Vista geral da criação de alias e do enriquecimento de UDM no Google Security Operations
Este documento oferece uma vista geral da criação de alias e do enriquecimento de UDM no Google Security Operations. Descreve exemplos de utilização comuns e explica como funcionam a atribuição de alias e o enriquecimento na plataforma.
A criação de alias e o enriquecimento de UDM são conceitos essenciais no Google SecOps. Funcionam em conjunto, mas têm finalidades diferentes.
- A atribuição de alias identifica os diferentes nomes e dados de contexto adicionais que descrevem um indicador.
- O enriquecimento usa a criação de alias para adicionar contexto a um evento de UDM.
Por exemplo, um evento UDM inclui o nome do anfitrião alex-macbook e indica que um hash de ficheiro malicioso foi executado pelo utilizador alex. Através da utilização de pseudónimos, verificamos que o nome do anfitrião alex-macbook foi atribuído ao endereço IP 192.0.2.0 no momento do evento e que alex vai sair da empresa dentro de 2 semanas. A união destes
alias no evento UDM original adiciona contexto.
Capacidades de pseudonimização e enriquecimento suportadas
O Google SecOps suporta a criação de alias e o enriquecimento para o seguinte:
- Recursos
- Utilizadores
- Processos
- Metadados de hash de ficheiros
- Localizações geográficas
- Recursos na nuvem
Como funciona a criação de alias
A criação de alias permite o enriquecimento. Por exemplo, através da utilização de pseudónimos, pode encontrar outros endereços IP e endereços MAC associados a um nome de anfitrião, ou o cargo e o estado de emprego associados a um ID de utilizador.
Tal como outras funcionalidades no Google SecOps, a criação de alias requer que os dados sejam carregados e indexados. A criação de alias está organizada em três categorias principais:
- Dados específicos do cliente: dados exclusivos de um cliente. Por exemplo, apenas
Cymbalpode fornecer dados paratim.smith@cymbal.com. Os tipos de criação de alias específicos do cliente incluem recursos, utilizadores e processos. - Dados globais: dados carregados e indexados que se aplicam a todos os clientes. Por exemplo, uma indicação de origem global sobre um ficheiro malicioso pode ser usada para verificar a presença desse ficheiro na sua empresa.
- Serviço de terceiros: criação de alias feita por um fornecedor de serviços de terceiros. A Google SecOps usa serviços geográficos para encontrar a localização física dos endereços IP.
Estes tipos de criação de alias são usados em conjunto para gerar resultados de criação de alias de recursos.
Criação de alias de recursos
A criação de alias de recursos associa nomes de anfitriões, endereços IP, endereços MAC, IDs de recursos e outros metadados. Envolve os seguintes passos:
- Criação de alias de EDR: mapeia os IDs dos produtos (IDs dos recursos) para nomes de anfitriões.
Os campos de mapeamento de EDR são derivados exclusivamente do tipo de registo
CS_EDR. - DHCP aliasing: usa eventos DHCP para associar nomes de anfitrião, endereços MAC e endereços IP.
- Criação de alias do contexto do recurso: associa um indicador de recurso a dados de entidades, como o nome de anfitrião, o endereço IP, o endereço MAC, a versão do software e o estado de implementação.
Campos indexados do mapeamento de EDR
O Google SecOps indexa os campos EDR MAPPING para gerar alias que associam nomes de anfitriões e IDs específicos de produtos.
A tabela seguinte apresenta os campos da UDM e os respetivos tipos de indicadores:
| Campo UDM | Tipo de indicador |
|---|---|
| principal.hostname e principal.asset.hostname | HOSTNAME |
| principal.asset_id e principal.asset.asset_id | PRODUCT_SPECIFIC_ID |
Campos indexados de DHCP
O Google SecOps indexa os registos DHCP para gerar alias que associam nomes de anfitriões, endereços IP e endereços MAC.
A tabela seguinte apresenta os campos do UDM e os respetivos tipos de indicadores usados para a criação de alias de recursos:
| Campo UDM | Tipo de indicador |
|---|---|
| principal.ip e principal.asset.ip | ASSET_IP_ADDRESS |
| principal.mac e principal.asset.mac | MAC |
| principal.hostname e principal.asset.hostname | HOSTNAME |
| principal.asset_id e principal.asset.asset_id | PRODUCT_SPECIFIC_ID |
| network.dhcp.yiaddr em ACK, OFFER, WIN_DELETED e WIN_EXPIRED | ASSET_IP_ADDRESS |
| network.dhcp.ciaddr em INFORM, RELEASE e REQUEST | ASSET_IP_ADDRESS |
| network.dhcp.requested_address em DECLINE | ASSET_IP_ADDRESS |
| network.dhcp.chaddr | MAC |
| network.dhcp.client_hostname | HOSTNAME |
Campos indexados do contexto do recurso
O Google SecOps carrega ASSET_CONTEXT eventos como eventos de contexto de entidades,
em vez de eventos UDM.
A tabela seguinte apresenta os campos das entidades e os respetivos tipos de indicadores:
| Campo de entidade | Tipo de indicador |
|---|---|
| entity.asset.product_object_id | PRODUCT_OBJECT_ID |
| entity.metadata.product_entity_id (se o ID do objeto de produto do recurso estiver em falta) | PRODUCT_OBJECT_ID |
| entity.asset.asset_id | PRODUCT_SPECIFIC_ID |
| entity.asset.hostname | HOSTNAME |
| entity.asset.ip | ASSET_IP_ADDRESS |
| entity.asset.mac | MAC |
| entity.namespace | NAMESPACE |
Atribuição de alias a utilizadores
A atribuição de alias de utilizador encontra informações através de um indicador do utilizador. Por exemplo, se usar o endereço de email de um funcionário, pode encontrar mais detalhes sobre esse funcionário, como o nome, o cargo e o estado de emprego.
A associação de pseudónimos de utilizadores usa o tipo de lote de eventos USER_CONTEXT para a associação de pseudónimos.
Campos indexados de contexto do utilizador
O Google SecOps carrega USER_CONTEXT eventos como eventos de contexto de entidades, em vez de eventos UDM.
A tabela seguinte apresenta os campos das entidades e os respetivos tipos de indicadores:
| Campo de entidade | Tipo de indicador |
|---|---|
| entity.user.product_object_id | PRODUCT_OBJECT_ID |
| entity.metadata.product_entity_id (se o ID do objeto de produto do utilizador estiver em falta) | PRODUCT_OBJECT_ID |
| entity.user.userid | USERNAME |
| entity.user.email_addresses | EMAIL |
| entity.user.windows_sid | WINDOWS_SID |
| entity.user.employee_id | EMPLOYEE_ID |
| entity.namespace | NAMESPACE |
Criação de alias de processos
O process aliasing mapeia um ID do processo específico do produto (product_specific_process_id)
para o processo real e obtém informações sobre o processo principal.
O processamento de pseudónimos usa o tipo de lote de eventos EDR para a atribuição de pseudónimos.
Campos indexados de EDR para a criação de alias de processos
Quando um processo é iniciado, são recolhidos metadados, como linhas de comandos, hashes de ficheiros e detalhes do processo principal. O software EDR em execução na máquina atribui um UUID de processo específico do fornecedor.
A tabela seguinte apresenta os campos que são indexados durante um evento de lançamento de processo:
| Campo UDM | Tipo de indicador |
|---|---|
| target.product_specific_process_id | PROCESS_ID |
| target.process | Todo o processo; não apenas o indicador |
Além do campo target.process do evento normalizado,
o Google SecOps também recolhe e indexa informações do processo principal.
Criação de alias de metadados de hash de ficheiros
A criação de alias de metadados de hash de ficheiros identifica metadados de ficheiros, como outros hashes de ficheiros ou tamanhos de ficheiros, com base num determinado hash de ficheiro (sha256, sha1 ou md5).
A criação de alias de metadados de hash de ficheiros usa o tipo de lote de eventos FILE_CONTEXT para a criação de alias.
Campos indexados do contexto do ficheiro
O Google SecOps carrega eventos FILE_CONTEXT do VirusTotal como eventos de contexto de entidades. Estes eventos são globais e não específicos do cliente.
A tabela seguinte apresenta os campos de entidades indexados e os respetivos tipos de indicadores:
| Campo de entidade | Tipo de indicador |
|---|---|
| entity.file.sha256 | PRODUCT_OBJECT_ID |
entity.metadata.product_entity_id (se o ficheiro sha256 estiver em falta) |
PRODUCT_OBJECT_ID |
| entity.file.md5 | HASH_MD5 |
| entity.file.sha1 | HASH_SHA1 |
| entity.file.sha256 | HASH_SHA256 |
| entity.namespace | NAMESPACE |
Criação de pseudónimos de geolocalização de IP
A atribuição de pseudónimos geográficos fornece dados enriquecidos com geolocalização para endereços IP externos.
Para cada endereço IP no campo principal, target ou src de um evento UDM,
se o endereço não tiver um alias, é criado um subproto ip_geo_artifact com
as informações de localização e ASN associadas.
A atribuição de pseudónimos geográficos não usa o período de análise nem a colocação em cache. Devido ao elevado volume de eventos, o Google SecOps mantém um índice na memória. O índice é proveniente do MPM do servidor simples IPGeo e é atualizado a cada duas semanas.
Criação de alias de recursos
A criação de alias de recursos devolve informações de recursos na nuvem para um determinado ID do recurso. Por exemplo, pode devolver informações para uma instância do Bigtable através do respetivo URI. Google Cloud Não usa a análise retrospetiva nem o armazenamento em cache.
A atribuição de alias de recursos não enriquece os eventos da UDM. No entanto, alguns produtos, como o Alert
Graph, usam o alias de recursos. A criação de alias de recursos na nuvem usa o tipo de lote de eventos RESOURCE_CONTEXT.
Campos indexados do contexto do recurso
Os eventos de contexto de metadados de recursos da nuvem são carregados como eventos RESOURCE_CONTEXT.
A tabela seguinte apresenta o campo da entidade e os respetivos tipos de entidades:
| Campo de entidade | Tipo de indicador |
|---|---|
| entity.resource.product_object_id | PRODUCT_OBJECT_ID |
| entity.metadata.product_entity_id (se o ID do objeto do produto para o recurso estiver em falta) | PRODUCT_OBJECT_ID |
| entity.resource.name | CLOUD_RESOURCE_NAME |
| entity.namespace | NAMESPACE |
Enriquecimento
O enriquecimento usa a atribuição de alias para adicionar contexto a um indicador ou evento de UDM das seguintes formas:
- Identifica entidades de alias que descrevem um indicador, normalmente um campo UDM.
- Preenche as partes relacionadas da mensagem UDM com valores enriquecidos associados aos alias ou às entidades devolvidas.
Enriquecimento de recursos
Para cada evento UDM, o pipeline extrai os seguintes campos UDM das entidades
principal, src e target:
| Campo UDM | Tipo de indicador |
|---|---|
| hostname | HOSTNAME |
| asset_id | PRODUCT_SPECIFIC_ID |
| mac | MAC |
| ip (IFF asset_id is empty) | IP |
Cada indicador de recurso tem um espaço de nomes. O espaço de nomes vazio é tratado como válido. Para cada indicador de recurso, o pipeline realiza as seguintes ações:
- Obtém os alias para o dia inteiro da hora do evento.
- Cria uma mensagem
backstory.Asseta partir da resposta de criação de alias. - Mapeia cada tipo de substantivo e indicador a uma história de fundo.Mensagem de recurso e une todos os protos relacionados.
- Define os campos de recursos de nível superior e a mensagem
assetproto usando a história de fundo unida.Mensagem de recurso.
Enriquecimento do utilizador
Para cada evento UDM, o pipeline extrai os seguintes campos UDM de
principal, src e target:
| Campo UDM | Tipo de indicador |
|---|---|
| email_addresses | EMAIL |
| userid | USERNAME |
| windows_sid | WINDOWS_SID |
| employee_id | EMPLOYEE_ID |
| product_object_id | PRODUCT_OBJECT_ID |
Para cada indicador, o pipeline realiza as seguintes ações:
- Obtém uma lista de entidades de utilizadores. Por exemplo, as entidades de
principal.email_addresseprincipal.useridpodem ser iguais ou diferentes. - Escolhe os alias do melhor tipo de indicador, usando esta ordem de prioridade:
WINDOWS_SID,EMAIL,USERNAME,EMPLOYEE_IDePRODUCT_OBJECT_ID. - Preenche
noun.usercom a entidade cujo intervalo de validade se cruza com a hora do evento.
Enriquecimento de processos
Para cada evento UDM, o pipeline extrai process.product_specific_process_id (PSPI) dos seguintes campos:
principalsrctargetprincipal.process.parent_processsrc.process.parent_processtarget.process.parent_process
Em seguida, o pipeline encontra o processo real a partir da PSPI através da atribuição de alias de processos,
que também devolve informações sobre o processo principal. Estes dados são unidos no campo noun.process relacionado na mensagem enriquecida.
Enriquecimento de artefactos
O enriquecimento de artefactos adiciona metadados de hash de ficheiros do VirusTotal e localizações de IP de dados de geolocalização. Para cada evento da UDM, o pipeline extrai e consulta dados de contexto para estes indicadores de artefactos das entidades principal, src e target:
- Endereço IP: consulta dados apenas se forem públicos ou encaminháveis.
- Hashes de ficheiros: consulta hashes pela seguinte ordem:
file.sha256file.sha1file.md5process.file.sha256process.file.sha1process.file.md5
O pipeline usa a data/hora epoch UNIX e a hora do evento para definir o intervalo de tempo das consultas de artefactos de ficheiros. Se os dados de geolocalização estiverem disponíveis, o pipeline substitui os seguintes campos do UDM para os respetivos principal, src e target, com base na origem dos dados de geolocalização:
artifact.ipartifact.locationartifact.network(apenas se os dados incluírem o contexto da rede IP)location(apenas se os dados originais não incluírem este campo)
Se o pipeline encontrar metadados de hash de ficheiros, adiciona esses metadados aos campos do ficheiro ou
process.file, consoante a origem do indicador. O pipeline
mantém todos os valores existentes que não se sobrepõem aos novos dados.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.