Google SecOps 如何擴充事件和實體資料

支援的國家/地區:

本文說明 Google Security Operations 如何擴充資料,以及儲存資料的整合式資料模型 (UDM) 欄位。

為啟用安全調查,Google SecOps 會從不同來源擷取背景資料、分析資料,並提供客戶環境中構件的額外背景資訊。分析師可以在偵測引擎規則、調查搜尋或報表中使用內容豐富的資料。

Google SecOps 會執行下列類型的擴充作業:

  • 使用實體圖表並合併,以充實實體。
  • 計算每個實體的普遍程度統計資料,並據此擴充實體,指出實體在環境中的熱門程度。
  • 計算環境中首次出現特定實體類型或最近一次出現的時間。
  • 根據安全瀏覽威脅清單中的資訊擴充實體。
  • 使用地理位置資料擴充事件。
  • 使用 WHOIS 資料擴充實體。
  • 使用 VirusTotal 檔案中繼資料充實事件內容。
  • 使用 VirusTotal 關係資料擴充實體。
  • 擷取及儲存 Google Cloud 威脅情報資料。

來自 WHOIS、安全瀏覽、GCTI 威脅情報、VirusTotal 中繼資料和 VirusTotal 關係的擴增資料會以 entity_typeproduct_namevendor_name 標示。建立使用這類擴充資料的規則時,建議在規則中加入篩選器,找出要納入的特定擴充類型。這個篩選器有助於提升規則的效能。 舉例來說,在聯結 WHOIS 資料的規則 events 區段中,加入下列篩選條件欄位。

$enrichment.graph.metadata.entity_type = "DOMAIN_NAME"
$enrichment.graph.metadata.product_name = "WHOISXMLAPI Simple Whois"
$enrichment.graph.metadata.vendor_name = "WHOIS"

使用實體圖表和合併功能擴充實體

實體圖表會找出環境中實體和資源之間的關係。將不同來源的實體擷取到 Google SecOps 時,實體圖表會根據實體之間的關係維護鄰接清單。實體圖表會執行重複資料刪除和合併作業,以豐富內容。

在重複資料刪除程序中,系統會消除多餘資料並形成間隔,以建立通用實體。舉例來說,假設有兩個實體 e1e2,時間戳記分別為 t1t2。系統會對 e1e2 實體進行重複資料刪除作業,且不會在作業期間使用不同的時間戳記。系統不會在重複資料刪除程序中使用下列欄位:

  • collected_timestamp
  • creation_timestamp
  • interval

合併期間,系統會為一天時間間隔建立實體之間的關係。舉例來說,假設實體記錄 user A 有權存取 Cloud Storage 值區。另一個實體記錄是user A,該實體擁有裝置。合併後,這兩個實體會產生一個具有兩個關係的單一實體 user A。其中一個關係是 user A 有權存取 Cloud Storage bucket,另一個關係是 user A 擁有裝置。Google SecOps 建立實體背景資訊資料時,會回溯五天。這會處理延遲抵達的資料,並在實體內容資料上建立隱含的存留時間。

Google SecOps 會使用別名來充實遙測資料,並使用實體圖表來充實實體。偵測引擎規則會根據補充遙測資料合併實體,提供情境感知分析。

如果事件包含實體名詞,則視為實體。以下列舉部分事件類型和相應的實體類型:

  • ASSET_CONTEXT 對應於 ASSET
  • RESOURCE_CONTEXT 對應於 RESOURCE
  • USER_CONTEXT 對應於 USER
  • GROUP_CONTEXT 對應於 GROUP

實體圖表會使用威脅資訊,區分內容資料和入侵指標 (IOC)。

使用情境豐富的資料時,請注意下列實體圖表行為:

  • 請勿在實體中新增間隔,而是讓實體圖表建立間隔。這是因為系統會在重複資料刪除期間產生間隔,除非另有指定。
  • 如果指定間隔,系統只會將相同事件去重複,並保留最近的實體。
  • 為確保即時規則和回溯搜尋功能正常運作,實體每天至少要擷取一次。
  • 如果實體並非每天擷取,而是每隔兩天以上才擷取一次,即時規則可能仍能正常運作,但回溯搜尋可能會失去事件的脈絡。
  • 如果實體每天的擷取次數超過一次,系統會將實體重複資料刪除,只保留一個實體。
  • 如果某天的事件資料遺失,系統會暫時使用前一天的資料,確保即時規則正常運作。

實體圖表也會合併具有相似 ID 的事件,以取得資料的整合檢視畫面。系統會根據下列 ID 清單進行合併:

  • Asset
    • entity.asset.product_object_id
    • entity.asset.hostname
    • entity.asset.asset_id
    • entity.asset.mac
  • User
    • entity.user.product_object_id
    • entity.user.userid
    • entity.user.windows_sid
    • entity.user.email_addresses
    • entity.user.employee_id
  • Resource
    • entity.resource.product_object_id
    • entity.resource.name
  • Group
    • entity.group.product_object_id
    • entity.group.email_addresses
    • entity.group.windows_sid

計算使用率統計資料

Google SecOps 會對現有和傳入的資料執行統計分析,並使用與普遍程度相關的指標,擴充實體背景資訊記錄。

普遍程度是數值,表示實體的熱門程度。熱門程度的定義是存取構件 (例如網域、檔案雜湊或 IP 位址) 的資產數量。數字越大,實體越熱門。 舉例來說,google.com 的普遍程度值較高,因為存取頻率較高。如果網域的存取頻率不高,普遍程度值就會較低。較熱門的實體通常較不可能具有惡意。

網域、IP 和檔案 (雜湊) 皆支援這些經過擴充的值。系統會計算值並儲存在下列欄位中。

系統每天都會更新各實體的普遍程度統計資料。值會儲存在可供偵測引擎使用的獨立實體環境中,但不會顯示在 Google SecOps 的調查檢視畫面和 UDM 搜尋中。

建立 Detection Engine 規則時,可以使用下列欄位。

實體類型 UDM 欄位
網域 entity.domain.prevalence.day_count
entity.domain.prevalence.day_max
entity.domain.prevalence.day_max_sub_domains
entity.domain.prevalence.rolling_max
entity.domain.prevalence.rolling_max_sub_domains
檔案 (雜湊) entity.file.prevalence.day_count
entity.file.prevalence.day_max
entity.file.prevalence.rolling_max
IP 位址 entity.artifact.prevalence.day_count
entity.artifact.prevalence.day_max
entity.artifact.prevalence.rolling_max

day_max 和 rolling_max 值的計算方式不同。這些欄位的計算方式如下:

  • day_max 的計算方式為:在一天內,構件的最高盛行率分數。一天的定義為世界標準時間凌晨 12:00:00 至晚上 11:59:59。
  • rolling_max 的計算方式為:在過去 10 天內,構件的每日最高普及率分數 (即 day_max)。
  • day_count 用於計算 rolling_max,且一律為值 10。

計算網域的差異時,day_maxday_max_sub_domains (以及 rolling_maxrolling_max_sub_domains) 的差異如下:

  • rolling_maxday_max 代表存取特定網域 (不含子網域) 的每日不重複內部 IP 位址數量。
  • rolling_max_sub_domainsday_max_sub_domains 代表存取特定網域 (包括子網域) 的不重複內部 IP 位址數量。

系統會根據新擷取的實體資料計算普遍程度統計資料。系統不會對先前擷取的資料進行回溯計算。系統大約需要 36 小時計算及儲存統計資料。

計算實體的首次和上次出現時間

Google SecOps 會對傳入資料執行統計分析,並在實體首次和上次出現的時間,擴充實體內容記錄。「first_seen_time」 欄位會儲存實體首次出現在客戶環境中的日期和時間。last_seen_time 欄位會儲存最近一次觀察的日期和時間。

由於多個指標 (UDM 欄位) 可以識別資產或使用者,因此首次出現時間是指在客戶環境中,首次看到任何可識別使用者或資產的指標。

描述資產的所有 UDM 欄位如下:

  • entity.asset.hostname
  • entity.asset.ip
  • entity.asset.mac
  • entity.asset.asset_id
  • entity.asset.product_object_id

以下是所有描述使用者的 UDM 欄位

  • entity.user.windows_sid
  • entity.user.product_object_id
  • entity.user.userid
  • entity.user.employee_id
  • entity.user.email_addresses

分析師可根據首次和最近一次發現的時間,找出網域、檔案 (雜湊)、資產、使用者或 IP 位址首次出現後發生的特定活動,或網域、檔案 (雜湊) 或 IP 位址最近一次出現後停止發生的活動。

first_seen_timelast_seen_time 欄位會填入描述網域、IP 位址和檔案 (雜湊) 的實體。如果是描述使用者或資產的實體,系統只會填入 first_seen_time 欄位。如果是描述其他類型 (例如群組或資源) 的實體,系統不會計算這些值。

系統會計算所有命名空間中每個實體的統計資料。 Google SecOps 不會計算個別命名空間中每個實體的統計資料。 目前不會將這些統計資料匯出至 BigQuery 中的 Google SecOps events 結構定義

系統會計算並儲存下列 UDM 欄位中的擴充值:

實體類型 UDM 欄位
網域 entity.domain.first_seen_time
entity.domain.last_seen_time
檔案 (雜湊) entity.file.first_seen_time
entity.file.last_seen_time
IP 位址 entity.artifact.first_seen_time
entity.artifact.last_seen_time
資產 entity.asset.first_seen_time
使用者 entity.user.first_seen_time

使用地理位置資料擴充事件

傳入的記錄資料可能包含外部 IP 位址,但沒有對應的位置資訊。如果事件記錄的裝置活動資訊不在企業網路中,就可能發生這種情況。舉例來說,雲端服務的登入事件會根據電信業者 NAT 傳回的裝置外部 IP 位址,包含來源或用戶端 IP 位址。

Google SecOps 提供外部 IP 位址的地理位置資訊,可協助您更有效率地偵測規則,並在調查時掌握更多背景資訊。舉例來說,Google SecOps 可能會使用外部 IP 位址,在事件中加入國家/地區 (例如美國)、特定州別 (例如阿拉斯加) 和 IP 位址所屬網路 (例如 ASN 和電信業者名稱) 等資訊。

Google SecOps 會使用 Google 提供的位置資料,為 IP 位址提供概略的地理位置和網路資訊。您可以針對事件中的這些欄位編寫偵測引擎規則。系統也會將經過擴充的事件資料匯出至 BigQuery,供 Google SecOps 資訊主頁和報表使用。

系統不會擴充下列 IP 位址:

  • RFC 1918 私人 IP 位址空間,因為這些位址空間屬於企業網路內部。
  • RFC 5771 多點播送 IP 位址空間,因為多點播送位址不屬於單一位置。
  • IPv6 專屬本機位址。
  • Google Cloud 服務 IP 位址。例外狀況是 Google Cloud Compute Engine 外部 IP 位址,這些位址會經過擴充。

Google SecOps 會使用地理位置資料,擴充下列 UDM 欄位:

  • principal
  • target
  • src
  • observer
資料類型 UDM 欄位
地點 (例如美國) ( principal | target | src | observer ).ip_geo_artifact.location.country_or_region
州 (例如紐約州) ( principal | target | src | observer ).ip_geo_artifact.location.state
經度 ( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.longitude
緯度 ( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.latitude
ASN (自治系統編號) ( principal | target | src | observer ).ip_geo_artifact.network.asn
貨運公司名稱 ( principal | target | src | observer ).ip_geo_artifact.network.carrier_name
DNS 網域 ( principal | target | src | observer ).ip_geo_artifact.network.dns_domain
機構名稱 ( principal | target | src | observer ).ip_geo_artifact.network.organization_name

以下範例顯示會新增至 UDM 事件的地理資訊類型,該事件的 IP 位址已標記為荷蘭:

UDM 欄位
principal.ip_geo_artifact.location.country_or_region Netherlands
principal.ip_geo_artifact.location.region_coordinates.latitude 52.132633
principal.ip_geo_artifact.location.region_coordinates.longitude 5.291266
principal.ip_geo_artifact.network.asn 8455
principal.ip_geo_artifact.network.carrier_name schuberg philis

不一致

Google 專有的 IP 位址地理位置技術會結合網路資料和其他輸入內容與方法,為使用者提供 IP 位址位置和網路解析度。其他機構可能會使用不同的信號或方法,因此有時會得出不同的結果。

如果發生 Google 提供的 IP 地理位置結果不一致的情況,請提出客戶支援案件,以便我們進行調查,並視情況修正記錄。

使用安全瀏覽威脅清單中的資訊擴充實體

Google SecOps 會從安全瀏覽功能擷取與檔案雜湊值相關的資料。每個檔案的資料都會儲存為實體,並提供檔案的額外背景資訊。分析師可以建立 Detection Engine 規則,針對這個實體內容資料執行查詢,建構可感知內容的分析。

實體情境記錄會儲存下列資訊。

UDM 欄位 說明
entity.metadata.product_entity_id 實體的專屬 ID。
entity.metadata.entity_type 這個值為 FILE,表示實體描述的是檔案。
entity.metadata.collected_timestamp 觀察到實體或事件發生的日期和時間。
entity.metadata.interval 儲存這項資料的有效開始時間和結束時間。 由於威脅清單內容會隨時間變更,因此 start_timeend_time 會反映實體資料的有效時間間隔。舉例來說,在 start_time and end_time. 期間,檔案雜湊值疑似惡意或可疑
entity.metadata.threat.category 這是 Google SecOps SecurityCategory。這會設為下列一或多個值:
  • SOFTWARE_MALICIOUS:表示威脅與惡意軟體有關。
  • SOFTWARE_PUA:表示威脅與垃圾軟體有關。
entity.metadata.threat.severity 這是 Google SecOps ProductSeverity。 如果值為 CRITICAL,表示構件疑似惡意。如未指定值,表示系統沒有足夠的信心指出構件是否惡意。
entity.metadata.product_name 儲存 Google Safe Browsing 的值。
entity.file.sha256 檔案的 SHA256 雜湊值。

使用 WHOIS 資料擴充實體

Google SecOps 每天都會擷取 WHOIS 資料。在擷取傳入的客戶裝置資料時,Google SecOps 會根據 WHOIS 資料評估客戶資料中的網域。如果相符,Google SecOps 會將相關 WHOIS 資料與網域的實體記錄一併儲存。對於每個實體 (其中 entity.metadata.entity_type = DOMAIN_NAME),Google SecOps 會使用 WHOIS 的資訊擴充實體。

Google SecOps 會將經過擴充的 WHOIS 資料填入實體記錄的下列欄位:

  • entity.domain.admin.attribute.labels
  • entity.domain.audit_update_time
  • entity.domain.billing.attribute.labels
  • entity.domain.billing.office_address.country_or_region
  • entity.domain.contact_email
  • entity.domain.creation_time
  • entity.domain.expiration_time
  • entity.domain.iana_registrar_id
  • entity.domain.name_server
  • entity.domain.private_registration
  • entity.domain.registrant.company_name
  • entity.domain.registrant.office_address.state
  • entity.domain.registrant.office_address.country_or_region
  • entity.domain.registrant.email_addresses
  • entity.domain.registrant.user_display_name
  • entity.domain.registrar
  • entity.domain.registry_data_raw_text
  • entity.domain.status
  • entity.domain.tech.attribute.labels
  • entity.domain.update_time
  • entity.domain.whois_record_raw_text
  • entity.domain.whois_server
  • entity.domain.zone

如需這些欄位的說明,請參閱整合式資料模型欄位清單文件

擷取及儲存 Google Cloud 威脅情報資料

Google SecOps 會從 Google Cloud 威脅情報 (GCTI) 資料來源擷取資料,為您提供環境中活動的背景資訊,以利調查。您可以查詢下列資料來源:

  • GCTI Tor 結束節點:已知的 Tor 結束節點 IP 位址。
  • GCTI Benign Binaries:屬於作業系統原始發行版本或由官方作業系統修補程式更新的檔案。這個資料來源會排除遭攻擊者濫用的部分官方作業系統二進位檔,這些二進位檔通常用於「以土地為生」攻擊,例如著重於初始進入媒介的二進位檔。

  • GCTI 遠端存取工具:惡意行為者經常使用的檔案。這些工具通常是正當應用程式,但有時會遭到濫用,用來遠端連線至遭入侵的系統。

    這些情境資料會以實體形式儲存在全球各地。您可以使用偵測引擎規則查詢資料。在規則中加入下列 UDM 欄位和值,即可查詢這些全域實體:

  • graph.metadata.vendor_name = Google Cloud Threat Intelligence

  • graph.metadata.product_name = GCTI Feed

本文中的預留位置 <variable_name> 代表規則中用於識別 UDM 記錄的不重複變數名稱。

有時間限制與無時間限制 Google Cloud 威脅情報資料來源

Google Cloud 威脅情報資料來源分為「有時間性」或「無時間性」

時間範圍資料來源的每個項目都與時間範圍相關聯。也就是說,如果系統在第 1 天產生偵測結果,在日後進行回溯搜尋時,第 1 天應該會產生相同的偵測結果。

無時間範圍的資料來源沒有相關聯的時間範圍。這是因為我們只應考量最新的資料集。無時效性資料來源通常用於檔案雜湊等預期不會變更的資料。如果第 1 天未產生任何偵測結果,第 2 天可能會在回溯搜尋期間,因為新增了項目而產生第 1 天的偵測結果。

Tor 結束節點 IP 位址的相關資料

Google SecOps 會擷取並儲存已知的 Tor 結束節點 IP 位址。Tor 結束節點是流量離開 Tor 網路的點。從這個資料來源擷取的資訊會儲存在下列 UDM 欄位中。這個來源中的資料會計時。

UDM 欄位 說明
<variable_name>.graph.metadata.vendor_name 儲存 Google Cloud Threat Intelligence 值。
<variable_name>.graph.metadata.product_name 儲存 GCTI Feed 值。
<variable_name>.graph.metadata.threat.threat_feed_name 儲存 Tor Exit Nodes 值。
<variable_name>.graph.entity.artifact.ip 儲存從 GCTI 資料來源擷取的 IP 位址。

良性作業系統檔案的資料

Google SecOps 會擷取並儲存 GCTI Benign Binaries 資料來源的檔案雜湊值。從這個資料來源擷取的資訊會儲存在下列 UDM 欄位中。這個來源中的資料沒有時間限制。

UDM 欄位 說明
<variable_name>.graph.metadata.vendor_name 儲存 Google Cloud Threat Intelligence 值。
<variable_name>.graph.metadata.product_name 儲存 GCTI Feed 值。
<variable_name>.graph.metadata.threat.threat_feed_name 儲存 Benign Binaries 值。
<variable_name>.graph.entity.file.sha256 儲存檔案的 SHA256 雜湊值。
<variable_name>.graph.entity.file.sha1 儲存檔案的 SHA1 雜湊值。
<variable_name>.graph.entity.file.md5 儲存檔案的 MD5 雜湊值。

遠端存取工具相關資料

遠端存取工具包括已知遠端存取工具的檔案雜湊值,例如惡意行為者經常使用的 VNC 用戶端。這些工具通常是正當應用程式,但有時會遭到濫用,用來從遠端連線至遭入侵的系統。從這個資料來源擷取的資訊會儲存在下列 UDM 欄位。這個來源中的資料沒有時間限制。

UDM 欄位 說明
.graph.metadata.vendor_name 儲存 Google Cloud Threat Intelligence 值。
.graph.metadata.product_name 儲存 GCTI Feed 值。
.graph.metadata.threat.threat_feed_name 儲存 Remote Access Tools 值。
.graph.entity.file.sha256 儲存檔案的 SHA256 雜湊值。
.graph.entity.file.sha1 儲存檔案的 SHA1 雜湊值。
.graph.entity.file.md5 儲存檔案的 MD5 雜湊值。

使用 VirusTotal 檔案中繼資料充實事件內容

Google SecOps 會將檔案雜湊值擴充至 UDM 事件,並在調查期間提供額外背景資訊。系統會在客戶環境中,透過雜湊別名擴充 UDM 事件。雜湊別名會合併所有類型的檔案雜湊,並在搜尋期間提供檔案雜湊的相關資訊。

整合 VirusTotal 檔案中繼資料和關係擴充功能與 Google SecOps,可用於識別惡意活動模式,以及追蹤網路中的惡意軟體移動情形。

原始記錄檔提供的檔案資訊有限。VirusTotal 會使用檔案中繼資料擴充事件,提供不良雜湊的傾印,以及不良檔案的中繼資料。中繼資料包括檔案名稱、類型、匯入的函式和標記等資訊。您可以在 UDM 搜尋和偵測引擎中使用 YARA-L,瞭解不良檔案事件,以及一般威脅搜尋期間的相關資訊。舉例來說,您可以偵測原始檔案是否經過修改,並匯入檔案中繼資料以偵測威脅。

系統會將下列資訊與記錄一併儲存。 如需所有 UDM 欄位的清單,請參閱「整合式資料模型欄位清單」。

資料類型 UDM 欄位
SHA-256 ( principal | target | src | observer ).file.sha256
MD5 ( principal | target | src | observer ).file.md5
SHA-1 ( principal | target | src | observer ).file.sha1
大小 ( principal | target | src | observer ).file.size
ssdeep ( principal | target | src | observer ).file.ssdeep
vhash ( principal | target | src | observer ).file.vhash
authentihash ( principal | target | src | observer ).file.authentihash
檔案類型 ( principal | target | src | observer ).file.file_type
標記 ( principal | target | src | observer ).file.tags
功能標記 ( principal | target | src | observer ).file.capabilities_tags
名稱 ( principal | target | src | observer ).file.names
首次出現時間 ( principal | target | src | observer ).file.first_seen_time
上次出現時間 ( principal | target | src | observer ).file.last_seen_time
上次修改時間 ( principal | target | src | observer ).file.last_modification_time
上次分析時間 ( principal | target | src | observer ).file.last_analysis_time
內嵌網址 ( principal | target | src | observer ).file.embedded_urls
內嵌 IP ( principal | target | src | observer ).file.embedded_ips
內嵌網域 ( principal | target | src | observer ).file.embedded_domains
簽名資訊 ( principal | target | src | observer ).file.signature_info
簽名資訊
  • Sigcheck
 ( principal | target | src | observer).file.signature_info.sigcheck
簽名資訊
  • Sigcheck
    • 驗證訊息
 ( principal | target | src | observer ).file.signature_info.sigcheck.verification_message
簽名資訊
  • Sigcheck
    • 已驗證
 ( principal | target | src | observer ).file.signature_info.sigcheck.verified
簽名資訊
  • Sigcheck
    • 簽署者
 ( principal | target | src | observer ).file.signature_info.sigcheck.signers
簽名資訊
  • Sigcheck
    • 簽署者
      • 名稱
 ( principal | target | src | observer ).file.signature_info.sigcheck.signers.name
簽名資訊
  • Sigcheck
    • 簽署者
      • 狀態
 ( principal | target | src | observer ).file.signature_info.sigcheck.signers.status
簽名資訊
  • Sigcheck
    • 簽署者
      • 憑證的有效用途
 ( principal | target | src | observer ).file.signature_info.sigcheck.signers.valid_usage
簽名資訊
  • Sigcheck
    • 簽署者
      • 憑證核發單位
 ( principal | target | src | observer ).file.signature_info.sigcheck.signers.cert_issuer
簽名資訊
  • Sigcheck
    • X509
 ( principal | target | src | observer ).file.signature_info.sigcheck.x509
簽名資訊
  • Sigcheck
    • X509
      • 名稱
 ( principal | target | src | observer ).file.signature_info.sigcheck.x509.name
簽名資訊
  • Sigcheck
    • X509
      • 演算法
 ( principal | target | src | observer ).file.signature_info.sigcheck.x509.algorithm
簽名資訊
  • Sigcheck
    • X509
      • 拇指紋
 ( principal | target | src | observer ).file.signature_info.sigcheck.x509.thumprint
簽名資訊
  • Sigcheck
    • X509
      • 憑證核發單位
 ( principal | target | src | observer ).file.signature_info.sigcheck.x509.cert_issuer
簽名資訊
  • Sigcheck
    • X509
      • 序號
 ( principal | target | src | observer ).file.signature_info.sigcheck.x509.serial_number
簽名資訊
  • Codesign
 ( principal | target | src | observer ).file.signature_info.codesign
簽名資訊
  • Codesign
    • ID
 ( principal | target | src | observer ).file.signature_info.codesign.id
簽名資訊
  • Codesign
    • 格式
 ( principal | target | src | observer ).file.signature_info.codesign.format
簽名資訊
  • Codesign
    • 編譯時間
 ( principal | target | src | observer ).file.signature_info.codesign.compilation_time
Exiftool 資訊 ( principal | target | src | observer ).file.exif_info
Exiftool 資訊
  • 原始檔案名稱
 ( principal | target | src | observer ).file.exif_info.original_file
Exiftool 資訊
  • 產品名稱
 ( principal | target | src | observer ).file.exif_info.product
Exiftool 資訊
  • 公司名稱
 ( principal | target | src | observer ).file.exif_info.company
Exiftool 資訊
  • 檔案說明
 ( principal | target | src | observer ).file.exif_info.file_description
Exiftool 資訊
  • 進入點
 ( principal | target | src | observer ).file.exif_info.entry_point
Exiftool 資訊
  • 編譯時間
 ( principal | target | src | observer ).file.exif_info.compilation_time
PDF 資訊 ( principal | target | src | observer ).file.pdf_info
PDF 資訊
  • /JS 代碼數量
 ( principal | target | src | observer ).file.pdf_info.js
PDF 資訊
  • JavaScript 代碼數量
 ( principal | target | src | observer ).file.pdf_info.javascript
PDF 資訊
  • /Launch 標記數量
 ( principal | target | src | observer ).file.pdf_info.launch_action_count
PDF 資訊
  • 物件串流數量
 ( principal | target | src | observer ).file.pdf_info.object_stream_count
PDF 資訊
  • 物件定義數量 (endobj 關鍵字)
 ( principal | target | src | observer ).file.pdf_info.endobj_count
PDF 資訊
  • PDF 版本
 ( principal | target | src | observer ).file.pdf_info.header
PDF 資訊
  • /AcroForm 標記數量
 ( principal | target | src | observer ).file.pdf_info.acroform
PDF 資訊
  • /AA 標記數量
 ( principal | target | src | observer ).file.pdf_info.autoaction
PDF 資訊
  • /EmbeddedFile 標記的數量
 ( principal | target | src | observer ).file.pdf_info.embedded_file
PDF 資訊
  • /Encrypt 標記
 ( principal | target | src | observer ).file.pdf_info.encrypted
PDF 資訊
  • /RichMedia 代碼數量
 ( principal | target | src | observer ).file.pdf_info.flash
PDF 資訊
  • /JBIG2Decode 標記數量
 ( principal | target | src | observer ).file.pdf_info.jbig2_compression
PDF 資訊
  • 物件定義數量 (obj 關鍵字)
 ( principal | target | src | observer ).file.pdf_info.obj_count
PDF 資訊
  • 定義的串流物件數量 (串流關鍵字)
 ( principal | target | src | observer ).file.pdf_info.endstream_count
PDF 資訊
  • PDF 頁數
 ( principal | target | src | observer ).file.pdf_info.page_count
PDF 資訊
  • 定義的串流物件數量 (串流關鍵字)
 ( principal | target | src | observer ).file.pdf_info.stream_count
PDF 資訊
  • /OpenAction 標記數量
 ( principal | target | src | observer ).file.pdf_info.openaction
PDF 資訊
  • startxref 關鍵字數量
 ( principal | target | src | observer ).file.pdf_info.startxref
PDF 資訊
  • 以超過 3 個位元組表示的顏色數 (CVE-2009-3459)
 ( principal | target | src | observer ).file.pdf_info.suspicious_colors
PDF 資訊
  • 預告片關鍵字數量
 ( principal | target | src | observer ).file.pdf_info.trailer
PDF 資訊
  • 找到的 /XFA 標記數量
 ( principal | target | src | observer ).file.pdf_info.xfa
PDF 資訊
  • 交叉參照關鍵字數量
 ( principal | target | src | observer ).file.pdf_info.xref
PE 檔案中繼資料 ( principal | target | src | observer ).file.pe_file
PE 檔案中繼資料
  • Imphash
 ( principal | target | src | observer ).file.pe_file.imphash
PE 檔案中繼資料
  • 進入點
 ( principal | target | src | observer ).file.pe_file.entry_point
PE 檔案中繼資料
  • 進入點 exiftool
 ( principal | target | src | observer ).file.pe_file.entry_point_exiftool
PE 檔案中繼資料
  • 編譯時間
 ( principal | target | src | observer ).file.pe_file.compilation_time
PE 檔案中繼資料
  • 編譯 exiftool 時間
 ( principal | target | src | observer ).file.pe_file.compilation_exiftool_time
PE 檔案中繼資料
  • 版面
 ( principal | target | src | observer ).file.pe_file.section
PE 檔案中繼資料
  • 版面
    • 名稱
 ( principal | target | src | observer ).file.pe_file.section.name
PE 檔案中繼資料
  • 版面
 ( principal | target | src | observer ).file.pe_file.section.entropy
PE 檔案中繼資料
  • 版面
    • 原始大小 (以位元組為單位)
 ( principal | target | src | observer ).file.pe_file.section.raw_size_bytes
PE 檔案中繼資料
  • 版面
    • 虛擬大小 (以位元組為單位)
 ( principal | target | src | observer ).file.pe_file.section.virtual_size_bytes
PE 檔案中繼資料
  • 版面
    • MD5 十六進位
 ( principal | target | src | observer ).file.pe_file.section.md5_hex
PE 檔案中繼資料
  • 匯入
 ( principal | target | src | observer ).file.pe_file.imports
PE 檔案中繼資料
  • 匯入
    • 程式庫
 ( principal | target | src | observer ).file.pe_file.imports.library
PE 檔案中繼資料
  • 匯入
    • 函式
 ( principal | target | src | observer ).file.pe_file.imports.functions
PE 檔案中繼資料
  • 資源資訊
 ( principal | target | src | observer ).file.pe_file.resource
PE 檔案中繼資料
  • 資源資訊
    • SHA-256 十六進位
 ( principal | target | src | observer ).file.pe_file.resource.sha256_hex
PE 檔案中繼資料
  • 資源資訊
    • magic Python 模組識別的資源類型
 ( principal | target | src | observer ).file.pe_file.resource.filetype_magic
PE 檔案中繼資料
  • 資源資訊
    • 語言和子語言 ID 的可讀版本,如 Windows PE 規格中所定義
 ( principal | target | src | observer ).file.pe_file.resource_language_code
PE 檔案中繼資料
  • 資源資訊
 ( principal | target | src | observer ).file.pe_file.resource.entropy
PE 檔案中繼資料
  • 資源資訊
    • 檔案類型
 ( principal | target | src | observer ).file.pe_file.resource.file_type
PE 檔案中繼資料
  • 依資源類型劃分的資源數量
 ( principal | target | src | observer ).file.pe_file.resources_type_count_str
PE 檔案中繼資料
  • 各語言的資源數量
 ( principal | target | src | observer ).file.pe_file.resources_language_count_str

使用 VirusTotal 關係資料擴充實體

VirusTotal 可協助分析可疑檔案、網域、IP 位址和網址,藉此偵測惡意軟體和其他侵害事件,並將分析結果分享給安全性社群。Google SecOps 會從 VirusTotal 相關連線擷取資料。這項資料會以實體形式儲存,並提供檔案雜湊值與檔案、網域、IP 位址和網址之間的關係資訊。

分析師可以根據其他來源的網址或網域資訊,判斷檔案雜湊是否不良。這項資訊可用於建立 Detection Engine 規則,針對實體內容資料執行查詢,以建構可感知內容的分析。

這項資料僅適用於特定 VirusTotal 和 Google SecOps 授權。請與客戶經理聯絡,確認您的權利。

實體情境記錄會儲存下列資訊:

UDM 欄位 說明
entity.metadata.product_entity_id 實體的專屬 ID
entity.metadata.entity_type 儲存 FILE 值,表示實體描述的是檔案
entity.metadata.interval start_time 是指時間的開頭,end_time 則是這項資料的有效時間範圍結尾
entity.metadata.source_labels 這個欄位會儲存這個實體的 source_idtarget_id 鍵/值組合清單。source_id 是檔案雜湊,target_id 則可以是與這個檔案相關的網址、網域名稱或 IP 位址的雜湊或值。您可以在 virustotal.com 搜尋網址、網域名稱、IP 位址或檔案。
entity.metadata.product_name 儲存「VirusTotal Relationships」值
entity.metadata.vendor_name 儲存「VirusTotal」值
entity.file.sha256 儲存檔案的 SHA-256 雜湊值
entity.file.relations 與父項檔案實體相關的子項實體清單
entity.relations.relationship 這個欄位說明父項和子項實體之間的關係類型。 這個值可以是 EXECUTESDOWNLOADED_FROMCONTACTS
entity.relations.direction 儲存「UNIDIRECTIONAL」值,並指出與子實體的關係方向
entity.relations.entity.url 父項實體中檔案聯絡的網址 (如果父項實體與網址之間的關係為 CONTACTS),或是父項實體中檔案的下載來源網址 (如果父項實體與網址之間的關係為 DOWNLOADED_FROM)。
entity.relations.entity.ip 檔案中的 IP 位址清單,位於父項實體聯絡人中,或從中下載。清單只包含一個 IP 位址。
entity.relations.entity.domain.name 檔案所在或下載來源的父項實體網域名稱
entity.relations.entity.file.sha256 在關係中儲存檔案的 SHA-256 雜湊值
entity.relations.entity_type 這個欄位包含關係中的實體類型。這個值可以是 URLDOMAIN_NAMEIP_ADDRESSFILE。系統會根據 entity_type 填入這些欄位。舉例來說,如果 entity_typeURL,系統就會填入 entity.relations.entity.url

後續步驟

如要瞭解如何將強化資料與其他 Google SecOps 功能搭配使用,請參閱下列文章:

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。