Ringkasan pembuatan alias dan pengayaan UDM di Google Security Operations
Dokumen ini memberikan ringkasan tentang pembuatan alias dan pengayaan UDM di Google Security Operations. Dokumen ini menguraikan kasus penggunaan umum dan menjelaskan cara kerja pemberian alias dan pengayaan dalam platform.
Penggunaan alias dan pengayaan UDM adalah konsep utama di Google SecOps. Keduanya bekerja sama, tetapi memiliki tujuan yang berbeda.
- Penamaan alternatif mengidentifikasi berbagai nama dan data konteks tambahan yang mendeskripsikan indikator.
- Pengayaan menggunakan pembuatan alias untuk menambahkan konteks ke peristiwa UDM.
Misalnya, peristiwa UDM mencakup nama host alex-macbook dan menunjukkan bahwa hash file berbahaya dieksekusi oleh pengguna alex. Dengan menggunakan pembuatan alias, kami mendapati bahwa nama host alex-macbook diberi alamat IP 192.0.2.0 pada saat peristiwa terjadi, dan alex akan keluar dari perusahaan dalam 2 minggu. Menggabungkan alias ini ke dalam peristiwa UDM asli akan menambahkan konteks.
Kemampuan penggabungan dan pengayaan yang didukung
Google SecOps mendukung pembuatan alias dan pengayaan untuk hal berikut:
- Aset
- Pengguna
- Proses
- Metadata hash file
- Lokasi geografis
- Resource cloud
Cara kerja pembuatan alias
Pembuatan alias memungkinkan pengayaan. Misalnya, dengan menggunakan pengalihan nama, Anda dapat menemukan alamat IP dan alamat MAC lain yang terkait dengan nama host, atau jabatan dan status pekerjaan yang terkait dengan ID pengguna.
Seperti fitur lainnya di Google SecOps, pembuatan alias memerlukan data untuk di-ingest dan diindeks. Penamaan alias dibagi menjadi tiga kategori utama:
- Data khusus pelanggan: Data yang unik untuk pelanggan. Misalnya, hanya
Aristocratyang dapat memberikan data untukamal@aristocrat.com. Jenis pembuatan alias khusus pelanggan mencakup aset, pengguna, dan proses. - Data global: Data yang diserap dan diindeks yang berlaku untuk semua pelanggan. Misalnya, indikasi yang bersumber secara global tentang file berbahaya dapat digunakan untuk memeriksa keberadaan file tersebut di perusahaan Anda.
- Layanan pihak ketiga: Pembuatan alias yang dilakukan oleh penyedia layanan pihak ketiga. Google SecOps menggunakan layanan geografis untuk menemukan lokasi fisik alamat IP.
Jenis aliasing ini digunakan bersama untuk menghasilkan hasil aliasing aset.
Alias aset
Alias aset menautkan nama host, alamat IP, alamat MAC, ID aset, dan metadata lainnya. Proses ini mencakup langkah-langkah berikut:
- Pengalihan nama EDR: Memetakan ID produk (ID aset) ke nama host.
Kolom pemetaan EDR berasal secara eksklusif dari jenis log
CS_EDR. - Alias DHCP: Menggunakan peristiwa DHCP untuk menautkan nama host, alamat MAC, dan alamat IP.
- Alias konteks aset: Mengaitkan indikator aset dengan data entity, seperti nama host, alamat IP, alamat MAC, versi software, dan status deployment.
Kolom terindeks pemetaan EDR
Google SecOps mengindeks kolom EDR MAPPING untuk membuat alias yang menautkan nama host dan ID khusus produk.
Tabel berikut mencantumkan kolom UDM dan jenis indikator yang sesuai:
| Kolom UDM | Jenis indikator |
|---|---|
| principal.hostname dan principal.asset.hostname | HOSTNAME |
| principal.asset_id dan principal.asset.asset_id | PRODUCT_SPECIFIC_ID |
Kolom terindeks DHCP
Google SecOps mengindeks data DHCP untuk membuat alias yang menautkan nama host, alamat IP, dan alamat MAC.
Tabel berikut mencantumkan kolom UDM dan jenis indikator terkait yang digunakan untuk pengalihan nama aset:
| Kolom UDM | Jenis indikator |
|---|---|
| principal.ip dan principal.asset.ip | ASSET_IP_ADDRESS |
| principal.mac dan principal.asset.mac | MAC |
| principal.hostname dan principal.asset.hostname | HOSTNAME |
| principal.asset_id dan principal.asset.asset_id | PRODUCT_SPECIFIC_ID |
| network.dhcp.yiaddr pada ACK, OFFER, WIN_DELETED, dan WIN_EXPIRED | ASSET_IP_ADDRESS |
| network.dhcp.ciaddr pada INFORM, RELEASE, dan REQUEST | ASSET_IP_ADDRESS |
| network.dhcp.requested_address pada DECLINE | ASSET_IP_ADDRESS |
| network.dhcp.chaddr | MAC |
| network.dhcp.client_hostname | HOSTNAME |
Kolom terindeks konteks aset
Google SecOps menyerap peristiwa ASSET_CONTEXT sebagai peristiwa konteks entitas, bukan peristiwa UDM.
Tabel berikut mencantumkan kolom entitas dan jenis indikator yang sesuai:
| Kolom entitas | Jenis indikator |
|---|---|
| entity.asset.product_object_id | PRODUCT_OBJECT_ID |
| entity.metadata.product_entity_id (jika ID objek produk untuk aset tidak ada) | PRODUCT_OBJECT_ID |
| entity.asset.asset_id | PRODUCT_SPECIFIC_ID |
| entity.asset.hostname | HOSTNAME |
| entity.asset.ip | ASSET_IP_ADDRESS |
| entity.asset.mac | MAC |
| entity.namespace | NAMESPACE |
Alias pengguna
Pembuatan alias pengguna menemukan informasi melalui indikator pengguna. Misalnya, dengan menggunakan alamat email karyawan, Anda dapat menemukan detail selengkapnya tentang karyawan tersebut, seperti nama, jabatan, dan status kepegawaiannya.
Pembuatan alias pengguna menggunakan jenis batch peristiwa USER_CONTEXT untuk pembuatan alias.
Kolom terindeks konteks pengguna
Google SecOps menyerap peristiwa USER_CONTEXT sebagai peristiwa konteks entitas, bukan peristiwa UDM.
Tabel berikut mencantumkan kolom entitas dan jenis indikator yang sesuai:
| Kolom entitas | Jenis indikator |
|---|---|
| entity.user.product_object_id | PRODUCT_OBJECT_ID |
| entity.metadata.product_entity_id (jika ID objek produk pengguna tidak ada) | PRODUCT_OBJECT_ID |
| entity.user.userid | USERNAME |
| entity.user.email_addresses | EMAIL |
| entity.user.windows_sid | WINDOWS_SID |
| entity.user.employee_id | EMPLOYEE_ID |
| entity.namespace | NAMESPACE |
Alias proses
Aliasing proses memetakan ID proses khusus produk (product_specific_process_id)
ke proses sebenarnya, dan mengambil informasi tentang proses induk.
Penggunaan alias proses menggunakan jenis batch peristiwa EDR untuk pembuatan alias.
Kolom terindeks EDR untuk pengubahan nama proses
Saat proses diluncurkan, metadata seperti command line, hash file, dan detail proses induk dikumpulkan. Software EDR yang berjalan di mesin menetapkan UUID proses khusus vendor.
Tabel berikut mencantumkan kolom yang diindeks selama peristiwa peluncuran proses:
| Kolom UDM | Jenis indikator |
|---|---|
| target.product_specific_process_id | PROCESS_ID |
| target.process | Seluruh proses; bukan hanya indikator |
Selain kolom target.process dari peristiwa yang dinormalisasi,
Google SecOps juga mengumpulkan dan mengindeks informasi proses induk.
Alias metadata hash file
Pengalihan nama metadata hash file mengidentifikasi metadata file, seperti hash file lain atau ukuran file, berdasarkan hash file tertentu (sha256, sha1, atau md5).
Penggunaan alias metadata hash file menggunakan jenis batch peristiwa FILE_CONTEXT untuk pemberian alias.
Kolom terindeks konteks file
Google SecOps menyerap peristiwa FILE_CONTEXT dari VirusTotal sebagai peristiwa konteks
entitas. Acara ini bersifat global dan tidak spesifik untuk pelanggan.
Tabel berikut mencantumkan kolom entitas yang diindeks dan jenis indikator yang sesuai:
| Kolom entitas | Jenis indikator |
|---|---|
| entity.file.sha256 | PRODUCT_OBJECT_ID |
entity.metadata.product_entity_id (jika file sha256 tidak ada) |
PRODUCT_OBJECT_ID |
| entity.file.md5 | HASH_MD5 |
| entity.file.sha1 | HASH_SHA1 |
| entity.file.sha256 | HASH_SHA256 |
| entity.namespace | NAMESPACE |
Penggunaan alias geolokasi IP
Aliasing geografis menyediakan data yang diperkaya geolokasi untuk alamat IP eksternal.
Untuk setiap alamat IP di kolom principal, target, atau src untuk peristiwa UDM,
jika alamat tidak memiliki alias, subproto ip_geo_artifact dibuat dengan
informasi lokasi dan ASN terkait.
Pengubahan nama geografis tidak menggunakan pencarian kembali atau caching. Karena volume peristiwa yang tinggi, Google SecOps mempertahankan indeks dalam memori. Indeks ini berasal dari MPM server sederhana IPGeo dan diperbarui setiap dua minggu.
Alias resource
Penggunaan alias resource menampilkan informasi resource cloud untuk ID resource tertentu. Misalnya, perintah ini dapat menampilkan informasi untuk instance Bigtable menggunakan Google Cloud URI-nya. Tidak menggunakan pencarian atau pen-cache-an.
Alias resource tidak memperkaya peristiwa UDM. Namun, beberapa produk, seperti Grafik Pemberitahuan, menggunakan pengalihan nama resource. Penamaan alias resource cloud menggunakan jenis batch peristiwa RESOURCE_CONTEXT.
Kolom terindeks konteks resource
Peristiwa konteks metadata resource cloud diserap sebagai peristiwa RESOURCE_CONTEXT.
Tabel berikut mencantumkan kolom entitas dan jenis entitas yang sesuai:
| Kolom entitas | Jenis indikator |
|---|---|
| entity.resource.product_object_id | PRODUCT_OBJECT_ID |
| entity.metadata.product_entity_id (jika ID objek produk untuk resource tidak ada) | PRODUCT_OBJECT_ID |
| entity.resource.name | CLOUD_RESOURCE_NAME |
| entity.namespace | NAMESPACE |
Pengayaan
Pengayaan menggunakan pembuatan alias untuk menambahkan konteks ke indikator atau peristiwa UDM dengan cara berikut:
- Mengidentifikasi entitas alias yang mendeskripsikan indikator, biasanya kolom UDM.
- Mengisi bagian terkait pesan UDM dengan nilai yang telah di-enrich dan ditautkan ke alias atau entity yang ditampilkan.
Pengayaan aset
Untuk setiap peristiwa UDM, pipeline akan mengekstrak kolom UDM berikut dari entitas
principal, src, dan target:
| Kolom UDM | Jenis Indikator |
|---|---|
| hostname | HOSTNAME |
| asset_id | PRODUCT_SPECIFIC_ID |
| mac | MAC |
| ip (IFF asset_id kosong) | IP |
Setiap indikator aset memiliki namespace. Namespace kosong dianggap valid. Untuk setiap indikator aset, pipeline melakukan tindakan berikut:
- Mengambil alias untuk waktu acara sepanjang hari.
- Membangun pesan
backstory.Assetdari respons pembuatan alias. - Memetakan setiap jenis kata benda dan indikator ke pesan backstory.Asset dan menggabungkan semua proto terkait.
- Menetapkan kolom aset tingkat teratas dan pesan proto
assetmenggunakan pesan latar belakang yang digabungkan.
Pengayaan pengguna
Untuk setiap peristiwa UDM, pipeline mengekstrak kolom UDM berikut dari
principal, src, dan target:
| Kolom UDM | Jenis indikator |
|---|---|
| email_addresses | EMAIL |
| userid | USERNAME |
| windows_sid | WINDOWS_SID |
| employee_id | EMPLOYEE_ID |
| product_object_id | PRODUCT_OBJECT_ID |
Untuk setiap indikator, pipeline melakukan tindakan berikut:
- Mengambil daftar entity pengguna. Misalnya, entity
principal.email_addressdanprincipal.useridmungkin sama, atau mungkin berbeda. - Memilih alias dari jenis indikator terbaik, menggunakan urutan prioritas ini:
WINDOWS_SID,EMAIL,USERNAME,EMPLOYEE_ID, danPRODUCT_OBJECT_ID. - Mengisi
noun.userdengan entitas yang interval validitasnya beririsan dengan waktu peristiwa.
Peningkatan proses
Untuk setiap peristiwa UDM, pipeline mengekstrak process.product_specific_process_id (PSPI) dari kolom berikut:
principalsrctargetprincipal.process.parent_processsrc.process.parent_processtarget.process.parent_process
Kemudian, pipeline menemukan proses sebenarnya dari PSPI menggunakan pengalihan nama proses,
yang juga menampilkan informasi tentang proses induk. Data ini digabungkan ke dalam
kolom noun.process terkait dalam pesan yang di-enrich.
Pengayaan artefak
Pengayaan artefak menambahkan metadata hash file dari VirusTotal dan lokasi IP dari data geolokasi. Untuk setiap peristiwa UDM, pipeline mengekstrak dan mengkueri data konteks
untuk indikator artefak ini dari entity principal, src, dan target:
- Alamat IP: Mengirim kueri data hanya jika data tersebut bersifat publik atau dapat dirutekan.
- Hash file: Mengirim kueri hash dalam urutan berikut:
file.sha256file.sha1file.md5process.file.sha256process.file.sha1process.file.md5
Pipeline menggunakan epoch UNIX dan jam peristiwa untuk menentukan rentang waktu kueri artefak file. Jika data geolokasi tersedia, pipeline akan mengganti kolom UDM berikut untuk principal, src, dan target masing-masing, berdasarkan asal data geolokasi:
artifact.ipartifact.locationartifact.network(hanya jika data menyertakan konteks jaringan IP)location(hanya jika data asli tidak menyertakan kolom ini)
Jika pipeline menemukan metadata hash file, pipeline akan menambahkan metadata tersebut ke kolom file atau process.file, bergantung pada asal indikator. Pipeline
mempertahankan nilai yang ada yang tidak tumpang-tindih dengan data baru.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.