquivo.
<variable_name>.graph.entity.file.sha1	Armazena o valor de hash SHA1 do arquivo.
<variable_name>.graph.entity.file.md5	Armazena o valor de hash MD5 do arquivo.

Enriqueça eventos com os metadados do arquivo do VirusTotal

O Chronicle enriquece os hashes de arquivos em eventos UDM e fornece mais contexto durante uma investigação. Os eventos de UDM são enriquecidos com alias de hash em um ambiente de cliente. O alias de hash combina todos os tipos de hashes de arquivos e fornece informações sobre um hash de arquivo durante uma pesquisa.

A integração dos metadados do arquivo do VirusTotal e o enriquecimento de relacionamento com o Chronicle pode ser usado para identificar padrões de atividade mal-intencionada e rastrear movimentos de malware em uma rede.

Um registro bruto fornece informações limitadas sobre o arquivo. O VirusTotal enriquece o evento com metadados de arquivo para fornecer um despejo de hashes inválidos com metadados sobre o arquivo inválido. Os metadados incluem informações como nomes de arquivos, tipos, funções importadas e tags. É possível usar essas informações no mecanismo de pesquisa e detecção de UDM com o YARA-L para entender eventos ruins no arquivo e, em geral, durante a caça a ameaças. Um exemplo de caso de uso é detectar modificações no arquivo original que, por sua vez, importam os metadados do arquivo para detecção de ameaças.

As informações a seguir são armazenadas com o registro. Para uma lista de todos os campos do UDM, consulte Lista de campos do modelo de dados unificado.