In che modo Google SecOps arricchisce i dati di eventi ed entità

Questo documento descrive in che modo Google Security Operations arricchisce i dati e i campi del Unified Data Model (UDM) in cui vengono archiviati i dati.

Per consentire un'indagine sulla sicurezza, Google SecOps acquisisce dati contestuali da diverse origini, esegue l'analisi dei dati e fornisce un contesto aggiuntivo sugli artefatti in un ambiente cliente. Gli analisti possono utilizzare dati arricchiti in base al contesto nelle regole di Detection Engine, nelle ricerche investigative o nei report.

Google SecOps esegue i seguenti tipi di arricchimento:

• Arricchisce le entità utilizzando il grafico delle entità e l'unione.
• Calcola e arricchisce ogni entità con una statistica di prevalenza che indica la sua popolarità nell'ambiente.
• Calcola la prima volta che determinati tipi di entità sono stati visualizzati nell'ambiente o l'ultima volta.
• Arricchisce le entità con informazioni provenienti dagli elenchi di minacce di Navigazione sicura.
• Arricchisce gli eventi con i dati di geolocalizzazione.
• Arricchisce le entità con i dati WHOIS.
• Arricchisce gli eventi con i metadati dei file VirusTotal.
• Arricchisce le entità con i dati sulle relazioni di VirusTotal.
• Importa e archivia i dati di Google Cloud Threat Intelligence.

I dati arricchiti di WHOIS, Navigazione sicura, GCTI Threat Intelligence, metadati di VirusTotal e relazione di VirusTotal sono identificati da entity_type, product_name e vendor_name. Quando crei una regola che utilizza questi dati arricchiti, ti consigliamo di includere un filtro nella regola che identifichi il tipo specifico di arricchimento da includere. Questo filtro contribuisce a migliorare il rendimento della regola. Ad esempio, includi i seguenti campi filtro nella sezione events della regola che unisce i dati WHOIS.

$enrichment.graph.metadata.entity_type = "DOMAIN_NAME"
$enrichment.graph.metadata.product_name = "WHOISXMLAPI Simple Whois"
$enrichment.graph.metadata.vendor_name = "WHOIS"

Arricchire le entità utilizzando il grafico delle entità e l'unione

Il grafico delle entità identifica le relazioni tra entità e risorse nel tuo ambiente. Quando le entità di origini diverse vengono inserite in Google SecOps, il grafico delle entità mantiene un elenco di adiacenza basato sulla relazione tra le entità. Il grafico delle entità esegue l'arricchimento del contesto eseguendo la deduplicazione e l'unione.

Durante la deduplicazione, i dati ridondanti vengono eliminati e vengono formati intervalli per creare un'entità comune. Ad esempio, considera due entità e1 e e2 con timestamp t1 e t2 rispettivamente. Le entità e1 e e2 vengono deduplicate e i timestamp diversi non vengono utilizzati durante la deduplicazione. I seguenti campi non vengono utilizzati durante la deduplicazione:

• collected_timestamp
• creation_timestamp
• interval

Durante l'unione, le relazioni tra le entità vengono create per un intervallo di tempo di un giorno. Ad esempio, considera un record di entità di user A che ha accesso a un bucket Cloud Storage. Esiste un altro record dell'entità user A che possiede un dispositivo. Dopo l'unione, queste due entità danno origine a un'unica entità user A con due relazioni. Una relazione è che user A ha accesso al bucket Cloud Storage e l'altra relazione è che user A è proprietario del dispositivo. Google SecOps esegue una ricerca a ritroso di cinque giorni quando crea i dati di contesto delle entità. Gestisce i dati in arrivo in ritardo e crea un tempo di permanenza implicito sui dati di contesto dell'entità.

Google SecOps utilizza gli alias per arricchire i dati di telemetria e i grafici delle entità per arricchire le entità. Le regole del motore di rilevamento uniscono le entità unite ai dati di telemetria arricchiti per fornire analisi sensibili al contesto.

Un evento che contiene un sostantivo di entità viene considerato un'entità. Ecco alcuni tipi di eventi e i tipi di entità corrispondenti:

• ASSET_CONTEXT corrisponde a ASSET.
• RESOURCE_CONTEXT corrisponde a RESOURCE.
• USER_CONTEXT corrisponde a USER.
• GROUP_CONTEXT corrisponde a GROUP.

Il grafico delle entità distingue tra dati contestuali e indicatori di compromissione (IOC) utilizzando le informazioni sulle minacce.

Quando utilizzi dati arricchiti in base al contesto, tieni presente il seguente comportamento del grafico delle entità:

• Non aggiungere intervalli nell'entità, ma lascia che il grafico dell'entità li crei. Questo perché gli intervalli vengono generati durante la deduplicazione, se non diversamente specificato.
• Se gli intervalli sono specificati, vengono deduplicati solo gli stessi eventi e viene mantenuta l'entità più recente.
• Per garantire che le regole live e le ricerche retrospettive funzionino come previsto, le entità devono essere importate almeno una volta al giorno.
• Se le entità non vengono inserite quotidianamente e vengono inserite solo una volta ogni due o più giorni, le regole live potrebbero funzionare come previsto, ma le ricerche retrospettive potrebbero perdere il contesto dell'evento.
• Se le entità vengono importate più di una volta al giorno, vengono deduplicate in un'unica entità.
• Se i dati sugli eventi non sono disponibili per un giorno, vengono utilizzati temporaneamente i dati del giorno precedente per garantire il corretto funzionamento delle regole in tempo reale.

Il grafico delle entità unisce anche gli eventi con identificatori simili per ottenere una visualizzazione consolidata dei dati. L'unione avviene in base al seguente elenco di identificatori:

• Asset
  • entity.asset.product_object_id
  • entity.asset.hostname
  • entity.asset.asset_id
  • entity.asset.mac
• User
  • entity.user.product_object_id
  • entity.user.userid
  • entity.user.windows_sid
  • entity.user.email_addresses
  • entity.user.employee_id
• Resource
  • entity.resource.product_object_id
  • entity.resource.name
• Group
  • entity.group.product_object_id
  • entity.group.email_addresses
  • entity.group.windows_sid

Calcolare le statistiche di prevalenza

Google SecOps esegue analisi statistiche sui dati esistenti e in arrivo e arricchisce i record di contesto delle entità con metriche relative alla prevalenza.

La prevalenza è un valore numerico che indica la popolarità di un'entità. La popolarità è definita dal numero di asset che accedono a un artefatto, ad esempio un dominio, un hash di file o un indirizzo IP. Più alto è il numero, più popolare è l'entità. Ad esempio, google.com ha valori di prevalenza elevati perché viene utilizzato di frequente. Se un dominio viene visitato di rado, avrà valori di prevalenza inferiori. Le entità più popolari hanno in genere meno probabilità di essere dannose.

Questi valori arricchiti sono supportati per dominio, IP e file (hash). I valori vengono calcolati e memorizzati nei seguenti campi.

Le statistiche di prevalenza per ogni entità vengono aggiornate ogni giorno. I valori vengono archiviati in un contesto di entità separato che può essere utilizzato da Detection Engine, ma non viene visualizzato nelle visualizzazioni investigative di Google SecOps e nella ricerca UDM.

I seguenti campi possono essere utilizzati durante la creazione delle regole di Detection Engine.

I valori day_max e rolling_max vengono calcolati in modo diverso. I campi vengono calcolati come segue:

• day_max viene calcolato come il punteggio di prevalenza massimo per l'artefatto durante il giorno, dove un giorno è definito come il periodo dalle ore 00:00:00 alle ore 23:59:59 UTC.
• rolling_max viene calcolato come il punteggio di prevalenza massimo giornaliero (ovvero day_max) per l'artefatto nella finestra temporale di 10 giorni precedenti.
• day_count viene utilizzato per calcolare rolling_max ed è sempre il valore 10.

Se calcolata per un dominio, la differenza tra day_max e day_max_sub_domains (e tra rolling_max e rolling_max_sub_domains) è la seguente:

• rolling_max e day_max rappresentano il numero di indirizzi IP interni univoci giornalieri che accedono a un determinato dominio (esclusi i sottodomini).
• rolling_max_sub_domains e day_max_sub_domains rappresentano il numero di indirizzi IP interni univoci che accedono a un determinato dominio (inclusi i sottodomini).

Le statistiche di prevalenza vengono calcolate sui dati delle entità appena importati. I calcoli non vengono eseguiti in modo retroattivo sui dati importati in precedenza. Sono necessarie circa 36 ore per calcolare e archiviare le statistiche.

Calcolare l'ora della prima e dell'ultima visualizzazione delle entità

Google SecOps esegue l'analisi statistica dei dati in entrata e arricchisce i record di contesto delle entità con gli orari della prima e dell'ultima visualizzazione di un'entità. Il campo first_seen_time memorizza la data e l'ora in cui l'entità è stata visualizzata per la prima volta nell'ambiente del cliente. Il campo last_seen_time memorizza la data e l'ora dell'osservazione più recente.

Poiché più indicatori (campi UDM) possono identificare un asset o un utente, l'ora della prima visualizzazione è la prima volta che uno degli indicatori che identificano l'utente o l'asset è stato visualizzato nell'ambiente del cliente.

Tutti i campi UDM che descrivono una risorsa sono i seguenti:

• entity.asset.hostname
• entity.asset.ip
• entity.asset.mac
• entity.asset.asset_id
• entity.asset.product_object_id

Tutti i campi UDM che descrivono un utente sono i seguenti:

• entity.user.windows_sid
• entity.user.product_object_id
• entity.user.userid
• entity.user.employee_id
• entity.user.email_addresses

L'ora del primo rilevamento e l'ora dell'ultimo rilevamento consentono a un analista di correlare determinate attività che si sono verificate dopo il primo rilevamento di un dominio, un file (hash), un asset, un utente o un indirizzo IP o che hanno smesso di verificarsi dopo l'ultimo rilevamento del dominio, del file (hash) o dell'indirizzo IP.

I campi first_seen_time e last_seen_time vengono compilati con entità che descrivono un dominio, un indirizzo IP e un file (hash). Per le entità che descrivono un utente o un asset, viene compilato solo il campo first_seen_time. Questi valori non vengono calcolati per le entità che descrivono altri tipi, ad esempio un gruppo o una risorsa.

Le statistiche vengono calcolate per ogni entità in tutti gli spazi dei nomi. Google SecOps non calcola le statistiche per ogni entità all'interno dei singoli spazi dei nomi. Queste statistiche non vengono attualmente esportate nelloschema di Google SecOps events in BigQuery.

I valori arricchiti vengono calcolati e archiviati nei seguenti campi UDM:

Arricchire gli eventi con i dati di geolocalizzazione

I dati di log in entrata possono includere indirizzi IP esterni senza informazioni sulla posizione corrispondenti. Questo è comune quando un evento registra informazioni sull'attività del dispositivo che non si trova in una rete aziendale. Ad esempio, un evento di accesso a un servizio cloud conterrà un indirizzo IP di origine o client basato sull'indirizzo IP esterno di un dispositivo restituito da NAT del gestore.

Google SecOps fornisce dati arricchiti con la geolocalizzazione per gli indirizzi IP esterni per consentire rilevamenti delle regole più efficaci e un contesto più ampio per le indagini. Ad esempio, Google SecOps potrebbe utilizzare un indirizzo IP esterno per arricchire l'evento con informazioni sul paese (ad esempio gli Stati Uniti), su uno stato specifico (ad esempio l'Alaska) e sulla rete in cui si trova l'indirizzo IP (ad esempio l'ASN e il nome dell'operatore).

Google SecOps utilizza i dati sulla posizione forniti da Google per fornire una posizione geografica approssimativa e informazioni di rete per un indirizzo IP. Puoi scrivere regole del motore di rilevamento in base a questi campi negli eventi. I dati sugli eventi arricchiti vengono esportati anche in BigQuery, dove possono essere utilizzati nei report e nelle dashboard di Google SecOps.

I seguenti indirizzi IP non sono arricchiti:

• Spazi di indirizzi IP privati RFC 1918 perché sono interni alla rete aziendale.
• Spazio di indirizzi IP multicast RFC 5771 perché gli indirizzi multicast non appartengono a una singola località.
• Indirizzi locali univoci IPv6.
• Google Cloud indirizzi IP del servizio. Le eccezioni sono Google Cloud gli indirizzi IP esterni di Compute Engine, che vengono arricchiti.

Google SecOps arricchisce i seguenti campi UDM con dati di geolocalizzazione:

• principal
• target
• src
• observer

Il seguente esempio mostra il tipo di informazioni geografiche che verrebbero aggiunte a un evento UDM con un indirizzo IP taggato ai Paesi Bassi:

Incoerenze

La tecnologia di geolocalizzazione IP proprietaria di Google utilizza una combinazione di dati di rete e altri input e metodi per fornire la posizione dell'indirizzo IP e la risoluzione della rete per i nostri utenti. Altre organizzazioni potrebbero utilizzare segnali o metodi diversi, il che potrebbe occasionalmente portare a risultati diversi.

Se si verificano casi in cui riscontri un'incoerenza nei risultati della geolocalizzazione IP forniti da Google, apri una richiesta di assistenza clienti, in modo che possiamo esaminare la situazione e, se opportuno, correggere i nostri record in futuro.

Arricchire le entità con le informazioni degli elenchi di minacce di Navigazione sicura

Google SecOps acquisisce i dati di Navigazione sicura relativi agli hash dei file. I dati di ogni file vengono memorizzati come entità e forniscono un contesto aggiuntivo sul file. Gli analisti possono creare regole del motore di rilevamento che eseguono query su questi dati di contesto dell'entità per creare analisi sensibili al contesto.

Le seguenti informazioni vengono archiviate con il record del contesto dell'entità.

Arricchisci le entità con i dati WHOIS

Google SecOps importa i dati WHOIS ogni giorno. Durante l'importazione dei dati dei dispositivi dei clienti in entrata, Google SecOps valuta i domini nei dati dei clienti rispetto ai dati WHOIS. Quando viene trovata una corrispondenza, Google SecOps memorizza i dati WHOIS correlati con il record dell'entità per il dominio. Per ogni entità, dove entity.metadata.entity_type = DOMAIN_NAME, Google SecOps arricchisce l'entità con le informazioni di WHOIS.

Google SecOps inserisce i dati WHOIS arricchiti nei seguenti campi del record dell'entità:

• entity.domain.admin.attribute.labels
• entity.domain.audit_update_time
• entity.domain.billing.attribute.labels
• entity.domain.billing.office_address.country_or_region
• entity.domain.contact_email
• entity.domain.creation_time
• entity.domain.expiration_time
• entity.domain.iana_registrar_id
• entity.domain.name_server
• entity.domain.private_registration
• entity.domain.registrant.company_name
• entity.domain.registrant.office_address.state
• entity.domain.registrant.office_address.country_or_region
• entity.domain.registrant.email_addresses
• entity.domain.registrant.user_display_name
• entity.domain.registrar
• entity.domain.registry_data_raw_text
• entity.domain.status
• entity.domain.tech.attribute.labels
• entity.domain.update_time
• entity.domain.whois_record_raw_text
• entity.domain.whois_server
• entity.domain.zone

Per una descrizione di questi campi, consulta il documento Elenco dei campi Unified Data Model.

Importa e archivia Google Cloud dati Threat Intelligence

Google SecOps acquisisce i dati dalle origini dati di Google Cloud Threat Intelligence (GCTI) che forniscono informazioni contestuali che puoi utilizzare quando esamini l'attività nel tuo ambiente. Puoi eseguire query sulle seguenti origini dati:

• Nodi di uscita Tor GCTI: indirizzi IP noti come nodi di uscita Tor.
• GCTI Benign Binaries: file che fanno parte della distribuzione originale del sistema operativo o che sono stati aggiornati da una patch ufficiale del sistema operativo. Alcuni binari del sistema operativo ufficiali che sono stati utilizzati in modo improprio da un avversario tramite attività comuni negli attacchi living-off-the-land sono esclusi da questa origine dati, ad esempio quelli incentrati sui vettori di ingresso iniziali.

• Strumenti di accesso remoto GCTI: file utilizzati di frequente da attori malintenzionati. Questi strumenti sono in genere applicazioni legittime che a volte vengono usate in modo improprio per connettersi da remoto a sistemi compromessi.

  Questi dati contestuali vengono archiviati a livello globale come entità. Puoi eseguire query sui dati utilizzando le regole del motore di rilevamento. Includi i seguenti campi e valori UDM nella regola per eseguire query su queste entità globali:

• graph.metadata.vendor_name = Google Cloud Threat Intelligence

• graph.metadata.product_name = GCTI Feed

In questo documento, il segnaposto <variable_name> rappresenta il nome univoco della variabile utilizzata in una regola per identificare un record UDM.

Origini dati di Threat Intelligence Google Cloud con o senza timestamp

Google Cloud Le origini dati di Threat Intelligence sono temporizzate o senza scadenza.

Le origini dati temporizzate hanno un intervallo di tempo associato a ogni voce. Ciò significa che se viene generata una rilevazione il giorno 1, in qualsiasi giorno futuro la stessa rilevazione deve essere generata per il giorno 1 durante una ricerca retroattiva.

Le origini dati senza limiti di tempo non hanno un intervallo di tempo associato. Questo perché deve essere preso in considerazione solo l'ultimo set di dati. Le origini dati senza scadenza vengono spesso utilizzate per dati come gli hash dei file che non dovrebbero cambiare. Se non viene generato alcun rilevamento il giorno 1, il giorno 2 potrebbe essere generato un rilevamento per il giorno 1 durante una ricerca retroattiva perché è stata aggiunta una nuova voce.

Dati sugli indirizzi IP dei nodi di uscita Tor

Google SecOps importa e archivia gli indirizzi IP che sono nodi di uscita Tor noti. I nodi di uscita Tor sono i punti in cui il traffico esce dalla rete Tor. Le informazioni importate da questa origine dati vengono memorizzate nei seguenti campi UDM. I dati in questa origine sono temporizzati.

Dati sui file di sistema operativo benigni

Google SecOps importa e archivia gli hash dei file dall'origine dati GCTI Benign Binaries. Le informazioni importate da questa origine dati vengono memorizzate nei seguenti campi UDM. I dati di questa origine non hanno una data.

Dati sugli strumenti di accesso remoto

Gli strumenti di accesso remoto includono hash di file per strumenti di accesso remoto noti, come i client VNC, che sono stati spesso utilizzati da malintenzionati. Questi strumenti sono in genere applicazioni legittime che a volte vengono utilizzate in modo illecito per connettersi da remoto a sistemi compromessi. Le informazioni importate da questa origine dati vengono archiviate nei seguenti campi UDM. I dati di questa origine non hanno una data.

Arricchire gli eventi con i metadati dei file VirusTotal

Google SecOps arricchisce gli hash dei file negli eventi UDM e fornisce un contesto aggiuntivo durante un'indagine. Gli eventi UDM vengono arricchiti tramite l'aliasing dell'hash in un ambiente cliente. L'aliasing hash combina tutti i tipi di hash dei file e fornisce informazioni su un hash di file durante una ricerca.

L'integrazione dei metadati dei file e dell'arricchimento delle relazioni di VirusTotal con Google SecOps può essere utilizzata per identificare pattern di attività dannose e per monitorare i movimenti del malware in una rete.

Un log non elaborato fornisce informazioni limitate sul file. VirusTotal arricchisce l'evento con i metadati del file per fornire un dump degli hash dannosi insieme ai metadati del file dannoso. I metadati includono informazioni quali nomi di file, tipi, funzioni importate e tag. Puoi utilizzare queste informazioni nel motore di ricerca e rilevamento UDM con YARA-L per comprendere gli eventi relativi a file dannosi e in generale durante la ricerca di minacce. Un caso d'uso di esempio è il rilevamento di eventuali modifiche al file originale che, a sua volta, importerebbe i metadati del file per il rilevamento delle minacce.

Le seguenti informazioni vengono archiviate con il record. Per un elenco di tutti i campi UDM, consulta l'elenco dei campi Unified Data Model.