Vista geral do enriquecimento e da criação de alias da UDM
Este documento oferece uma vista geral da atribuição de alias e do enriquecimento de UDM no Google Security Operations. Descreve exemplos de utilização comuns e explica como funcionam a criação de alias e o enriquecimento na plataforma.
A criação de alias e o enriquecimento de UDM são conceitos essenciais no Google SecOps. Funcionam em conjunto, mas têm finalidades diferentes.
- A atribuição de alias identifica os diferentes nomes e dados de contexto adicionais que descrevem um indicador.
- O enriquecimento usa a criação de alias para adicionar contexto a um evento de UDM.
Por exemplo, um evento UDM inclui o nome do anfitrião alex-macbook e indica que um hash de ficheiro malicioso foi executado pelo utilizador alex. Através da utilização de aliases, verificamos que o nome do anfitrião alex-macbook foi atribuído ao endereço IP 192.0.2.0 no momento do evento e que alex vai sair da empresa dentro de 2 semanas. A união destes
alias no evento UDM original adiciona contexto.
Capacidades de enriquecimento e criação de alias suportadas
O Google SecOps suporta a criação de alias e o enriquecimento para o seguinte:
- Recursos
- Utilizadores
- Processos
- Metadados de hash de ficheiros
- Localizações geográficas
- Recursos na nuvem
Como funciona a criação de alias
A criação de alias permite o enriquecimento. Por exemplo, através da utilização de pseudónimos, pode encontrar outros endereços IP e endereços MAC associados a um nome de anfitrião, ou o cargo e o estado de emprego associados a um ID de utilizador.
Tal como outras funcionalidades no Google SecOps, a criação de alias requer que os dados sejam carregados e indexados. A criação de alias está organizada em três categorias principais:
- Dados específicos do cliente: dados exclusivos de um cliente. Por exemplo, apenas
Cymbalpode fornecer dados paratim.smith@cymbal.com. Os tipos de criação de alias específicos do cliente incluem recursos, utilizadores e processos. - Dados globais: dados carregados e indexados que se aplicam a todos os clientes. Por exemplo, uma indicação de origem global sobre um ficheiro malicioso pode ser usada para verificar a presença desse ficheiro na sua empresa.
- Serviço de terceiros: criação de alias feita por um fornecedor de serviços de terceiros. A Google SecOps usa serviços geográficos para encontrar a localização física dos endereços IP.
Estes tipos de criação de alias são usados em conjunto para gerar resultados de criação de alias de recursos.
Criação de alias de recursos
A criação de alias de recursos associa nomes de anfitriões, endereços IP, endereços MAC, IDs de recursos e outros metadados. Envolve os seguintes passos:
- Atribuição de alias de EDR: mapeia os IDs dos produtos (IDs dos recursos) para nomes de anfitriões.
Os campos de mapeamento de EDR são derivados exclusivamente do tipo de registo
CS_EDR. - DHCP aliasing: usa eventos DHCP para associar nomes de anfitrião, endereços MAC e endereços IP.
- Criação de alias do contexto do recurso: associa um indicador de recurso a dados de entidades, como o nome de anfitrião, o endereço IP, o endereço MAC, a versão do software e o estado de implementação.
Campos indexados do mapeamento de EDR
O Google SecOps indexa os campos EDR MAPPING para gerar alias que associam nomes de anfitriões e IDs específicos de produtos.
A tabela seguinte apresenta os campos da UDM e os respetivos tipos de indicadores:
| Campo UDM | Tipo de indicador |
|---|---|
| principal.hostname e principal.asset.hostname | HOSTNAME |
| principal.asset_id e principal.asset.asset_id | PRODUCT_SPECIFIC_ID |
Campos indexados de DHCP
O Google SecOps indexa os registos DHCP para gerar alias que associam nomes de anfitriões, endereços IP e endereços MAC.
A tabela seguinte apresenta os campos do UDM e os respetivos tipos de indicadores usados para a criação de alias de recursos:
| Campo UDM | Tipo de indicador |
|---|---|
| principal.ip e principal.asset.ip | ASSET_IP_ADDRESS |
| principal.mac e principal.asset.mac | MAC |
| principal.hostname e principal.asset.hostname | HOSTNAME |
| principal.asset_id e principal.asset.asset_id | PRODUCT_SPECIFIC_ID |
| network.dhcp.yiaddr em ACK, OFFER, WIN_DELETED e WIN_EXPIRED | ASSET_IP_ADDRESS |
| network.dhcp.ciaddr em INFORM, RELEASE e REQUEST | ASSET_IP_ADDRESS |
| network.dhcp.requested_address em DECLINE | ASSET_IP_ADDRESS |
| network.dhcp.chaddr | MAC |
| network.dhcp.client_hostname | HOSTNAME |
Campos indexados do contexto do recurso
O Google SecOps carrega ASSET_CONTEXT eventos como eventos de contexto de entidades,
em vez de eventos UDM.
A tabela seguinte apresenta os campos das entidades e os respetivos tipos de indicadores:
| Campo de entidade | Tipo de indicador |
|---|---|
| entity.asset.product_object_id | PRODUCT_OBJECT_ID |
| entity.metadata.product_entity_id (se o ID do objeto de produto do recurso estiver em falta) | PRODUCT_OBJECT_ID |
| entity.asset.asset_id | PRODUCT_SPECIFIC_ID |
| entity.asset.hostname | HOSTNAME |
| entity.asset.ip | ASSET_IP_ADDRESS |
| entity.asset.mac | MAC |
| entity.namespace | NAMESPACE |
Atribuição de alias a utilizadores
Use a atribuição de alias de utilizador para encontrar informações através de um indicador de utilizador. Por exemplo, pode introduzir o endereço de email de um funcionário para encontrar o respetivo nome, cargo e estado de emprego.
A atribuição de alias de utilizador usa o tipo de lote de eventos USER_CONTEXT para a atribuição de alias.
Campos indexados de contexto do utilizador
O Google SecOps carrega USER_CONTEXT eventos como eventos de contexto de entidades, em vez de eventos UDM.
A tabela seguinte apresenta os campos das entidades e os respetivos tipos de indicadores:
| Campo de entidade | Tipo de indicador |
|---|---|
| entity.user.product_object_id | PRODUCT_OBJECT_ID |
| entity.metadata.product_entity_id (se o ID do objeto de produto do utilizador estiver em falta) | PRODUCT_OBJECT_ID |
| entity.user.userid | USERNAME |
| entity.user.email_addresses | EMAIL |
| entity.user.windows_sid | WINDOWS_SID |
| entity.user.employee_id | EMPLOYEE_ID |
| entity.namespace | NAMESPACE |
Criação de alias de processos
Use o process aliasing para mapear um ID do processo específico do produto (product_specific_process_id)
para o processo real e obter detalhes sobre o processo principal. Esta função
baseia-se no tipo de lote de eventos EDR.
Campos indexados de EDR para a criação de alias de processos
Quando um processo é iniciado, são recolhidos metadados, como linhas de comandos, hashes de ficheiros e detalhes do processo principal. O software EDR em execução na máquina atribui um UUID de processo específico do fornecedor.
A tabela seguinte apresenta os campos que são indexados durante um evento de lançamento de processo:
| Campo UDM | Tipo de indicador |
|---|---|
| target.product_specific_process_id | PROCESS_ID |
| target.process | Todo o processo; não apenas o indicador |
Além do campo target.process do evento normalizado,
o Google SecOps também recolhe e indexa informações do processo principal.
Criação de alias de metadados de hash de ficheiros
A criação de alias de metadados de hash de ficheiros identifica os metadados de ficheiros, como outros hashes de ficheiros ou tamanhos de ficheiros, com base num determinado hash de ficheiro (sha256, sha1 ou md5).
A criação de alias de metadados de hash de ficheiros usa o tipo de lote de eventos FILE_CONTEXT para a criação de alias.
Campos indexados do contexto do ficheiro
O Google SecOps carrega eventos FILE_CONTEXT do VirusTotal como eventos de contexto de entidades. Estes eventos são globais e não específicos do cliente.
A tabela seguinte apresenta os campos de entidades indexados e os respetivos tipos de indicadores:
| Campo de entidade | Tipo de indicador |
|---|---|
| entity.file.sha256 | PRODUCT_OBJECT_ID |
entity.metadata.product_entity_id (se o ficheiro sha256 estiver em falta) |
PRODUCT_OBJECT_ID |
| entity.file.md5 | HASH_MD5 |
| entity.file.sha1 | HASH_SHA1 |
| entity.file.sha256 | HASH_SHA256 |
| entity.namespace | NAMESPACE |
Criação de pseudónimos de geolocalização de IP
A atribuição de pseudónimos geográficos fornece dados enriquecidos com geolocalização para endereços IP externos.
Para cada endereço IP no campo principal, target ou src de um evento UDM,
se o endereço não tiver um alias, é criado um subproto ip_geo_artifact com
as informações de localização e ASN associadas.
A atribuição de alias geográfico não usa o período de análise nem a colocação em cache. Devido ao elevado volume de eventos, o Google SecOps mantém um índice na memória. O índice é proveniente do MPM do servidor simples IPGeo e é atualizado a cada duas semanas.
Criação de alias de recursos
A criação de alias de recursos devolve informações de recursos na nuvem para um determinado ID do recurso. Por exemplo, pode devolver informações para uma instância do Bigtable através do respetivo URI. Google Cloud Não usa a análise retrospetiva nem o armazenamento em cache.
A atribuição de alias de recursos não enriquece os eventos da UDM. No entanto, alguns produtos, como o Alert
Graph, usam a criação de alias de recursos. A criação de alias de recursos na nuvem usa o tipo de lote de eventos RESOURCE_CONTEXT.
Campos indexados do contexto do recurso
Os eventos de contexto de metadados de recursos da nuvem são carregados como eventos RESOURCE_CONTEXT.
A tabela seguinte apresenta o campo da entidade e os respetivos tipos de entidades:
| Campo de entidade | Tipo de indicador |
|---|---|
| entity.resource.product_object_id | PRODUCT_OBJECT_ID |
| entity.metadata.product_entity_id (se o ID do objeto do produto para o recurso estiver em falta) | PRODUCT_OBJECT_ID |
| entity.resource.name | CLOUD_RESOURCE_NAME |
| entity.namespace | NAMESPACE |
Enriquecimento
O enriquecimento usa a atribuição de alias para adicionar contexto a um indicador ou evento de UDM das seguintes formas:
- Identifica entidades de alias que descrevem um indicador, normalmente um campo UDM.
- Preenche as partes relacionadas da mensagem UDM com valores enriquecidos associados aos alias ou às entidades devolvidas.
Para garantir a cobertura total de dados para as suas regras, pesquisas ou painéis de controlo que dependem de campos enriquecidos, use o enriquecimento em tempo real com tabelas de dados e junções de gráficos de entidades.
Enriquecimento de recursos
Para cada evento UDM, o pipeline extrai os seguintes campos UDM das entidades
principal, src e target:
| Campo UDM | Tipo de indicador |
|---|---|
| hostname | HOSTNAME |
| asset_id | PRODUCT_SPECIFIC_ID |
| mac | MAC |
| ip | IP |
Enriquecimento do utilizador
Para cada evento UDM, o pipeline extrai os seguintes campos UDM de
principal, src e target:
| Campo UDM | Tipo de indicador |
|---|---|
| email_addresses | EMAIL |
| userid | USERNAME |
| windows_sid | WINDOWS_SID |
| employee_id | EMPLOYEE_ID |
| product_object_id | PRODUCT_OBJECT_ID |
Para cada indicador, o pipeline realiza as seguintes ações:
- Obtém uma lista de entidades de utilizadores. Por exemplo, as entidades de
principal.email_addresseprincipal.useridpodem ser iguais ou diferentes. - Escolhe os alias do melhor tipo de indicador, usando esta ordem de prioridade:
WINDOWS_SID,EMAIL,USERNAME,EMPLOYEE_IDePRODUCT_OBJECT_ID. - Preenche
noun.usercom a entidade cujo intervalo de validade se cruza com a hora do evento.
Enriquecimento de processos
Para cada evento UDM, o pipeline extrai process.product_specific_process_id (PSPI) dos seguintes campos:
principalsrctargetprincipal.process.parent_processsrc.process.parent_processtarget.process.parent_process
Em seguida, o pipeline encontra o processo real a partir da PSPI através da atribuição de alias de processos,
que também devolve informações sobre o processo principal. Estes dados são unidos no campo noun.process relacionado na mensagem enriquecida.
Enriquecimento de artefactos
O enriquecimento de artefactos adiciona metadados de hash de ficheiros do VirusTotal e localizações de IP de dados de geolocalização. Para cada evento da UDM, o pipeline extrai e consulta dados de contexto para estes indicadores de artefactos das entidades principal, src e target:
- Endereço IP: consulta dados apenas se forem públicos ou encaminháveis.
- Hashes de ficheiros: consulta hashes pela seguinte ordem:
file.sha256file.sha1file.md5process.file.sha256process.file.sha1process.file.md5
O pipeline usa a data/hora epoch UNIX e a hora do evento para definir o intervalo de tempo das consultas de artefactos de ficheiros. Se os dados de geolocalização estiverem disponíveis, o pipeline substitui os seguintes campos do UDM para os respetivos principal, src e target, com base na origem dos dados de geolocalização:
artifact.ipartifact.locationartifact.network(apenas se os dados incluírem o contexto da rede IP)location(apenas se os dados originais não incluírem este campo)
Se o pipeline encontrar metadados de hash de ficheiros, adiciona esses metadados aos campos do ficheiro ou
process.file, consoante a origem do indicador. O pipeline
mantém todos os valores existentes que não se sobrepõem aos novos dados.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.