Panoramica dell'assegnazione di alias e dell'arricchimento UDM in Google Security Operations
Questo documento fornisce una panoramica dell'assegnazione di alias e dell'arricchimento UDM in Google Security Operations. Descrive i casi d'uso comuni e spiega come funzionano gli alias e l'arricchimento all'interno della piattaforma.
La creazione di alias e l'arricchimento UDM sono concetti chiave in Google SecOps. Funzionano insieme, ma hanno scopi diversi.
- L'assegnazione di alias identifica i diversi nomi e i dati di contesto aggiuntivi che descrivono un indicatore.
- L'arricchimento utilizza gli alias per aggiungere contesto a un evento UDM.
Ad esempio, un evento UDM include il nome host alex-macbook e indica che un hash di file dannoso è stato eseguito dall'utente alex. Utilizzando gli alias, abbiamo scoperto che all'hostname alex-macbook è stato assegnato l'indirizzo IP 192.0.2.0 al momento dell'evento e che alex lascerà l'azienda tra due settimane. L'unione di questi
alias nell'evento UDM originale aggiunge contesto.
Funzionalità di alias e arricchimento supportate
Google SecOps supporta l'assegnazione di alias e l'arricchimento per quanto segue:
- Asset
- Utenti
- Processi
- Metadati hash file
- Località geografiche
- Risorse cloud
Come funziona l'assegnazione di alias
L'assegnazione di alias consente l'arricchimento. Ad esempio, utilizzando gli alias, puoi trovare altri indirizzi IP e indirizzi MAC associati a un nome host oppure la qualifica e lo stato occupazionale associati a un ID utente.
Come altre funzionalità di Google SecOps, l'assegnazione di alias richiede l'importazione e l'indicizzazione dei dati. L'assegnazione di alias è organizzata in tre categorie principali:
- Dati specifici del cliente: dati univoci per un cliente. Ad esempio, solo
Aristocratpuò fornire dati peramal@aristocrat.com. I tipi di alias specifici per il cliente includono asset, utenti e processi. - Dati globali: dati importati e indicizzati che si applicano a tutti i clienti. Ad esempio, un'indicazione di origine globale su un file dannoso può essere utilizzata per verificare la presenza di quel file nella tua azienda.
- Servizio di terze parti: aliasing eseguito da un fornitore di servizi di terze parti. Google SecOps utilizza i servizi geografici per trovare la posizione fisica degli indirizzi IP.
Questi tipi di alias vengono utilizzati insieme per generare i risultati dell'alias degli asset.
Alias degli asset
L'assegnazione di alias alle risorse collega nomi host, indirizzi IP, indirizzi MAC, ID risorsa e altri metadati. che include i seguenti passaggi:
- Alias EDR: mappa gli ID prodotto (ID risorsa) ai nomi host.
I campi di mappatura EDR derivano esclusivamente dal tipo di log
CS_EDR. - Alias DHCP: utilizza gli eventi DHCP per collegare nomi host, indirizzi MAC e indirizzi IP.
- Assegnazione di alias al contesto delle risorse: associa un indicatore di asset ai dati dell'entità, come nome host, indirizzo IP, indirizzo MAC, versione software e stato di implementazione.
Campi indicizzati della mappatura delle richieste di divulgazione di dati per emergenze
Google SecOps indicizza i campi EDR MAPPING per generare alias che collegano nomi host e ID specifici del prodotto.
La tabella seguente elenca i campi UDM e i relativi tipi di indicatori:
| Campo UDM | Tipo di indicatore |
|---|---|
| principal.hostname e principal.asset.hostname | HOSTNAME |
| principal.asset_id e principal.asset.asset_id | PRODUCT_SPECIFIC_ID |
Campi indicizzati DHCP
Google SecOps indicizza i record DHCP per generare alias che collegano nomi host, indirizzi IP e indirizzi MAC.
La tabella seguente elenca i campi UDM e i relativi tipi di indicatori utilizzati per l'assegnazione di alias alle risorse:
| Campo UDM | Tipo di indicatore |
|---|---|
| principal.ip e principal.asset.ip | ASSET_IP_ADDRESS |
| principal.mac e principal.asset.mac | MAC |
| principal.hostname e principal.asset.hostname | HOSTNAME |
| principal.asset_id e principal.asset.asset_id | PRODUCT_SPECIFIC_ID |
| network.dhcp.yiaddr su ACK, OFFER, WIN_DELETED e WIN_EXPIRED | ASSET_IP_ADDRESS |
| network.dhcp.ciaddr su INFORM, RELEASE e REQUEST | ASSET_IP_ADDRESS |
| network.dhcp.requested_address su DECLINE | ASSET_IP_ADDRESS |
| network.dhcp.chaddr | MAC |
| network.dhcp.client_hostname | HOSTNAME |
Campi indicizzati del contesto delle risorse
Google SecOps inserisce gli eventi ASSET_CONTEXT come eventi di contesto dell'entità,
anziché come eventi UDM.
La tabella seguente elenca i campi delle entità e i relativi tipi di indicatori:
| Campo entità | Tipo di indicatore |
|---|---|
| entity.asset.product_object_id | PRODUCT_OBJECT_ID |
| entity.metadata.product_entity_id (se manca l'ID oggetto prodotto per la risorsa) | PRODUCT_OBJECT_ID |
| entity.asset.asset_id | PRODUCT_SPECIFIC_ID |
| entity.asset.hostname | HOSTNAME |
| entity.asset.ip | ASSET_IP_ADDRESS |
| entity.asset.mac | MAC |
| entity.namespace | NAMESPACE |
Assegnazione di alias utente
L'assegnazione di alias all'utente trova informazioni tramite un indicatore utente. Ad esempio, utilizzando un indirizzo email del dipendente, puoi trovare maggiori dettagli su di lui, come nome, qualifica e stato lavorativo.
L'assegnazione di alias utente utilizza il tipo di batch di eventi USER_CONTEXT per l'assegnazione di alias.
Campi indicizzati del contesto utente
Google SecOps inserisce gli eventi USER_CONTEXT come eventi di contesto dell'entità,
anziché come eventi UDM.
La tabella seguente elenca i campi delle entità e i relativi tipi di indicatori:
| Campo entità | Tipo di indicatore |
|---|---|
| entity.user.product_object_id | PRODUCT_OBJECT_ID |
| entity.metadata.product_entity_id (se manca l'ID oggetto prodotto dell'utente) | PRODUCT_OBJECT_ID |
| entity.user.userid | USERNAME |
| entity.user.email_addresses | EMAIL |
| entity.user.windows_sid | WINDOWS_SID |
| entity.user.employee_id | EMPLOYEE_ID |
| entity.namespace | NAMESPACE |
Alias dei processi
L'assegnazione di alias del processo mappa un ID processo specifico del prodotto (product_specific_process_id)
al processo effettivo e recupera informazioni sul processo padre.
L'assegnazione di alias del processo utilizza il tipo di batch di eventi EDR per l'assegnazione di alias.
Campi indicizzati EDR per l'assegnazione di alias ai processi
Quando viene avviato un processo, vengono raccolti metadati come righe di comando, hash dei file e dettagli del processo padre. Il software EDR in esecuzione sulla macchina assegna un UUID di processo specifico del fornitore.
La tabella seguente elenca i campi indicizzati durante un evento di avvio del processo:
| Campo UDM | Tipo di indicatore |
|---|---|
| target.product_specific_process_id | PROCESS_ID |
| target.process | L'intero processo, non solo l'indicatore |
Oltre al campo target.process dell'evento normalizzato,
Google SecOps raccoglie e indicizza anche le informazioni sul processo padre.
Alias dei metadati dell'hash file
L'assegnazione di alias ai metadati hash dei file identifica i metadati dei file, ad esempio altri hash dei file
o dimensioni dei file, in base a un determinato hash del file (sha256, sha1 o md5).
L'assegnazione di alias ai metadati hash del file utilizza il tipo di batch di eventi FILE_CONTEXT per l'assegnazione di alias.
Campi indicizzati del contesto del file
Google SecOps acquisisce gli eventi FILE_CONTEXT da VirusTotal come eventi di contesto dell'entità. Questi eventi sono globali e non specifici per i clienti.
La tabella seguente elenca i campi delle entità indicizzati e i relativi tipi di indicatori:
| Campo entità | Tipo di indicatore |
|---|---|
| entity.file.sha256 | PRODUCT_OBJECT_ID |
entity.metadata.product_entity_id (se il file sha256 è mancante) |
PRODUCT_OBJECT_ID |
| entity.file.md5 | HASH_MD5 |
| entity.file.sha1 | HASH_SHA1 |
| entity.file.sha256 | HASH_SHA256 |
| entity.namespace | NAMESPACE |
Alias di geolocalizzazione IP
L'aliasing geografico fornisce dati arricchiti con la geolocalizzazione per gli indirizzi IP esterni.
Per ogni indirizzo IP nel campo principal, target o src per un evento UDM,
se l'indirizzo non è alias, viene creato un subprotocollo ip_geo_artifact con
le informazioni su posizione e ASN associate.
L'aliasing geografico non utilizza il periodo di osservazione o la memorizzazione nella cache. A causa dell'elevato volume di eventi, Google SecOps mantiene un indice in memoria. L'indice proviene dal server semplice MPM IPGeo e viene aggiornato ogni due settimane.
Alias delle risorse
L'assegnazione di alias alle risorse restituisce informazioni sulle risorse cloud per un determinato ID risorsa. Ad esempio, può restituire informazioni per un'istanza Bigtable utilizzando il relativo URI. Google Cloud Non utilizza il lookback o la memorizzazione nella cache.
L'assegnazione di alias alle risorse non arricchisce gli eventi UDM. Tuttavia, alcuni prodotti, come Alert
Graph, utilizzano gli alias delle risorse. L'assegnazione di alias alle risorse cloud utilizza il tipo di batch di eventi RESOURCE_CONTEXT.
Campi indicizzati del contesto della risorsa
Gli eventi di contesto dei metadati delle risorse cloud vengono importati come eventi RESOURCE_CONTEXT.
La seguente tabella elenca il campo dell'entità e i relativi tipi di entità:
| Campo entità | Tipo di indicatore |
|---|---|
| entity.resource.product_object_id | PRODUCT_OBJECT_ID |
| entity.metadata.product_entity_id (se manca l'ID oggetto prodotto per la risorsa) | PRODUCT_OBJECT_ID |
| entity.resource.name | CLOUD_RESOURCE_NAME |
| entity.namespace | NAMESPACE |
Arricchimento
L'arricchimento utilizza gli alias per aggiungere contesto a un indicatore o a un evento UDM nei seguenti modi:
- Identifica le entità alias che descrivono un indicatore, in genere un campo UDM.
- Compila le parti correlate del messaggio UDM con valori arricchiti collegati agli alias o alle entità restituiti.
Arricchimento degli asset
Per ogni evento UDM, la pipeline estrae i seguenti campi UDM dalle entità principal, src e target:
| Campo UDM | Tipo di indicatore |
|---|---|
| hostname | HOSTNAME |
| asset_id | PRODUCT_SPECIFIC_ID |
| mac | MAC |
| ip (se asset_id è vuoto) | IP |
Ogni indicatore di asset ha uno spazio dei nomi. Lo spazio dei nomi vuoto viene considerato valido. Per ogni indicatore di asset, la pipeline esegue le seguenti azioni:
- Recupera gli alias per l'intera giornata dell'ora dell'evento.
- Crea un messaggio
backstory.Assetdalla risposta di aliasing. - Mappa ogni tipo di sostantivo e indicatore a una backstory.Asset message e unisce tutti i proto correlati.
- Imposta i campi degli asset di primo livello e il messaggio proto
assetutilizzando la backstory unita.Asset message.
Arricchimento degli utenti
Per ogni evento UDM, la pipeline estrae i seguenti campi UDM da
principal, src e target:
| Campo UDM | Tipo di indicatore |
|---|---|
| email_addresses | EMAIL |
| userid | USERNAME |
| windows_sid | WINDOWS_SID |
| employee_id | EMPLOYEE_ID |
| product_object_id | PRODUCT_OBJECT_ID |
Per ogni indicatore, la pipeline esegue le seguenti azioni:
- Recupera un elenco di entità utente. Ad esempio, le entità di
principal.email_addresseprincipal.useridpotrebbero essere uguali o diverse. - Sceglie gli alias dal miglior tipo di indicatore, utilizzando questo ordine di priorità:
WINDOWS_SID,EMAIL,USERNAME,EMPLOYEE_IDePRODUCT_OBJECT_ID. - Compila
noun.usercon l'entità il cui intervallo di validità interseca l'ora dell'evento.
Arricchimento del processo
Per ogni evento UDM, la pipeline estrae process.product_specific_process_id (PSPI) dai seguenti campi:
principalsrctargetprincipal.process.parent_processsrc.process.parent_processtarget.process.parent_process
La pipeline trova quindi il processo effettivo dal PSPI utilizzando l'aliasing del processo,
che restituisce anche informazioni sul processo padre. Unisce questi dati nel campo noun.process correlato del messaggio arricchito.
Arricchimento degli artefatti
L'arricchimento degli artefatti aggiunge i metadati hash dei file da VirusTotal e le posizioni IP dai dati di geolocalizzazione. Per ogni evento UDM, la pipeline estrae ed esegue query sui dati di contesto
per questi indicatori di artefatti dalle entità principal, src e target:
- Indirizzo IP: esegue query sui dati solo se sono pubblici o instradabili.
- Hash dei file: esegue query sugli hash nel seguente ordine:
file.sha256file.sha1file.md5process.file.sha256process.file.sha1process.file.md5
La pipeline utilizza l'epoca UNIX e l'ora dell'evento per definire l'intervallo di tempo per le query sugli artefatti dei file. Se i dati di geolocalizzazione sono disponibili, la pipeline sovrascrive i seguenti campi UDM per i rispettivi principal, src e target, in base all'origine dei dati di geolocalizzazione:
artifact.ipartifact.locationartifact.network(solo se i dati includono il contesto della rete IP)location(solo se i dati originali non includono questo campo)
Se la pipeline trova i metadati hash del file, li aggiunge al file o
ai campi process.file, a seconda della provenienza dell'indicatore. La pipeline
mantiene tutti i valori esistenti che non si sovrappongono ai nuovi dati.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.