Google Security Operations 如何丰富事件和实体数据
本文档介绍了 Google Security Operations 如何丰富数据和存储数据的统一数据模型 (UDM) 字段。
为了支持安全调查,Google Security Operations 会从不同来源注入上下文数据,对数据进行分析,并提供有关客户环境中的工件的其他背景信息。分析师可以在 Detection Engine 规则、调查搜索或报告中使用经过上下文丰富的数据。
Google Security Operations 可执行以下类型的扩充:
- 通过使用实体图和合并来丰富实体。
- 通过指示其在环境中的受关注程度的普遍性统计信息计算并丰富每个实体。
- 计算特定实体类型在环境中首次出现的时间或最近出现的时间。
- 利用安全浏览威胁列表中的信息来丰富实体。
- 利用地理位置数据丰富活动信息。
- 利用 WHOIS 数据丰富实体。
- 利用 VirusTotal 文件元数据丰富事件。
- 利用 VirusTotal 关系数据来丰富实体。
- 注入和存储 Google Cloud 威胁情报数据。
来自 WHOIS、安全浏览、GCTI 威胁情报、VirusTotal 元数据和 VirusTotal 关系的丰富数据由 event_type、product_name 和 vendor_name 标识。在创建使用此丰富数据的规则时,我们建议您在规则中添加过滤条件,以标识要包含的特定扩充项类型。此过滤条件有助于提高规则的性能。
例如,在联接 WHOIS 数据的规则的 events 部分中添加以下过滤条件字段。
$enrichment.graph.metadata.entity_type = "DOMAIN_NAME"
$enrichment.graph.metadata.product_name = "WHOISXMLAPI Simple Whois"
$enrichment.graph.metadata.vendor_name = "WHOIS"
使用实体图和合并来丰富实体
实体图可识别您环境中的实体和资源之间的关系。当来自不同来源的实体被注入到 Google Security Operations 中时,实体图会根据各个实体之间的关系维护一个相邻列表。实体图通过执行去重和合并来执行上下文扩充。
在去重期间,系统会消除冗余数据并形成间隔,以创建公共实体。例如,假设两个实体 e1 和 e2 的时间戳分别为 t1 和 t2。系统会对实体 e1 和 e2 执行去重操作,并且不会在去重过程中使用不同的时间戳。去重期间不使用以下字段:
collected_timestampcreation_timestampinterval
在合并期间,实体之间会形成一天的关系。以有权访问 Cloud Storage 存储桶的 user A 的实体记录为例。还有一条关于设备所有者为 user A 的实体记录。合并后,这两个实体会生成具有两个关系的单个实体 user A。一个关系是 user A 有权访问 Cloud Storage 存储桶,另一个关系是 user A 拥有设备。Google Security Operations 会在创建实体上下文数据时执行 5 天的回溯期。这样可处理延迟到达的数据,并创建实体上下文数据的隐式存留时间。
Google Security Operations 使用别名来丰富遥测数据,并使用实体图来丰富实体。检测引擎规则会根据丰富的遥测数据联接合并的实体,以提供情境感知分析。
包含实体名词的事件被视为实体。以下是一些事件类型及其对应的实体类型:
ASSET_CONTEXT对应于ASSET。RESOURCE_CONTEXT对应于RESOURCE。USER_CONTEXT对应于USER。GROUP_CONTEXT对应于GROUP。
使用内容丰富的数据时,请考虑以下实体图行为:
- 请勿在实体中添加区间,而应让实体图创建区间。这是因为,除非另有指定,否则系统会在重复信息删除期间生成时间间隔。
- 如果指定了时间间隔,则系统只会删除重复的事件,并保留最近的实体。
- 为了确保活动规则和追溯搜索按预期运行,每天必须至少提取一次实体。
- 如果实体不是每天提取,而是在两天或两天内仅提取一次,实时规则可能会按预期运行,但追溯搜索可能会丢失事件的上下文。
- 如果每天多次提取实体,则系统会对该实体进行去重处理为单个实体。
- 如果某个日期的事件数据缺失,系统会暂时使用过去一天的数据,以确保有效规则能正常工作。
该实体图还会合并具有类似标识符的事件,以获取数据的合并视图。这种合并基于以下标识符列表:
Assetentity.asset.product_object_identity.asset.hostnameentity.asset.asset_identity.asset.mac
Userentity.user.product_object_identity.user.useridentity.user.windows_sidentity.user.email_addressesentity.user.employee_id
Resourceentity.resource.product_object_identity.resource.name
Groupentity.group.product_object_identity.group.email_addressesentity.group.windows_sid
计算发生率统计信息
Google Security Operations 可对现有数据和传入数据执行统计分析,并使用与发生率相关的指标丰富实体上下文记录。
普遍性是一个数值,表示实体的受欢迎程度。热门程度由访问工件的资产(例如网域、文件哈希或 IP 地址)的数量定义。数字越大,实体越受欢迎。
例如,google.com 的普遍性值较高,因为它被频繁访问。如果某个域的访问频率较低,其普遍性值会较低。较为热门的实体通常不太可能是恶意的。
网域、IP 和文件(哈希)支持这些扩充值。这些值会计算并存储在以下字段中。
每个实体的发生率统计信息每天都会更新。值存储在可供检测引擎使用的独立实体上下文中,但不会显示在 Google Security Operations 调查视图和 UDM 搜索中。
创建 Detection Engine 规则时可以使用以下字段。
| 实体类型 | UDM 字段 |
|---|---|
| 网域 | entity.domain.prevalence.day_count
entity.domain.prevalence.day_max
entity.domain.prevalence.day_max_sub_domains
entity.domain.prevalence.rolling_max
entity.domain.prevalence.rolling_max_sub_domains |
| 文件(哈希) | entity.file.prevalence.day_count
entity.file.prevalence.day_max
entity.file.prevalence.rolling_max |
| IP 地址 | entity.artifact.prevalence.day_count
entity.artifact.prevalence.day_max
entity.artifact.prevalence.rolling_max |
day_max 和 rollout_max 值的计算方式不同。这些字段的计算方式如下:
day_max是该工件一天中的最大普及率分数,其中一天的定义为世界协调时间 (UTC) 凌晨 12:00:00 到晚上 11:59:59。rolling_max是相应制品在上一个 10 天时段的每日最高发生率分数(即day_max)计算得出的。day_count用于计算rolling_max,并且始终为 10。
针对某个网域计算时,day_max 与 day_max_sub_domains(以及 rolling_max 与 rolling_max_sub_domains)之间的差异如下:
rolling_max和day_max表示访问给定网域(不包括子网域)的每日唯一内部 IP 地址数量。rolling_max_sub_domains和day_max_sub_domains表示访问给定网域(包括子网域)的唯一内部 IP 地址的数量。
发生率统计信息是根据新提取的实体数据计算的。系统不会对之前提取的数据执行追溯性计算。计算和存储统计信息大约需要 36 小时。
计算实体的首次看到时间和上次看到时间
Google Security Operations 会对传入数据执行统计分析,并使用实体首次见到的时间和最后一次出现的时间来丰富实体上下文记录。first_seen_time 字段存储实体在客户环境中首次出现的日期和时间。last_seen_time 字段存储最近观察到的日期和时间。
由于可通过多个指标(UDM 字段)来识别资产或用户,因此首次出现时间是指客户环境中首次出现用于标识用户或资产的任何指标。
用于描述资产的所有 UDM 字段如下所示:
entity.asset.hostnameentity.asset.ipentity.asset.macentity.asset.asset_identity.asset.product_object_id
描述用户的所有 UDM 字段如下所示:
entity.user.windows_sidentity.user.product_object_identity.user.useridentity.user.employee_identity.user.email_addresses
通过首次发现时间和最后一次看到时间,分析师可以将在首次看到网域、文件(哈希)、资产、用户或 IP 地址后发生的特定活动相关联,或者在上次看到网域、文件(哈希)或 IP 地址后停止发生的特定活动相关联。
first_seen_time 和 last_seen_time 字段使用描述网域、IP 地址和文件(哈希)的实体进行填充。对于描述用户或资产的实体,仅填充 first_seen_time 字段。系统不会针对描述其他类型(如群组或资源)的实体计算这些值。
系统会针对所有命名空间中的每个实体计算统计信息。
Google Security Operations 不会计算各个命名空间内每个实体的统计信息。这些统计信息目前未导出到 BigQuery 中的 Google Security Operations events 架构。
扩充后的值计算并存储在以下 UDM 字段中:
| 实体类型 | UDM 字段 |
|---|---|
| 网域 | entity.domain.first_seen_timeentity.domain.last_seen_time |
| 文件(哈希) | entity.file.first_seen_timeentity.file.last_seen_time |
| IP 地址 | entity.artifact.first_seen_timeentity.artifact.last_seen_time |
| 资产 | entity.asset.first_seen_time |
| 用户 | entity.user.first_seen_time |
利用地理位置数据丰富活动信息
传入的日志数据可能包含没有相应位置信息的外部 IP 地址。当事件记录与未处于企业网络的设备活动相关的信息时,这种情况很常见。例如,云服务的登录事件将根据运营商 NAT 返回的设备的外部 IP 地址,包含来源或客户端 IP 地址。
Google Security Operations 为外部 IP 地址提供丰富地理定位的数据,以实现更强大的规则检测和更强的调查情境。例如,Google Security Operations 可能会使用外部 IP 地址用有关国家/地区(例如美国)、特定州(例如阿拉斯加州)和网络(例如 ASN 和运营商名称)的信息来丰富事件。
Google Security Operations 使用 Google 提供的位置数据来提供 IP 地址的大致地理位置和网络信息。您可以针对事件中的这些字段编写 Detection Engine 规则。丰富的事件数据还会导出到 BigQuery,以便在 Google Security Operations 信息中心和报告中使用。
以下 IP 地址未经过扩充:
- RFC 1918 专用 IP 地址空间,因为它们是企业网络内部的。
- RFC 5771 多播 IP 地址空间,因为多播地址不属于单个位置。
- IPv6 唯一本地地址。
- Google Cloud 服务 IP 地址。Google Cloud Compute Engine 外部 IP 地址例外,因为该地址经过了扩充。
Google Security Operations 使用地理定位数据丰富以下 UDM 字段:
principaltargetsrcobserver
| 数据类型 | UDM 字段 |
|---|---|
| 地理位置(例如美国) | ( principal | target | src | observer ).ip_geo_artifact.location.country_or_region |
| 州(例如纽约) | ( principal | target | src | observer ).ip_geo_artifact.location.state |
| 经度 | ( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.longitude |
| 纬度 | ( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.latitude |
| ASN(自治系统编号) | ( principal | target | src | observer ).ip_geo_artifact.network.asn |
| 运营商名称 | ( principal | target | src | observer ).ip_geo_artifact.network.carrier_name |
| DNS 域名 | ( principal | target | src | observer ).ip_geo_artifact.network.dns_domain |
| 组织名称 | ( principal | target | src | observer ).ip_geo_artifact.network.organization_name |
以下示例展示了将添加到 IP 地址标记为荷兰的 UDM 事件的地理位置信息类型:
| UDM 字段 | 价值 |
|---|---|
principal.ip_geo_artifact.location.country_or_region |
Netherlands |
principal.ip_geo_artifact.location.region_coordinates.latitude |
52.132633 |
principal.ip_geo_artifact.location.region_coordinates.longitude |
5.291266 |
principal.ip_geo_artifact.network.asn |
8455 |
principal.ip_geo_artifact.network.carrier_name |
schuberg philis |
不一致性
Google 专有的 IP 地理定位技术结合使用网络数据及其他输入和方法,为用户提供 IP 地址位置和网络解析。其他组织可能会采用不同的信号或方法,这偶尔可能会带来不同的结果。
如果您遇到 Google 提供的 IP 地理定位结果不一致的情况,请创建客户支持请求,以便我们今后进行调查,并在适当的情况下更正记录。
利用安全浏览威胁列表中的信息丰富实体
Google Security Operations 会从安全浏览中提取与文件哈希相关的数据。每个文件的数据均存储为一个实体,并提供有关该文件的其他上下文。分析师可以创建针对此类实体上下文数据进行查询的 Detection Engine 规则,以构建情境感知分析。
以下信息使用实体上下文记录进行存储。
| UDM 字段 | 说明 |
|---|---|
entity.metadata.product_entity_id |
实体的唯一标识符。 |
entity.metadata.entity_type |
此值为 FILE,表示该实体描述的是文件。 |
entity.metadata.collected_timestamp |
观察到实体或事件发生的日期和时间。 |
entity.metadata.interval |
存储此数据有效的开始时间和结束时间。
由于威胁列表内容会随时间而变化,因此 start_time 和 end_time 反映了有关实体的数据有效的时间间隔。例如,start_time 期间观察到的文件哈希值是恶意或可疑的 |
entity.metadata.threat.category |
这里是 Google Security Operations SecurityCategory。该值设置为以下一个或多个值:
|
entity.metadata.threat.severity |
这是 Google Security Operations ProductSeverity。如果值为 CRITICAL,则表示工件似乎是恶意的。如果未指定该值,则没有足够的置信度来表明相应工件是恶意的。
|
entity.metadata.product_name |
存储值 Google Safe Browsing。 |
entity.file.sha256 |
文件的 SHA256 哈希值。 |
利用 WHOIS 数据丰富实体
Google Security Operations 每天都会注入 WHOIS 数据。在提取传入的客户设备数据期间,Google Security Operations 会根据 WHOIS 数据评估客户数据中的网域。匹配成功后,Google Security Operations 会将相关的 WHOIS 数据与该网域的实体记录一起存储。对于 entity.metadata.entity_type = DOMAIN_NAME 中的每个实体,Google Security Operations 会使用来自 WHOIS 的信息来丰富实体。
Google Security Operations 会将丰富的 WHOIS 数据填充到实体记录中的以下字段:
entity.domain.admin.attribute.labelsentity.domain.audit_update_timeentity.domain.billing.attribute.labelsentity.domain.billing.office_address.country_or_regionentity.domain.contact_emailentity.domain.creation_timeentity.domain.expiration_timeentity.domain.iana_registrar_identity.domain.name_serverentity.domain.private_registrationentity.domain.registrant.company_nameentity.domain.registrant.office_address.stateentity.domain.registrant.office_address.country_or_regionentity.domain.registrant.email_addressesentity.domain.registrant.user_display_nameentity.domain.registrarentity.domain.registry_data_raw_textentity.domain.statusentity.domain.tech.attribute.labelsentity.domain.update_timeentity.domain.whois_record_raw_textentity.domain.whois_serverentity.domain.zone
如需了解这些字段,请参阅统一数据模型字段列表文档。
注入和存储 Google Cloud 威胁情报数据
Google Security Operations 会从 Google Cloud 威胁情报 (GCTI) 数据源中提取数据,为您提供相关情境信息,供您在调查环境中的活动时使用。您可以查询以下数据源:
- GCTI Tor 退出节点:已知 Tor 退出节点的 IP 地址。
- GCTI 良性二进制文件:属于操作系统原始发行版或由官方操作系统补丁更新的文件。此数据源中排除了某些被攻击者通过在陆地攻击中常见的活动滥用的官方操作系统二进制文件,例如那些侧重于初始进入向量的二进制文件。
GCTI 远程访问工具:恶意操作者经常使用的文件。这些工具通常是合法应用,有时会被滥用以远程连接到受损系统。
这些环境数据以实体形式全局存储。您可以使用检测引擎规则查询数据。在规则中添加以下 UDM 字段和值,以查询这些全局实体:
graph.metadata.vendor_name=Google Cloud Threat Intelligencegraph.metadata.product_name=GCTI Feed
在本文档中,占位符 <variable_name> 表示在规则中用于标识 UDM 记录的唯一变量名称。
定时与永恒的 Google Cloud 威胁情报数据源
Google Cloud 威胁情报数据源可以是定时数据源,也可以是无时间数据源。
定时数据源都有一个与每个条目相关联的时间范围。这意味着,如果在第 1 天生成检测结果,则之后的任何一天都会在回顾搜索期间为第 1 天生成相同的检测。
永恒的数据源没有与之关联的时间范围。这是因为我们只应考虑最新的数据集。无时间数据源经常用于预计不会变化的数据,例如文件哈希值。如果第 1 天未生成检测,则在回溯期间,系统可能会在第 1 天生成第 1 天的检测,因为添加了一个新条目。
有关 Tor 退出节点 IP 地址的数据
Google Security Operations 会提取并存储称为 Tor 退出节点的 IP 地址。Tor 退出节点是流量离开 Tor 网络的点。从此数据源提取的信息存储在以下 UDM 字段中。此来源中的数据已定时。
| UDM 字段 | 说明 |
|---|---|
<variable_name>.graph.metadata.vendor_name |
存储值 Google Cloud Threat Intelligence。 |
<variable_name>.graph.metadata.product_name |
存储值 GCTI Feed。 |
<variable_name>.graph.metadata.threat.threat_feed_name |
存储值 Tor Exit Nodes。 |
<variable_name>.graph.entity.artifact.ip |
存储从 GCTI 数据源注入的 IP 地址。 |
与良性操作系统文件相关的数据
Google Security Operations 会从 GCTI 良性二进制文件数据源提取并存储文件哈希。从此数据源提取的信息存储在以下 UDM 字段中。此来源中的数据是永久性的。
| UDM 字段 | 说明 |
|---|---|
<variable_name>.graph.metadata.vendor_name |
存储值 Google Cloud Threat Intelligence。 |
<variable_name>.graph.metadata.product_name |
存储值 GCTI Feed。 |
<variable_name>.graph.metadata.threat.threat_feed_name |
存储值 Benign Binaries。 |
<variable_name>.graph.entity.file.sha256 |
存储文件的 SHA256 哈希值。 |
<variable_name>.graph.entity.file.sha1 |
存储文件的 SHA1 哈希值。 |
<variable_name>.graph.entity.file.md5 |
存储文件的 MD5 哈希值。 |
有关远程访问工具的数据
远程访问工具包括已知远程访问工具(例如,恶意行为者经常使用的 VNC 客户端)的文件哈希。这些工具通常是合法应用,有时会被滥用以远程连接到受损系统。从此数据源提取的信息存储在以下 UDM 字段中。此来源中的数据是永久性的。
| UDM 字段 | 说明 |
|---|---|
存储值 Google Cloud Threat Intelligence。 |
|
存储值 GCTI Feed。 |
|
存储值 Remote Access Tools。 |
|
| 存储文件的 SHA256 哈希值。 | |
| 存储文件的 SHA1 哈希值。 | |
| 存储文件的 MD5 哈希值。 |
使用 VirusTotal 文件元数据丰富事件数据
Google Security Operations 会将文件哈希丰富为 UDM 事件,并在调查期间提供额外的背景信息。在客户环境中,通过哈希别名丰富 UDM 事件。哈希别名结合了所有类型的文件哈希,并在搜索期间提供有关文件哈希的信息。
VirusTotal 文件元数据和关系扩充与 Google SecOps 的集成可用于识别恶意活动的模式并跟踪恶意软件在网络中的移动。
原始日志仅提供有关该文件的有限信息。VirusTotal 使用文件元数据丰富该事件,以提供不良哈希转储以及不良文件的元数据。元数据包括文件名、类型、导入的函数和标记等信息。您可以通过 YARA-L 在 UDM 搜索和检测引擎中使用此信息来了解不良文件事件,以及通常在威胁搜寻期间。一个示例使用场景是检测对原始文件的任何修改,这些修改反过来会导入文件元数据以进行威胁检测。
以下信息会随记录一起存储。 如需查看所有 UDM 字段的列表,请参阅统一数据模型字段列表。
| 数据类型 | UDM 字段 |
|---|---|
| SHA-256 | ( principal | target | src | observer ).file.sha256 |
| MD5 | ( principal | target | src | observer ).file.md5 |
| SHA-1 | ( principal | target | src | observer ).file.sha1 |
| 大小 | ( principal | target | src | observer ).file.size |
| Ssdeep | ( principal | target | src | observer ).file.ssdeep |
| Vhash | ( principal | target | src | observer ).file.vhash |
| 真实哈希 | ( principal | target | src | observer ).file.authentihash |
| 文件类型 | ( principal | target | src | observer ).file.file_type |
| 标记 | ( principal | target | src | observer ).file.tags |
| 功能标记 | ( principal | target | src | observer ).file.capabilities_tags |
| 名称 | ( principal | target | src | observer ).file.names |
| 首次出现时间 | ( principal | target | src | observer ).file.first_seen_time |
| 上次上线时间 | ( principal | target | src | observer ).file.last_seen_time |
| 上次修改时间 | ( principal | target | src | observer ).file.last_modification_time |
| 上次分析时间 | ( principal | target | src | observer ).file.last_analysis_time |
| 嵌入式网址 | ( principal | target | src | observer ).file.embedded_urls |
| 嵌入式 IP | ( principal | target | src | observer ).file.embedded_ips |
| 嵌入式网域 | ( principal | target | src | observer ).file.embedded_domains |
| 签名信息 | ( principal | target | src | observer ).file.signature_info |
签名信息
|
( principal | target | src | observer).file.signature_info.sigcheck |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.verification_message |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.verified |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers.name |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers.status |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers.valid_usage |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers.cert_issuer |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509 |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.name |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.algorithm |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.thumprint |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.cert_issuer |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.serial_number |
签名信息
|
( principal | target | src | observer ).file.signature_info.codesign |
签名信息
|
( principal | target | src | observer ).file.signature_info.codesign.id |
签名信息
|
( principal | target | src | observer ).file.signature_info.codesign.format |
签名信息
|
( principal | target | src | observer ).file.signature_info.codesign.compilation_time |
| Exiftool 信息 | ( principal | target | src | observer ).file.exif_info |
Exiftool 信息
|
( principal | target | src | observer ).file.exif_info.original_file |
Exiftool 信息
|
( principal | target | src | observer ).file.exif_info.product |
Exiftool 信息
|
( principal | target | src | observer ).file.exif_info.company |
Exiftool 信息
|
( principal | target | src | observer ).file.exif_info.file_description |
Exiftool 信息
|
( principal | target | src | observer ).file.exif_info.entry_point |
Exiftool 信息
|
( principal | target | src | observer ).file.exif_info.compilation_time |
| PDF 信息 | ( principal | target | src | observer ).file.pdf_info |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.js |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.javascript |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.launch_action_count |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.object_stream_count |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.endobj_count |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.header |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.acroform |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.autoaction |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.embedded_file |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.encrypted |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.flash |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.jbig2_compression |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.obj_count |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.endstream_count |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.page_count |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.stream_count |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.openaction |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.startxref |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.suspicious_colors |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.trailer |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.xfa |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.xref |
| PE 文件元数据 | ( principal | target | src | observer ).file.pe_file |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.imphash |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.entry_point |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.entry_point_exiftool |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.compilation_time |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.compilation_exiftool_time |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.section |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.section.name |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.section.entropy |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.section.raw_size_bytes |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.section.virtual_size_bytes |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.section.md5_hex |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.imports |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.imports.library |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.imports.functions |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.resource |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.resource.sha256_hex |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.resource.filetype_magic |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.resource_language_code |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.resource.entropy |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.resource.file_type |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.resources_type_count_str |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.resources_language_count_str |
利用 VirusTotal 关系数据丰富实体
VirusTotal 可帮助分析可疑文件、网域、IP 地址和网址,以检测恶意软件和其他漏洞,并与安全社区分享发现结果。Google Security Operations 会从 VirusTotal 相关连接中提取数据。此类数据以实体的形式存储,提供有关文件哈希与文件、网域、IP 地址和网址之间关系的信息。
分析人员可以使用这些数据,根据来自其他来源的网址或网域信息来确定文件哈希是否有误。此信息可用于创建检测引擎规则,用于查询实体上下文数据以构建情境感知分析。
此数据仅适用于某些 VirusTotal 和 Google Security Operations 许可。请与客户经理确认您的使用权。
使用实体上下文记录存储以下信息:
| UDM 字段 | 说明 |
|---|---|
entity.metadata.product_entity_id |
实体的唯一标识符 |
entity.metadata.entity_type |
存储值 FILE,指示该实体描述的是文件 |
entity.metadata.interval |
start_time 表示此数据有效的开始时间,end_time 表示此数据有效的结束时间 |
entity.metadata.source_labels |
此字段会存储该实体的 source_id 和 target_id 键值对列表。source_id 是文件哈希值,target_id 可以是与此文件相关的网址、域名或 IP 地址的哈希值或值。您可以在 virustotal.com 上搜索网址、域名、IP 地址或文件。 |
entity.metadata.product_name |
存储值“VirusTotal Relationships” |
entity.metadata.vendor_name |
存储值“VirusTotal” |
entity.file.sha256 |
存储文件的 SHA-256 哈希值 |
entity.file.relations |
与父文件实体相关的子实体的列表 |
entity.relations.relationship |
此字段说明了父实体与子实体之间的关系类型。该值可以是 EXECUTES、DOWNLOADED_FROM 或 CONTACTS。 |
entity.relations.direction |
存储值“UNIDIRECTIONAL”,并指示与子实体的关系方向 |
entity.relations.entity.url |
父实体中文件的联系人网址(如果父实体与网址之间的关系为 CONTACTS)或父实体中文件的下载网址(如果父实体与网址之间的关系为 DOWNLOADED_FROM)。 |
entity.relations.entity.ip |
父实体联系人中文件或要从中下载的 IP 地址列表,其中只包含一个 IP 地址。 |
entity.relations.entity.domain.name |
父实体联系人中文件或从中下载的域名 |
entity.relations.entity.file.sha256 |
存储关系中文件的 SHA-256 哈希值 |
entity.relations.entity_type |
此字段包含关系中的实体类型。该值可以是 URL、DOMAIN_NAME、IP_ADDRESS 或 FILE。系统会根据 entity_type 填充这些字段。例如,如果 entity_type 为 URL,则系统会填充 entity.relations.entity.url。 |
后续步骤
如需了解如何将丰富数据与其他 Google Security Operations 功能搭配使用,请参阅以下内容: