Google Security Operations 中的別名和 UDM 擴充功能總覽
本文將概略說明 Google Security Operations 中的別名和 UDM 擴充功能。本文將說明常見用途,並解釋平台中的別名和擴充功能運作方式。
別名和 UDM 擴充是 Google SecOps 的重要概念。兩者會一起運作,但用途不同。
- 別名會識別描述指標的不同名稱和額外背景資訊資料。
- 擴充功能會使用別名,為 UDM 事件新增背景資訊。
舉例來說,UDM 事件包含主機名稱 alex-macbook,並指出使用者 alex 執行了惡意檔案雜湊。使用別名後,我們發現主機名稱 alex-macbook 在事件發生時獲派 IP 位址 192.0.2.0,且 alex 將在 2 週後離職。將這些別名併入原始 UDM 事件,即可新增背景資訊。
支援的別名和擴充功能
Google SecOps 支援下列項目的別名和擴充功能:
- 資產
- 使用者
- 程序
- 檔案雜湊中繼資料
- 地理位置
- 雲端資源
別名運作方式
別名可啟用補充功能。舉例來說,您可以使用別名,找出與主機名稱相關聯的其他 IP 位址和 MAC 位址,或是與使用者 ID 相關聯的職稱和雇用狀態。
與 Google SecOps 中的其他功能一樣,別名功能需要擷取及編製資料索引。別名分為三類:
- 客戶專屬資料:客戶專屬資料。舉例來說,只有
Aristocrat可以提供amal@aristocrat.com的資料。客戶專屬別名類型包括資產、使用者和程序。 - 全域資料:適用於所有客戶的已擷取及已建立索引資料。舉例來說,您可以根據全球來源的惡意檔案指標,檢查企業中是否有該檔案。
- 第三方服務:由第三方服務供應商完成別名設定。 Google SecOps 會使用地理位置服務,找出 IP 位址的實際位置。
系統會一併使用這些別名類型,產生資產別名結果。
資產別名
資產別名會連結主機名稱、IP 位址、MAC 位址、資產 ID 和其他中繼資料。其中包含下列步驟:
- EDR 別名:將產品 ID (資產 ID) 對應至主機名稱。
EDR 對應欄位只會衍生自
CS_EDR記錄類型。 - DHCP 別名:使用 DHCP 事件連結主機名稱、MAC 位址和 IP 位址。
- 資產內容別名:將資產指標與實體資料建立關聯,例如主機名稱、IP 位址、MAC 位址、軟體版本和部署狀態。
EDR 對應索引欄位
Google SecOps 會為 EDR MAPPING 欄位建立索引,產生別名,連結主機名稱和產品專屬 ID。
下表列出 UDM 欄位和對應的指標類型:
| UDM 欄位 | 指標類型 |
|---|---|
| principal.hostname 和 principal.asset.hostname | HOSTNAME |
| principal.asset_id 和 principal.asset.asset_id | PRODUCT_SPECIFIC_ID |
已建立索引的 DHCP 欄位
Google SecOps 會為 DHCP 記錄建立索引,產生可連結主機名稱、IP 位址和 MAC 位址的別名。
下表列出 UDM 欄位,以及用於資產別名的對應指標類型:
| UDM 欄位 | 指標類型 |
|---|---|
| principal.ip 和 principal.asset.ip | ASSET_IP_ADDRESS |
| principal.mac 和 principal.asset.mac | MAC |
| principal.hostname 和 principal.asset.hostname | HOSTNAME |
| principal.asset_id 和 principal.asset.asset_id | PRODUCT_SPECIFIC_ID |
| network.dhcp.yiaddr (ACK、OFFER、WIN_DELETED 和 WIN_EXPIRED) | ASSET_IP_ADDRESS |
| INFORM、RELEASE 和 REQUEST 上的 network.dhcp.ciaddr | ASSET_IP_ADDRESS |
| network.dhcp.requested_address on DECLINE | ASSET_IP_ADDRESS |
| network.dhcp.chaddr | MAC |
| network.dhcp.client_hostname | HOSTNAME |
已建立索引的資產內容欄位
Google SecOps 會將 ASSET_CONTEXT 事件擷取為實體背景資訊事件,而不是 UDM 事件。
下表列出實體欄位和對應的指標類型:
| 實體欄位 | 指標類型 |
|---|---|
| entity.asset.product_object_id | PRODUCT_OBJECT_ID |
| entity.metadata.product_entity_id (如果資產缺少產品物件 ID) | PRODUCT_OBJECT_ID |
| entity.asset.asset_id | PRODUCT_SPECIFIC_ID |
| entity.asset.hostname | HOSTNAME |
| entity.asset.ip | ASSET_IP_ADDRESS |
| entity.asset.mac | MAC |
| entity.namespace | NAMESPACE |
使用者別名
使用者別名會透過使用者指標尋找資訊。舉例來說,您可以使用員工電子郵件地址,查看該員工的詳細資料,例如姓名、職稱和雇用狀態。使用者別名會使用 USER_CONTEXT 事件批次類型來建立別名。
使用者情境索引欄位
Google SecOps 會將 USER_CONTEXT 事件擷取為實體背景資訊事件,而不是 UDM 事件。
下表列出實體欄位和對應的指標類型:
| 實體欄位 | 指標類型 |
|---|---|
| entity.user.product_object_id | PRODUCT_OBJECT_ID |
| entity.metadata.product_entity_id (如果缺少使用者產品物件 ID) | PRODUCT_OBJECT_ID |
| entity.user.userid | USERNAME |
| entity.user.email_addresses | EMAIL |
| entity.user.windows_sid | WINDOWS_SID |
| entity.user.employee_id | EMPLOYEE_ID |
| entity.namespace | NAMESPACE |
程序別名
程序別名會將產品專屬程序 ID (product_specific_process_id) 對應至實際程序,並擷取父項程序的相關資訊。程序別名化會使用 EDR 事件批次類型進行別名化。
用於程序別名的 EDR 索引欄位
啟動程序時,系統會收集指令列、檔案雜湊和父項程序詳細資料等中繼資料。機器上執行的 EDR 軟體會指派廠商專屬的程序 UUID。
下表列出程序啟動事件期間建立索引的欄位:
| UDM 欄位 | 指標類型 |
|---|---|
| target.product_specific_process_id | PROCESS_ID |
| target.process | 整個程序,而不只是指標 |
除了標準化事件中的 target.process 欄位,Google SecOps 也會收集並建立父項程序資訊的索引。
檔案雜湊中繼資料別名
檔案雜湊中繼資料別名會根據指定的檔案雜湊 (sha256、sha1 或 md5),識別檔案中繼資料,例如其他檔案雜湊或檔案大小。檔案雜湊中繼資料別名化會使用 FILE_CONTEXT 事件批次類型別名化。
已建立索引的檔案內容欄位
Google SecOps 會從 VirusTotal 擷取 FILE_CONTEXT 事件,做為實體背景資訊事件。這些活動是全球性活動,不限於特定客戶。
下表列出已建立索引的實體欄位,以及對應的指標類型:
| 實體欄位 | 指標類型 |
|---|---|
| entity.file.sha256 | PRODUCT_OBJECT_ID |
entity.metadata.product_entity_id (如果缺少檔案 sha256) |
PRODUCT_OBJECT_ID |
| entity.file.md5 | HASH_MD5 |
| entity.file.sha1 | HASH_SHA1 |
| entity.file.sha256 | HASH_SHA256 |
| entity.namespace | NAMESPACE |
IP 地理位置別名
地理別名功能可提供外部 IP 位址的地理位置資訊。針對 UDM 事件的 principal、target 或 src 欄位中的每個 IP 位址,如果位址未別名化,系統會建立 ip_geo_artifact 子通訊協定,並提供相關聯的位置和 ASN 資訊。
地理別名不會使用回溯或快取功能。由於事件數量龐大,Google SecOps 會在記憶體中維護索引。這個索引的來源是 IPGeo 簡單伺服器 MPM,每兩週更新一次。
資源別名
資源別名會傳回指定資源 ID 的雲端資源資訊。舉例來說,您可以使用 Bigtable 執行個體的 Google Cloud URI 傳回相關資訊。不會使用回溯或快取。
資源別名不會擴充 UDM 事件。不過,部分產品 (例如 Alert Graph) 會使用資源別名。雲端資源別名會使用 RESOURCE_CONTEXT 事件批次類型。
資源內容已建立索引的欄位
Cloud 資源中繼資料內容事件會以 RESOURCE_CONTEXT 事件的形式擷取。
下表列出實體欄位和對應的實體類型:
| 實體欄位 | 指標類型 |
|---|---|
| entity.resource.product_object_id | PRODUCT_OBJECT_ID |
| entity.metadata.product_entity_id (如果資源的產品物件 ID 遺失) | PRODUCT_OBJECT_ID |
| entity.resource.name | CLOUD_RESOURCE_NAME |
| entity.namespace | NAMESPACE |
擴充
強化功能會使用別名,以以下方式為 UDM 指標或事件新增背景資訊:
- 識別描述指標的別名實體,通常是 UDM 欄位。
- 使用與傳回別名或實體相關的擴充值,填入 UDM 訊息的相關部分。
素材資源充實功能
針對每個 UDM 事件,管道會從 principal、src 和 target 實體中擷取下列 UDM 欄位:
| UDM 欄位 | 指標類型 |
|---|---|
| hostname | HOSTNAME |
| asset_id | PRODUCT_SPECIFIC_ID |
| mac | MAC |
| ip (IFF asset_id 為空白) | IP |
每個資產指標都有命名空間。空白命名空間會視為有效。管道會針對每個資產指標執行下列動作:
- 擷取活動時間全天的別名。
- 從別名回應建構
backstory.Asset訊息。 - 將每個名詞類型和指標對應至背景故事。資產訊息並合併所有相關的 Proto。
- 使用合併的背景故事設定頂層素材資源欄位和
assetproto 訊息。素材資源訊息。
使用者資訊擴充
針對每個 UDM 事件,管道會從 principal、src 和 target 中擷取下列 UDM 欄位:
| UDM 欄位 | 指標類型 |
|---|---|
| email_addresses | EMAIL |
| userid | USERNAME |
| windows_sid | WINDOWS_SID |
| employee_id | EMPLOYEE_ID |
| product_object_id | PRODUCT_OBJECT_ID |
管道會對每個指標執行下列動作:
- 擷取使用者實體清單。舉例來說,
principal.email_address和principal.userid的實體可能相同,也可能不同。 - 從最佳指標類型中選擇別名,優先順序如下:
WINDOWS_SID、EMAIL、USERNAME、EMPLOYEE_ID和PRODUCT_OBJECT_ID。 - 系統會填入
noun.user,其中包含有效間隔與事件時間相交的實體。
程序擴增
對於每個 UDM 事件,管道會從下列欄位擷取 process.product_specific_process_id (PSPI):
principalsrctargetprincipal.process.parent_processsrc.process.parent_processtarget.process.parent_process
然後,管道會使用程序別名,從 PSPI 找出實際程序,這也會傳回父項程序的相關資訊。並將這些資料合併至已擴充郵件的相關 noun.process 欄位。
構件充實
構件強化功能會從 VirusTotal 新增檔案雜湊中繼資料,並從地理位置資料新增 IP 位置。對於每個 UDM 事件,管道會從 principal、src 和 target 實體中,擷取並查詢這些構件指標的內容資料:
- IP 位址:只有在資料公開或可路由傳輸時,才能查詢資料。
- 檔案雜湊:依下列順序查詢雜湊:
file.sha256file.sha1file.md5process.file.sha256process.file.sha1process.file.md5
管道會使用 UNIX 紀元和事件時數,定義檔案構件查詢的時間範圍。如果提供地理位置資料,管道會根據地理位置資料的來源,覆寫相應 principal、src 和 target 的下列 UDM 欄位:
artifact.ipartifact.locationartifact.network(僅限資料包含 IP 網路環境時)location(僅限原始資料未包含這個欄位的情況)
如果管道找到檔案雜湊中繼資料,系統會將該中繼資料新增至檔案或 process.file 欄位,視指標來源而定。如果現有值與新資料不重疊,管道會保留這些值。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。