UDM 보강 및 별칭 지정 개요
이 문서에서는 Google Security Operations의 별칭 지정 및 UDM 보강에 대해 간략하게 설명합니다. 일반적인 사용 사례를 간략하게 설명하고 플랫폼 내에서 별칭 지정 및 보강이 작동하는 방식을 설명합니다.
별칭 지정 및 UDM 보강은 Google SecOps의 핵심 개념입니다. 이 두 가지는 함께 작동하지만 용도가 다릅니다.
- 별칭 지정은 지표를 설명하는 다양한 이름과 추가 컨텍스트 데이터를 식별합니다.
- 강화는 별칭을 사용하여 UDM 이벤트에 컨텍스트를 추가합니다.
예를 들어 UDM 이벤트에는 호스트 이름 alex-macbook가 포함되어 있으며 악성 파일 해시가 사용자 alex에 의해 실행되었음을 나타냅니다. 별칭을 사용하여 이벤트 시점에 호스트 이름 alex-macbook에 IP 주소 192.0.2.0이 할당되었으며 alex이 2주 후에 회사를 떠나는 것으로 확인되었습니다. 이러한 별칭을 원래 UDM 이벤트에 스티칭하면 컨텍스트가 추가됩니다.
지원되는 별칭 지정 및 보강 기능
Google SecOps는 다음 항목의 별칭 지정 및 보강을 지원합니다.
- 애셋
- 사용자
- 프로세스
- 파일 해시 메타데이터
- 지리적 위치
- 클라우드 리소스
별칭 작동 방식
별칭을 사용하면 보강이 가능합니다. 예를 들어 별칭을 사용하면 호스트 이름과 연결된 다른 IP 주소 및 MAC 주소 또는 사용자 ID와 연결된 직책 및 고용 상태를 찾을 수 있습니다.
Google SecOps의 다른 기능과 마찬가지로 별칭을 사용하려면 데이터를 수집하고 색인을 생성해야 합니다. 앨리어싱은 다음과 같은 세 가지 주요 카테고리로 구성됩니다.
- 고객별 데이터: 고객에게 고유한 데이터입니다. 예를 들어
Cymbal만tim.smith@cymbal.com에 대한 데이터를 제공할 수 있습니다. 고객별 별칭 유형에는 애셋, 사용자, 프로세스가 포함됩니다. - 전역 데이터: 모든 고객에게 적용되는 수집 및 색인 생성 데이터입니다. 예를 들어 악성 파일에 관한 전 세계 소스의 표시를 사용하여 기업에 해당 파일이 있는지 확인할 수 있습니다.
- 서드 파티 서비스: 서드 파티 서비스 제공업체에서 실행한 별칭 지정입니다. Google SecOps는 지리 서비스를 사용하여 IP 주소의 실제 위치를 찾습니다.
이러한 유형의 별칭은 애셋 별칭 결과를 생성하는 데 함께 사용됩니다.
애셋 별칭
애셋 별칭 지정은 호스트 이름, IP 주소, MAC 주소, 애셋 ID, 기타 메타데이터를 연결합니다. 여기에는 다음 단계가 포함됩니다.
- EDR 별칭 지정: 제품 ID (애셋 ID)를 호스트 이름에 매핑합니다.
EDR 매핑 필드는
CS_EDR로그 유형에서만 파생됩니다. - DHCP 별칭: DHCP 이벤트를 사용하여 호스트 이름, MAC 주소, IP 주소를 연결합니다.
- 애셋 컨텍스트 별칭 지정: 애셋 표시기를 호스트 이름, IP 주소, MAC 주소, 소프트웨어 버전, 배포 상태와 같은 항목 데이터와 연결합니다.
EDR 매핑 색인이 생성된 필드
Google SecOps는 EDR 매핑 필드를 색인화하여 호스트 이름과 제품별 ID를 연결하는 별칭을 생성합니다.
다음 표에는 UDM 필드와 해당 표시기 유형이 나와 있습니다.
| UDM 필드 | 지표 유형 |
|---|---|
| principal.hostname 및 principal.asset.hostname | HOSTNAME |
| principal.asset_id 및 principal.asset.asset_id | PRODUCT_SPECIFIC_ID |
DHCP 색인이 생성된 필드
Google SecOps는 DHCP 레코드를 색인화하여 호스트 이름, IP 주소, MAC 주소를 연결하는 별칭을 생성합니다.
다음 표에는 애셋 별칭에 사용되는 UDM 필드와 해당 표시기 유형이 나와 있습니다.
| UDM 필드 | 지표 유형 |
|---|---|
| principal.ip 및 principal.asset.ip | ASSET_IP_ADDRESS |
| principal.mac 및 principal.asset.mac | MAC |
| principal.hostname 및 principal.asset.hostname | HOSTNAME |
| principal.asset_id 및 principal.asset.asset_id | PRODUCT_SPECIFIC_ID |
| ACK, OFFER, WIN_DELETED, WIN_EXPIRED의 network.dhcp.yiaddr | ASSET_IP_ADDRESS |
| INFORM, RELEASE, REQUEST의 network.dhcp.ciaddr | ASSET_IP_ADDRESS |
| 거절 시 network.dhcp.requested_address | ASSET_IP_ADDRESS |
| network.dhcp.chaddr | MAC |
| network.dhcp.client_hostname | HOSTNAME |
애셋 컨텍스트 색인이 지정된 필드
Google SecOps는 ASSET_CONTEXT 이벤트를 UDM 이벤트가 아닌 항목 컨텍스트 이벤트로 수집합니다.
다음 표에는 엔티티 필드와 해당 표시기 유형이 나와 있습니다.
| 항목 필드 | 지표 유형 |
|---|---|
| entity.asset.product_object_id | PRODUCT_OBJECT_ID |
| entity.metadata.product_entity_id (저작물의 제품 객체 ID가 누락된 경우) | PRODUCT_OBJECT_ID |
| entity.asset.asset_id | PRODUCT_SPECIFIC_ID |
| entity.asset.hostname | HOSTNAME |
| entity.asset.ip | ASSET_IP_ADDRESS |
| entity.asset.mac | MAC |
| entity.namespace | NAMESPACE |
사용자 별칭 지정
사용자 별칭을 사용하여 사용자 표시기를 통해 정보를 찾습니다. 예를 들어 직원의 이메일 주소를 입력하여 이름, 직책, 고용 상태를 찾을 수 있습니다.
사용자 별칭 지정은 별칭 지정에 USER_CONTEXT 이벤트 일괄 처리 유형을 사용합니다.
사용자 컨텍스트 색인이 생성된 필드
Google SecOps는 USER_CONTEXT 이벤트를 UDM 이벤트가 아닌 항목 컨텍스트 이벤트로 수집합니다.
다음 표에는 엔티티 필드와 해당 표시기 유형이 나와 있습니다.
| 항목 필드 | 지표 유형 |
|---|---|
| entity.user.product_object_id | PRODUCT_OBJECT_ID |
| entity.metadata.product_entity_id (사용자 제품 객체 ID가 누락된 경우) | PRODUCT_OBJECT_ID |
| entity.user.userid | USERNAME |
| entity.user.email_addresses | EMAIL |
| entity.user.windows_sid | WINDOWS_SID |
| entity.user.employee_id | EMPLOYEE_ID |
| entity.namespace | NAMESPACE |
프로세스 별칭
프로세스 별칭 지정을 사용하여 제품별 프로세스 ID (product_specific_process_id)를 실제 프로세스에 매핑하고 상위 프로세스에 관한 세부정보를 가져옵니다. 이 함수는 EDR 이벤트 배치 유형을 사용합니다.
프로세스 별칭 지정의 EDR 색인 필드
프로세스가 실행되면 명령줄, 파일 해시, 상위 프로세스 세부정보와 같은 메타데이터가 수집됩니다. 머신에서 실행되는 EDR 소프트웨어는 공급업체별 프로세스 UUID를 할당합니다.
다음 표에는 프로세스 실행 이벤트 중에 색인이 생성되는 필드가 나와 있습니다.
| UDM 필드 | 지표 유형 |
|---|---|
| target.product_specific_process_id | PROCESS_ID |
| target.process | 전체 프로세스(표시기만 아님) |
정규화된 이벤트의 target.process 필드 외에도 Google SecOps는 상위 프로세스 정보를 수집하고 색인을 생성합니다.
파일 해시 메타데이터 별칭 지정
파일 해시 메타데이터 별칭은 지정된 파일 해시 (sha256, sha1 또는 md5)를 기반으로 다른 파일 해시나 파일 크기와 같은 파일 메타데이터를 식별합니다.
파일 해시 메타데이터 별칭 지정은 별칭 지정에 FILE_CONTEXT 이벤트 일괄 처리 유형을 사용합니다.
파일 컨텍스트 색인이 지정된 필드
Google SecOps는 VirusTotal의 FILE_CONTEXT 이벤트를 항목 컨텍스트 이벤트로 수집합니다. 이러한 이벤트는 전역적이며 고객별로 다르게 발생하지 않습니다.
다음 표에는 색인이 생성된 항목 필드와 해당 표시기 유형이 나와 있습니다.
| 항목 필드 | 지표 유형 |
|---|---|
| entity.file.sha256 | PRODUCT_OBJECT_ID |
entity.metadata.product_entity_id (파일 sha256이 누락된 경우) |
PRODUCT_OBJECT_ID |
| entity.file.md5 | HASH_MD5 |
| entity.file.sha1 | HASH_SHA1 |
| entity.file.sha256 | HASH_SHA256 |
| entity.namespace | NAMESPACE |
IP 위치정보 별칭
지리적 별칭은 외부 IP 주소에 대한 위치정보가 보강된 데이터를 제공합니다.
UDM 이벤트의 principal, target 또는 src 필드에 있는 각 IP 주소에 대해 주소에 별칭이 지정되지 않은 경우 연결된 위치 및 ASN 정보와 함께 ip_geo_artifact 하위 프로토가 생성됩니다.
지리적 별칭은 회고 또는 캐싱을 사용하지 않습니다. 이벤트 수가 많기 때문에 Google SecOps는 메모리에 색인을 유지합니다. 이 색인은 IPGeo simple server MPM에서 가져오며 2주마다 업데이트됩니다.
리소스 별칭 지정
리소스 별칭 지정은 지정된 리소스 ID의 클라우드 리소스 정보를 반환합니다. 예를 들어 Google Cloud URI를 사용하여 Bigtable 인스턴스에 관한 정보를 반환할 수 있습니다. 룩백이나 캐싱을 사용하지 않습니다.
리소스 별칭은 UDM 이벤트를 보강하지 않습니다. 하지만 알림 그래프와 같은 일부 제품은 리소스 별칭을 사용합니다. 클라우드 리소스 별칭은 RESOURCE_CONTEXT 이벤트 일괄 처리 유형을 사용합니다.
리소스 컨텍스트 색인이 지정된 필드
클라우드 리소스 메타데이터 컨텍스트 이벤트는 RESOURCE_CONTEXT 이벤트로 수집됩니다.
다음 표에는 항목 필드와 해당 항목 유형이 나와 있습니다.
| 항목 필드 | 지표 유형 |
|---|---|
| entity.resource.product_object_id | PRODUCT_OBJECT_ID |
| entity.metadata.product_entity_id (리소스의 제품 객체 ID가 누락된 경우) | PRODUCT_OBJECT_ID |
| entity.resource.name | CLOUD_RESOURCE_NAME |
| entity.namespace | NAMESPACE |
보강
강화에서는 별칭을 사용하여 다음과 같은 방식으로 UDM 표시기 또는 이벤트에 컨텍스트를 추가합니다.
- 일반적으로 UDM 필드인 지표를 설명하는 별칭 항목을 식별합니다.
- 반환된 별칭 또는 항목에 연결된 풍부한 값으로 UDM 메시지의 관련 부분을 채웁니다.
강화된 필드를 사용하는 규칙, 검색 또는 대시보드의 데이터가 모두 포함되도록 하려면 데이터 테이블 및 엔티티 그래프 조인을 사용하여 실시간 강화를 사용하세요.
애셋 보강
각 UDM 이벤트에 대해 파이프라인은 principal, src, target 항목에서 다음 UDM 필드를 추출합니다.
| UDM 필드 | 지표 유형 |
|---|---|
| 호스트 이름 | HOSTNAME |
| asset_id | PRODUCT_SPECIFIC_ID |
| mac | MAC |
| ip | IP |
사용자 보강
각 UDM 이벤트에 대해 파이프라인은 principal, src, target에서 다음 UDM 필드를 추출합니다.
| UDM 필드 | 지표 유형 |
|---|---|
| email_addresses | EMAIL |
| userid | USERNAME |
| windows_sid | WINDOWS_SID |
| employee_id | EMPLOYEE_ID |
| product_object_id | PRODUCT_OBJECT_ID |
각 지표에 대해 파이프라인은 다음 작업을 실행합니다.
- 사용자 항목 목록을 가져옵니다. 예를 들어
principal.email_address및principal.userid의 항목은 동일할 수도 있고 다를 수도 있습니다. WINDOWS_SID,EMAIL,USERNAME,EMPLOYEE_ID,PRODUCT_OBJECT_ID의 우선순위를 사용하여 가장 적합한 표시기 유형에서 별칭을 선택합니다.- 유효성 간격이 이벤트 시간과 교차하는 항목으로
noun.user를 채웁니다.
프로세스 보강
각 UDM 이벤트에 대해 파이프라인은 다음 필드에서 process.product_specific_process_id (PSPI)를 추출합니다.
principalsrctargetprincipal.process.parent_processsrc.process.parent_processtarget.process.parent_process
그런 다음 파이프라인은 프로세스 별칭을 사용하여 PSPI에서 실제 프로세스를 찾고, 이 프로세스는 상위 프로세스에 관한 정보도 반환합니다. 이 데이터는 풍부한 메시지의 관련 noun.process 필드에 병합됩니다.
아티팩트 보강
아티팩트 보강은 VirusTotal의 파일 해시 메타데이터와 위치정보 데이터의 IP 위치를 추가합니다. 각 UDM 이벤트에 대해 파이프라인은 principal, src, target 항목에서 이러한 아티팩트 표시기의 컨텍스트 데이터를 추출하고 쿼리합니다.
- IP 주소: 공개되거나 라우팅 가능한 경우에만 데이터를 쿼리합니다.
- 파일 해시: 다음 순서로 해시를 쿼리합니다.
file.sha256file.sha1file.md5process.file.sha256process.file.sha1process.file.md5
파이프라인은 UNIX 에포크 및 이벤트 시간을 사용하여 파일 아티팩트 쿼리의 시간 범위를 정의합니다. 위치정보 데이터를 사용할 수 있는 경우 파이프라인은 위치정보 데이터의 출처에 따라 각 principal, src, target의 다음 UDM 필드를 덮어씁니다.
artifact.ipartifact.locationartifact.network(데이터에 IP 네트워크 컨텍스트가 포함된 경우에만)location(원본 데이터에 이 필드가 포함되지 않은 경우에만)
파이프라인에서 파일 해시 메타데이터를 찾으면 표시기가 어디에서 왔는지에 따라 해당 메타데이터를 파일 또는 process.file 필드에 추가합니다. 파이프라인은 새 데이터와 중복되지 않는 기존 값을 유지합니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.