항목 컨텍스트 데이터 검색
검색의 항목 컨텍스트 기능은 사용자가 Google Security Operations 계정 내에서 항목과 관련된 컨텍스트 이벤트를 검색하고 볼 수 있도록 하여 보안 조사 및 사고 대응을 개선합니다. 표준 통합 데이터 모델 (UDM) 이벤트 스키마로 제한된 검색과 달리 이 기능은 UDM 항목 컨텍스트를 비롯한 UDM 이벤트 데이터를 넘어 보안 사고에 대한 심층적인 통계를 제공해야 하는 요구사항을 해결합니다.
주요 이점
- 보안 분석가와 위협 헌터는 엔티티에 관한 컨텍스트 정보를 쿼리할 수 있습니다.
- 근본 원인 분석, 위협 헌팅, 포렌식에 도움이 됩니다.
- 사용자는 항목 컨텍스트에 대한 통계 검색을 실행하여 원격 분석 분석을 통해 원격 분석 패턴과 영향을 받는 항목을 파악할 수 있습니다.
검색에서 항목 컨텍스트 사용
다음과 같은 방법으로 항목 컨텍스트를 사용하여 검색 결과에서 유용한 정보를 얻을 수 있습니다.
- UDM 항목 필드 이름을 사용하여 검색: UDM 항목 필드 이름을 사용하여 검색어를 빌드합니다. 예를 들어 특정 호스트 이름과 연결된 모든 컨텍스트 이벤트를 찾으려면
graph.entity.hostname
를 사용하여 검색을 만듭니다. - 개요 탭 액세스: 개요 탭에서는 사용자가 입력한 검색어의 정보를 활용하여 검색에서 찾은 항목의 대략적인 요약을 제공합니다. 개요 페이지에는
DOMAIN_NAME
,IP_ADDRESS
,ASSET
,USER
,FILE
,GROUP
,RESOURCE
과 같은 항목 유형의 정보가 표시됩니다. - 엔티티 탭 사용: 엔티티 탭에는 추세, 스냅샷 필터, 집계, 이벤트와 같은 하위 구성요소를 포함하여 수신된 모든 엔티티 컨텍스트 이벤트가 나열됩니다. 항목은 별도의 탭에 표시되는 시간이 있는 항목과 시간이 없는 항목으로 분류됩니다.
- 집계 보기: UDM 이벤트 검색과 마찬가지로 필드에 집계가 표시됩니다. 집계는 컨텍스트 유형(Entity Context, Derived Context, Global Context)으로 세부 분류됩니다.
사용 사례: 침해된 사용자 계정 조사
보안 분석가가 손상되었을 수 있는 사용자 계정 (email@company.com)을 조사해야 하는 시나리오를 가정해 보겠습니다. 다음 단계에 따라 조사하세요.
도용된 사용자 식별: email@company.com 사용자가 의심스러운 계정으로 식별되었다는 알림이 표시됩니다.
엔티티 컨텍스트 정보 수집: 범위와 영향을 파악하기 위해 사용자에 관한 컨텍스트 데이터를 가져옵니다.
쿼리 실행: 검색에서 항목 컨텍스트를 사용하여 다음 쿼리를 실행합니다.
graph.entity.user.email_addresses = "email@company.com"
를 사용하여 사용자 정보를 가져옵니다.graph.entity.user.email_addresses = "email@company.com" AND graph.metadata.product_name = "Google Cloud Compute Context"
를 사용하여 제품 이름과 기타 메타데이터를 확인합니다.
개요 탭 분석: 개요 탭에는 다음을 비롯한 사용자의 엔티티 요약이 표시됩니다.
First Seen Hour
및Last Seen Hour
타임스탬프를 확인합니다.
- 호스트 이름, IP 주소, MAC 주소를 검토합니다 (사용 가능한 경우).
- 하드웨어 모델, OS 플랫폼, 플랫폼 버전을 검사합니다.
이벤트 탭 검토: 로그인 시도 및 이상을 비롯한 이 사용자와 관련된 이벤트를 확인합니다.
집계 검토: 항목 컨텍스트 데이터에서 패턴과 이상치를 식별합니다. 항목 컨텍스트, 파생 컨텍스트, 전역 컨텍스트로 분산됩니다.
검색 예
항목 컨텍스트 데이터를 검색하려면 검색어에 UDM 항목 필드 이름을 사용하세요.
graph.entity.hostname
graph.entity.ip = "8.8.8.8" and graph.metadata.entity_type = "ASSET"
검색 결과에는 다음을 비롯한 항목에 관한 주요 정보가 표시됩니다.
- 엔티티 메타데이터
- 측정항목 (
First Seen Hour
,Last Seen Hour
) - 관계 (
Entity
,Direction
,Entity_label
,Entity_type
,Relationship
) - 엔티티 유형에 따라 애셋의 경우
Principal_ip
, 사용자의 경우Mail_id
, 해시/파일의 경우File_name
, 도메인의 경우Domain_name
및IP_address
과 같은 특정 필드가 있습니다.
검색의 항목 컨텍스트 예
이 섹션에서는 UDM 항목 컨텍스트 기능을 기반으로 항목 통계를 분석하는 실제 예를 제공합니다.
UDM 항목 통계 검색
사용 가능한 컨텍스트 소스 및 유형을 보려면 UDM 검색에서 다음 UDM 항목 통계 검색을 실행하세요.
graph.metadata.source_type = $sourceType
graph.metadata.entity_type = $entityType
match:
$sourceType, $entityType
outcome:
$total = count(graph.metadata.product_entity_id)
order:
$sourceType, $total desc
limit:
100
시간 선택 도구에는 컨텍스트 데이터가 수집된 시점이 아닌 항목 그래프 내의 활성 데이터가 표시됩니다.
UDM 엔티티 검색은 표준 UDM 검색 인터페이스를 사용하므로 집계 패널 (상위 또는 하위 값 보기), 결과 표, UDM 통계 확장 결과와 같은 기능을 사용할 수 있습니다.
예: 고유한 ENTITY_TYPE
보기
UDM 엔티티 검색을 확장하려면 다음과 같이 로그 소스, 네임스페이스, 결과 배열을 포함하여 관찰된 고유한 ENTITY_TYPE
를 표시하면 됩니다.
graph.metadata.source_type = "ENTITY_CONTEXT"
$logType = strings.to_upper(graph.metadata.event_metadata.base_labels.log_types)
$namespace = strings.to_upper(graph.metadata.event_metadata.base_labels.namespaces)
match:
$logType, $namespace
outcome:
$total = count(graph.metadata.product_entity_id)
$entityTypes = array_distinct(graph.metadata.entity_type)
order:
$logType, $total desc
limit:
100
예: 항목 세트 다듬기
UDM 검색 피벗 기능을 사용하여 특정 항목 집합을 세부적으로 조정할 수 있습니다. 그러면 다음과 같은 YARA-L 쿼리가 생성됩니다.
graph.metadata.source_type = "ENTITY_CONTEXT"
$logType = strings.to_upper( graph.metadata.event_metadata.base_labels.log_types )
$namespace = strings.to_upper( graph.metadata.event_metadata.base_labels.namespaces )
AND strings.to_upper( graph.metadata.event_metadata.base_labels.log_types ) = "WINDOWS_AD"
AND strings.to_upper( graph.metadata.event_metadata.base_labels.namespaces ) = "ACME"
파생 컨텍스트
Google SecOps는 다음과 같은 파생 컨텍스트 유형을 제공합니다.
- 각
ENTITY_TYPE
의first_seen
및last_seen
타임스탬프 Prevalence
: 특정ENTITY_TYPE
에 액세스한 애셋의 수
First Seen Hour
및 Last Seen Hour
타임스탬프
Google SecOps는 수신 데이터에 대한 통계 분석을 수행하고 first_seen
및 last_seen
타임스탬프로 항목 컨텍스트 레코드를 보강합니다.
first_seen_hour
필드는 항목이 고객 환경에서 처음 표시된 시간을 캡처합니다.last_seen_hour
필드는 해당 항목의 가장 최근 관찰 시간을 기록합니다.
지난 7일 동안 처음 확인된 시간이 있는 사용자:
graph.metadata.entity_type = "USER"
graph.entity.user.userid != ""
graph.entity.user.first_seen_time.hours >= timestamp.current_hours()-(86400 * 7)
지난 7일 이내에 처음 표시된 도메인:
graph.metadata.source_type = "DERIVED_CONTEXT"
graph.metadata.entity_type = "DOMAIN_NAME"
//optional, filter to only return FQDN
graph.entity.domain.name = /^([a-zA-Z0–9]([a-zA-Z0–9-]{0,61}[a-zA-Z0–9])?\.)+[a-zA-Z]{2,}$/
graph.entity.domain.first_seen_time.hours >= timestamp.current_hours()-(86400 * 7)
지난 7일 이내에 관찰된 파일 (해시):
graph.metadata.source_type = "DERIVED_CONTEXT"
graph.metadata.entity_type = "FILE"
//graph.entity.file.md5 != ""
//graph.entity.file.sha1 != ""
graph.entity.file.sha256 != ""
graph.entity.file.first_seen_time.hours >= timestamp.current_hours() - (86400 * 7)
ENTITY_TYPE
은 FILE
해시를 나타냅니다(예: entity.file.hash
).
hash
객체 내에서 유형은 다음 중 하나일 수 있습니다.
md5
sha1
sha256
특정 해시를 검색하려면 지정된 해시 유형에 대해 UDM 엔티티 검색을 실행하면 됩니다.
// This will search ENTITY, DERIVED, and GLOBAL Source Types
graph.metadata.entity_type = "FILE"
graph.entity.file.sha256 = "eb5db1feadda5351c3b8fc0770e9f4c173484df5dc4a785bd1bdce7806a9e498"
IP 주소
IP_ADDRESS
의 파생 ENTITY_TYPES
는 내부 또는 외부 항목을 나타낼 수 있습니다.
다음 UDM 엔티티 통계 검색은 최근에 관찰된 IP_ADDRESSES
를 식별하고 집계 함수 (결과 섹션)를 사용하여 CIDR 블록별로 수를 계산합니다.
graph.metadata.source_type = "DERIVED_CONTEXT"
graph.metadata.entity_type = "IP_ADDRESS"
//note, for IP addresses the first seen is under artifact, not ip
graph.entity.artifact.first_seen_time.hours >= timestamp.current_hours()-(86400 * 7)
outcome:
$total = count(graph.metadata.product_entity_id)
$classA = sum(if(net.ip_in_range_cidr(graph.entity.ip, "10.0.0.0/8"),1,0))
$classB = sum(if(net.ip_in_range_cidr(graph.entity.ip, "172.16.0.0/12"),1,0))
$classC = sum(if(net.ip_in_range_cidr(graph.entity.ip, "192.168.0.0/16"),1,0))
$classD = sum(if(net.ip_in_range_cidr(graph.entity.ip, "224.0.0.0/4"),1,0))
// we shouldn't see results here…
$classE = sum(if(net.ip_in_range_cidr(graph.entity.ip, "240.0.0.0/4"),1,0))
$thisNetwork = sum(if(net.ip_in_range_cidr(graph.entity.ip, "0.0.0.0/8"),1,0))
$loopback = sum(if(net.ip_in_range_cidr(graph.entity.ip, "127.0.0.0/8"),1,0))
$linklocal = sum(if(net.ip_in_range_cidr(graph.entity.ip, "169.254.0.0/16"),1,0))
$benchmark = sum(if(net.ip_in_range_cidr(graph.entity.ip, "198.18.0.0/15"),1,0))
$cgnat = sum(if(net.ip_in_range_cidr(graph.entity.ip, "10.64.0.0/10"),1,0))
비정상적이거나 예상치 못한 범위를 추가로 조사하려면 UDM 항목 검색을 실행하세요.
graph.metadata.source_type = "DERIVED_CONTEXT"
graph.metadata.entity_type = "IP_ADDRESS"
net.ip_in_range_cidr(graph.entity.ip, "198.18.0.0/15")
보급률
유병률은 항상 DERIVED_CONTEXT
유형입니다.
다음 UDM 엔티티 검색은 거의 관찰되지 않는 도메인 이름을 식별합니다. 이러한 도메인은 쿼리 기간 (day_max = 1
) 동안 하루에 최대 하나의 고유 애셋과 연결되며, 지난 10일 (rolling_max = 1
) 동안 최대 하나의 고유 애셋과 연결됩니다.
이 패턴은 환경 전반에서 상호작용이 제한된 도메인을 감지하는 데 유용합니다.
graph.metadata.source_type = "DERIVED_CONTEXT"
graph.metadata.entity_type = "DOMAIN_NAME"
//optional, filter to only return specific TLDs where the FQDN is more than X characters
//graph.entity.domain.name = /^.{40,}\.(?:sx|cc|st|ac|lc|wd|vg|tv|cm|gd)$/
graph.entity.domain.prevalence.rolling_max = 1
graph.entity.domain.prevalence.day_max = 1
또는 이를 집계 UDM 엔티티 통계 검색으로 전환하고 결과를 집계할 수 있습니다.
graph.metadata.source_type = "DERIVED_CONTEXT"
graph.metadata.entity_type = "DOMAIN_NAME"
//optional, filter to only return FQDN
graph.entity.domain.name = /^.{40,}\.(?:sx|cc|st|ac|lc|wd|vg|tv|cm|gd)$/
$domain = graph.entity.domain.name
$length = strings.length(graph.entity.domain.name)
$tld = strings.extract_domain(graph.entity.domain.name)
graph.entity.domain.prevalence.day_max = 1
graph.entity.domain.prevalence.rolling_max = 1
match:
$domain, $tld, $length
limit:
10
기본 UDM 엔티티 필드 검색
사용 가능한 소스를 기반으로 Google SecOps에서 검색의 항목 컨텍스트 기능을 사용하는 추가 예는 다음과 같습니다.
graph.entity.hostname
graph.entity.ip = "8.8.8.8" and graph.metadata.entity_type = "ASSET"
principal.ip
principal.hostname="baz"
principal.ip="1.2.3.4"
network.dns.questions.name="youtube.com"
항목 필드에서 피벗
엔티티 필드를 사용하여 관련 데이터를 피벗하고 탐색합니다. 피벗 필드의 예는 다음과 같습니다.
network.email.to
network.email.cc
principal.process.file.fileMetadata.pe.importHash
principal.process.file.sha256
network.dns.questions.name
동적 필드 이해하기
소스는 additional
과 같은 접두사가 있는 동적 구조화 필드를 참조합니다. UDM 이벤트 내에서 이러한 필드를 검색할 수 있습니다.
액세스 제어 고려사항
전역 컨텍스트 데이터에 50개의 이벤트 제한이 적용되며 액세스 제어에 대한 참조가 삭제됩니다.
다음 소스는 전역 컨텍스트 지원을 제공합니다.
- 세이프 브라우징
- VirusTotal 관계
- WHOIS
- 대문자
- 오픈소스 Intel IOC (
OPEN_SOURCE_INTEL_IOC
) - Mandiant Active Breach IoC (
MANDIANT_ACTIVE_BREACH_IOC
) - Mandiant Fusion IoC (
MANDIANT_FUSION_IOC
)
제한사항
- 볼륨 제한: 시간 제한 데이터와 시간 제한이 없는 데이터 모두에 누적 결과 1백만 개 제한이 적용됩니다.
- 전역 컨텍스트 데이터: 전역 데이터 액세스 범위가 있는 사용자에게 표시되는 UPPERCASE_VT_PROTECTED, MANDIANT_ACTIVE_BREACH_IOC, MANDIANT_FUSION_IOC, VIRUS_TOTAL_CONNECTIONS와 같은 민감한 전역 컨텍스트 데이터의 행 수는 50개로 제한됩니다.
- 데이터 일관성: 마지막으로 확인한 데이터가 최대 2시간 지연될 수 있습니다. 관련 항목에는 이벤트에 나열된 항목의 일부만 표시될 수 있습니다.
지원되지 않는 기능:
- 엔티티 필드에 대한 역방향 조회, 그룹화된 필드 검색, 낮은 보급률, 히트맵
- 엔티티 컨텍스트와 이벤트 쿼리 간에 조인할 수 없습니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.