Como as Operações de segurança do Google aprimoram os dados de eventos e entidades
Este documento descreve como as Operações de segurança do Google enriquecem os dados e a Campos do modelo de dados unificado (UDM, na sigla em inglês) em que os dados são armazenados.
Para permitir uma investigação de segurança, as Operações de segurança do Google processam dados contextuais de diferentes fontes, realiza análises dos dados e fornece contexto sobre artefatos em um ambiente do cliente. Os analistas podem usar contextualmente dados aprimorados em regras do Mecanismo de detecção, pesquisas investigativas ou relatórios.
As Operações de segurança do Google realizam os seguintes tipos de aprimoramento:
- Enriquece entidades usando o gráfico de entidades e mesclando.
- Calcula e enriquece cada entidade com uma estatística de prevalência que indica sua popularidade no ambiente.
- Calcula a primeira vez que determinados tipos de entidade foram vistos no ambiente ou o horário mais recente.
- Enriquece entidades com informações das listas de ameaças da Navegação segura.
- Aprimora eventos com dados de geolocalização.
- Aprimora entidades com dados WHOIS.
- Aprimora os eventos com metadados de arquivo do VirusTotal.
- Aprimora entidades com dados de relação do VirusTotal.
- Ingerir e armazenar dados do Google Cloud Threat Intelligence.
Dados enriquecidos de WHOIS, Navegação segura, GCTI Threat Intelligence,
Os metadados do VirusTotal e a relação do VirusTotal são identificados por event_type
, product_name
,
e vendor_name
. Ao criar uma regra que use esses dados aprimorados, recomendamos
inclua um filtro na regra que identifique o
tipo de enriquecimento a ser incluído. Esse filtro ajuda a melhorar o desempenho da regra.
Por exemplo, inclua os seguintes campos de filtro na seção events
do
que mescla dados WHOIS.
$enrichment.graph.metadata.entity_type = "DOMAIN_NAME"
$enrichment.graph.metadata.product_name = "WHOISXMLAPI Simple Whois"
$enrichment.graph.metadata.vendor_name = "WHOIS"
Enriquecer entidades usando o grafo de entidades e mesclando
O gráfico de entidades identifica relações entre entidades e recursos no ambiente. Quando entidades de diferentes origens são ingeridos nas Operações de segurança do Google, o gráfico de entidades mantém uma lista de contingência com base na relação entre as entidades. O gráfico de entidades realiza para aprimoramento de contexto por meio da eliminação de duplicação e da mesclagem.
Durante a eliminação de duplicação, os dados redundantes são eliminados e os intervalos são formados para criar
uma entidade comum. Por exemplo, considere duas entidades e1
e e2
com carimbos de data/hora t1
e t2
, respectivamente. A duplicação das entidades e1
e e2
é eliminada, e os carimbos de data/hora
que são diferentes não são usadas durante a eliminação de duplicação. Os campos a seguir não são
usados durante a eliminação de duplicação:
collected_timestamp
creation_timestamp
interval
Durante a mesclagem, as relações entre entidades são formadas por um intervalo de tempo de
um dia. Por exemplo, considere um registro de entidade de user A
que tem acesso a uma instância do Cloud Storage
do Google Cloud. Há outro registro de entidade de user A
que tem um dispositivo. Após a mesclagem,
Essas duas entidades resultam em uma única entidade user A
que tem duas relações. Uma relação
é que user A
tem acesso ao bucket do Cloud Storage e a outra relação
é que user A
é o proprietário do dispositivo. As Operações de segurança do Google realizam um lookback de cinco dias quando
ele cria dados de contexto de entidade. Ela lida com a chegada tardia de dados e cria uma
time to live (TTL) dos dados de contexto da entidade.
As Operações de segurança do Google usam a atribuição de alias para enriquecer os dados de telemetria e usar gráficos de entidade para enriquecer as entidades. As regras do mecanismo de detecção unem as entidades mescladas dados de telemetria enriquecidos para fornecer análises baseadas no contexto.
Um evento que contém um substantivo de entidade é considerado uma entidade. Confira alguns de evento e os tipos de entidade correspondentes:
ASSET_CONTEXT
corresponde aASSET
.RESOURCE_CONTEXT
corresponde aRESOURCE
.USER_CONTEXT
corresponde aUSER
.GROUP_CONTEXT
corresponde aGROUP
.
O gráfico de entidades distingue entre dados contextuais e indicadores de comprometimento (IOC) usando as informações da ameaça.
Ao usar dados enriquecidos contextualmente, considere o seguinte comportamento do gráfico de entidades:
- Não adicione intervalos na entidade. Em vez disso, deixe o gráfico da entidade criar intervalos. Isso ocorre porque os intervalos são gerados durante a eliminação de duplicação, a menos especificado de outra forma.
- Se os intervalos forem especificados, somente os mesmos eventos serão eliminados, e a a entidade mais recente é mantida.
- Para garantir que as regras ativas e as retrohunts funcionem como esperado, as entidades precisam ser ingeridas pelo menos uma vez por dia.
- Se as entidades não forem processadas diariamente e ingeridas apenas uma vez em dois ou mais dias, as regras ativas possam funcionar conforme o esperado, mas os retrohunts podem perder o contexto do evento.
- Se as entidades forem ingeridas mais de uma vez por dia, a duplicação da entidade será eliminada a uma única entidade.
- Se os dados do evento estiverem ausentes em um dia, os dados do dia anterior serão usados temporariamente para garantir que as regras ativas funcionem bem.
O gráfico de entidades também mescla eventos com identificadores semelhantes para obter uma dos dados. Essa mesclagem acontece com base na lista de identificadores a seguir:
Asset
entity.asset.product_object_id
entity.asset.hostname
entity.asset.asset_id
entity.asset.mac
User
entity.user.product_object_id
entity.user.userid
entity.user.windows_sid
entity.user.email_addresses
entity.user.employee_id
Resource
entity.resource.product_object_id
entity.resource.name
Group
entity.group.product_object_id
entity.group.email_addresses
entity.group.windows_sid
Calcular estatísticas de prevalência
As Operações de segurança do Google realizam análises estatísticas sobre os dados recebidos e existentes e enriquece os registros de contexto de entidades com métricas relacionadas à prevalência.
Prevalência é um valor numérico que indica a popularidade de uma entidade.
A popularidade é definida pelo número de recursos que acessam um artefato, como um
hash de arquivo ou endereço IP. Quanto maior o número, mais popular a entidade.
Por exemplo, google.com
tem altos valores de prevalência porque é
acessados com frequência. Se um domínio for acessado com pouca frequência, ele terá um domínio
e os valores de prevalência. Entidades mais conhecidas costumam ser menos propensas a serem maliciosas.
Esses valores aprimorados são compatíveis com domínio, IP e arquivo (hash). Os valores são calculados e armazenados nos campos a seguir.
As estatísticas de prevalência de cada entidade são atualizadas todos os dias. Os valores são armazenados em um contexto de entidade separado que possa ser usado pelo Detection Engine, mas não é mostrado nas visualizações investigativas das Operações de Segurança do Google e na pesquisa UDM.
Os campos a seguir podem ser usados ao criar regras do Detection Engine.
Tipo de entidade | Campos de UDM |
---|---|
Domínio | entity.domain.prevalence.day_count
entity.domain.prevalence.day_max
entity.domain.prevalence.day_max_sub_domains
entity.domain.prevalence.rolling_max
entity.domain.prevalence.rolling_max_sub_domains |
Arquivo (hash) | entity.file.prevalence.day_count
entity.file.prevalence.day_max
entity.file.prevalence.rolling_max |
Endereço IP | entity.artifact.prevalence.day_count
entity.artifact.prevalence.day_max
entity.artifact.prevalence.rolling_max |
Os valores day_max e rolling_max são calculados de maneira diferente. Os campos são calculada da seguinte forma:
day_max
é calculado como a pontuação de prevalência máxima do artefato durante o dia, em que um dia é definido como 0h - 23h59min59s UTC.- A
rolling_max
é calculada como a pontuação de prevalência máxima por dia (ou seja,day_max
) do artefato na janela de 10 dias anterior. day_count
é usado para calcularrolling_max
e é sempre o valor 10.
Quando calculada para um domínio, a diferença entre day_max
e day_max_sub_domains
(e rolling_max
versus rolling_max_sub_domains
) é a seguinte:
rolling_max
eday_max
representam o número de endereços IP internos exclusivos diários acessar um determinado domínio (excluindo subdomínios).rolling_max_sub_domains
eday_max_sub_domains
representam o número de objetos endereços IP internos que acessam um determinado domínio (incluindo subdomínios).
As estatísticas de prevalência são calculadas com base em dados de entidade recém-ingeridos. Os cálculos não são de forma retroativa em dados ingeridos anteriormente. Leva aproximadamente 36 horas para que as estatísticas sejam calculadas e armazenadas.
Calcular o horário da primeira e da última visualização das entidades
O Google Security Operations realiza análises estatísticas nos dados recebidos e enriquece a entidade
registros de contexto com os horários da primeira e da última visualização de uma entidade. O first_seen_time
armazena a data e a hora em que a entidade foi vista pela primeira vez no
de nuvem. O campo last_seen_time
armazena a data e a hora da solicitação
observação
Como vários indicadores (campos UDM) podem identificar um ativo ou um usuário, o primeiro é a primeira vez que um dos indicadores que identificam o usuário ou recurso foi visto no ambiente do cliente.
Todos os campos de UDM que descrevem um recurso são:
entity.asset.hostname
entity.asset.ip
entity.asset.mac
entity.asset.asset_id
entity.asset.product_object_id
Todos os campos de UDM que descrevem um usuário são:
entity.user.windows_sid
entity.user.product_object_id
entity.user.userid
entity.user.employee_id
entity.user.email_addresses
A hora da primeira e da última visualização permitem que o analista correlacione certos atividade que ocorreu após um domínio, arquivo (hash), recurso, usuário ou endereço IP foi visto pela primeira vez ou que parou de ocorrer após o domínio, arquivo (hash) ou endereço IP foi visto pela última vez.
Os campos first_seen_time
e last_seen_time
são preenchidos com entidades que
descrevem um domínio, endereço IP e arquivo (hash). Para entidades que descrevem um usuário
ou recurso, somente o campo first_seen_time
será preenchido. Esses valores não são
calculada para entidades que descrevem outros tipos, como um grupo ou recurso.
As estatísticas são calculadas para cada entidade em todos os namespaces.
O Google Security Operations não calcula as estatísticas de cada entidade nos namespaces individuais.
No momento, essas estatísticas não são exportadas para o esquema events
das Operações de segurança do Google no BigQuery.
Os valores aprimorados são calculados e armazenados Campos do UDM:
Tipo de entidade | Campos de UDM |
---|---|
Domínio | entity.domain.first_seen_time entity.domain.last_seen_time |
Arquivo (hash) | entity.file.first_seen_time entity.file.last_seen_time |
Endereço IP | entity.artifact.first_seen_time entity.artifact.last_seen_time |
Recurso | entity.asset.first_seen_time |
Usuário | entity.user.first_seen_time |
Enriquecer eventos com dados de geolocalização
Os dados de registro de entrada podem incluir endereços IP externo sem informações do local. Isso é comum quando um evento registra informações sobre atividade do dispositivo que não esteja em uma rede empresarial. Por exemplo, um login para um serviço de nuvem conteria um endereço IP de origem ou cliente com base o endereço IP externo de um dispositivo retornado pelo NAT da operadora.
O Google Security Operations fornece dados enriquecidos com geolocalização para IP externo para possibilitar detecções de regras mais avançadas e maior contexto para as investigações. Por exemplo, as Operações de segurança do Google podem usar um endereço IP externo para aprimorar o evento com informações sobre o país (como Estados Unidos), um estado específico (como o Alasca), e a rede em que o endereço IP está (como o ASN e o nome da operadora).
As Operações de segurança do Google usam dados de localização fornecidos pelo Google para fornecer uma estimativa a localização geográfica e as informações de rede de um endereço IP. É possível gravar regras do Detection Engine esses campos nos eventos. Os dados aprimorados de eventos também são exportados para o BigQuery onde pode ser usada nos painéis e nos relatórios das Operações de segurança do Google.
Os seguintes endereços IP não são enriquecidos:
- Os espaços de endereços IP privados RFC 1918 porque são internos à rede da empresa.
- Espaço de endereço IP multicast RFC 5771 porque endereços multicast não pertencem a um único local.
- Endereços locais exclusivos IPv6.
- endereços IP de serviço do Google Cloud. A exceção são: Google Cloud Compute Engine endereços IP externo, que são enriquecidos.
O Google Security Operations enriquece os seguintes campos de UDM com dados de geolocalização:
principal
target
src
observer
Tipo de dados | Campo de UDM |
---|---|
Local (por exemplo, Estados Unidos) | ( principal | target | src | observer ).ip_geo_artifact.location.country_or_region |
Estado (por exemplo, Nova York) | ( principal | target | src | observer ).ip_geo_artifact.location.state |
Longitude | ( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.longitude |
Latitude | ( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.latitude |
ASN (número de sistema autônomo) | ( principal | target | src | observer ).ip_geo_artifact.network.asn |
Nome da operadora | ( principal | target | src | observer ).ip_geo_artifact.network.carrier_name |
Domínio DNS | ( principal | target | src | observer ).ip_geo_artifact.network.dns_domain |
Nome da organização | ( principal | target | src | observer ).ip_geo_artifact.network.organization_name |
O exemplo a seguir mostra o tipo de informação geográfica que seria adicionado a um evento de UDM com um endereço IP marcado como Países Baixos:
Campo de UDM | Valor |
---|---|
principal.ip_geo_artifact.location.country_or_region |
Netherlands |
principal.ip_geo_artifact.location.region_coordinates.latitude |
52.132633 |
principal.ip_geo_artifact.location.region_coordinates.longitude |
5.291266 |
principal.ip_geo_artifact.network.asn |
8455 |
principal.ip_geo_artifact.network.carrier_name |
schuberg philis |
Inconsistências
A tecnologia de geolocalização de IP reservada do Google usa uma combinação de dados de rede e outras informações, e métodos para fornecer o local do endereço IP e a resolução da rede aos usuários. Outras organizações podem usar indicadores ou métodos diferentes, o que pode levar a resultados diferentes.
Se surgirem casos em que você experimentar uma inconsistência nas Resultados de geolocalização de IP fornecidos pelo Google. Abra um caso de suporte ao cliente. para que possamos investigar e, se for o caso, corrigir nossos registros.
Enriquecer entidades com informações das listas de ameaças da Navegação segura
As Operações de segurança do Google processam dados do Navegação segura relacionados a hashes de arquivos. Os dados de cada arquivo são armazenados como uma entidade e fornecem mais contexto sobre o arquivo. Os analistas podem criar regras do Detection Engine para consultar essa entidade e dados de contexto para criar análises baseadas no contexto.
As informações a seguir são armazenadas com o registro de contexto da entidade.
Campo de UDM | Descrição |
---|---|
entity.metadata.product_entity_id |
Identificador exclusivo da entidade. |
entity.metadata.entity_type |
Esse valor é FILE , indicando que a entidade descreve um arquivo.
|
entity.metadata.collected_timestamp |
A data e a hora em que a entidade foi observada ou o evento o incidente. |
entity.metadata.interval |
Armazena o horário de início e de término em que esses dados são válidos.
Como o conteúdo da lista de ameaças muda ao longo do tempo, o start_time
e end_time reflete o intervalo de tempo durante o qual os dados sobre o
entidade é válida. Por exemplo, um hash de arquivo foi observado
malicioso ou suspeito entre start_time |
entity.metadata.threat.category |
Esta é a equipe de Operações de segurança do Google SecurityCategory . Isto está definido
como um ou mais dos seguintes valores:
|
entity.metadata.threat.severity |
Esta é a equipe de Operações de segurança do Google ProductSeverity .
Se o valor for CRITICAL , isso indica que o artefato parece malicioso.
Se o valor não for especificado, não haverá confiança suficiente para indicar que o
artefato malicioso.
|
entity.metadata.product_name |
Armazena o valor Google Safe Browsing . |
entity.file.sha256 |
O valor de hash SHA256 para o arquivo. |
Aprimorar entidades com dados WHOIS
As Operações de segurança do Google processam dados WHOIS diariamente. Durante a ingestão de
dados de dispositivos de clientes, o Google Security Operations avalia os domínios nesses dados
com os dados do WHOIS. Quando há uma correspondência, as Operações de segurança do Google armazenam os
dados WHOIS relacionados ao registro de entidade do domínio. Para cada entidade,
em que entity.metadata.entity_type = DOMAIN_NAME
, as Operações de segurança do Google
a entidade com informações do WHOIS.
O Google Security Operations preenche dados WHOIS aprimorados nos seguintes campos do registro de entidade:
entity.domain.admin.attribute.labels
entity.domain.audit_update_time
entity.domain.billing.attribute.labels
entity.domain.billing.office_address.country_or_region
entity.domain.contact_email
entity.domain.creation_time
entity.domain.expiration_time
entity.domain.iana_registrar_id
entity.domain.name_server
entity.domain.private_registration
entity.domain.registrant.company_name
entity.domain.registrant.office_address.state
entity.domain.registrant.office_address.country_or_region
entity.domain.registrant.email_addresses
entity.domain.registrant.user_display_name
entity.domain.registrar
entity.domain.registry_data_raw_text
entity.domain.status
entity.domain.tech.attribute.labels
entity.domain.update_time
entity.domain.whois_record_raw_text
entity.domain.whois_server
entity.domain.zone
Para conferir uma descrição desses campos, consulte a Documento de lista de campos do modelo de dados unificado.
faça a ingestão e o armazenamento de dados do Google Cloud Threat Intelligence
O Google Security Operations ingere dados do Google Cloud Threat Intelligence (GCTI) fontes de dados que fornecem informações contextuais que podem ser usadas ao investigar a atividade no seu ambiente. É possível consultar as seguintes fontes de dados:
- Nós de saída de Tor do GCTI: endereços IP que são nós de saída de Tor conhecidos.
- Binários benignos do GCTI: arquivos que fazem parte do sistema operacional original ou atualizados por um patch oficial do sistema operacional. Alguns binários oficiais do sistema operacional que foram usados indevidamente por um adversário por meio de atividades comuns em ataques presenciais, excluídos desse fonte de dados, como as que focam em vetores de entrada iniciais.
Ferramentas de acesso remoto GCTI: arquivos que têm sido usados com frequência por usuários maliciosos. Em geral, essas ferramentas são aplicativos legítimos que às vezes são usados indevidamente para para se conectar remotamente a sistemas comprometidos.
Esses dados contextuais são armazenados globalmente como entidades. É possível consultar os dados usando das regras do mecanismo de detecção. Inclua os seguintes campos e valores de UDM na regra para consultar essas entidades globais:
graph.metadata.vendor_name
=Google Cloud Threat Intelligence
graph.metadata.product_name
=GCTI Feed
Neste documento, o marcador <variable_name>
representa o nome da variável exclusiva.
usada em uma regra para identificar um registro UDM.
Comparação entre as fontes de dados cronometradas e atemporais do Google Cloud Threat Intelligence
As fontes de dados do Google Cloud Threat Intelligence são cronometradas ou atemporais.
As fontes de dados com marcação de tempo têm um período associado a cada entrada. Isso significa que, se uma detecção for gerada no dia 1, em qualquer dia do no futuro, espera-se que a mesma detecção seja gerada para o dia 1 durante um “caçada retrô”.
As fontes de dados atemporais não têm período associado. Isso porque apenas o conjunto mais recente de dados é o que deve ser considerado. Atemporal as fontes de dados são usadas com frequência para dados que não são esperados, como hashes de arquivos mudar. Se nenhuma detecção for gerada no dia 1, no dia 2 poderá ser gerada para o dia 1 durante uma caça retrô porque uma nova entrada foi adicionada.
Dados sobre endereços IP do nó de saída do Tor
As Operações de segurança do Google ingerem e armazenam endereços IP conhecidos como nós de saída Tor. Os nós de saída Tor são pontos em que o tráfego sai da rede Tor. Informações ingeridas desta fonte de dados é armazenado nos seguintes campos do UDM. Os dados nesta fonte são cronometrados.
Campo de UDM | Descrição |
---|---|
<variable_name>.graph.metadata.vendor_name |
Armazena o valor Google Cloud Threat Intelligence . |
<variable_name>.graph.metadata.product_name |
Armazena o valor GCTI Feed . |
<variable_name>.graph.metadata.threat.threat_feed_name |
Armazena o valor Tor Exit Nodes . |
<variable_name>.graph.entity.artifact.ip |
Armazena o endereço IP processado da fonte de dados do GCTI. |
Dados sobre arquivos de sistema operacional benignos
As Operações de segurança do Google ingerem e armazenam hashes de arquivos dos Binários benignos do GCTI fonte de dados. As informações ingeridas dessa fonte de dados são armazenadas nestes Campos UDM. Os dados nesta fonte são atemporais.
Campo de UDM | Descrição |
---|---|
<variable_name>.graph.metadata.vendor_name |
Armazena o valor Google Cloud Threat Intelligence . |
<variable_name>.graph.metadata.product_name |
Armazena o valor GCTI Feed . |
<variable_name>.graph.metadata.threat.threat_feed_name |
Armazena o valor Benign Binaries . |
<variable_name>.graph.entity.file.sha256 |
Armazena o valor de hash SHA256 do arquivo. |
<variable_name>.graph.entity.file.sha1 |
Armazena o valor de hash SHA1 do arquivo. |
<variable_name>.graph.entity.file.md5 |
Armazena o valor de hash MD5 do arquivo. |
Dados sobre ferramentas de acesso remoto
As ferramentas de acesso remoto incluem hashes de arquivos para ferramentas de acesso remoto conhecidas, como Clientes VNC usados com frequência por usuários maliciosos. Essas ferramentas são aplicativos geralmente legítimos que às vezes são usados indevidamente para se conectar remotamente a sistemas comprometidos. As informações ingeridas dessa fonte de dados são armazenadas em campos de UDM a seguir. Os dados nesta fonte são atemporais.
Campo de UDM | Descrição |
---|---|
Armazena o valor Google Cloud Threat Intelligence . |
|
Armazena o valor GCTI Feed . |
|
Armazena o valor Remote Access Tools . |
|
Armazena o valor de hash SHA256 do arquivo. | |
Armazena o valor de hash SHA1 do arquivo. | |
Armazena o valor de hash MD5 do arquivo. |
Aprimorar eventos com metadados de arquivo do VirusTotal
As Operações de segurança do Google enriquecem hashes de arquivos em eventos de UDM e fornecem durante uma investigação. Eventos de UDM são enriquecidos com o alias de hash em um ambiente de cliente. A atribuição de alias de hash combina todos os tipos de hashes de arquivo e fornece informações sobre um hash de arquivo durante uma pesquisa.
A integração dos metadados de arquivos do VirusTotal e o aprimoramento do relacionamento com o O Google SecOps pode ser usado para identificar padrões de atividade maliciosa e rastrear a movimentação do malware em uma rede.
Um registro bruto fornece informações limitadas sobre o arquivo. O VirusTotal aprimora o evento com metadados de arquivo para fornecer um despejo de hashes inválidos, junto com metadados sobre o arquivo incorreto. Os metadados incluem informações como nomes de arquivos, tipos, informações funções e tags. É possível usar essas informações nos recursos de pesquisa e detecção de UDM Engine com a YARA-L para entender eventos de arquivo ruins e, em geral, durante a caça Um exemplo de caso de uso é detectar modificações no arquivo original que importaria os metadados do arquivo para a detecção de ameaças.
As informações a seguir são armazenadas com o registro. Para uma lista de todos os campos do UDM, consulte a Lista de campos do modelo de dados unificado.
Tipo de dados | Campo de UDM |
---|---|
SHA-256 | ( principal | target | src | observer ).file.sha256 |
MD5 | ( principal | target | src | observer ).file.md5 |
SHA-1 | ( principal | target | src | observer ).file.sha1 |
Tamanho | ( principal | target | src | observer ).file.size |
ssdeep | ( principal | target | src | observer ).file.ssdeep |
vhash | ( principal | target | src | observer ).file.vhash |
authentihash | ( principal | target | src | observer ).file.authentihash |
Tipo de arquivo | ( principal | target | src | observer ).file.file_type |
Tags | ( principal | target | src | observer ).file.tags |
Tags de recursos | ( principal | target | src | observer ).file.capabilities_tags |
Nomes | ( principal | target | src | observer ).file.names |
Horário da primeira visualização | ( principal | target | src | observer ).file.first_seen_time |
Horário da última visualização | ( principal | target | src | observer ).file.last_seen_time |
Horário da última modificação | ( principal | target | src | observer ).file.last_modification_time |
Horário da última análise | ( principal | target | src | observer ).file.last_analysis_time |
URLs incorporados | ( principal | target | src | observer ).file.embedded_urls |
IPs incorporados | ( principal | target | src | observer ).file.embedded_ips |
Domínios incorporados | ( principal | target | src | observer ).file.embedded_domains |
Informações da assinatura | ( principal | target | src | observer ).file.signature_info |
Informações da assinatura
|
( principal | target | src | observer).file.signature_info.sigcheck |
Informações da assinatura
|
( principal | target | src | observer ).file.signature_info.sigcheck.verification_message |
Informações da assinatura
|
( principal | target | src | observer ).file.signature_info.sigcheck.verified |
Informações da assinatura
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers |
Informações da assinatura
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers.name |
Informações da assinatura
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers.status |
Informações da assinatura
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers.valid_usage |
Informações da assinatura
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers.cert_issuer |
Informações da assinatura
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509 |
Informações da assinatura
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.name |
Informações da assinatura
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.algorithm |
Informações da assinatura
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.thumprint |
Informações da assinatura
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.cert_issuer |
Informações da assinatura
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.serial_number |
Informações da assinatura
|
( principal | target | src | observer ).file.signature_info.codesign |
Informações da assinatura
|
( principal | target | src | observer ).file.signature_info.codesign.id |
Informações da assinatura
|
( principal | target | src | observer ).file.signature_info.codesign.format |
Informações da assinatura
|
( principal | target | src | observer ).file.signature_info.codesign.compilation_time |
Informações do Exiftool | ( principal | target | src | observer ).file.exif_info |
Informações do Exiftool
|
( principal | target | src | observer ).file.exif_info.original_file |
Informações do Exiftool
|
( principal | target | src | observer ).file.exif_info.product |
Informações do Exiftool
|
( principal | target | src | observer ).file.exif_info.company |
Informações do Exiftool
|
( principal | target | src | observer ).file.exif_info.file_description |
Informações do Exiftool
|
( principal | target | src | observer ).file.exif_info.entry_point |
Informações do Exiftool
|
( principal | target | src | observer ).file.exif_info.compilation_time |
Informações em PDF | ( principal | target | src | observer ).file.pdf_info |
Informações em PDF
|
( principal | target | src | observer ).file.pdf_info.js |
Informações em PDF
|
( principal | target | src | observer ).file.pdf_info.javascript |
Informações em PDF
|
( principal | target | src | observer ).file.pdf_info.launch_action_count |
Informações em PDF
|
( principal | target | src | observer ).file.pdf_info.object_stream_count |
Informações em PDF
|
( principal | target | src | observer ).file.pdf_info.endobj_count |
Informações em PDF
|
( principal | target | src | observer ).file.pdf_info.header |
Informações em PDF
|
( principal | target | src | observer ).file.pdf_info.acroform |
Informações em PDF
|
( principal | target | src | observer ).file.pdf_info.autoaction |
Informações em PDF
|
( principal | target | src | observer ).file.pdf_info.embedded_file |
Informações em PDF
|
( principal | target | src | observer ).file.pdf_info.encrypted |
Informações em PDF
|
( principal | target | src | observer ).file.pdf_info.flash |
Informações em PDF
|
( principal | target | src | observer ).file.pdf_info.jbig2_compression |
Informações em PDF
|
( principal | target | src | observer ).file.pdf_info.obj_count |
Informações em PDF
|
( principal | target | src | observer ).file.pdf_info.endstream_count |
Informações em PDF
|
( principal | target | src | observer ).file.pdf_info.page_count |
Informações em PDF
|
( principal | target | src | observer ).file.pdf_info.stream_count |
Informações em PDF
|
( principal | target | src | observer ).file.pdf_info.openaction |
Informações em PDF
|
( principal | target | src | observer ).file.pdf_info.startxref |
Informações em PDF
|
( principal | target | src | observer ).file.pdf_info.suspicious_colors |
Informações em PDF
|
( principal | target | src | observer ).file.pdf_info.trailer |
Informações em PDF
|
( principal | target | src | observer ).file.pdf_info.xfa |
Informações em PDF
|
( principal | target | src | observer ).file.pdf_info.xref |
Metadados do arquivo PE | ( principal | target | src | observer ).file.pe_file |
Metadados do arquivo PE
|
( principal | target | src | observer ).file.pe_file.imphash |
Metadados do arquivo PE
|
( principal | target | src | observer ).file.pe_file.entry_point |
Metadados do arquivo PE
|
( principal | target | src | observer ).file.pe_file.entry_point_exiftool |
Metadados do arquivo PE
|
( principal | target | src | observer ).file.pe_file.compilation_time |
Metadados do arquivo PE
|
( principal | target | src | observer ).file.pe_file.compilation_exiftool_time |
Metadados do arquivo PE
|
( principal | target | src | observer ).file.pe_file.section |
Metadados do arquivo PE
|
( principal | target | src | observer ).file.pe_file.section.name |
Metadados do arquivo PE
|
( principal | target | src | observer ).file.pe_file.section.entropy |
Metadados do arquivo PE
|
( principal | target | src | observer ).file.pe_file.section.raw_size_bytes |
Metadados do arquivo PE
|
( principal | target | src | observer ).file.pe_file.section.virtual_size_bytes |
Metadados do arquivo PE
|
( principal | target | src | observer ).file.pe_file.section.md5_hex |
Metadados do arquivo PE
|
( principal | target | src | observer ).file.pe_file.imports |
Metadados do arquivo PE
|
( principal | target | src | observer ).file.pe_file.imports.library |
Metadados do arquivo PE
|
( principal | target | src | observer ).file.pe_file.imports.functions |
Metadados do arquivo PE
|
( principal | target | src | observer ).file.pe_file.resource |
Metadados do arquivo PE
|
( principal | target | src | observer ).file.pe_file.resource.sha256_hex |
Metadados do arquivo PE
|
( principal | target | src | observer ).file.pe_file.resource.filetype_magic |
Metadados do arquivo PE
|
( principal | target | src | observer ).file.pe_file.resource_language_code |
Metadados do arquivo PE
|
( principal | target | src | observer ).file.pe_file.resource.entropy |
Metadados do arquivo PE
|
( principal | target | src | observer ).file.pe_file.resource.file_type |
Metadados do arquivo PE
|
( principal | target | src | observer ).file.pe_file.resources_type_count_str |
Metadados do arquivo PE
|
( principal | target | src | observer ).file.pe_file.resources_language_count_str |
Enriquecer entidades com dados de relacionamento do VirusTotal
Com o VirusTotal, é possível analisar arquivos, domínios, endereços IP e URLs suspeitos detectar malware e outras violações e compartilhar as descobertas com a comunidade de segurança. As Operações de segurança do Google ingerem dados de conexões relacionadas ao VirusTotal. Esses dados são armazenados como uma entidade e fornece informações sobre a relação entre hashes de arquivos e arquivos, domínios, endereços IP e URLs.
Os analistas podem usar esses dados para determinar se um hash de arquivo é inválido com base nas informações sobre o URL ou domínio de outras fontes. Essas informações podem ser usadas para criar Regras do Detection Engine que consultam os dados de contexto da entidade para criar análises baseadas no contexto.
Esses dados só estão disponíveis para determinadas licenças do VirusTotal e do Google Security Operations. Verifique seus direitos com o gerente de contas.
As informações a seguir são armazenadas com o registro de contexto da entidade:
Campo de UDM | Descrição |
---|---|
entity.metadata.product_entity_id |
Identificador exclusivo da entidade |
entity.metadata.entity_type |
Armazena o valor FILE , indicando que o
entidade descreve um arquivo |
entity.metadata.interval |
start_time refere-se ao início de
horário e end_time é o horário de término para o qual esses dados são válidos |
entity.metadata.source_labels |
Esse campo armazena uma lista de pares de chave-valor de source_id e
target_id para esta entidade. source_id é o hash do arquivo.
e target_id pode ser o hash ou o valor do URL, nome de domínio ou IP
ao qual o arquivo está relacionado. Você pode pesquisar o URL, o nome de domínio
endereço IP ou arquivo em virustotal.com. |
entity.metadata.product_name |
Armazena o valor "VirusTotal Relationships" |
entity.metadata.vendor_name |
Armazena o valor "VirusTotal" |
entity.file.sha256 |
Armazena o valor de hash SHA-256 do arquivo |
entity.file.relations |
Uma lista de entidades filhas que o pai entidade de arquivo está relacionada |
entity.relations.relationship |
Este campo explica o tipo de relação entre entidades pai e filho.
O valor pode ser EXECUTES , DOWNLOADED_FROM ou
CONTACTS |
entity.relations.direction |
Armazena o valor "UNIDIRECTIONAL" e indica a direção da relação com a entidade filha |
entity.relations.entity.url |
O URL com o qual o arquivo na entidade pai entra em contato (se a relação entre
a entidade pai e o URL é CONTACTS ) ou o URL
o arquivo na entidade pai foi baixado (se a relação entre a entidade pai
entidade e o URL é DOWNLOADED_FROM ). |
entity.relations.entity.ip |
Uma lista de endereços IP com os quais o arquivo nos contatos da entidade pai ou foi baixado de Ele contém apenas um endereço IP. |
entity.relations.entity.domain.name |
O nome de domínio que foi baixado ou o arquivo na entidade pai entra em contato com você de |
entity.relations.entity.file.sha256 |
Armazena o valor de hash SHA-256 para o arquivo na relação |
entity.relations.entity_type |
Esse campo contém o tipo de entidade na relação. O valor pode ser
URL , DOMAIN_NAME , IP_ADDRESS ou
FILE . Esses campos são preenchidos de acordo com a
entity_type : Por exemplo, se entity_type for URL ,
entity.relations.entity.url será preenchido. |
A seguir
Para informações sobre como usar dados enriquecidos com outras Operações de segurança do Google , consulte os seguintes artigos: