Descripción general del alias y el enriquecimiento del UDM en Google Security Operations
En este documento, se proporciona una descripción general de la creación de alias y el enriquecimiento del UDM en Google Security Operations. En él, se describen los casos de uso comunes y se explica cómo funcionan los alias y el enriquecimiento en la plataforma.
La creación de alias y el enriquecimiento del UDM son conceptos clave en Google SecOps. Trabajan en conjunto, pero cumplen propósitos diferentes.
- El alias identifica los diferentes nombres y los datos de contexto adicionales que describen un indicador.
- El enriquecimiento usa alias para agregar contexto a un evento del UDM.
Por ejemplo, un evento de UDM incluye el nombre de host alex-macbook y muestra que el usuario alex ejecutó un hash de archivo malicioso. Con el uso de alias, descubrimos que al nombre de host alex-macbook se le asignó la dirección IP 192.0.2.0 en el momento del evento y que alex dejará la empresa en 2 semanas. Unir estos alias en el evento original del UDM agrega contexto.
Funciones de alias y enriquecimiento admitidas
Las Operaciones de seguridad de Google admiten alias y enriquecimiento para lo siguiente:
- Recursos
- Usuarios
- Procesos
- Metadatos de hash de archivo
- Ubicaciones geográficas
- Recursos de Cloud
Cómo funciona la creación de alias
El uso de alias permite el enriquecimiento. Por ejemplo, con el uso de alias, puedes encontrar otras direcciones IP y direcciones MAC asociadas a un nombre de host, o el cargo y el estado de empleo asociados a un ID de usuario.
Al igual que otras funciones de Google SecOps, la creación de alias requiere que se ingieran y se indexen datos. El alias se organiza en tres categorías principales:
- Datos específicos del cliente: Son los datos exclusivos de un cliente. Por ejemplo, solo
Aristocratpuede proporcionar datos paraamal@aristocrat.com. Los tipos de alias específicos del cliente incluyen recursos, usuarios y procesos. - Datos globales: Son los datos indexados y procesados que se aplican a todos los clientes. Por ejemplo, se puede usar una indicación de origen global sobre un archivo malicioso para verificar la presencia de ese archivo en tu empresa.
- Servicio de terceros: Es la creación de alias que realiza un proveedor de servicios externo. Google SecOps usa servicios geográficos para encontrar la ubicación física de las direcciones IP.
Estos tipos de alias se usan en conjunto para generar resultados de alias de recursos.
Creación de alias de recursos
El alias de activos vincula nombres de host, direcciones IP, direcciones MAC, IDs de activos y otros metadatos. Esto implica los siguientes pasos:
- Creación de alias de EDR: Asigna IDs de productos (IDs de activos) a nombres de host.
Los campos de asignación del EDR se derivan exclusivamente del tipo de registro
CS_EDR. - DHCP aliasing: Utiliza eventos de DHCP para vincular nombres de host, direcciones MAC y direcciones IP.
- Creación de alias del contexto del activo: Asocia un indicador de activo con datos de la entidad, como el nombre de host, la dirección IP, la dirección MAC, la versión de software y el estado de implementación.
Campos indexados de asignación de EDR
Google SecOps indexa los campos de la ASOCIACIÓN DE EDR para generar alias que vinculan nombres de host y IDs específicos del producto.
En la siguiente tabla, se enumeran los campos del UDM y sus tipos de indicadores correspondientes:
| Campo de UDM | Tipo de indicador |
|---|---|
| principal.hostname y principal.asset.hostname | HOSTNAME |
| principal.asset_id y principal.asset.asset_id | PRODUCT_SPECIFIC_ID |
Campos indexados de DHCP
Google SecOps indexa los registros DHCP para generar alias que vinculan nombres de host, direcciones IP y direcciones MAC.
En la siguiente tabla, se enumeran los campos del UDM y sus tipos de indicadores correspondientes que se usan para la creación de alias de activos:
| Campo de UDM | Tipo de indicador |
|---|---|
| principal.ip y principal.asset.ip | ASSET_IP_ADDRESS |
| principal.mac y principal.asset.mac | MAC |
| principal.hostname y principal.asset.hostname | HOSTNAME |
| principal.asset_id y principal.asset.asset_id | PRODUCT_SPECIFIC_ID |
| network.dhcp.yiaddr en ACK, OFFER, WIN_DELETED y WIN_EXPIRED | ASSET_IP_ADDRESS |
| network.dhcp.ciaddr en INFORM, RELEASE y REQUEST | ASSET_IP_ADDRESS |
| network.dhcp.requested_address en DECLINE | ASSET_IP_ADDRESS |
| network.dhcp.chaddr | MAC |
| network.dhcp.client_hostname | HOSTNAME |
Campos indexados del contexto del activo
Google SecOps ingiere los eventos de ASSET_CONTEXT como eventos de contexto de la entidad, en lugar de eventos del UDM.
En la siguiente tabla, se enumeran los campos de la entidad y sus tipos de indicadores correspondientes:
| Campo de entidad | Tipo de indicador |
|---|---|
| entity.asset.product_object_id | PRODUCT_OBJECT_ID |
| entity.metadata.product_entity_id (si falta el ID del objeto del producto para el activo) | PRODUCT_OBJECT_ID |
| entity.asset.asset_id | PRODUCT_SPECIFIC_ID |
| entity.asset.hostname | HOSTNAME |
| entity.asset.ip | ASSET_IP_ADDRESS |
| entity.asset.mac | MAC |
| entity.namespace | NAMESPACE |
Alias de usuario
El alias de usuario encuentra información a través de un indicador del usuario. Por ejemplo, con la dirección de correo electrónico de un empleado, puedes encontrar más detalles sobre él, como su nombre, cargo y estado laboral.
El alias de usuario usa el tipo de lote de eventos USER_CONTEXT para la creación de alias.
Campos indexados del contexto del usuario
Google SecOps ingiere los eventos de USER_CONTEXT como eventos de contexto de la entidad, en lugar de eventos del UDM.
En la siguiente tabla, se enumeran los campos de la entidad y sus tipos de indicadores correspondientes:
| Campo de entidad | Tipo de indicador |
|---|---|
| entity.user.product_object_id | PRODUCT_OBJECT_ID |
| entity.metadata.product_entity_id (si falta el ID del objeto del producto del usuario) | PRODUCT_OBJECT_ID |
| entity.user.userid | USERNAME |
| entity.user.email_addresses | EMAIL |
| entity.user.windows_sid | WINDOWS_SID |
| entity.user.employee_id | EMPLOYEE_ID |
| entity.namespace | NAMESPACE |
Alias de proceso
El alias de proceso asigna un ID de proceso específico del producto (product_specific_process_id) al proceso real y recupera información sobre el proceso principal.
El alias de proceso usa el tipo de lote de eventos del EDR para el alias.
Campos indexados del EDR para la creación de alias de procesos
Cuando se inicia un proceso, se recopilan metadatos, como líneas de comandos, hashes de archivos y detalles del proceso principal. El software de EDR que se ejecuta en la máquina asigna un UUID de proceso específico del proveedor.
En la siguiente tabla, se enumeran los campos que se indexan durante un evento de inicio de proceso:
| Campo de UDM | Tipo de indicador |
|---|---|
| target.product_specific_process_id | PROCESS_ID |
| target.process | Todo el proceso, no solo el indicador |
Además del campo target.process del evento normalizado, Google SecOps también recopila e indexa información del proceso principal.
Creación de alias de metadatos de hash de archivos
El alias de metadatos de hash de archivo identifica los metadatos de archivo, como otros hashes de archivo o tamaños de archivo, según un hash de archivo determinado (sha256, sha1 o md5).
El alias de metadatos de hash de archivo usa el tipo de lote de eventos FILE_CONTEXT para el alias.
Campos indexados del contexto del archivo
Google SecOps incorpora FILE_CONTEXT eventos de VirusTotal como eventos de contexto de la entidad. Estos eventos son globales y no específicos para cada cliente.
En la siguiente tabla, se enumeran los campos de entidades indexados y sus tipos de indicadores correspondientes:
| Campo de entidad | Tipo de indicador |
|---|---|
| entity.file.sha256 | PRODUCT_OBJECT_ID |
entity.metadata.product_entity_id (si falta el archivo sha256) |
PRODUCT_OBJECT_ID |
| entity.file.md5 | HASH_MD5 |
| entity.file.sha1 | HASH_SHA1 |
| entity.file.sha256 | HASH_SHA256 |
| entity.namespace | NAMESPACE |
Creación de alias de la ubicación geográfica de la IP
El alias geográfico proporciona datos enriquecidos con la ubicación geográfica para las direcciones IP externas.
Para cada dirección IP en el campo principal, target o src de un evento de UDM, si la dirección no tiene alias, se crea un subproto ip_geo_artifact con la ubicación asociada y la información del ASN.
El alias geográfico no utiliza la búsqueda ni el almacenamiento en caché. Debido a la gran cantidad de eventos, Google SecOps mantiene un índice en la memoria. El índice se obtiene del MPM del servidor simple de IPGeo y se actualiza cada dos semanas.
Alias de recursos
El alias de recursos devuelve información de recursos de Cloud para un ID de recurso determinado. Por ejemplo, puede devolver información sobre una instancia de Bigtable con su URI Google Cloud . No utiliza la función de mirar hacia atrás ni el almacenamiento en caché.
El alias de recursos no enriquece los eventos de UDM. Sin embargo, algunos productos, como Alert Graph, usan alias de recursos. El alias de recursos de Cloud usa el tipo de lote de eventos RESOURCE_CONTEXT.
Campos indexados del contexto de recursos
Los eventos de contexto de metadatos de recursos de Cloud se transfieren como eventos RESOURCE_CONTEXT.
En la siguiente tabla, se enumeran los campos de la entidad y sus tipos de entidad correspondientes:
| Campo de entidad | Tipo de indicador |
|---|---|
| entity.resource.product_object_id | PRODUCT_OBJECT_ID |
| entity.metadata.product_entity_id (si falta el ID del objeto del producto para el recurso) | PRODUCT_OBJECT_ID |
| entity.resource.name | CLOUD_RESOURCE_NAME |
| entity.namespace | NAMESPACE |
Enriquecimiento
El enriquecimiento usa alias para agregar contexto a un indicador o evento del UDM de las siguientes maneras:
- Identifica las entidades de alias que describen un indicador, por lo general, un campo de UDM.
- Propaga las partes relacionadas del mensaje de UDM con valores enriquecidos vinculados a los alias o entidades devueltos.
Enriquecimiento de recursos
Para cada evento del UDM, la canalización extrae los siguientes campos del UDM de las entidades principal, src y target:
| Campo de UDM | Tipo de indicador |
|---|---|
| hostname | HOSTNAME |
| asset_id | PRODUCT_SPECIFIC_ID |
| mac | MAC |
| ip (si asset_id está vacío) | IP |
Cada indicador de activo tiene un espacio de nombres. El espacio de nombres vacío se considera válido. Para cada indicador de activo, la canalización realiza las siguientes acciones:
- Recupera los alias para el día completo de la hora del evento.
- Compila un mensaje
backstory.Asseta partir de la respuesta de alias. - Asigna cada tipo de sustantivo y cada indicador a un mensaje de Asset de backstory y combina todos los protos relacionados.
- Establece los campos de recursos de nivel superior y el mensaje
assetproto con la historia de fondo combinada.Mensaje de recurso.
Enriquecimiento del usuario
Para cada evento de UDM, la canalización extrae los siguientes campos de UDM de principal, src y target:
| Campo de UDM | Tipo de indicador |
|---|---|
| email_addresses | EMAIL |
| userid | USERNAME |
| windows_sid | WINDOWS_SID |
| employee_id | EMPLOYEE_ID |
| product_object_id | PRODUCT_OBJECT_ID |
Para cada indicador, la canalización realiza las siguientes acciones:
- Recupera una lista de entidades de usuario. Por ejemplo, las entidades de
principal.email_addressyprincipal.useridpodrían ser las mismas o diferentes. - Elige los alias del mejor tipo de indicador, según este orden de prioridad:
WINDOWS_SID,EMAIL,USERNAME,EMPLOYEE_IDyPRODUCT_OBJECT_ID. - Propaga
noun.usercon la entidad cuyo intervalo de validez se cruza con la hora del evento.
Enriquecimiento de procesos
Para cada evento del UDM, la canalización extrae process.product_specific_process_id (PSPI) de los siguientes campos:
principalsrctargetprincipal.process.parent_processsrc.process.parent_processtarget.process.parent_process
Luego, la canalización encuentra el proceso real en el PSPI a través del alias del proceso, que también devuelve información sobre el proceso principal. Combina estos datos en el campo noun.process relacionado del mensaje enriquecido.
Enriquecimiento de artefactos
El enriquecimiento de artefactos agrega metadatos de hash de archivos de VirusTotal y ubicaciones de IP a partir de datos de geolocalización. Para cada evento del UDM, la canalización extrae y consulta los datos de contexto de estos indicadores de artefactos de las entidades principal, src y target:
- Dirección IP: Consulta los datos solo si son públicos o se pueden enrutar.
- Hashes de archivos: Se consultan los hashes en el siguiente orden:
file.sha256file.sha1file.md5process.file.sha256process.file.sha1process.file.md5
La canalización usa la época de UNIX y la hora del evento para definir el intervalo de tiempo de las consultas de artefactos de archivo. Si los datos de ubicación geográfica están disponibles, la canalización reemplaza los siguientes campos del UDM para los respectivos principal, src y target, según el origen de los datos de ubicación geográfica:
artifact.ipartifact.locationartifact.network(solo si los datos incluyen el contexto de la red IP)location(solo si los datos originales no incluyen este campo)
Si la canalización encuentra metadatos de hash de archivo, los agrega a los campos de archivo o process.file, según de dónde provenga el indicador. La canalización conserva los valores existentes que no se superponen con los datos nuevos.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.