Visão geral da inclusão de alias e do enriquecimento da UDM no Google Security Operations
Este documento fornece uma visão geral da criação de alias e do enriquecimento da UDM no Google Security Operations. Ele descreve casos de uso comuns e explica como o aliasing e o enriquecimento funcionam na plataforma.
O uso de alias e o enriquecimento de UDM são conceitos importantes no Google SecOps. Elas trabalham juntas, mas têm finalidades diferentes.
- O aliasing identifica os diferentes nomes e dados de contexto adicionais que descrevem um indicador.
- O enriquecimento usa o aliasing para adicionar contexto a um evento da UDM.
Por exemplo, um evento da UDM inclui o nome do host alex-macbook e indica que um hash de arquivo malicioso foi executado pelo usuário alex. Usando o aliasing, descobrimos que o nome do host alex-macbook recebeu o endereço IP 192.0.2.0 no momento do evento e que alex vai sair da empresa em duas semanas. A junção desses
pseudônimos ao evento original da UDM adiciona contexto.
Recursos de alias e enriquecimento compatíveis
O Google SecOps é compatível com alias e enriquecimento para o seguinte:
- Recursos
- Usuários
- Processos
- Metadados de hash de arquivo
- Localizações geográficas
- Recursos do Cloud
Como o aliasing funciona
O uso de alias permite o enriquecimento. Por exemplo, usando o aliasing, é possível encontrar outros endereços IP e MAC associados a um nome de host ou o cargo e o status de emprego associados a um ID de usuário.
Assim como outros recursos do Google SecOps, a criação de alias exige que os dados sejam ingeridos e indexados. O aliasing é organizado em três categorias principais:
- Dados específicos do cliente: dados exclusivos de um cliente. Por exemplo, somente
Aristocratpode fornecer dados paraamal@aristocrat.com. Os tipos de alias específicos do cliente incluem recursos, usuários e processos. - Dados globais: dados ingeridos e indexados que se aplicam a todos os clientes. Por exemplo, uma indicação de origem global sobre um arquivo malicioso pode ser usada para verificar a presença desse arquivo na sua empresa.
- Serviço de terceiros: pseudônimos criados por um provedor de serviços terceirizado. O Google SecOps usa serviços geográficos para encontrar a localização física dos endereços IP.
Esses tipos de alias são usados juntos para gerar resultados de alias de recursos.
Alias de recursos
O aliasing de recursos vincula nomes de host, endereços IP, endereços MAC, IDs de recursos e outros metadados. Isso envolve as seguintes etapas:
- Alias de EDR: mapeia IDs de produtos (IDs de recursos) para nomes de host.
Os campos de mapeamento de EDR são derivados exclusivamente do tipo de registro
CS_EDR. - Alias do DHCP: usa eventos do DHCP para vincular nomes de host, endereços MAC e endereços IP.
- Criação de alias de contexto de recurso: associa um indicador de recurso a dados de entidade, como nome do host, endereço IP, endereço MAC, versão do software e status de implantação.
Campos indexados de mapeamento de EDR
O Google SecOps indexa os campos de mapeamento de EDR para gerar aliases que vinculam nomes de host e IDs específicos de produtos.
A tabela a seguir lista os campos da UDM e os tipos de indicadores correspondentes:
| Campo do UDM | Tipo de indicador |
|---|---|
| principal.hostname e principal.asset.hostname | HOSTNAME |
| principal.asset_id e principal.asset.asset_id | PRODUCT_SPECIFIC_ID |
Campos indexados do DHCP
O Google SecOps indexa registros DHCP para gerar aliases que vinculam nomes de host, endereços IP e endereços MAC.
A tabela a seguir lista os campos da UDM e os tipos de indicadores correspondentes usados para o aliasing de recursos:
| Campo do UDM | Tipo de indicador |
|---|---|
| principal.ip e principal.asset.ip | ASSET_IP_ADDRESS |
| principal.mac e principal.asset.mac | MAC |
| principal.hostname e principal.asset.hostname | HOSTNAME |
| principal.asset_id e principal.asset.asset_id | PRODUCT_SPECIFIC_ID |
| network.dhcp.yiaddr em ACK, OFFER, WIN_DELETED e WIN_EXPIRED | ASSET_IP_ADDRESS |
| network.dhcp.ciaddr em INFORM, RELEASE e REQUEST | ASSET_IP_ADDRESS |
| network.dhcp.requested_address em DECLINE | ASSET_IP_ADDRESS |
| network.dhcp.chaddr | MAC |
| network.dhcp.client_hostname | HOSTNAME |
Campos indexados de contexto de recursos
O Google SecOps ingere eventos do ASSET_CONTEXT como eventos de contexto da entidade, e não como eventos do UDM.
A tabela a seguir lista os campos de entidade e os tipos de indicadores correspondentes:
| Campo de entidade | Tipo de indicador |
|---|---|
| entity.asset.product_object_id | PRODUCT_OBJECT_ID |
| entity.metadata.product_entity_id (se o ID do objeto do produto do recurso estiver faltando) | PRODUCT_OBJECT_ID |
| entity.asset.asset_id | PRODUCT_SPECIFIC_ID |
| entity.asset.hostname | HOSTNAME |
| entity.asset.ip | ASSET_IP_ADDRESS |
| entity.asset.mac | MAC |
| entity.namespace | NAMESPACE |
Alias de usuário
O pseudônimo de usuário encontra informações por um indicador de usuário. Por exemplo, usando um endereço de e-mail de funcionário, você pode encontrar mais detalhes sobre ele, como nome, cargo e status de emprego.
O alias de usuário usa o tipo de lote de eventos USER_CONTEXT para alias.
Campos indexados de contexto do usuário
O Google SecOps ingere eventos USER_CONTEXT como eventos de contexto da entidade, e não como eventos UDM.
A tabela a seguir lista os campos de entidade e os tipos de indicadores correspondentes:
| Campo de entidade | Tipo de indicador |
|---|---|
| entity.user.product_object_id | PRODUCT_OBJECT_ID |
| entity.metadata.product_entity_id (se o ID do objeto do produto do usuário estiver faltando) | PRODUCT_OBJECT_ID |
| entity.user.userid | USERNAME |
| entity.user.email_addresses | EMAIL |
| entity.user.windows_sid | WINDOWS_SID |
| entity.user.employee_id | EMPLOYEE_ID |
| entity.namespace | NAMESPACE |
Pseudônimos de processos
O alias de processo mapeia um ID de processo específico do produto (product_specific_process_id) para o processo real e recupera informações sobre o processo pai.
O alias de processo usa o tipo de lote de eventos da EDR para alias.
Campos indexados de EDR para alias de processo
Quando um processo é iniciado, metadados como linhas de comando, hashes de arquivo e detalhes do processo pai são coletados. O software EDR em execução na máquina atribui um UUID de processo específico do fornecedor.
A tabela a seguir lista os campos indexados durante um evento de início de processo:
| Campo do UDM | Tipo de indicador |
|---|---|
| target.product_specific_process_id | PROCESS_ID |
| target.process | Todo o processo, não apenas o indicador |
Além do campo target.process do evento normalizado, o Google SecOps também coleta e indexa informações do processo principal.
Alias de metadados de hash de arquivo
O alias de metadados de hash de arquivo identifica metadados de arquivo, como outros hashes ou tamanhos de arquivo, com base em um determinado hash de arquivo (sha256, sha1 ou md5).
O alias de metadados de hash de arquivo usa o tipo de lote de eventos FILE_CONTEXT para alias.
Campos indexados de contexto do arquivo
O Google SecOps ingere eventos FILE_CONTEXT do VirusTotal como eventos de contexto da entidade. Esses eventos são globais e não específicos do cliente.
A tabela a seguir lista os campos de entidade indexados e os tipos de indicadores correspondentes:
| Campo de entidade | Tipo de indicador |
|---|---|
| entity.file.sha256 | PRODUCT_OBJECT_ID |
entity.metadata.product_entity_id (se o arquivo sha256 estiver faltando) |
PRODUCT_OBJECT_ID |
| entity.file.md5 | HASH_MD5 |
| entity.file.sha1 | HASH_SHA1 |
| entity.file.sha256 | HASH_SHA256 |
| entity.namespace | NAMESPACE |
Alias de geolocalização de IP
O aliasing geográfico fornece dados enriquecidos com geolocalização para endereços IP externo.
Para cada endereço IP no campo principal, target ou src de um evento da UDM, se o endereço não tiver alias, um subprotocolo ip_geo_artifact será criado com as informações de local e ASN associadas.
O aliasing geográfico não usa lookback nem cache. Devido ao grande volume de eventos, o Google SecOps mantém um índice na memória. O índice é originado do MPM do servidor simples IPGeo e é atualizado a cada duas semanas.
Criação de alias de recursos
O alias de recurso retorna informações de recursos da nuvem para um determinado ID de recurso. Por exemplo, ele pode retornar informações de uma instância do Bigtable usando o URI Google Cloud . Ele não usa lookback nem armazenamento em cache.
O alias de recurso não enriquece os eventos da UDM. No entanto, alguns produtos, como o gráfico de alertas, usam alias de recursos. O alias de recursos do Google Cloud usa o tipo de lote de eventos RESOURCE_CONTEXT.
Campos indexados de contexto de recursos
Os eventos de contexto de metadados de recursos do Google Cloud são ingeridos como eventos RESOURCE_CONTEXT.
A tabela a seguir lista o campo de entidade e os tipos de entidade correspondentes:
| Campo de entidade | Tipo de indicador |
|---|---|
| entity.resource.product_object_id | PRODUCT_OBJECT_ID |
| entity.metadata.product_entity_id (se o ID do objeto do produto do recurso estiver faltando) | PRODUCT_OBJECT_ID |
| entity.resource.name | CLOUD_RESOURCE_NAME |
| entity.namespace | NAMESPACE |
Aprimoramento
O enriquecimento usa o aliasing para adicionar contexto a um indicador ou evento da UDM das seguintes maneiras:
- Identifica entidades de alias que descrevem um indicador, geralmente um campo da UDM.
- Preenche as partes relacionadas da mensagem da UDM com valores enriquecidos vinculados aos aliases ou entidades retornados.
Enriquecimento de recursos
Para cada evento da UDM, o pipeline extrai os seguintes campos das entidades principal, src e target:
| Campo de UDM | Tipo de indicador |
|---|---|
| hostname | HOSTNAME |
| asset_id | PRODUCT_SPECIFIC_ID |
| mac | MAC |
| ip (SE asset_id estiver vazio) | IP |
Cada indicador de recurso tem um namespace. O namespace vazio é tratado como válido. Para cada indicador de recurso, o pipeline executa as seguintes ações:
- Recupera os aliases do dia inteiro do horário do evento.
- Cria uma mensagem
backstory.Assetcom base na resposta de alias. - Mapeia cada tipo de substantivo e indicador para uma mensagem backstory.Asset e mescla todos os protos relacionados.
- Define os campos de recursos de nível superior e a mensagem proto
assetusando a mensagem backstory.Asset mesclada.
Enriquecimento de usuários
Para cada evento da UDM, o pipeline extrai os seguintes campos de principal, src e target:
| Campo do UDM | Tipo de indicador |
|---|---|
| email_addresses | EMAIL |
| userid | USERNAME |
| windows_sid | WINDOWS_SID |
| employee_id | EMPLOYEE_ID |
| product_object_id | PRODUCT_OBJECT_ID |
Para cada indicador, o pipeline executa as seguintes ações:
- Recupera uma lista de entidades de usuário. Por exemplo, as entidades de
principal.email_addresseprincipal.useridpodem ser iguais ou diferentes. - Escolhe os aliases do melhor tipo de indicador, usando esta ordem de prioridade:
WINDOWS_SID,EMAIL,USERNAME,EMPLOYEE_IDePRODUCT_OBJECT_ID. - Preenche
noun.usercom a entidade cujo intervalo de validade se cruza com o horário do evento.
Enriquecimento de processos
Para cada evento da UDM, o pipeline extrai process.product_specific_process_id (PSPI) dos seguintes campos:
principalsrctargetprincipal.process.parent_processsrc.process.parent_processtarget.process.parent_process
Em seguida, o pipeline encontra o processo real do PSPI usando o alias de processo,
que também retorna informações sobre o processo principal. Ele mescla esses dados no campo noun.process relacionado na mensagem enriquecida.
Enriquecimento de artefatos
O enriquecimento de artefatos adiciona metadados de hash de arquivo do VirusTotal e locais de IP de dados de geolocalização. Para cada evento do UDM, o pipeline extrai e consulta dados de contexto para esses indicadores de artefato das entidades principal, src e target:
- Endereço IP: consulta dados somente se eles forem públicos ou roteáveis.
- Hashes de arquivo: consulta hashes na seguinte ordem:
file.sha256file.sha1file.md5process.file.sha256process.file.sha1process.file.md5
O pipeline usa a época UNIX e a hora do evento para definir o intervalo de tempo das consultas de artefato de arquivo. Se os dados de geolocalização estiverem disponíveis, o pipeline vai substituir os seguintes campos da UDM para os respectivos principal, src e target, com base na origem dos dados de geolocalização:
artifact.ipartifact.locationartifact.network(somente se os dados incluírem o contexto da rede IP)location(somente se os dados originais não incluírem esse campo)
Se o pipeline encontrar metadados de hash de arquivo, ele os adicionará aos campos de arquivo ou process.file, dependendo de onde o indicador vem. O pipeline mantém os valores atuais que não se sobrepõem aos novos dados.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.