Cómo Google Security Operations enriquece los datos de eventos y entidades
En este documento, se describe cómo Google Security Operations enriquece los datos y el Campos del Modelo de datos unificados (UDM) en los que se almacenan los datos
Para permitir una investigación de seguridad, Google Security Operations transfiere datos contextuales de diferentes fuentes, realiza un análisis de los datos y brinda contextual sobre los artefactos en el entorno de un cliente. Los analistas pueden usar el contexto datos enriquecidos en reglas de Detection Engine, búsquedas de investigación o informes.
Google Security Operations realiza los siguientes tipos de enriquecimiento:
- Enriquece entidades mediante la combinación y el gráfico de entidades.
- Calcula y enriquece cada entidad con una estadística de prevalencia que indica su popularidad en el medio ambiente.
- Calcula la primera vez que se vieron ciertos tipos de entidades en el entorno o la hora más reciente.
- Enriquece las entidades con información de las listas de amenazas de la Navegación segura.
- Enriquece los eventos con datos de ubicación geográfica.
- Enriquece las entidades con datos de WHOIS.
- Enriquece los eventos con metadatos de archivos de VirusTotal.
- Enriquece entidades con datos de relación de VirusTotal.
- Transferir y almacenar datos de Google Cloud Threat Intelligence.
Datos enriquecidos de WHOIS, Navegación segura, GCTI Threat Intelligence
Los metadatos y la relación de VirusTotal están identificados por event_type
, product_name
,
y vendor_name
. Cuando cree una regla que utilice estos datos enriquecidos, recomendamos
que incluya un filtro en la regla que identifique
el tipo de enriquecimiento de datos que se debe incluir. Este filtro ayuda a mejorar el rendimiento de la regla.
Por ejemplo, incluye los siguientes campos de filtro en la sección events
de la
regla que une los datos de WHOIS.
$enrichment.graph.metadata.entity_type = "DOMAIN_NAME"
$enrichment.graph.metadata.product_name = "WHOISXMLAPI Simple Whois"
$enrichment.graph.metadata.vendor_name = "WHOIS"
Enriquece entidades a través del gráfico de entidades y la combinación
El gráfico de entidades identifica las relaciones entre las entidades y los recursos de tu entorno. Cuando se transfieren entidades de diferentes fuentes a Google Security Operations, el gráfico de entidades mantiene una lista de proximidad basada en la relación entre las entidades. El gráfico de entidades realiza el enriquecimiento de contexto a través de la anulación de duplicación y la fusión.
Durante la anulación de duplicación, se eliminan los datos redundantes y se forman intervalos para crear
una entidad común. Por ejemplo, considera dos entidades e1
y e2
con marcas de tiempo t1
y t2
respectivamente. Se anula la duplicación de las entidades e1
y e2
, y las marcas de tiempo
que son diferentes no se usan
durante la anulación de duplicación. Los siguientes campos no son
que se usan durante la anulación de duplicación:
collected_timestamp
creation_timestamp
interval
Durante la combinación, se forman relaciones entre entidades para un intervalo de tiempo de un día. Por ejemplo, considera un registro de entidad de user A
que tiene acceso a un almacenamiento de Cloud Storage.
bucket. Hay otro registro de entidad de user A
que es propietario de un dispositivo. Después de la combinación,
estas dos entidades dan como resultado una sola entidad user A
que tiene dos relaciones. Una relación es que user A
tiene acceso al bucket de Cloud Storage y la otra es que user A
es propietario del dispositivo. Google Security Operations realiza una visualización de cinco días cuando
crea datos de contexto de la entidad. Esto controla los datos tardíos y crea un
tiempo de actividad en los datos del contexto de la entidad.
Google Security Operations usa alias para enriquecer los datos de telemetría y gráficos de entidades para enriquecer las entidades. Las reglas del motor de detección unen las entidades combinadas los datos de telemetría enriquecidos para brindar estadísticas contextuales.
Un evento que contiene un sustantivo de entidad se considera una entidad. Estos son algunos tipos de eventos y sus correspondientes tipos de entidades:
ASSET_CONTEXT
corresponde aASSET
.RESOURCE_CONTEXT
corresponde aRESOURCE
.USER_CONTEXT
corresponde aUSER
.GROUP_CONTEXT
corresponde aGROUP
.
El gráfico de entidad distingue entre datos contextuales e indicadores de compromiso (IOC) con la información de las amenazas.
Cuando uses datos enriquecidos contextualmente, considera el siguiente comportamiento del gráfico de entidades:
- No agregues intervalos en la entidad y, en su lugar, deja que el grafo de entidades crear intervalos. Esto se debe a que los intervalos se generan durante la anulación de duplicación, a menos que de otro modo.
- Si se especifican los intervalos, solo se eliminan los duplicados de los mismos eventos y se conserva la entidad más reciente.
- Para garantizar que las reglas en vivo y las cazas retrospectivas funcionen como se espera, las entidades deben transferirse al menos una vez al día.
- Si las entidades no se ingieren diariamente y se transfieren solo una vez en dos o más días las reglas en vivo podrían funcionar como se espera, sin embargo, las cazas retrospectivas pueden perder el contexto del evento.
- Si las entidades se transfieren más de una vez al día, se anula la duplicación de la entidad. en una sola entidad.
- Si faltan los datos del evento durante un día, se usan de forma temporal los datos del día anterior para garantizar que las reglas del juego funcionen bien.
El gráfico de entidades también combina eventos con identificadores similares para obtener una vista consolidada de los datos. Esta combinación se realiza según la siguiente lista de identificadores:
Asset
entity.asset.product_object_id
entity.asset.hostname
entity.asset.asset_id
entity.asset.mac
User
entity.user.product_object_id
entity.user.userid
entity.user.windows_sid
entity.user.email_addresses
entity.user.employee_id
Resource
entity.resource.product_object_id
entity.resource.name
Group
entity.group.product_object_id
entity.group.email_addresses
entity.group.windows_sid
Calcular las estadísticas de prevalencia
Google Security Operations realiza análisis estadísticos sobre los datos existentes y entrantes y enriquece los registros de contexto de entidades con métricas relacionadas con la prevalencia.
La prevalencia es un valor numérico que indica qué tan popular es una entidad. La popularidad se define por la cantidad de recursos que acceden a un artefacto, como un dominio, un hash de archivo o una dirección IP. Cuanto mayor sea el número, más popular será la entidad.
Por ejemplo, google.com
tiene valores de prevalencia altos porque se accede a él con frecuencia. Si se accede a un dominio con poca frecuencia, tendrá valores de prevalencia más bajos. Las entidades más populares suelen ser menos propensas a ser maliciosas.
Estos valores enriquecidos son compatibles con dominio, IP y archivo (hash). Los valores se calculan y almacenan en los siguientes campos.
Las estadísticas de prevalencia de cada entidad se actualizan a diario. Los valores se almacenan en un contexto de entidad independiente que puede usar el motor de detección, pero no se muestra en las vistas de investigación de Operaciones de seguridad de Google ni en la búsqueda de la UDM.
Puedes usar los siguientes campos cuando crees reglas del motor de detección.
Tipo de entidad | Campos de UDM |
---|---|
Dominio | entity.domain.prevalence.day_count
entity.domain.prevalence.day_max
entity.domain.prevalence.day_max_sub_domains
entity.domain.prevalence.rolling_max
entity.domain.prevalence.rolling_max_sub_domains |
Archivo (Hash) | entity.file.prevalence.day_count
entity.file.prevalence.day_max
entity.file.prevalence.rolling_max |
Dirección IP | entity.artifact.prevalence.day_count
entity.artifact.prevalence.day_max
entity.artifact.prevalence.rolling_max |
Los valores day_max y Rolling_max se calculan de manera diferente. Los campos se calculan de la siguiente manera:
day_max
se calcula como la puntuación de prevalencia máxima del artefacto durante el día, en el que un día se define de 12:00:00 a.m. a 11:59:59 p.m. UTC.rolling_max
se calcula como la puntuación de prevalencia máxima por día (es decir,day_max
) del artefacto durante el período anterior de 10 días.day_count
se usa para calcularrolling_max
y siempre es el valor 10.
Cuando se calcula para un dominio, la diferencia entre day_max
y day_max_sub_domains
(y rolling_max
en comparación con rolling_max_sub_domains
) es la siguiente:
rolling_max
yday_max
representan la cantidad de direcciones IP internas únicas diarias acceder a un dominio determinado (excepto los subdominios).rolling_max_sub_domains
yday_max_sub_domains
representan la cantidad de instancias Direcciones IP internas que acceden a un dominio determinado (incluidos los subdominios)
Las estadísticas de prevalencia se calculan en función de los datos de entidades transferidos recientemente. Los cálculos no son de forma retroactiva en los datos transferidos con anterioridad. Se necesitan aproximadamente 36 horas para que se calculen y almacenen las estadísticas.
Calcular la hora en que se vieron la primera y la última vez que se vieron entidades
Google Security Operations realiza análisis estadísticos de los datos entrantes y enriquece la entidad
registros de contexto con la primera y la última vez que se vio de una entidad. El first_seen_time
que almacena la fecha y hora en que la entidad se vio por primera vez en el
en un entorno de nube. El campo last_seen_time
almacena la fecha y hora de la observación más reciente.
Dado que varios indicadores (campos de la AUA) pueden identificar un activo o un usuario, la primera vez que se ve es la primera vez que se ve alguno de los indicadores que identifican al usuario o al activo en el entorno del cliente.
Todos los campos de UDM que describen un recurso son las siguientes:
entity.asset.hostname
entity.asset.ip
entity.asset.mac
entity.asset.asset_id
entity.asset.product_object_id
Todos los campos de UDM que describen una usuario son los siguientes:
entity.user.windows_sid
entity.user.product_object_id
entity.user.userid
entity.user.employee_id
entity.user.email_addresses
La hora de la primera y la última vez que se vio permite al analista correlacionar determinados La actividad que se produjo después de que un dominio, archivo (hash), recurso, usuario o dirección IP se haya visto por primera vez o que dejó de ocurrir después del dominio, archivo (hash) o dirección IP se vio por última vez.
Los campos first_seen_time
y last_seen_time
se propagan con entidades que
describen un dominio, una dirección IP y un archivo (hash). Para entidades que describen a un usuario
o el recurso, solo se propaga el campo first_seen_time
. Estos valores no son
para entidades que describen otros tipos, como un grupo o un recurso.
Las estadísticas se calculan para cada entidad en todos los espacios de nombres.
Google Security Operations no calcula las estadísticas para cada entidad dentro de los espacios de nombres individuales.
Por el momento, estas estadísticas no se exportan al esquema events
de Google Security Operations en BigQuery.
Los valores enriquecidos se calculan y almacenan en los siguientes campos de la UDM:
Tipo de entidad | Campos de UDM |
---|---|
Dominio | entity.domain.first_seen_time entity.domain.last_seen_time |
Archivo (hash) | entity.file.first_seen_time entity.file.last_seen_time |
Dirección IP | entity.artifact.first_seen_time entity.artifact.last_seen_time |
Recurso | entity.asset.first_seen_time |
Usuario | entity.user.first_seen_time |
Enriquece los eventos con datos de ubicación geográfica
Los datos de registro entrantes pueden incluir direcciones IP externas sin sus información de ubicación. Esto es común cuando un evento registra información sobre la actividad del dispositivo que no está en una red empresarial. Por ejemplo, un acceso a un servicio en la nube contendrá una dirección IP de origen o de cliente según la dirección IP externa de un dispositivo que devuelve la NAT del operador.
Google Security Operations proporciona datos enriquecidos con ubicación geográfica para IPs externas direcciones para habilitar detecciones de reglas más potentes y un mayor contexto para las investigaciones. Por ejemplo, Google Security Operations podría usar una dirección IP externa para enriquecer el evento con información sobre el país (como Estados Unidos), un estado específico (como Alaska) y la red en la que se encuentra la dirección IP (como el ASN y el nombre del operador).
Google Security Operations usa los datos de ubicación proporcionados por Google para brindar una la ubicación geográfica y la información de red para una dirección IP. Puedes escribir reglas de Detection Engine en estos campos en los eventos. Los datos de eventos enriquecidos también se exportan a BigQuery, donde se pueden usar en los informes y paneles de Google Security Operations.
Las siguientes direcciones IP no están enriquecidas:
- Espacios de direcciones IP privadas RFC 1918, ya que son internos a la red empresarial.
- Espacio de direcciones IP de multidifusión RFC 5771, ya que las direcciones de multidifusión no pertenecen a una sola ubicación.
- direcciones IPv6 locales únicas.
- direcciones IP del servicio de Google Cloud. Las excepciones son Google Cloud Compute Engine externas, que están enriquecidas.
Google Security Operations enriquece los siguientes campos de UDM con datos de ubicación geográfica:
principal
target
src
observer
Tipo de datos | Campo de UDM |
---|---|
Ubicación (por ejemplo, Estados Unidos) | ( principal | target | src | observer ).ip_geo_artifact.location.country_or_region |
Estado (por ejemplo, Nueva York) | ( principal | target | src | observer ).ip_geo_artifact.location.state |
Longitud | ( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.longitude |
Latitud | ( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.latitude |
ASN (número de sistema autónomo) | ( principal | target | src | observer ).ip_geo_artifact.network.asn |
Nombre de la empresa de transporte | ( principal | target | src | observer ).ip_geo_artifact.network.carrier_name |
Dominio DNS | ( principal | target | src | observer ).ip_geo_artifact.network.dns_domain |
Nombre de la organización | ( principal | target | src | observer ).ip_geo_artifact.network.organization_name |
En el siguiente ejemplo, se muestra el tipo de información geográfica que agregado a un evento de UDM con una dirección IP etiquetada con Países Bajos:
Campo de UDM | Valor |
---|---|
principal.ip_geo_artifact.location.country_or_region |
Netherlands |
principal.ip_geo_artifact.location.region_coordinates.latitude |
52.132633 |
principal.ip_geo_artifact.location.region_coordinates.longitude |
5.291266 |
principal.ip_geo_artifact.network.asn |
8455 |
principal.ip_geo_artifact.network.carrier_name |
schuberg philis |
Inconsistencias
La tecnología de ubicación geográfica de IP, propiedad de Google, usa una combinación de datos de red y otras entradas y para proporcionar la ubicación de la dirección IP y la resolución de red a nuestros usuarios. Otras organizaciones pueden utilizar diferentes indicadores o métodos, lo que a veces puede llevar a resultados diferentes.
Si surgen casos en los que experimentas una incoherencia en Resultados de ubicación geográfica de IP que proporciona Google, abre un caso de asistencia al cliente para que podamos investigar y, si corresponde, corregir nuestros registros en el futuro.
Enriquece las entidades con información de las listas de amenazas de la Navegación segura
Google Security Operations transfiere datos de la Navegación segura relacionados con los hashes de los archivos. Los datos de cada archivo se almacenan como una entidad y proporcionan contexto adicional sobre el archivo. Los analistas pueden crear reglas de Detection Engine que realizan consultas en esta entidad datos contextuales para crear estadísticas adaptadas al contexto.
La siguiente información se almacena con el registro de contexto de la entidad.
Campo de UDM | Descripción |
---|---|
entity.metadata.product_entity_id |
Es un identificador único para la entidad. |
entity.metadata.entity_type |
Este valor es FILE , lo que indica que la entidad describe un archivo.
|
entity.metadata.collected_timestamp |
Fecha y hora en que se observó la entidad o el evento para determinar si se produjo un error. |
entity.metadata.interval |
Almacena las horas de inicio y finalización que son válidas para estos datos.
Debido a que el contenido de la lista de amenazas cambia con el tiempo, la start_time
y end_time refleja el intervalo de tiempo durante el cual los datos sobre la
es válida. Por ejemplo, se observó que el hash de un archivo
malicioso o sospechoso entre start_time |
entity.metadata.threat.category |
Esta es la instancia de Google Security Operations SecurityCategory . Se estableció este valor
a uno o más de los siguientes valores:
|
entity.metadata.threat.severity |
Esta es la página de Google Security Operations ProductSeverity .
Si el valor es CRITICAL , esto indica que el artefacto parece malicioso.
Si no se especifica el valor, no hay suficiente confianza para indicar que el valor
el artefacto es malicioso.
|
entity.metadata.product_name |
Almacena el valor Google Safe Browsing . |
entity.file.sha256 |
El valor de hash SHA256 del archivo. |
Enriquece las entidades con datos de WHOIS
Google Security Operations transfiere datos de WHOIS a diario. Durante la transferencia de datos
datos de los dispositivos del cliente, Google Security Operations evalúa los dominios en los datos del cliente
con los datos de WHOIS. Cuando hay una coincidencia, Google Security Operations almacena la
Datos de WHOIS relacionados con el registro de entidad del dominio Para cada entidad, donde entity.metadata.entity_type = DOMAIN_NAME
, Google Security Operations enriquece la entidad con información de WHOIS.
Google Security Operations propaga los datos enriquecidos de WHOIS en los siguientes campos del registro de entidad:
entity.domain.admin.attribute.labels
entity.domain.audit_update_time
entity.domain.billing.attribute.labels
entity.domain.billing.office_address.country_or_region
entity.domain.contact_email
entity.domain.creation_time
entity.domain.expiration_time
entity.domain.iana_registrar_id
entity.domain.name_server
entity.domain.private_registration
entity.domain.registrant.company_name
entity.domain.registrant.office_address.state
entity.domain.registrant.office_address.country_or_region
entity.domain.registrant.email_addresses
entity.domain.registrant.user_display_name
entity.domain.registrar
entity.domain.registry_data_raw_text
entity.domain.status
entity.domain.tech.attribute.labels
entity.domain.update_time
entity.domain.whois_record_raw_text
entity.domain.whois_server
entity.domain.zone
Para obtener una descripción de estos campos, consulta la Documento de lista de campos del modelo de datos unificado.
Transferir y almacenar datos de Google Cloud Threat Intelligence
Google Security Operations transfiere datos de Google Cloud Threat Intelligence (GCTI) fuentes de datos que te proporcionan información contextual que puedes utilizar cuando investigar la actividad en tu entorno. Puedes consultar las siguientes fuentes de datos:
- Nodos de salida de GCTI Tor: direcciones IP que son nodos de salida Tor conocidos.
- Binarios benignos de GCTI: archivos que forman parte del sistema operativo de la distribución original o que se actualizaron con un parche oficial del sistema operativo. Algunos binarios oficiales del sistema operativo que fueron abusados por un adversario mediante actividades comunes en ataques del tipo "vivir de la tierra" se excluyen de esta como los que se enfocan en los vectores de entrada inicial.
Herramientas de acceso remoto de GCTI: Archivos que los agentes maliciosos suelen usar con frecuencia. Por lo general, estas herramientas son aplicaciones legítimas que a veces se usan de forma indebida para se conectan de forma remota a los sistemas comprometidos.
Estos datos contextuales se almacenan de forma global como entidades. Puedes consultar los datos con las reglas del motor de detección. Incluye los siguientes campos y valores de UDM en la regla para consultar estas entidades globales:
graph.metadata.vendor_name
=Google Cloud Threat Intelligence
graph.metadata.product_name
=GCTI Feed
En este documento, el marcador de posición <variable_name>
representa el nombre de la variable única que se usa en una regla para identificar un registro de la AUA.
Fuentes de datos de Google Cloud Threat Intelligence temporizadas frente a atemporales
Las fuentes de datos de Google Cloud Threat Intelligence son temporales o atemporales.
Las fuentes de datos con tiempo tienen un período asociado con cada entrada. Esto significa que si se genera una detección el día 1, en cualquier día del en el futuro, se espera que se genere la misma detección para el día 1 durante búsqueda retro.
Las fuentes de datos atemporales no tienen un intervalo de tiempo asociado. Esto se debe a que solo se debe considerar el conjunto de datos más reciente. Atemporal Las fuentes de datos se usan con frecuencia para obtener datos, como hashes de archivos, que no se esperan. cambiar. Si no se genera una detección el día 1, en el día 2, generados para el día 1 durante una caza retro porque se agregó una nueva entrada.
Datos sobre las direcciones IP de los nodos de salida de Tor
Google Security Operations transfiere e almacena las direcciones IP que son nodos de salida de Tor conocidos. Los nodos de salida Tor son puntos por los que el tráfico sale de la red Tor. Información transferida de esta fuente de datos se almacenan en los siguientes campos de UDM. Los datos de esta fuente son cronometrados.
Campo de UDM | Descripción |
---|---|
<variable_name>.graph.metadata.vendor_name |
Almacena el valor Google Cloud Threat Intelligence . |
<variable_name>.graph.metadata.product_name |
Almacena el valor GCTI Feed . |
<variable_name>.graph.metadata.threat.threat_feed_name |
Almacena el valor Tor Exit Nodes . |
<variable_name>.graph.entity.artifact.ip |
Almacena la dirección IP transferida desde la fuente de datos de GCTI. |
Datos sobre archivos benignos del sistema operativo
Google Security Operations transfiere y almacena los hashes de archivos de los objetos binarios benignos de GCTI fuente de datos. La información transferida desde esta fuente de datos se almacena en los siguientes campos de la UDM. Los datos de esta fuente no son atemporales.
Campo de UDM | Descripción |
---|---|
<variable_name>.graph.metadata.vendor_name |
Almacena el valor Google Cloud Threat Intelligence . |
<variable_name>.graph.metadata.product_name |
Almacena el valor GCTI Feed . |
<variable_name>.graph.metadata.threat.threat_feed_name |
Almacena el valor Benign Binaries . |
<variable_name>.graph.entity.file.sha256 |
Almacena el valor de hash SHA256 del archivo. |
<variable_name>.graph.entity.file.sha1 |
Almacena el valor de hash SHA1 del archivo. |
<variable_name>.graph.entity.file.md5 |
Almacena el valor hash MD5 del archivo. |
Datos sobre las herramientas de acceso remoto
Las herramientas de acceso remoto incluyen hashes de archivos para herramientas conocidas de acceso remoto, como Clientes de VNC que han utilizado con frecuencia agentes maliciosos. Estas herramientas son por lo general son legítimas y a veces se abusa de ellas para conectarse de forma remota en los sistemas comprometidos. La información que se transfiere desde esta fuente de datos se almacena en los siguientes campos de UDM. Los datos de esta fuente son atemporales.
Campo de UDM | Descripción |
---|---|
Almacena el valor Google Cloud Threat Intelligence . |
|
Almacena el valor GCTI Feed . |
|
Almacena el valor Remote Access Tools . |
|
Almacena el valor de hash SHA256 del archivo. | |
Almacena el valor de hash SHA1 del archivo. | |
Almacena el valor de hash MD5 del archivo. |
Enriquece eventos con metadatos de archivos de VirusTotal
Google Security Operations enriquece los hashes de archivos en eventos UDM y proporciona adicional durante una investigación. Los eventos de UDM se enriquecen a través de alias de hash en el entorno de un cliente. La asignación de alias de hash combina todo tipo de hash de archivo y proporciona información sobre el hash de un archivo durante una búsqueda.
La integración de los metadatos de archivos de VirusTotal y el enriquecimiento de la relación con Las SecOps de Google pueden usarse para identificar patrones de actividad maliciosa y rastrear los movimientos de malware en una red.
Un registro sin procesar proporciona información limitada sobre el archivo. VirusTotal enriquece el evento metadatos de archivo para proporcionar un volcado de hashes incorrectos junto con metadatos sobre el archivo incorrecto. Los metadatos incluyen información como nombres de archivo, tipos, funciones y etiquetas. Puedes utilizar esta información en la búsqueda y detección de UDM con YARA-L para comprender eventos de archivos incorrectos y, en general, durante amenazas para la caza. Un ejemplo de caso de uso es detectar modificaciones en el archivo original lo que, a su vez, importaría los metadatos del archivo para la detección de amenazas.
Con el registro, se almacena la siguiente información. Para obtener una lista de todos los campos de UDM, consulta la Lista de campos del modelo de datos unificado.
Tipo de datos | Campo de UDM |
---|---|
SHA-256 | ( principal | target | src | observer ).file.sha256 |
MD5 | ( principal | target | src | observer ).file.md5 |
SHA-1 | ( principal | target | src | observer ).file.sha1 |
Tamaño | ( principal | target | src | observer ).file.size |
ssdeep | ( principal | target | src | observer ).file.ssdeep |
vhash | ( principal | target | src | observer ).file.vhash |
authentihash | ( principal | target | src | observer ).file.authentihash |
Tipo de archivo | ( principal | target | src | observer ).file.file_type |
Etiquetas | ( principal | target | src | observer ).file.tags |
Etiquetas de funciones | ( principal | target | src | observer ).file.capabilities_tags |
Nombres | ( principal | target | src | observer ).file.names |
Hora de la primera aparición | ( principal | target | src | observer ).file.first_seen_time |
Hora de la última visualización | ( principal | target | src | observer ).file.last_seen_time |
Hora de la última modificación | ( principal | target | src | observer ).file.last_modification_time |
Hora del último análisis | ( principal | target | src | observer ).file.last_analysis_time |
URLs incorporadas | ( principal | target | src | observer ).file.embedded_urls |
IP incorporadas | ( principal | target | src | observer ).file.embedded_ips |
Dominios incorporados | ( principal | target | src | observer ).file.embedded_domains |
Información de la firma | ( principal | target | src | observer ).file.signature_info |
Información de la firma
|
( principal | target | src | observer).file.signature_info.sigcheck |
Información de la firma
|
( principal | target | src | observer ).file.signature_info.sigcheck.verification_message |
Información de la firma
|
( principal | target | src | observer ).file.signature_info.sigcheck.verified |
Información de la firma
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers |
Información de la firma
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers.name |
Información de la firma
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers.status |
Información de la firma
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers.valid_usage |
Información de la firma
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers.cert_issuer |
Información de la firma
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509 |
Información de la firma
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.name |
Información de la firma
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.algorithm |
Información de la firma
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.thumprint |
Información de la firma
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.cert_issuer |
Información de la firma
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.serial_number |
Información de la firma
|
( principal | target | src | observer ).file.signature_info.codesign |
Información de la firma
|
( principal | target | src | observer ).file.signature_info.codesign.id |
Información de la firma
|
( principal | target | src | observer ).file.signature_info.codesign.format |
Información de la firma
|
( principal | target | src | observer ).file.signature_info.codesign.compilation_time |
Información de Exiftool | ( principal | target | src | observer ).file.exif_info |
Información de la herramienta de exposición
|
( principal | target | src | observer ).file.exif_info.original_file |
Información de Exiftool
|
( principal | target | src | observer ).file.exif_info.product |
Información de la herramienta de exposición
|
( principal | target | src | observer ).file.exif_info.company |
Información de la herramienta de exposición
|
( principal | target | src | observer ).file.exif_info.file_description |
Información de la herramienta de exposición
|
( principal | target | src | observer ).file.exif_info.entry_point |
Información de Exiftool
|
( principal | target | src | observer ).file.exif_info.compilation_time |
Información en PDF | ( principal | target | src | observer ).file.pdf_info |
Información en PDF
|
( principal | target | src | observer ).file.pdf_info.js |
Información en PDF
|
( principal | target | src | observer ).file.pdf_info.javascript |
Información del PDF
|
( principal | target | src | observer ).file.pdf_info.launch_action_count |
Información en PDF
|
( principal | target | src | observer ).file.pdf_info.object_stream_count |
Información en PDF
|
( principal | target | src | observer ).file.pdf_info.endobj_count |
Información en PDF
|
( principal | target | src | observer ).file.pdf_info.header |
Información en PDF
|
( principal | target | src | observer ).file.pdf_info.acroform |
Información del PDF
|
( principal | target | src | observer ).file.pdf_info.autoaction |
Información en PDF
|
( principal | target | src | observer ).file.pdf_info.embedded_file |
Información en PDF
|
( principal | target | src | observer ).file.pdf_info.encrypted |
Información en PDF
|
( principal | target | src | observer ).file.pdf_info.flash |
Información en PDF
|
( principal | target | src | observer ).file.pdf_info.jbig2_compression |
Información en PDF
|
( principal | target | src | observer ).file.pdf_info.obj_count |
Información en PDF
|
( principal | target | src | observer ).file.pdf_info.endstream_count |
Información en PDF
|
( principal | target | src | observer ).file.pdf_info.page_count |
Información en PDF
|
( principal | target | src | observer ).file.pdf_info.stream_count |
Información en PDF
|
( principal | target | src | observer ).file.pdf_info.openaction |
Información en PDF
|
( principal | target | src | observer ).file.pdf_info.startxref |
Información en PDF
|
( principal | target | src | observer ).file.pdf_info.suspicious_colors |
Información del PDF
|
( principal | target | src | observer ).file.pdf_info.trailer |
Información en PDF
|
( principal | target | src | observer ).file.pdf_info.xfa |
Información en PDF
|
( principal | target | src | observer ).file.pdf_info.xref |
Metadatos del archivo PE | ( principal | target | src | observer ).file.pe_file |
Metadatos del archivo PE
|
( principal | target | src | observer ).file.pe_file.imphash |
Metadatos del archivo PE
|
( principal | target | src | observer ).file.pe_file.entry_point |
Metadatos del archivo PE
|
( principal | target | src | observer ).file.pe_file.entry_point_exiftool |
Metadatos del archivo PE
|
( principal | target | src | observer ).file.pe_file.compilation_time |
Metadatos del archivo PE
|
( principal | target | src | observer ).file.pe_file.compilation_exiftool_time |
Metadatos del archivo PE
|
( principal | target | src | observer ).file.pe_file.section |
Metadatos del archivo PE
|
( principal | target | src | observer ).file.pe_file.section.name |
Metadatos del archivo PE
|
( principal | target | src | observer ).file.pe_file.section.entropy |
Metadatos del archivo PE
|
( principal | target | src | observer ).file.pe_file.section.raw_size_bytes |
Metadatos del archivo PE
|
( principal | target | src | observer ).file.pe_file.section.virtual_size_bytes |
Metadatos del archivo PE
|
( principal | target | src | observer ).file.pe_file.section.md5_hex |
Metadatos del archivo PE
|
( principal | target | src | observer ).file.pe_file.imports |
Metadatos del archivo PE
|
( principal | target | src | observer ).file.pe_file.imports.library |
Metadatos del archivo PE
|
( principal | target | src | observer ).file.pe_file.imports.functions |
Metadatos del archivo PE
|
( principal | target | src | observer ).file.pe_file.resource |
Metadatos del archivo PE
|
( principal | target | src | observer ).file.pe_file.resource.sha256_hex |
Metadatos del archivo PE
|
( principal | target | src | observer ).file.pe_file.resource.filetype_magic |
Metadatos del archivo PE
|
( principal | target | src | observer ).file.pe_file.resource_language_code |
Metadatos del archivo PE
|
( principal | target | src | observer ).file.pe_file.resource.entropy |
Metadatos del archivo PE
|
( principal | target | src | observer ).file.pe_file.resource.file_type |
Metadatos del archivo PE
|
( principal | target | src | observer ).file.pe_file.resources_type_count_str |
Metadatos del archivo PE
|
( principal | target | src | observer ).file.pe_file.resources_language_count_str |
Enriquece entidades con datos de relación de VirusTotal
VirusTotal ayuda a analizar archivos, dominios, direcciones IP y URLs sospechosos para detectar software malicioso y otras violaciones de seguridad, y compartir los resultados con la comunidad de seguridad. Google Security Operations transfiere datos de las conexiones relacionadas con VirusTotal. Estos datos se almacenan como una entidad y brinda información sobre la relación entre los hashes de los archivos y archivos, dominios, direcciones IP y URLs.
Los analistas pueden usar estos datos para determinar si un hash de archivo es incorrecto en función de la información sobre la URL o el dominio de otras fuentes. Esta información se puede usar para crear Las reglas de Detection Engine que consultan los datos del contexto de la entidad para crear estadísticas adaptadas al contexto.
Estos datos solo están disponibles para ciertas licencias de VirusTotal y Google Security Operations. Verifica tus derechos con tu administrador de cuentas.
Se almacena la siguiente información con el registro de contexto de la entidad:
Campo de UDM | Descripción |
---|---|
entity.metadata.product_entity_id |
Es un identificador único para la entidad. |
entity.metadata.entity_type |
Almacena el valor FILE , lo que indica que el
“Entity” describe un archivo |
entity.metadata.interval |
start_time se refiere al comienzo de
hora y end_time es la hora de finalización para la cual estos datos son válidos |
entity.metadata.source_labels |
Este campo almacena una lista de pares clave-valor de source_id y
target_id para esta entidad. source_id es el hash del archivo.
target_id puede ser el hash o el valor de la URL, el nombre de dominio o la IP.
dirección con la que está relacionado este archivo. Puedes buscar la URL, el nombre del dominio
dirección IP o archivo de virustotal.com. |
entity.metadata.product_name |
Almacena el valor "VirusTotal Relationships". |
entity.metadata.vendor_name |
Almacena el valor "VirusTotal". |
entity.file.sha256 |
Almacena el valor de hash SHA-256 del archivo |
entity.file.relations |
Una lista de entidades secundarias a las que la entidad archivo está relacionada con |
entity.relations.relationship |
En este campo, se explica el tipo de relación entre las entidades principales y secundarias.
El valor puede ser EXECUTES , DOWNLOADED_FROM o
CONTACTS |
entity.relations.direction |
Almacena el valor "UNIDIRECTIONAL" y, además, indica la dirección de la relación con la entidad secundaria. |
entity.relations.entity.url |
URL con la que se comunica el archivo de la entidad principal (si la relación
la entidad principal y la URL es CONTACTS ) o la URL desde la cual
se descargó el archivo de la entidad principal (si la relación entre
y la URL es DOWNLOADED_FROM ). |
entity.relations.entity.ip |
Es una lista de direcciones IP que el archivo de la entidad superior contacta o desde las que se descargó. Solo contiene una dirección IP. |
entity.relations.entity.domain.name |
Es el nombre de dominio con el que se comunica el archivo de la entidad superior o desde el que se descargó. |
entity.relations.entity.file.sha256 |
Almacena el valor de hash SHA-256 para el archivo en la relación. |
entity.relations.entity_type |
Este campo contiene el tipo de entidad en la relación. El valor puede ser
URL , DOMAIN_NAME , IP_ADDRESS o
FILE Estos campos se completan de acuerdo con el
entity_type Por ejemplo, si entity_type es URL ,
Luego, se propaga entity.relations.entity.url . |
¿Qué sigue?
Obtén información para usar datos enriquecidos con otras operaciones de seguridad de Google , consulta lo siguiente: