Descripción general de los alias y el enriquecimiento de UDM en Google Security Operations
En este documento se ofrece una descripción general de los alias y del enriquecimiento de UDM en Google Security Operations. Se describen los casos prácticos habituales y se explica cómo funcionan los alias y el enriquecimiento en la plataforma.
La creación de alias y el enriquecimiento de UDM son conceptos clave en Google SecOps. Trabajan conjuntamente, pero tienen propósitos diferentes.
- La creación de alias identifica los diferentes nombres y los datos de contexto adicionales que describen un indicador.
- La enriquecimiento usa alias para añadir contexto a un evento de UDM.
Por ejemplo, un evento de UDM incluye el nombre de host alex-macbook e indica que el usuario alex ha ejecutado un hash de archivo malicioso. Mediante el uso de alias, hemos detectado que al nombre de host alex-macbook se le asignó la dirección IP 192.0.2.0 en el momento del evento y que alex dejará la empresa en dos semanas. Al combinar estos alias con el evento de UDM original, se añade contexto.
Funciones de alias y enriquecimiento admitidas
Google SecOps admite alias y enriquecimiento para lo siguiente:
- Recursos
- Usuarios
- Procesos
- Metadatos de hash de archivo
- Ubicaciones geográficas
- Recursos en la nube
Cómo funcionan los alias
Los alias permiten enriquecer los datos. Por ejemplo, mediante el uso de alias, puede encontrar otras direcciones IP y direcciones MAC asociadas a un nombre de host, o el puesto y el estado de empleo asociados a un ID de usuario.
Al igual que otras funciones de Google SecOps, el uso de alias requiere que se ingieran e indexen datos. Los alias se organizan en tres categorías principales:
- Datos específicos del cliente: datos únicos de un cliente. Por ejemplo, solo
Cymbalpuede proporcionar datos detim.smith@cymbal.com. Los tipos de alias específicos de los clientes incluyen recursos, usuarios y procesos. - Datos globales: datos insertados e indexados que se aplican a todos los clientes. Por ejemplo, se puede usar una indicación de origen global sobre un archivo malicioso para comprobar si ese archivo está presente en tu empresa.
- Servicio de terceros: alias creado por un proveedor de servicios externo. Google SecOps usa servicios geográficos para encontrar la ubicación física de las direcciones IP.
Estos tipos de alias se usan conjuntamente para generar resultados de alias de recursos.
Creación de alias de recursos
Los alias de recursos vinculan nombres de host, direcciones IP, direcciones MAC, IDs de recursos y otros metadatos. Para ello, sigue estos pasos:
- Alias de EDR: asigna IDs de producto (IDs de recurso) a nombres de host.
Los campos de asignación de EDR se derivan exclusivamente del tipo de registro
CS_EDR. - Alias de DHCP: usa eventos DHCP para vincular nombres de host, direcciones MAC y direcciones IP.
- Asignación de alias al contexto de los recursos: asocia un indicador de recurso con datos de entidad, como el nombre de host, la dirección IP, la dirección MAC, la versión de software y el estado de implementación.
Campos indexados de la asignación de EDR
Google SecOps indexa los campos de EDR MAPPING para generar alias que vinculan nombres de host e IDs específicos de productos.
En la siguiente tabla se enumeran los campos de UDM y sus tipos de indicadores correspondientes:
| Campo de UDM | Tipo de indicador |
|---|---|
| principal.hostname y principal.asset.hostname | HOSTNAME |
| principal.asset_id y principal.asset.asset_id | PRODUCT_SPECIFIC_ID |
Campos indexados de DHCP
Google SecOps indexa los registros DHCP para generar alias que vinculan nombres de host, direcciones IP y direcciones MAC.
En la siguiente tabla se enumeran los campos de UDM y sus tipos de indicadores correspondientes que se usan para crear alias de recursos:
| Campo de UDM | Tipo de indicador |
|---|---|
| principal.ip y principal.asset.ip | ASSET_IP_ADDRESS |
| principal.mac y principal.asset.mac | MAC |
| principal.hostname y principal.asset.hostname | HOSTNAME |
| principal.asset_id y principal.asset.asset_id | PRODUCT_SPECIFIC_ID |
| network.dhcp.yiaddr en ACK, OFFER, WIN_DELETED y WIN_EXPIRED | ASSET_IP_ADDRESS |
| network.dhcp.ciaddr en INFORM, RELEASE y REQUEST | ASSET_IP_ADDRESS |
| network.dhcp.requested_address en DECLINE | ASSET_IP_ADDRESS |
| network.dhcp.chaddr | MAC |
| network.dhcp.client_hostname | HOSTNAME |
Campos indexados del contexto de recursos
Google SecOps ingiere ASSET_CONTEXT eventos como eventos de contexto de entidad, en lugar de eventos UDM.
En la siguiente tabla se enumeran los campos de entidad y sus tipos de indicadores correspondientes:
| Campo de entidad | Tipo de indicador |
|---|---|
| entity.asset.product_object_id | PRODUCT_OBJECT_ID |
| entity.metadata.product_entity_id (si falta el ID de objeto de producto del recurso) | PRODUCT_OBJECT_ID |
| entity.asset.asset_id | PRODUCT_SPECIFIC_ID |
| entity.asset.hostname | HOSTNAME |
| entity.asset.ip | ASSET_IP_ADDRESS |
| entity.asset.mac | MAC |
| entity.namespace | NAMESPACE |
Creación de alias de usuario
El alias de usuario busca información a través de un indicador de usuario. Por ejemplo, si usas la dirección de correo de un empleado, puedes consultar más detalles sobre él, como su nombre, su cargo y su situación laboral.
El alias de usuario usa el tipo de lote de eventos USER_CONTEXT para crear alias.
Campos indexados de contexto de usuario
Google SecOps ingiere USER_CONTEXT eventos como eventos de contexto de entidad, en lugar de eventos UDM.
En la siguiente tabla se enumeran los campos de entidad y sus tipos de indicadores correspondientes:
| Campo de entidad | Tipo de indicador |
|---|---|
| entity.user.product_object_id | PRODUCT_OBJECT_ID |
| entity.metadata.product_entity_id (si falta el ID de objeto de producto del usuario) | PRODUCT_OBJECT_ID |
| entity.user.userid | USERNAME |
| entity.user.email_addresses | EMAIL |
| entity.user.windows_sid | WINDOWS_SID |
| entity.user.employee_id | EMPLOYEE_ID |
| entity.namespace | NAMESPACE |
Alias de proceso
La creación de alias de procesos asigna un ID de proceso específico de un producto (product_specific_process_id)
al proceso real y obtiene información sobre el proceso superior.
El proceso de creación de alias usa el tipo de lote de eventos de EDR para crear alias.
Campos indexados de EDR para alias de procesos
Cuando se inicia un proceso, se recogen metadatos como líneas de comandos, hashes de archivos y detalles del proceso principal. El software EDR que se ejecuta en el equipo asigna un UUID de proceso específico del proveedor.
En la siguiente tabla se enumeran los campos que se indexan durante un evento de inicio de proceso:
| Campo de UDM | Tipo de indicador |
|---|---|
| target.product_specific_process_id | PROCESS_ID |
| target.process | Todo el proceso, no solo el indicador |
Además del campo target.process del evento normalizado, Google SecOps también recoge e indexa información del proceso principal.
Alias de metadatos de hash de archivo
Los alias de metadatos de hash de archivo identifican los metadatos de archivo, como otros hashes de archivo o tamaños de archivo, en función de un hash de archivo determinado (sha256, sha1 o md5).
El alias de metadatos de hash de archivo usa el tipo de lote de eventos FILE_CONTEXT para crear alias.
Campos indexados del contexto de archivo
Google SecOps ingiere FILE_CONTEXT eventos de VirusTotal como eventos de contexto de entidad. Estos eventos son globales y no específicos de cada cliente.
En la siguiente tabla se enumeran los campos de entidad indexados y sus tipos de indicadores correspondientes:
| Campo de entidad | Tipo de indicador |
|---|---|
| entity.file.sha256 | PRODUCT_OBJECT_ID |
entity.metadata.product_entity_id (si falta el archivo sha256) |
PRODUCT_OBJECT_ID |
| entity.file.md5 | HASH_MD5 |
| entity.file.sha1 | HASH_SHA1 |
| entity.file.sha256 | HASH_SHA256 |
| entity.namespace | NAMESPACE |
Creación de alias de geolocalización de IP
Los alias geográficos proporcionan datos enriquecidos con geolocalización para direcciones IP externas.
Por cada dirección IP de los campos principal, target o src de un evento de UDM,
si la dirección no tiene alias, se crea un subprotocolo ip_geo_artifact con
la información de ubicación y ASN asociada.
Los alias geográficos no usan el historial ni el almacenamiento en caché. Debido al gran volumen de eventos, Google SecOps mantiene un índice en la memoria. El índice se obtiene del MPM del servidor simple IPGeo y se actualiza cada dos semanas.
Creación de alias de recursos
El alias de recursos devuelve información de recursos en la nube para un ID de recurso determinado. Por ejemplo, puede devolver información de una instancia de Bigtable mediante su Google Cloud URI. No usa lookback ni almacenamiento en caché.
Los alias de recursos no enriquecen los eventos de UDM. Sin embargo, algunos productos, como Alert
Graph, usan alias de recursos. Los alias de recursos de Cloud usan el tipo de lote de eventos RESOURCE_CONTEXT.
Campos indexados de contexto de recursos
Los eventos de contexto de metadatos de recursos de Cloud se ingieren como eventos RESOURCE_CONTEXT.
En la siguiente tabla se enumeran los campos de entidad y sus tipos de entidad correspondientes:
| Campo de entidad | Tipo de indicador |
|---|---|
| entity.resource.product_object_id | PRODUCT_OBJECT_ID |
| entity.metadata.product_entity_id (si falta el ID del objeto de producto del recurso) | PRODUCT_OBJECT_ID |
| entity.resource.name | CLOUD_RESOURCE_NAME |
| entity.namespace | NAMESPACE |
Enriquecimiento
El enriquecimiento usa alias para añadir contexto a un indicador o evento de UDM de las siguientes formas:
- Identifica las entidades de alias que describen un indicador, normalmente un campo de UDM.
- Rellena las partes relacionadas del mensaje de UDM con valores enriquecidos vinculados a los alias o entidades devueltos.
Enriquecimiento de recursos
En cada evento de UDM, la canalización extrae los siguientes campos de UDM de las entidades principal, src y target:
| Campo de UDM | Tipo de indicador |
|---|---|
| nombre de host | HOSTNAME |
| asset_id | PRODUCT_SPECIFIC_ID |
| mac | MAC |
| ip (SI asset_id está vacío) | IP |
Cada indicador de recurso tiene un espacio de nombres. El espacio de nombres vacío se considera válido. En cada indicador de recurso, la canalización realiza las siguientes acciones:
- Obtiene los alias del día completo de la hora del evento.
- Crea un mensaje
backstory.Asseta partir de la respuesta de alias. - Asigna cada tipo de sustantivo e indicador a un mensaje de recurso de historia y combina todos los protos relacionados.
- Define los campos de recursos de nivel superior y el mensaje
assetproto mediante el mensaje backstory.Asset combinado.
Enriquecimiento de usuarios
En cada evento de UDM, la canalización extrae los siguientes campos de UDM de
principal, src y target:
| Campo de UDM | Tipo de indicador |
|---|---|
| email_addresses | EMAIL |
| userid | USERNAME |
| windows_sid | WINDOWS_SID |
| employee_id | EMPLOYEE_ID |
| product_object_id | PRODUCT_OBJECT_ID |
En cada indicador, la canalización realiza las siguientes acciones:
- Obtiene una lista de entidades de usuario. Por ejemplo, las entidades de
principal.email_addressyprincipal.useridpueden ser iguales o diferentes. - Elige los alias del mejor tipo de indicador, siguiendo este orden de prioridad:
WINDOWS_SID,EMAIL,USERNAME,EMPLOYEE_IDyPRODUCT_OBJECT_ID. - Rellena
noun.usercon la entidad cuyo intervalo de validez se cruza con la hora del evento.
Enriquecimiento de procesos
En cada evento de UDM, la canalización extrae process.product_specific_process_id (PSPI) de los siguientes campos:
principalsrctargetprincipal.process.parent_processsrc.process.parent_processtarget.process.parent_process
A continuación, la canalización busca el proceso real en el PSPI mediante el uso de alias de proceso,
que también devuelve información sobre el proceso principal. Combina estos datos con el campo noun.process relacionado del mensaje enriquecido.
Enriquecimiento de artefactos
El enriquecimiento de artefactos añade metadatos de hash de archivos de VirusTotal y ubicaciones de IP a partir de datos de geolocalización. En cada evento de UDM, la canalización extrae y consulta datos de contexto de estos indicadores de artefactos de las entidades principal, src y target:
- Dirección IP: consulta los datos solo si son públicos o se pueden enrutar.
- Hashes de archivos: consulta los hashes en el siguiente orden:
file.sha256file.sha1file.md5process.file.sha256process.file.sha1process.file.md5
La canalización usa la época de Unix y la hora del evento para definir el intervalo de tiempo de las consultas de artefactos de archivo. Si los datos de geolocalización están disponibles, la canalización sobrescribe los siguientes campos de UDM de los respectivos principal, src y target en función de dónde procedan los datos de geolocalización:
artifact.ipartifact.locationartifact.network(solo si los datos incluyen el contexto de la red IP)location(solo si los datos originales no incluyen este campo)
Si la canalización encuentra metadatos de hash de archivo, los añade a los campos file o
process.file, en función de dónde proceda el indicador. La canalización
conserva los valores que no se solapan con los datos nuevos.
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.