Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Como o Chronicle enriquece os dados de eventos e entidades

Para permitir uma investigação de segurança, o Chronicle ingere dados contextuais de diferentes fontes, executa análises nos dados e fornece mais contexto sobre artefatos em um ambiente do cliente. Os analistas podem usar esses dados enriquecidos contextualmente nas regras do Detection Engine, nas pesquisas investigativas e nos relatórios. Nesta seção, descrevemos o tipo de enriquecimento fornecido pelo Chronicle e explicamos como ele pode ser usado.

Estatísticas de prevalência

O Chronicle realiza análises estatísticas em dados existentes e recebidos e enriquece registros de contexto de entidade com métricas relacionadas à prevalência.

A prevalência é um valor numérico que indica o nível de popularidade de uma entidade.
A popularidade é definida pelo número de recursos que acessam um artefato, como um domínio, um hash de arquivo ou um endereço IP. Quanto maior o número, mais popular a entidade. Por exemplo, "##99;google.com&#39" tem altos valores de prevalência porque é acessado com frequência. Caso um domínio seja acessado com pouca frequência, ele terá valores de prevalência mais baixos. Geralmente, as entidades mais conhecidas são menos propensas a serem maliciosas.

Esses valores aprimorados são compatíveis com domínio, IP e arquivo (hash). Os valores são calculados e armazenados nos campos a seguir.

As estatísticas de prevalência de cada entidade são atualizadas todos os dias. Os valores são armazenados em um contexto de entidade separado que pode ser usado pelo Detection Engine, mas não são exibidos em visualizações de investigações do Chronicle e na pesquisa UDM.

Os campos a seguir podem ser usados ao criar regras do Detection Engine.

Tipo de entidade Nomes de campo
Domínio Entity.domain.prevalence.day_count
entity.domain.prevalence.day_max
entity.domain.prevalence.day_max_sub_domains:
entity.domain.prevalence.rolling_max
entity.domain.prevalence.rolling_max_sub_domains
Arquivo (hash) Entity.file.prevalence.day_count
Entity.file.prevalence.day_max
entities.file.prevalence.rolling_max
Endereço IP Entity.artifact.prevalence.day_count
entity.artifact.prevalence.day_max
entity.artifact.prevalence.rolling_max

Os valores de day_max e scroll_max são calculados de maneira diferente. Os campos são calculados da seguinte maneira:

  • O valor de day_max é calculado como a pontuação de prevalência máxima do artefato durante o dia, em que um dia é definido como 00:00:00 até 23:59:59 UTC.
  • roll_max é calculado como a pontuação máxima de prevalência por dia (ou seja, day_max) para o artefato na janela anterior de 10 dias.
  • day_count é usado para calcular roll_max e é sempre o valor 10.

Quando calculada para um domínio, a diferença entre day_max e day_max_sub_domains (e roll_max em relação a roll_max_sub_domains) é a seguinte:

  • roll_max e day_max representam o número de endereços IP internos exclusivos exclusivos que acessam um determinado domínio (exceto subdomínios).
  • roll_max_sub_domains e day_max_sub_domains representam o número de endereços IP internos exclusivos que acessam um determinado domínio (incluindo subdomínios).

As estatísticas de prevalência são calculadas sobre dados de entidades recém-ingeridos. Os cálculos não são realizados de forma retroativa em dados ingeridos anteriormente. Leva cerca de 36 horas para que as estatísticas sejam calculadas e armazenadas.

Como usar campos de prevalência em regras

Você pode usar as estatísticas de prevalência em regras. Para mais informações, consulte Como usar dados enriquecidos de contexto em regras

Listas de ameaças do Navegação segura

O Chronicle ingere dados do Navegação segura relacionados a hashes de arquivos. Os dados de cada arquivo são armazenados como uma entidade e oferecem mais contexto sobre ele. Os analistas podem criar regras do Detection Engine que consultam os dados de contexto dessa entidade para criar análises com base no contexto.

As informações a seguir são armazenadas com o registro de contexto da entidade.

Campo UDM Descrição
Entity.metadata.product_entity_id É um identificador exclusivo da entidade.
entidade.metadata.entity_type Esse valor é 'FILE', indicando que a entidade descreve um arquivo.
Entity.metadata.collected_timestamp A data e a hora em que a entidade foi observada ou o evento ocorreu.
entidades.metadados.intervalo Armazena o start_time e o end_time em que os dados são válidos. Como o conteúdo da lista de ameaças muda ao longo do tempo, start_time e end_time refletem o intervalo de tempo em que os dados sobre a entidade são válidos. Por exemplo, um hash de arquivo foi considerado malicioso ou suspeito entre start_time e end_time.
Entity.metadata.threat.category Esta é a SecurityCategory do Chronicle. Isso é definido como um ou mais dos seguintes valores:
  • SOFTWARE_MALICIOUS: indica que a ameaça está relacionada a malware.
  • SOFTWARE_PUA: indica que a ameaça está relacionada a software indesejado.
Entity.metadata.threat.severity Esta é a ProductSeverity do Chronicle. Se o valor for "CRITical", isso indica que o artefato parece malicioso. Se o valor não for especificado, não há confiança suficiente para indicar que o artefato é malicioso.
Entity.metadata.product_name armazena o valor de "quot;Navegação segura do Google"
Entity.file.sha256 O valor de hash SHA256 para o arquivo.

Próximas etapas: como usar dados avançados nas regras

Você pode usar as estatísticas de prevalência, os dados de geolocalização e os dados do Navegação segura nas regras. Para mais informações, consulte Como usar dados enriquecidos de contexto em regras