Eseguire una ricerca di dati di contesto dell'entità
La funzionalità Contesto entità nella ricerca migliora le indagini sulla sicurezza e la risposta agli incidenti consentendo agli utenti di cercare e visualizzare gli eventi di contesto correlati alle entità all'interno del proprio account Google Security Operations. A differenza delle ricerche limitate allo schema di eventi Unified Data Model (UDM) standard, questa funzionalità soddisfa l'esigenza di eseguire ricerche oltre i dati degli eventi UDM, incluso il contesto delle entità UDM, e fornisce informazioni più approfondite sugli incidenti di sicurezza.
Vantaggi principali
- Gli analisti della sicurezza e i rilevatori di minacce possono eseguire query su informazioni contestuali sulle entità.
- Aiutano l'analisi delle cause principali, la ricerca delle minacce e l'analisi forense.
- Gli utenti possono eseguire ricerche statistiche sul contesto delle entità per comprendere i pattern di telemetria e le entità interessate tramite l'analisi della telemetria.
Utilizza il contesto dell'entità nella ricerca
Puoi utilizzare il contesto delle entità per ottenere approfondimenti dai risultati di ricerca nei seguenti modi:
- Esegui ricerche utilizzando i nomi dei campi delle entità UDM: crea le query di ricerca utilizzando i nomi dei campi delle entità UDM. Ad esempio, per trovare tutti gli eventi di contesto associati a
un nome host specifico, crea una ricerca utilizzando
graph.entity.hostname
. - Accedere alla scheda Panoramica: la scheda Panoramica fornisce un riepilogo generale delle entità
trovate nella ricerca, sfruttando le informazioni della query inserita da un utente per visualizzare
le informazioni. La pagina Panoramica mostra informazioni per i tipi di entità, ad esempio
DOMAIN_NAME
,IP_ADDRESS
,ASSET
,USER
,FILE
,GROUP
eRESOURCE
. - Utilizza la scheda Entità: la scheda Entità elenca tutti gli eventi di contesto dell'entità ricevuti, inclusi i sottocomponenti come Tendenza nel tempo, Filtro snapshot, Aggregazioni ed Eventi. Le entità sono suddivise in entità temporali ed entità senza tempo, visualizzate in schede separate.
- Visualizza aggregazioni: le aggregazioni vengono visualizzate per i campi, in modo simile alla ricerca di eventi UDM. Le aggregazioni sono ulteriormente classificate in tipi di contesto: contesto entità, contesto derivato e contesto globale.
Caso d'uso: esaminare un account utente compromesso
Considera il seguente scenario: un analista della sicurezza deve esaminare un account utente potenzialmente compromesso (email@azienda.com). Segui questi passaggi per esaminare il problema:
Identifica l'utente compromesso: un avviso segnala che l'utente con indirizzo email email@company.com è stato identificato come account sospetto.
Raccogli informazioni sul contesto dell'entità: ottieni dati contestuali sull'utente per comprendere l'ambito e l'impatto.
Esegui query: utilizza Contesto dell'entità nella ricerca per eseguire le seguenti query:
graph.entity.user.email_addresses = "email@company.com"
per recuperare informazioni sull'utente.graph.entity.user.email_addresses = "email@company.com" AND graph.metadata.product_name = "Google Cloud Compute Context"
per controllare il nome del prodotto e altri metadati.
Analizza la scheda Panoramica: la scheda Panoramica mostra il riepilogo delle entità per l'utente, tra cui:
- Controlla i timestamp di
First Seen Hour
eLast Seen Hour
.
- Controlla i timestamp di
- Controlla i nomi host, gli indirizzi IP e gli indirizzi MAC (se disponibili).
- Ispeziona il modello hardware, la piattaforma del sistema operativo e la versione della piattaforma.
Esamina la scheda Eventi: visualizza gli eventi associati a questo utente, inclusi tentativi di accesso e anomalie.
Riepiloghi delle recensioni: identifica pattern e anomalie nei dati di contesto delle entità, distribuiti in contesto dell'entità, contesto derivato e contesto globale.
Esempi di ricerca
Per cercare i dati del contesto dell'entità, utilizza i nomi dei campi dell'entità UDM nelle query di ricerca:
graph.entity.hostname
graph.entity.ip = "8.8.8.8" and graph.metadata.entity_type = "ASSET"
I risultati di ricerca mostrano le informazioni chiave sulle entità, tra cui:
- Metadati entità
- Metriche (
First Seen Hour
,Last Seen Hour
) - Relazioni (
Entity
,Direction
,Entity_label
,Entity_type
,Relationship
) - A seconda del tipo di entità, campi specifici, ad esempio
Principal_ip
per gli asset,Mail_id
per gli utenti,File_name
per gli hash/file eDomain_name
eIP_address
per i domini.
Esempi di contesto dell'entità nella ricerca
Questa sezione fornisce esempi pratici per utilizzare la funzionalità Contesto entità UDM per analizzare le statistiche delle entità.
Ricerca delle statistiche delle entità UDM
Per visualizzare le origini e i tipi di contesto disponibili, esegui la seguente ricerca di statistiche delle entità UDM nella ricerca UDM:
graph.metadata.source_type = $sourceType
graph.metadata.entity_type = $entityType
match:
$sourceType, $entityType
outcome:
$total = count(graph.metadata.product_entity_id)
order:
$sourceType, $total desc
limit:
100
Il selettore dell'ora mostra i dati attivi all'interno del grafico delle entità, non quando sono stati importati i dati contestuali.
Poiché la ricerca di entità UDM utilizza l'interfaccia di ricerca UDM standard, puoi utilizzare funzionalità come il riquadro Aggregazioni (per visualizzare i valori massimi o minimi), la tabella dei risultati e i risultati espansi delle statistiche UDM.
Esempio: visualizza ENTITY_TYPE
univoci
Per espandere la ricerca di entità UDM, puoi includere l'origine log, lo spazio dei nomi e un array di risultati per mostrare i diversi ENTITY_TYPE
osservati, come segue:
graph.metadata.source_type = "ENTITY_CONTEXT"
$logType = strings.to_upper(graph.metadata.event_metadata.base_labels.log_types)
$namespace = strings.to_upper(graph.metadata.event_metadata.base_labels.namespaces)
match:
$logType, $namespace
outcome:
$total = count(graph.metadata.product_entity_id)
$entityTypes = array_distinct(graph.metadata.entity_type)
order:
$logType, $total desc
limit:
100
Esempio: perfezionare il set di entità
Puoi perfezionare un insieme specifico di entità utilizzando la funzionalità pivot di ricerca UDM. Questo perfezionamento genera quindi una query YARA-L simile alla seguente:
graph.metadata.source_type = "ENTITY_CONTEXT"
$logType = strings.to_upper( graph.metadata.event_metadata.base_labels.log_types )
$namespace = strings.to_upper( graph.metadata.event_metadata.base_labels.namespaces )
AND strings.to_upper( graph.metadata.event_metadata.base_labels.log_types ) = "WINDOWS_AD"
AND strings.to_upper( graph.metadata.event_metadata.base_labels.namespaces ) = "ACME"
Contesto derivato
Google SecOps fornisce i seguenti tipi di contesto derivato:
- Timestamp
first_seen
elast_seen
per ogniENTITY_TYPE
Prevalence
: il numero di asset che hanno eseguito l'accesso a un determinatoENTITY_TYPE
First Seen Hour
e Last Seen Hour
di timestamp
Google SecOps esegue l'analisi statistica dei dati in entrata e
arricchisce i record di contesto delle entità con i timestamp first_seen
e last_seen
:
- Il campo
first_seen_hour
acquisisce l'ora in cui un'entità è stata visualizzata per la prima volta nell'ambiente del cliente. - Il campo
last_seen_hour
registra l'ora dell'osservazione più recente di questa entità.
Utenti con un'ora di prima visualizzazione negli ultimi 7 giorni:
graph.metadata.entity_type = "USER"
graph.entity.user.userid != ""
graph.entity.user.first_seen_time.hours >= timestamp.current_hours()-(86400 * 7)
Domini visualizzati per la prima volta negli ultimi 7 giorni:
graph.metadata.source_type = "DERIVED_CONTEXT"
graph.metadata.entity_type = "DOMAIN_NAME"
//optional, filter to only return FQDN
graph.entity.domain.name = /^([a-zA-Z0–9]([a-zA-Z0–9-]{0,61}[a-zA-Z0–9])?\.)+[a-zA-Z]{2,}$/
graph.entity.domain.first_seen_time.hours >= timestamp.current_hours()-(86400 * 7)
File (hash) osservati negli ultimi 7 giorni:
graph.metadata.source_type = "DERIVED_CONTEXT"
graph.metadata.entity_type = "FILE"
//graph.entity.file.md5 != ""
//graph.entity.file.sha1 != ""
graph.entity.file.sha256 != ""
graph.entity.file.first_seen_time.hours >= timestamp.current_hours() - (86400 * 7)
ENTITY_TYPE
rappresenta un hash FILE
, ad esempio entity.file.hash
.
All'interno dell'oggetto hash
, il tipo può essere uno dei seguenti:
md5
sha1
sha256
Per cercare un hash specifico, puoi eseguire una ricerca di entità UDM per il tipo di hash specificato:
// This will search ENTITY, DERIVED, and GLOBAL Source Types
graph.metadata.entity_type = "FILE"
graph.entity.file.sha256 = "eb5db1feadda5351c3b8fc0770e9f4c173484df5dc4a785bd1bdce7806a9e498"
Indirizzi IP
ENTITY_TYPES
derivato di IP_ADDRESS
può rappresentare entità interne o esterne.
La seguente ricerca delle statistiche delle entità UDM identifica i IP_ADDRESSES
osservati di recente e utilizza le funzioni di aggregazione (nella sezione dei risultati) per contarli in base al blocco CIDR:
graph.metadata.source_type = "DERIVED_CONTEXT"
graph.metadata.entity_type = "IP_ADDRESS"
//note, for IP addresses the first seen is under artifact, not ip
graph.entity.artifact.first_seen_time.hours >= timestamp.current_hours()-(86400 * 7)
outcome:
$total = count(graph.metadata.product_entity_id)
$classA = sum(if(net.ip_in_range_cidr(graph.entity.ip, "10.0.0.0/8"),1,0))
$classB = sum(if(net.ip_in_range_cidr(graph.entity.ip, "172.16.0.0/12"),1,0))
$classC = sum(if(net.ip_in_range_cidr(graph.entity.ip, "192.168.0.0/16"),1,0))
$classD = sum(if(net.ip_in_range_cidr(graph.entity.ip, "224.0.0.0/4"),1,0))
// we shouldn't see results here…
$classE = sum(if(net.ip_in_range_cidr(graph.entity.ip, "240.0.0.0/4"),1,0))
$thisNetwork = sum(if(net.ip_in_range_cidr(graph.entity.ip, "0.0.0.0/8"),1,0))
$loopback = sum(if(net.ip_in_range_cidr(graph.entity.ip, "127.0.0.0/8"),1,0))
$linklocal = sum(if(net.ip_in_range_cidr(graph.entity.ip, "169.254.0.0/16"),1,0))
$benchmark = sum(if(net.ip_in_range_cidr(graph.entity.ip, "198.18.0.0/15"),1,0))
$cgnat = sum(if(net.ip_in_range_cidr(graph.entity.ip, "10.64.0.0/10"),1,0))
Per esaminare ulteriormente un intervallo insolito o imprevisto, puoi eseguire una ricerca di entità UDM:
graph.metadata.source_type = "DERIVED_CONTEXT"
graph.metadata.entity_type = "IP_ADDRESS"
net.ip_in_range_cidr(graph.entity.ip, "198.18.0.0/15")
Prevalenza
La prevalenza è sempre di tipo DERIVED_CONTEXT
.
La seguente ricerca di entità UDM identifica i nomi di dominio osservati raramente. Questi domini sono associati in modo specifico a al massimo un asset distinto al giorno, durante l'intervallo di tempo della query (day_max = 1
) e al massimo un asset distinto nei 10 giorni precedenti (rolling_max = 1
).
Questo pattern è utile per rilevare domini con interazioni limitate nel tuo ambiente:
graph.metadata.source_type = "DERIVED_CONTEXT"
graph.metadata.entity_type = "DOMAIN_NAME"
//optional, filter to only return specific TLDs where the FQDN is more than X characters
//graph.entity.domain.name = /^.{40,}\.(?:sx|cc|st|ac|lc|wd|vg|tv|cm|gd)$/
graph.entity.domain.prevalence.rolling_max = 1
graph.entity.domain.prevalence.day_max = 1
In alternativa, puoi trasformare questa ricerca in una ricerca aggregata di statistiche delle entità UDM e aggregare i risultati:
graph.metadata.source_type = "DERIVED_CONTEXT"
graph.metadata.entity_type = "DOMAIN_NAME"
//optional, filter to only return FQDN
graph.entity.domain.name = /^.{40,}\.(?:sx|cc|st|ac|lc|wd|vg|tv|cm|gd)$/
$domain = graph.entity.domain.name
$length = strings.length(graph.entity.domain.name)
$tld = strings.extract_domain(graph.entity.domain.name)
graph.entity.domain.prevalence.day_max = 1
graph.entity.domain.prevalence.rolling_max = 1
match:
$domain, $tld, $length
limit:
10
Ricerche di base nei campi delle entità UDM
Di seguito sono riportati altri esempi di utilizzo della funzionalità Contesto dell'entità nella ricerca in Google SecOps, in base alle fonti disponibili:
graph.entity.hostname
graph.entity.ip = "8.8.8.8" and graph.metadata.entity_type = "ASSET"
principal.ip
principal.hostname="baz"
principal.ip="1.2.3.4"
network.dns.questions.name="youtube.com"
Pivot dai campi entità
Utilizza i campi delle entità per creare tabelle pivot ed esplorare i dati correlati. Esempi di campi pivot includono:
network.email.to
network.email.cc
principal.process.file.fileMetadata.pe.importHash
principal.process.file.sha256
network.dns.questions.name
Informazioni sui campi dinamici
Le origini fanno riferimento a campi strutturati dinamici con prefissi, ad esempio
additional
. Puoi cercare questi campi all'interno degli eventi UDM.
Considerazioni sul controllo dell'accesso
Un limite di 50 eventi viene imposto ai dati di contesto globali e vengono rimossi i riferimenti ai controlli dell'accesso.
Le seguenti origini forniscono il supporto del contesto globale:
- Navigazione sicura
- VirusTotal Relationships
- WHOIS
- Maiuscole
- Open Source Intel IOC (
OPEN_SOURCE_INTEL_IOC
) - Mandiant Active Breach IoC (
MANDIANT_ACTIVE_BREACH_IOC
) - Mandiant Fusion IoC (
MANDIANT_FUSION_IOC
)
Limitazioni
- Limiti di volume: limite di 1 milione di risultati cumulativi per i dati temporizzati e senza tempo.
- Dati di contesto globali: esiste un limite di 50 righe per i dati di contesto globali sensibili, come UPPERCASE_VT_PROTECTED, MANDIANT_ACTIVE_BREACH_IOC, MANDIANT_FUSION_IOC e VIRUS_TOTAL_CONNECTIONS, visualizzati per gli utenti con ambito di accesso ai dati globale.
- Coerenza dei dati: i dati Ultima visualizzazione potrebbero subire ritardi fino a 2 ore. Le entità correlate potrebbero mostrare solo un sottoinsieme delle entità elencate in un evento.
Funzionalità non supportate:
- Ricerca inversa nei campi delle entità, ricerche nei campi raggruppati, bassa prevalenza e mappa termica.
- Non puoi utilizzare Join tra il contesto dell'entità e le query sugli eventi.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.