Chronicle 如何充实事件和实体数据
本文档介绍了 Chronicle 如何充实数据以及存储数据的统一数据模型 (UDM) 字段。
为支持安全调查,Chronicle 从不同来源提取上下文数据,对数据执行分析,并提供有关客户环境中工件的其他上下文。分析人员可以在 Detection Engine 规则、调查搜索或报告中使用以上下文更丰富的数据。
Chronicle 会执行以下类型的扩充项:
- 使用实体图和合并来丰富实体。
- 计算每个实体并利用表明其在环境中的热门程度的普遍性统计信息进行充实。
- 计算特定实体类型在环境中首次出现的时间或最近时间。
- 利用安全浏览威胁列表中的信息丰富实体。
- 使用地理定位数据丰富事件。
- 使用 WHOIS 数据丰富实体。
- 使用 VirusTotal 文件元数据丰富事件。
- 使用 VirusTotal 关系数据丰富实体。
- 注入和存储 Google Cloud Threat Intelligence 数据。
来自 WHOIS、安全浏览、GCTI 威胁情报、VirusTotal 元数据和 VirusTotal 关系的丰富数据由 event_type、product_name 和 vendor_name 标识。在创建使用此丰富数据的规则时,我们建议您在规则中添加过滤条件,以标识要包含的特定扩充类型。此过滤条件有助于提升规则的性能。
例如,在联接 WHOIS 数据的规则的 events 部分添加以下过滤字段。
$enrichment.graph.metadata.entity_type = "DOMAIN_NAME"
$enrichment.graph.metadata.product_name = "WHOISXMLAPI Simple Whois"
$enrichment.graph.metadata.vendor_name = "WHOIS"
使用实体图和合并来丰富实体
实体图可识别环境中实体和资源之间的关系。 当来自不同来源的实体被提取到 Chronicle 中时,实体图会根据实体之间的关系维护一个相邻列表。实体图通过执行去重和合并来执行上下文扩充。
在去重期间,系统会消除冗余数据,并形成时间间隔以创建公共实体。例如,假设存在时间戳分别为 t1 和 t2 的两个实体 e1 和 e2。对实体 e1 和 e2 进行去重处理后,系统会在去重期间不使用不同的时间戳。在去重过程中,不使用以下字段:
collected_timestampcreation_timestampinterval
在合并期间,各个实体之间的关系在一天的时间间隔内形成。例如,假设某实体记录为有权访问 Cloud Storage 存储桶的 user A。还有另一条实体记录是拥有设备的 user A。合并后,这两个实体会生成一个实体 user A,该实体具有两个关系。一个关系是 user A 有权访问 Cloud Storage 存储桶,另一个关系是 user A 拥有设备。Chronicle 在创建实体上下文数据时会执行五天的回溯期。这样可处理延迟到达的数据,并创建存留实体上下文数据的隐式时间。
Chronicle 使用别名来丰富遥测数据,并使用实体图来丰富实体。检测引擎规则将合并的实体与丰富的遥测数据联接,以提供情境感知分析。
包含实体名词的事件会被视为实体。以下是一些事件类型及其对应的实体类型:
ASSET_CONTEXT对应于ASSET。RESOURCE_CONTEXT对应于RESOURCE。USER_CONTEXT对应于USER。GROUP_CONTEXT对应于GROUP。
实体图使用威胁信息来区分上下文数据和入侵指示器 (IOC)。
使用内容丰富的数据时,请考虑以下实体图行为:
- 请勿在实体中添加区间,而让实体图创建区间。这是因为除非另有指定,否则在重复信息删除期间会生成间隔。
- 如果指定了间隔,则只有相同的事件会被删除,并保留最近的实体。
- 为了确保实时规则和回溯按预期运行,实体必须至少每天提取一次。
- 如果实体不是每天提取,而是在两天或几天内仅提取一次,则实时规则可能会按预期运行,但是,追溯查找可能会丢失事件的上下文。
- 如果每天多次提取实体,则系统会将该实体的重复信息删除为单个实体。
- 如果缺少一天的事件数据,系统会暂时使用过去一天的数据,以确保实时规则正常运行。
实体图还会合并具有类似标识符的事件,以获取数据的汇总视图。系统会根据以下标识符列表进行合并:
Assetentity.asset.product_object_identity.asset.hostnameentity.asset.asset_identity.asset.mac
Userentity.user.product_object_identity.user.useridentity.user.windows_sidentity.user.email_addressesentity.user.employee_id
Resourceentity.resource.product_object_identity.resource.name
Groupentity.group.product_object_identity.group.email_addressesentity.group.windows_sid
计算发生率统计信息
Chronicle 对现有数据和传入数据执行统计分析,并使用发生率相关指标丰富实体上下文记录。
普及率是一个表示实体受欢迎程度的数值。热门程度由访问工件(例如网域、文件哈希值或 IP 地址)的资产数量定义。数字越大,实体越受欢迎。例如,google.com 的普遍性值较高,因为它被频繁访问。如果某个网域不经常访问,则该网域的发生率值会较低。较受欢迎的实体通常不太可能恶意。
域名、IP 和文件(哈希)支持这些丰富值。系统会计算这些值并将其存储在以下字段中。
每个实体的发生率统计信息每天都会更新。值存储在单独实体上下文中,可供 Detection Engine 使用,但不会在 Chronicle 调查视图和 UDM 搜索中显示。
以下字段可在创建 Detection Engine 规则时使用。
| 实体类型 | UDM 字段 |
|---|---|
| 网域 | entity.domain.prevalence.day_count
entity.domain.prevalence.day_max
entity.domain.prevalence.day_max_sub_domains
entity.domain.prevalence.rolling_max
entity.domain.prevalence.rolling_max_sub_domains |
| 文件(哈希) | entity.file.prevalence.day_count
entity.file.prevalence.day_max
entity.file.prevalence.rolling_max |
| IP 地址 | entity.artifact.prevalence.day_count
entity.artifact.prevalence.day_max
entity.artifact.prevalence.rolling_max |
day_max 值和 scroll_max 值的计算方式不同。这些字段的计算方式如下:
day_max的计算方式为工件在一天中的最高普遍性得分,其中一天定义为世界协调时间 (UTC) 凌晨 12:00:00 - 晚上 11:59:59。rolling_max的计算方式为工件在过去 10 天时间范围内的最高每日发生率分数(即day_max)。day_count用于计算rolling_max,且值始终为 10。
针对某个网域进行计算时,day_max 与 day_max_sub_domains(以及 rolling_max 与 rolling_max_sub_domains)之间的差异如下:
rolling_max和day_max表示访问给定网域(不包括子网域)的每日唯一内部 IP 地址数量。rolling_max_sub_domains和day_max_sub_domains表示访问给定网域(包括子网域)的唯一内部 IP 地址的数量。
发生率统计信息是根据新提取的实体数据计算得出的。计算不会追溯之前提取的数据。系统大约需要 36 小时才能完成统计信息的计算和存储。
计算实体的首次看到时间和上次看到时间
Chronicle 对传入数据执行统计分析,并通过实体的首次出现和上次出现时间丰富实体上下文记录。first_seen_time 字段存储了实体在客户环境中首次出现的日期和时间。last_seen_time 字段存储了最近一次观察的日期和时间。
由于多个指示标志(UDM 字段)可以识别资产或用户,因此“首次出现时间”是指用于识别用户或资产的任何指示标志在客户环境中首次出现。
描述资产的所有 UDM 字段都如下所示:
entity.asset.hostnameentity.asset.ipentity.asset.macentity.asset.asset_identity.asset.product_object_id
描述用户的所有 UDM 字段都如下所示:
entity.user.windows_sidentity.user.product_object_identity.user.useridentity.user.employee_identity.user.email_addresses
“首次出现时间和上次出现时间”让分析师能够将网域、文件(哈希)、资产、用户或 IP 地址首次出现后发生的特定活动联系起来,或者与上次出现网域、文件(哈希或 IP 地址)后停止发生的活动相关联。
first_seen_time 和 last_seen_time 字段填充有描述网域、IP 地址和文件(哈希)的实体。对于描述用户或资产的实体,仅填充 first_seen_time 字段。系统不会针对描述其他类型(例如群组或资源)的实体计算这些值。
系统会针对所有命名空间中的每个实体计算统计信息。
Chronicle 不会计算各个命名空间内每个实体的统计信息。这些统计信息目前未导出到 BigQuery 中的 Chronicle events 架构。
系统会计算丰富值并将其存储在以下 UDM 字段中:
| 实体类型 | UDM 字段 |
|---|---|
| 网域 | entity.domain.first_seen_timeentity.domain.last_seen_time |
| 文件(哈希) | entity.file.first_seen_timeentity.file.last_seen_time |
| IP 地址 | entity.artifact.first_seen_timeentity.artifact.last_seen_time |
| 素材资源 | entity.asset.first_seen_time |
| 用户 | entity.user.first_seen_time |
使用地理定位数据丰富事件
传入的日志数据可以包含没有相应位置信息的外部 IP 地址。当事件记录的设备活动信息不在企业网络中时,这很常见。例如,云服务的登录事件将包含基于运营商 NAT 返回的设备的外部 IP 地址的来源或客户端 IP 地址。
Chronicle 为外部 IP 地址提供富含地理位置信息的数据,以实现更强大的规则检测和更丰富的调查上下文。例如,Chronicle 可能会使用外部 IP 地址,通过有关国家/地区(例如美国)、特定州(例如阿拉斯加州)和 IP 地址所在的网络(例如 ASN 和运营商名称)的信息来丰富事件。
Chronicle 使用 Google 提供的位置数据来提供 IP 地址的大致地理位置和网络信息。您可以针对事件中的这些字段编写 Detection Engine 规则。丰富事件数据还会导出到 BigQuery,以便在 Chronicle 信息中心和报告中使用。
以下 IP 地址未扩充:
- RFC 1918 专用 IP 地址空间,因为它们是企业网络内部。
- RFC 5771 多播 IP 地址空间,因为多播地址不属于单个位置。
- IPv6 唯一的本地地址。
- Google Cloud 服务 IP 地址。Google Cloud Compute Engine 外部 IP 地址属于例外情况,这类地址已经扩充。
Chronicle 使用地理定位数据丰富以下 UDM 字段:
principaltargetsrcobserver
| 数据类型 | UDM 字段 |
|---|---|
| 地理位置(例如美国) | ( principal | target | src | observer ).ip_geo_artifact.location.country_or_region |
| 州/省/自治区/直辖市(例如纽约) | ( principal | target | src | observer ).ip_geo_artifact.location.state |
| 经度 | ( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.longitude |
| 纬度 | ( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.latitude |
| ASN(自治系统编号) | ( principal | target | src | observer ).ip_geo_artifact.network.asn |
| 运营商名称 | ( principal | target | src | observer ).ip_geo_artifact.network.carrier_name |
| DNS 域名 | ( principal | target | src | observer ).ip_geo_artifact.network.dns_domain |
| 组织名称 | ( principal | target | src | observer ).ip_geo_artifact.network.organization_name |
以下示例展示了将添加到 UDM 事件(其 IP 地址标记为荷兰)的地理位置信息类型:
| UDM 字段 | 值 |
|---|---|
principal.ip_geo_artifact.location.country_or_region |
Netherlands |
principal.ip_geo_artifact.location.region_coordinates.latitude |
52.132633 |
principal.ip_geo_artifact.location.region_coordinates.longitude |
5.291266 |
principal.ip_geo_artifact.network.asn |
8455 |
principal.ip_geo_artifact.network.carrier_name |
schuberg philis |
不一致
Google 专有的 IP 地理定位技术结合使用网络数据与其他输入和方法,以便为我们的用户提供 IP 地址位置和网络解析。其他组织可能使用不同的信号或方法,这有时可能会导致不同的结果。
如果出现 Google 提供的 IP 地理定位结果不一致的情况,请提交客户支持请求,以便我们进行调查,并在适当的情况下,更正今后的记录。
利用安全浏览威胁列表中的信息丰富实体
Chronicle 会从安全浏览功能中提取与文件哈希相关的数据。每个文件的数据都作为实体进行存储,并提供有关文件的其他上下文。 分析人员可以创建 Detection Engine 规则来查询此实体上下文数据,从而构建情境感知分析。
以下信息随实体上下文记录一起存储。
| UDM 字段 | 说明 |
|---|---|
entity.metadata.product_entity_id |
实体的唯一标识符。 |
entity.metadata.entity_type |
此值为 FILE,表示实体描述的是文件。
|
entity.metadata.collected_timestamp |
观察到实体或发生事件的日期和时间。 |
entity.metadata.interval |
存储此数据有效的开始时间和结束时间。
由于威胁列表内容会随时间而变化,因此 start_time 和 end_time 反映了有关实体的数据有效的时间间隔。例如,观察到 start_time 之间的文件哈希值是恶意或可疑的 |
entity.metadata.threat.category |
这是 Chronicle SecurityCategory。此属性设置为以下一个或多个值:
|
entity.metadata.threat.severity |
这是 Chronicle ProductSeverity。如果值为 CRITICAL,则表示工件似乎是恶意的。
如果未指定该值,则没有足够的置信度来指明工件是恶意的。
|
entity.metadata.product_name |
存储值 Google Safe Browsing。 |
entity.file.sha256 |
文件的 SHA256 哈希值。 |
使用 WHOIS 数据丰富实体
Chronicle 每天提取 WHOIS 数据。在提取传入的客户设备数据期间,Chronicle 会根据 WHOIS 数据评估客户数据中的网域。如果有匹配项,Chronicle 会将相关的 WHOIS 数据与域名的实体记录一起存储。对于每个实体(即 entity.metadata.entity_type = DOMAIN_NAME),Chronicle 会使用来自 WHOIS 的信息丰富实体。
Chronicle 将经过充实的 WHOIS 数据填充到实体记录中的以下字段:
entity.domain.admin.attribute.labelsentity.domain.audit_update_timeentity.domain.billing.attribute.labelsentity.domain.billing.office_address.country_or_regionentity.domain.contact_emailentity.domain.creation_timeentity.domain.expiration_timeentity.domain.iana_registrar_identity.domain.name_serverentity.domain.private_registrationentity.domain.registrant.company_nameentity.domain.registrant.office_address.stateentity.domain.registrant.office_address.country_or_regionentity.domain.registrant.email_addressesentity.domain.registrant.user_display_nameentity.domain.registrarentity.domain.registry_data_raw_textentity.domain.statusentity.domain.tech.attribute.labelsentity.domain.update_timeentity.domain.whois_record_raw_textentity.domain.whois_serverentity.domain.zone
如需了解这些字段的说明,请参阅统一数据模型字段列表文档。
注入和存储 Google Cloud Threat Intelligence 数据
Chronicle 从 Google Cloud 威胁情报 (GCTI) 数据源中提取数据,这些数据源会为您提供上下文信息,供您在调查环境中的活动时使用。您可以查询以下数据源:
- GCTI Tor 退出节点:称为已知 Tor 退出节点的 IP 地址。
- GCTI 良性二进制文件:属于操作系统原始发行版的文件或通过官方操作系统补丁更新的文件。一些官方操作系统二进制文件(例如专注于初始条目矢量的二进制文件)已被攻击者通过离地攻击的常见活动滥用。
GCTI 远程访问工具:恶意操作者经常使用的文件。 这些工具通常是合法应用,有时会被滥用以远程连接到遭到入侵的系统。
这些上下文数据作为实体在全球范围内存储。您可以使用检测引擎规则查询数据。在规则中添加以下 UDM 字段和值,以便查询这些全局实体:
graph.metadata.vendor_name=Google Cloud Threat Intelligencegraph.metadata.product_name=GCTI Feed
在本文档中,占位符 <variable_name> 表示在规则中用于标识 UDM 记录的唯一变量名称。
定时与永恒的 Google Cloud 威胁情报数据源
Google Cloud 威胁情报数据源可以是定时数据源,也可以是时效性数据源。
定时数据源具有与每个条目关联的时间范围。这意味着,如果在第 1 天生成检测,则之后的任何一天在追溯寻找期间,预计都会针对第 1 天生成相同的检测。
不重复的数据源没有关联的时间范围。这是因为只应考虑最新的数据集。永不过时的数据源经常用于预计不会发生变化的文件哈希等数据。如果第 1 天未生成任何检测,则在第 2 天,系统可能会在怀旧搜寻期间针对第 1 天生成检测,因为添加了新条目。
有关 Tor 退出节点 IP 地址的数据
Chronicle 注入和存储已知 Tor 退出节点的 IP 地址。Tor 退出节点是流量离开 Tor 网络的点。从此数据源提取的信息存储在以下 UDM 字段中。此来源中的数据是计时的。
| UDM 字段 | 说明 |
|---|---|
<variable_name>.graph.metadata.vendor_name |
存储值 Google Cloud Threat Intelligence。 |
<variable_name>.graph.metadata.product_name |
存储值 GCTI Feed。 |
<variable_name>.graph.metadata.threat.threat_feed_name |
存储值 Tor Exit Nodes。 |
<variable_name>.graph.entity.artifact.ip |
存储从 GCTI 数据源注入的 IP 地址。 |
与良性操作系统文件有关的数据
Chronicle 从 GCTI 良性二进制文件数据源中提取和存储文件哈希。从此数据源提取的信息存储在以下 UDM 字段中。此来源中的数据是永恒的。
| UDM 字段 | 说明 |
|---|---|
<variable_name>.graph.metadata.vendor_name |
存储值 Google Cloud Threat Intelligence。 |
<variable_name>.graph.metadata.product_name |
存储值 GCTI Feed。 |
<variable_name>.graph.metadata.threat.threat_feed_name |
存储值 Benign Binaries。 |
<variable_name>.graph.entity.file.sha256 |
存储文件的 SHA256 哈希值。 |
<variable_name>.graph.entity.file.sha1 |
存储文件的 SHA1 哈希值。 |
<variable_name>.graph.entity.file.md5 |
存储文件的 MD5 哈希值。 |
远程访问工具相关数据
远程访问工具包含已知远程访问工具(例如经常被恶意操作者使用的 VNC 客户端)的文件哈希。这些工具通常是合法的应用,有时会被滥用以远程连接到遭到入侵的系统。从此数据源提取的信息存储在以下 UDM 字段中。此来源中的数据是永恒的。
| UDM 字段 | 说明 |
|---|---|
存储值 Google Cloud Threat Intelligence。 |
|
存储值 GCTI Feed。 |
|
存储值 Remote Access Tools。 |
|
| 存储文件的 SHA256 哈希值。 | |
| 存储文件的 SHA1 哈希值。 | |
| 存储文件的 MD5 哈希值。 |
使用 VirusTotal 文件元数据丰富事件
Chronicle 将文件哈希扩充为 UDM 事件,并在调查期间提供额外的背景信息。在客户环境中,通过哈希别名来丰富 UDM 事件。哈希别名整合了所有类型的文件哈希,在搜索过程中提供有关文件哈希的信息。
将 VirusTotal 文件元数据和关系扩充功能与 Chrononic 集成,即可识别恶意活动的模式并跟踪恶意软件在网络上的移动轨迹。
原始日志提供有关文件的有限信息。VirusTotal 会使用文件元数据丰富事件,以提供不良哈希转储以及有关不良文件的元数据。元数据包括文件名、类型、导入的函数和标记等信息。您可以在 UDM 搜索和检测引擎中搭配 YARA-L 使用这些信息,以便了解不良文件事件,一般而言,这些信息是在威胁搜寻期间。一个示例用例是检测对原始文件的任何修改,而原始文件会导入文件元数据以进行威胁检测。
以下信息随记录一起存储。 如需查看所有 UDM 字段的列表,请参阅统一数据模型字段列表。
| 数据类型 | UDM 字段 |
|---|---|
| SHA-256 | ( principal | target | src | observer ).file.sha256 |
| MD5 | ( principal | target | src | observer ).file.md5 |
| SHA-1 | ( principal | target | src | observer ).file.sha1 |
| 大小 | ( principal | target | src | observer ).file.size |
| 海底 | ( principal | target | src | observer ).file.ssdeep |
| Vhash | ( principal | target | src | observer ).file.vhash |
| Authentihash | ( principal | target | src | observer ).file.authentihash |
| 文件类型 | ( principal | target | src | observer ).file.file_type |
| 标记 | ( principal | target | src | observer ).file.tags |
| 功能标记 | ( principal | target | src | observer ).file.capabilities_tags |
| 名称 | ( principal | target | src | observer ).file.names |
| 首次上线时间 | ( principal | target | src | observer ).file.first_seen_time |
| 上次上线时间 | ( principal | target | src | observer ).file.last_seen_time |
| 上次修改时间 | ( principal | target | src | observer ).file.last_modification_time |
| 上次分析时间 | ( principal | target | src | observer ).file.last_analysis_time |
| 嵌入式网址 | ( principal | target | src | observer ).file.embedded_urls |
| 嵌入式 IP | ( principal | target | src | observer ).file.embedded_ips |
| 嵌入式网域 | ( principal | target | src | observer ).file.embedded_domains |
| 签名信息 | ( principal | target | src | observer ).file.signature_info |
签名信息
|
( principal | target | src | observer).file.signature_info.sigcheck |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.verification_message |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.verified |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers.name |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers.status |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers.valid_usage |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers.cert_issuer |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509 |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.name |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.algorithm |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.thumprint |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.cert_issuer |
签名信息
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.serial_number |
签名信息
|
( principal | target | src | observer ).file.signature_info.codesign |
签名信息
|
( principal | target | src | observer ).file.signature_info.codesign.id |
签名信息
|
( principal | target | src | observer ).file.signature_info.codesign.format |
签名信息
|
( principal | target | src | observer ).file.signature_info.codesign.compilation_time |
| Exiftool 信息 | ( principal | target | src | observer ).file.exif_info |
Exiftool 信息
|
( principal | target | src | observer ).file.exif_info.original_file |
Exiftool 信息
|
( principal | target | src | observer ).file.exif_info.product |
Exiftool 信息
|
( principal | target | src | observer ).file.exif_info.company |
Exiftool 信息
|
( principal | target | src | observer ).file.exif_info.file_description |
Exiftool 信息
|
( principal | target | src | observer ).file.exif_info.entry_point |
Exiftool 信息
|
( principal | target | src | observer ).file.exif_info.compilation_time |
| PDF 信息 | ( principal | target | src | observer ).file.pdf_info |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.js |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.javascript |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.launch_action_count |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.object_stream_count |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.endobj_count |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.header |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.acroform |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.autoaction |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.embedded_file |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.encrypted |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.flash |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.jbig2_compression |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.obj_count |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.endstream_count |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.page_count |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.stream_count |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.openaction |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.startxref |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.suspicious_colors |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.trailer |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.xfa |
PDF 信息
|
( principal | target | src | observer ).file.pdf_info.xref |
| PE 文件元数据 | ( principal | target | src | observer ).file.pe_file |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.imphash |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.entry_point |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.entry_point_exiftool |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.compilation_time |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.compilation_exiftool_time |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.section |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.section.name |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.section.entropy |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.section.raw_size_bytes |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.section.virtual_size_bytes |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.section.md5_hex |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.imports |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.imports.library |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.imports.functions |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.resource |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.resource.sha256_hex |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.resource.filetype_magic |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.resource_language_code |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.resource.entropy |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.resource.file_type |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.resources_type_count_str |
PE 文件元数据
|
( principal | target | src | observer ).file.pe_file.resources_language_count_str |
使用 VirusTotal 关系数据丰富实体
VirusTotal 可帮助分析可疑文件、网域、IP 地址和网址,以检测恶意软件和其他数据泄露事件,并与安全社区分享发现结果。 Chronicle 会从 VirusTotal 相关连接中提取数据。此类数据以实体形式存储,并提供了文件哈希与文件、网域、IP 地址和网址之间的关系的相关信息。
分析人员可以使用此数据,根据其他来源中有关网址或网域的信息,确定文件哈希值是否有误。此信息可用于创建 Detection Engine 规则,这些规则可查询实体上下文数据以构建情境感知分析。
这些数据仅适用于某些 VirusTotal 和 Chronicle 许可。 请与您的客户经理联系,确认您的使用权。
以下信息随实体上下文记录一起存储:
| UDM 字段 | 说明 |
|---|---|
entity.metadata.product_entity_id |
实体的唯一标识符 |
entity.metadata.entity_type |
存储值 FILE,表示实体描述的是文件 |
entity.metadata.interval |
start_time 是指开始时间,end_time 是指此数据有效的结束时间 |
entity.metadata.source_labels |
此字段用于存储此实体的 source_id 和 target_id 键值对列表。source_id 是文件哈希值,target_id 可以是该文件相关网址、域名或 IP 地址的哈希值或值。您可以在 virustotal.com 上搜索网址、域名、IP 地址或文件。 |
entity.metadata.product_name |
存储值“VirusTotal Relationships” |
entity.metadata.vendor_name |
存储值“VirusTotal” |
entity.file.sha256 |
存储文件的 SHA-256 哈希值 |
entity.file.relations |
与父文件实体相关的子实体的列表 |
entity.relations.relationship |
此字段说明了父实体与子实体之间的关系类型。该值可以是 EXECUTES、DOWNLOADED_FROM 或 CONTACTS。 |
entity.relations.direction |
存储值“UNIDIRECTIONAL”,并指示与子实体的关系方向 |
entity.relations.entity.url |
父实体中的文件联系的网址(如果父实体与网址之间的关系为 CONTACTS)或下载父实体中的文件的网址(如果父实体和网址之间的关系为 DOWNLOADED_FROM)。 |
entity.relations.entity.ip |
父实体联系人中的文件或从中下载的 IP 地址列表。其中仅包含一个 IP 地址。 |
entity.relations.entity.domain.name |
父实体中的文件联系域名或从中下载文件的域名 |
entity.relations.entity.file.sha256 |
存储关系中文件的 SHA-256 哈希值 |
entity.relations.entity_type |
此字段包含关系中实体的类型。该值可以是 URL、DOMAIN_NAME、IP_ADDRESS 或 FILE。这些字段根据 entity_type 填充。例如,如果 entity_type 为 URL,则会填充 entity.relations.entity.url。 |
后续步骤
如需了解如何将丰富数据与其他 Chronicle 功能结合使用,请参阅以下内容: