Visão geral do enriquecimento e da criação de alias da UDM

Compatível com:

Este documento fornece uma visão geral da criação de alias e do enriquecimento da UDM no Google Security Operations. Ele descreve casos de uso comuns e explica como o aliasing e o enriquecimento funcionam na plataforma.

O uso de alias e o enriquecimento de UDM são conceitos importantes no Google SecOps. Elas trabalham juntas, mas têm finalidades diferentes.

  • O aliasing identifica os diferentes nomes e dados de contexto adicionais que descrevem um indicador.
  • O enriquecimento usa o aliasing para adicionar contexto a um evento da UDM.

Por exemplo, um evento da UDM inclui o nome do host alex-macbook e indica que um hash de arquivo malicioso foi executado pelo usuário alex. Usando o aliasing, descobrimos que o nome do host alex-macbook recebeu o endereço IP 192.0.2.0 no momento do evento e que alex vai sair da empresa em duas semanas. A junção desses pseudônimos ao evento original da UDM adiciona contexto.

Recursos de alias e enriquecimento compatíveis

O Google SecOps é compatível com alias e enriquecimento para o seguinte:

  • Recursos
  • Usuários
  • Processos
  • Metadados de hash de arquivo
  • Localizações geográficas
  • Recursos do Cloud

Como o aliasing funciona

O uso de alias permite o enriquecimento. Por exemplo, usando o aliasing, é possível encontrar outros endereços IP e MAC associados a um nome de host ou o cargo e o status de emprego associados a um ID de usuário.

Assim como outros recursos do Google SecOps, a criação de alias exige que os dados sejam ingeridos e indexados. O aliasing é organizado em três categorias principais:

  • Dados específicos do cliente: dados exclusivos de um cliente. Por exemplo, somente Cymbal pode fornecer dados para tim.smith@cymbal.com. Os tipos de alias específicos do cliente incluem recursos, usuários e processos.
  • Dados globais: dados ingeridos e indexados que se aplicam a todos os clientes. Por exemplo, uma indicação de origem global sobre um arquivo malicioso pode ser usada para verificar a presença desse arquivo na sua empresa.
  • Serviço de terceiros: pseudônimos criados por um provedor de serviços terceirizado. O Google SecOps usa serviços geográficos para encontrar a localização física dos endereços IP.

Esses tipos de alias são usados juntos para gerar resultados de alias de recursos.

Alias de recursos

O alias de recursos vincula nomes de host, endereços IP, endereços MAC, IDs de recursos e outros metadados. Isso envolve as seguintes etapas:

  • Alias de EDR: mapeia IDs de produtos (IDs de recursos) para nomes de host. Os campos de mapeamento de EDR são derivados exclusivamente do tipo de registro CS_EDR.
  • Alias do DHCP: usa eventos do DHCP para vincular nomes de host, endereços MAC e endereços IP.
  • Criação de alias de contexto de recurso: associa um indicador de recurso a dados de entidade, como nome do host, endereço IP, endereço MAC, versão do software e status de implantação.

Campos indexados de mapeamento de EDR

O Google SecOps indexa os campos de mapeamento de EDR para gerar aliases que vinculam nomes de host e IDs específicos de produtos.

A tabela a seguir lista os campos da UDM e os tipos de indicadores correspondentes:

Campo do UDM Tipo de indicador
principal.hostname e principal.asset.hostname HOSTNAME
principal.asset_id e principal.asset.asset_id PRODUCT_SPECIFIC_ID

Campos indexados do DHCP

O Google SecOps indexa registros DHCP para gerar aliases que vinculam nomes de host, endereços IP e endereços MAC.

A tabela a seguir lista os campos da UDM e os tipos de indicadores correspondentes usados para o aliasing de recursos:

Campo do UDM Tipo de indicador
principal.ip e principal.asset.ip ASSET_IP_ADDRESS
principal.mac e principal.asset.mac MAC
principal.hostname e principal.asset.hostname HOSTNAME
principal.asset_id e principal.asset.asset_id PRODUCT_SPECIFIC_ID
network.dhcp.yiaddr em ACK, OFFER, WIN_DELETED e WIN_EXPIRED ASSET_IP_ADDRESS
network.dhcp.ciaddr em INFORM, RELEASE e REQUEST ASSET_IP_ADDRESS
network.dhcp.requested_address em DECLINE ASSET_IP_ADDRESS
network.dhcp.chaddr MAC
network.dhcp.client_hostname HOSTNAME

Campos indexados de contexto de recursos

O Google SecOps ingere eventos ASSET_CONTEXT como eventos de contexto da entidade, e não como eventos UDM.

A tabela a seguir lista os campos de entidade e os tipos de indicadores correspondentes:

Campo de entidade Tipo de indicador
entity.asset.product_object_id PRODUCT_OBJECT_ID
entity.metadata.product_entity_id (se o ID do objeto do produto do recurso estiver faltando) PRODUCT_OBJECT_ID
entity.asset.asset_id PRODUCT_SPECIFIC_ID
entity.asset.hostname HOSTNAME
entity.asset.ip ASSET_IP_ADDRESS
entity.asset.mac MAC
entity.namespace NAMESPACE

Alias de usuário

Use o alias de usuário para encontrar informações com um indicador de usuário. Por exemplo, você pode inserir o endereço de e-mail de um funcionário para encontrar o nome, o cargo e o status de emprego dele.

O alias de usuário usa o tipo de lote de eventos USER_CONTEXT para alias.

Campos indexados de contexto do usuário

O Google SecOps ingere eventos USER_CONTEXT como eventos de contexto da entidade, e não como eventos UDM.

A tabela a seguir lista os campos de entidade e os tipos de indicadores correspondentes:

Campo de entidade Tipo de indicador
entity.user.product_object_id PRODUCT_OBJECT_ID
entity.metadata.product_entity_id (se o ID do objeto do produto do usuário estiver faltando) PRODUCT_OBJECT_ID
entity.user.userid USERNAME
entity.user.email_addresses EMAIL
entity.user.windows_sid WINDOWS_SID
entity.user.employee_id EMPLOYEE_ID
entity.namespace NAMESPACE

Pseudônimos de processos

Use o aliasing de processo para mapear um ID de processo específico do produto (product_specific_process_id) para o processo real e recuperar detalhes sobre o processo pai. Essa função depende do tipo de lote de eventos de EDR.

Campos indexados de EDR para alias de processo

Quando um processo é iniciado, metadados como linhas de comando, hashes de arquivo e detalhes do processo pai são coletados. O software EDR em execução na máquina atribui um UUID de processo específico do fornecedor.

A tabela a seguir lista os campos indexados durante um evento de início de processo:

Campo do UDM Tipo de indicador
target.product_specific_process_id PROCESS_ID
target.process Todo o processo, não apenas o indicador

Além do campo target.process do evento normalizado, o Google SecOps também coleta e indexa informações do processo principal.

Alias de metadados de hash de arquivo

O alias de metadados de hash de arquivo identifica metadados de arquivo, como outros hashes de arquivo ou tamanhos de arquivo, com base em um determinado hash de arquivo (sha256, sha1 ou md5). O alias de metadados de hash de arquivo usa o tipo de lote de eventos FILE_CONTEXT para alias.

Campos indexados de contexto do arquivo

O Google SecOps ingere eventos FILE_CONTEXT do VirusTotal como eventos de contexto da entidade. Esses eventos são globais e não específicos do cliente.

A tabela a seguir lista os campos de entidade indexados e os tipos de indicadores correspondentes:

Campo de entidade Tipo de indicador
entity.file.sha256 PRODUCT_OBJECT_ID
entity.metadata.product_entity_id (se o arquivo sha256 estiver ausente) PRODUCT_OBJECT_ID
entity.file.md5 HASH_MD5
entity.file.sha1 HASH_SHA1
entity.file.sha256 HASH_SHA256
entity.namespace NAMESPACE

Alias de geolocalização de IP

O aliasing geográfico fornece dados enriquecidos com geolocalização para endereços IP externo. Para cada endereço IP no campo principal, target ou src de um evento da UDM, se o endereço não tiver alias, um subprotocolo ip_geo_artifact será criado com as informações de local e ASN associadas.

O aliasing geográfico não usa lookback nem cache. Devido ao grande volume de eventos, o Google SecOps mantém um índice na memória. O índice é originado do MPM do servidor simples IPGeo e é atualizado a cada duas semanas.

Criação de alias de recursos

O alias de recurso retorna informações de recursos da nuvem para um determinado ID de recurso. Por exemplo, ele pode retornar informações de uma instância do Bigtable usando o URI Google Cloud . Ele não usa lookback nem armazenamento em cache.

O alias de recurso não enriquece os eventos da UDM. No entanto, alguns produtos, como o gráfico de alertas, usam alias de recursos. O alias de recursos do Google Cloud usa o tipo de lote de eventos RESOURCE_CONTEXT.

Campos indexados de contexto de recursos

Os eventos de contexto de metadados de recursos do Google Cloud são ingeridos como eventos RESOURCE_CONTEXT.

A tabela a seguir lista o campo de entidade e os tipos de entidade correspondentes:

Campo de entidade Tipo de indicador
entity.resource.product_object_id PRODUCT_OBJECT_ID
entity.metadata.product_entity_id (se o ID do objeto do produto do recurso estiver faltando) PRODUCT_OBJECT_ID
entity.resource.name CLOUD_RESOURCE_NAME
entity.namespace NAMESPACE

Aprimoramento

O enriquecimento usa o aliasing para adicionar contexto a um indicador ou evento da UDM das seguintes maneiras:

  • Identifica entidades de alias que descrevem um indicador, geralmente um campo da UDM.
  • Preenche as partes relacionadas da mensagem da UDM com valores enriquecidos vinculados aos aliases ou entidades retornados.

Para garantir a cobertura total dos dados nas suas regras, pesquisas ou painéis que dependem de campos enriquecidos, use o enriquecimento em tempo real com tabelas de dados e junções de gráficos de entidades.

Enriquecimento de recursos

Para cada evento da UDM, o pipeline extrai os seguintes campos das entidades principal, src e target:

Campo de UDM Tipo de indicador
hostname HOSTNAME
asset_id PRODUCT_SPECIFIC_ID
mac MAC
ip IP

Enriquecimento de usuários

Para cada evento do UDM, o pipeline extrai os seguintes campos de principal, src e target:

Campo do UDM Tipo de indicador
email_addresses EMAIL
userid USERNAME
windows_sid WINDOWS_SID
employee_id EMPLOYEE_ID
product_object_id PRODUCT_OBJECT_ID

Para cada indicador, o pipeline executa as seguintes ações:

  • Recupera uma lista de entidades de usuário. Por exemplo, as entidades de principal.email_address e principal.userid podem ser iguais ou diferentes.
  • Escolhe os aliases do melhor tipo de indicador, usando esta ordem de prioridade: WINDOWS_SID, EMAIL, USERNAME, EMPLOYEE_ID e PRODUCT_OBJECT_ID.
  • Preenche noun.user com a entidade cujo intervalo de validade se cruza com o horário do evento.

Enriquecimento de processos

Para cada evento da UDM, o pipeline extrai process.product_specific_process_id (PSPI) dos seguintes campos:

  • principal
  • src
  • target
  • principal.process.parent_process
  • src.process.parent_process
  • target.process.parent_process

Em seguida, o pipeline encontra o processo real do PSPI usando o alias de processo, que também retorna informações sobre o processo principal. Ele mescla esses dados no campo noun.process relacionado na mensagem enriquecida.

Enriquecimento de artefatos

O enriquecimento de artefatos adiciona metadados de hash de arquivo do VirusTotal e locais de IP de dados de geolocalização. Para cada evento do UDM, o pipeline extrai e consulta dados de contexto para esses indicadores de artefato das entidades principal, src e target:

  • Endereço IP: consulta dados somente se eles forem públicos ou roteáveis.
  • Hashes de arquivo: consulta hashes na seguinte ordem:
    • file.sha256
    • file.sha1
    • file.md5
    • process.file.sha256
    • process.file.sha1
    • process.file.md5

O pipeline usa a época do UNIX e a hora do evento para definir o período das consultas de artefato de arquivo. Se os dados de geolocalização estiverem disponíveis, o pipeline vai substituir os seguintes campos da UDM para os respectivos principal, src e target, com base na origem dos dados de geolocalização:

  • artifact.ip
  • artifact.location
  • artifact.network (somente se os dados incluírem o contexto da rede IP)
  • location (somente se os dados originais não incluírem esse campo)

Se o pipeline encontrar metadados de hash de arquivo, ele os adicionará aos campos de arquivo ou process.file, dependendo de onde o indicador vem. O pipeline mantém os valores atuais que não se sobrepõem aos novos dados.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.