In che modo Google Security Operations arricchisce i dati su eventi ed entità
Questo documento descrive come Google Security Operations arricchisce i dati e i campi Unified Data Model (UDM) in cui sono archiviati i dati.
Per consentire un'indagine sulla sicurezza, Google Security Operations importa dati contestuali da diverse origini, esegue analisi sui dati e fornisce un contesto aggiuntivo sugli artefatti in un ambiente del cliente. gli analisti possono usare dati arricchiti con contesto nelle regole di Detection Engine, nelle ricerche investigative o nei report.
Google Security Operations esegue i seguenti tipi di arricchimento:
- Arricchisce le entità utilizzando il grafico delle entità e l'unione.
- Calcola e arricchisce ogni entità con una statistica di prevalenza che indica la sua popolarità nell'ambiente.
- Calcola la prima volta che determinati tipi di entità sono stati visualizzati nell'ambiente o la data più recente.
- Arricchisce le entità con informazioni provenienti dagli elenchi di minacce di Navigazione sicura.
- Arricchisce gli eventi con i dati di geolocalizzazione.
- Arricchisce le entità con i dati WHOIS.
- Arricchisce gli eventi con i metadati dei file di VirusTotal.
- Arricchisce le entità con i dati sulle relazioni di VirusTotal.
- Importa e archivia i dati di Google Cloud Threat Intelligence.
I dati estesi di WHOIS, Navigazione sicura, GCTI Threat Intelligence,
dei metadati di VirusTotal e della relazione con VirusTotal sono identificati da event_type
, product_name
e vendor_name
. Quando crei una regola che utilizza questi dati estesi, ti consigliamo di includere nella regola un filtro che identifichi il tipo specifico di arricchimento da includere. Questo filtro consente di migliorare il rendimento della regola.
Ad esempio, includi i seguenti campi filtro nella sezione events
della regola che unisce i dati WHOIS.
$enrichment.graph.metadata.entity_type = "DOMAIN_NAME"
$enrichment.graph.metadata.product_name = "WHOISXMLAPI Simple Whois"
$enrichment.graph.metadata.vendor_name = "WHOIS"
Arricchisci le entità utilizzando il grafico delle entità e unendole
Il grafico delle entità identifica le relazioni tra entità e risorse nel tuo ambiente. Quando in Google Security Operations vengono importate entità di origini diverse, il grafico delle entità mantiene un elenco adiacente in base alla relazione tra le entità. Il grafico delle entità consente di arricchire il contesto eseguendo la deduplicazione e l'unione.
Durante la deduplicazione, i dati ridondanti vengono eliminati e vengono creati intervalli per creare un'entità comune. Ad esempio, considera due entità e1
e e2
con timestamp t1
e t2
rispettivamente. Le entità e1
e e2
vengono deduplicate e i timestamp diversi non vengono utilizzati durante la deduplicazione. I seguenti campi non vengono utilizzati durante la deduplicazione:
collected_timestamp
creation_timestamp
interval
Durante l'unione, vengono create relazioni tra le entità per un intervallo di tempo di un giorno. Ad esempio, si considera un record di entità user A
che ha accesso a un bucket Cloud Storage. Esiste un altro record di entità di user A
che possiede un dispositivo. Dopo l'unione, queste due entità generano una singola entità user A
con due relazioni. Una relazione è che user A
ha accesso al bucket Cloud Storage, mentre l'altra relazione è che il dispositivo è user A
. Google Security Operations esegue una finestra temporale
di cinque giorni quando crea i dati contestuali delle entità. Questo gestisce i dati in arrivo in ritardo e crea una
durata implicita in base ai dati di contesto dell'entità.
Google Security Operations utilizza gli alias per arricchire i dati telemetrici e utilizza grafici delle entità per arricchire le entità. Le regole del motore di rilevamento uniscono le entità unite ai dati di telemetria estesi per fornire analisi sensibili al contesto.
Un evento che contiene un nome di entità è considerato un'entità. Ecco alcuni tipi di eventi e i tipi di entità corrispondenti:
ASSET_CONTEXT
corrisponde aASSET
.RESOURCE_CONTEXT
corrisponde aRESOURCE
.USER_CONTEXT
corrisponde aUSER
.GROUP_CONTEXT
corrisponde aGROUP
.
Il grafico delle entità consente di distinguere tra dati contestuali e indicatori di compromissione (IOC) utilizzando le informazioni sulle minacce.
Quando utilizzi dati estesi in base al contesto, considera il seguente comportamento del grafico delle entità:
- Non aggiungere intervalli nell'entità, ma lascia che il grafico delle entità crei intervalli. Questo perché gli intervalli vengono generati durante la deduplicazione, se non diversamente specificato.
- Se gli intervalli sono specificati, solo gli stessi eventi vengono deduplicati e viene mantenuta l'entità più recente.
- Per garantire che le regole attive e le ricerche a posteriori funzionino come previsto, le entità devono essere importate almeno una volta al giorno.
- Se le entità non vengono importate quotidianamente e solo una volta ogni due o più giorni, le regole attive potrebbero funzionare come previsto, ma le modifiche a posteriori potrebbero perdere il contesto dell'evento.
- Se le entità vengono importate più di una volta al giorno, l'entità viene deduplicata in una singola entità.
- Se i dati sugli eventi non sono disponibili per un giorno, vengono utilizzati temporaneamente i dati del giorno precedente per garantire il corretto funzionamento delle regole attive.
Il grafico delle entità unisce anche gli eventi con identificatori simili per ottenere una visualizzazione consolidata dei dati. Questa unione avviene in base al seguente elenco di identificatori:
Asset
entity.asset.product_object_id
entity.asset.hostname
entity.asset.asset_id
entity.asset.mac
User
entity.user.product_object_id
entity.user.userid
entity.user.windows_sid
entity.user.email_addresses
entity.user.employee_id
Resource
entity.resource.product_object_id
entity.resource.name
Group
entity.group.product_object_id
entity.group.email_addresses
entity.group.windows_sid
Calcolare le statistiche di prevalenza
Google Security Operations esegue analisi statistiche sui dati esistenti e in entrata e arricchisce i record di contesto delle entità con metriche relative alla prevalenza.
La prevalenza è un valore numerico che indica la popolarità di un'entità.
La popolarità è definita dal numero di asset che accedono a un artefatto, ad esempio un dominio, un hash di file o un indirizzo IP. Più elevato è il numero, più popolare è l'entità.
Ad esempio, google.com
ha valori di prevalenza elevati perché vi si accede di frequente. Se si accede a un dominio raramente, il dominio avrà valori di prevalenza inferiori. Le entità più popolari hanno in genere meno probabilità di essere dannose.
Questi valori estesi sono supportati per dominio, IP e file (hash). I valori vengono calcolati e archiviati nei campi seguenti.
Le statistiche sulla prevalenza per ogni entità sono aggiornate ogni giorno. I valori sono archiviati in un contesto di entità separato che può essere utilizzato da Detection Engine, ma non vengono mostrati nelle viste investigative di Google Security Operations e nella ricerca UDM.
I seguenti campi possono essere utilizzati durante la creazione di regole di Detection Engine.
Tipo di entità | Campi UDM |
---|---|
Dominio | entity.domain.prevalence.day_count
entity.domain.prevalence.day_max
entity.domain.prevalence.day_max_sub_domains
entity.domain.prevalence.rolling_max
entity.domain.prevalence.rolling_max_sub_domains |
File (hash) | entity.file.prevalence.day_count
entity.file.prevalence.day_max
entity.file.prevalence.rolling_max |
Indirizzo IP | entity.artifact.prevalence.day_count
entity.artifact.prevalence.day_max
entity.artifact.prevalence.rolling_max |
I valori day_max e rolling_max vengono calcolati in modo diverso. I campi vengono calcolati come segue:
day_max
viene calcolato come punteggio massimo di prevalenza per il manufatto durante il giorno, dove un giorno viene definito come 00:00:00 - 23:59:59 UTC.rolling_max
viene calcolato come punteggio di prevalenza giornaliero massimo (ovveroday_max
) per l'artefatto nella finestra di 10 giorni precedente.day_count
viene utilizzato per calcolarerolling_max
ed è sempre il valore 10.
Quando viene calcolata per un dominio, la differenza tra day_max
e day_max_sub_domains
(e rolling_max
e rolling_max_sub_domains
) è la seguente:
rolling_max
eday_max
rappresentano il numero di indirizzi IP interni univoci giornalieri che accedono a un determinato dominio (esclusi i sottodomini).rolling_max_sub_domains
eday_max_sub_domains
rappresentano il numero di indirizzi IP interni univoci che accedono a un determinato dominio (inclusi i sottodomini).
Le statistiche sulla prevalenza vengono calcolate sui dati delle entità appena importati. I calcoli non vengono eseguiti in modo retroattivo su dati importati in precedenza. Sono necessarie circa 36 ore per il calcolo e l'archiviazione delle statistiche.
Calcolare l'ora di ultima e di ultima occorrenza delle entità
Google Security Operations esegue analisi statistiche sui dati in entrata e arricchisce i record di contesto delle entità con gli orari di prima e ultima occorrenza di un'entità. Il campo first_seen_time
memorizza la data e l'ora in cui l'entità è stata rilevata per la prima volta nell'ambiente del cliente. Il campo last_seen_time
memorizza la data e l'ora dell'osservazione
più recente.
Poiché più indicatori (campi UDM) possono identificare un asset o un utente, la prima visualizzazione è la prima volta in cui uno degli indicatori che identificano l'utente o l'asset è stato rilevato nell'ambiente del cliente.
Tutti i campi UDM che descrivono un asset sono i seguenti:
entity.asset.hostname
entity.asset.ip
entity.asset.mac
entity.asset.asset_id
entity.asset.product_object_id
Tutti i campi UDM che descrivono un utente sono i seguenti:
entity.user.windows_sid
entity.user.product_object_id
entity.user.userid
entity.user.employee_id
entity.user.email_addresses
L'ora della prima visualizzazione e quella dell'ultimo accesso consentono a un analista di correlare determinate attività che si sono verificate dopo che un dominio, un file (hash), un asset, un utente o un indirizzo IP sono stati visualizzati per la prima volta o che non si sono più verificati dopo l'ultimo accesso al dominio, al file (hash) o all'indirizzo IP.
I campi first_seen_time
e last_seen_time
vengono compilati con entità che
descrivono un dominio, un indirizzo IP e un file (hash). Per le entità che descrivono un utente
o un asset, viene compilato solo il campo first_seen_time
. Questi valori non vengono calcolati per le entità che descrivono altri tipi, ad esempio un gruppo o una risorsa.
Le statistiche vengono calcolate per ciascuna entità in tutti gli spazi dei nomi.
Google Security Operations non calcola le statistiche per ogni entità all'interno dei singoli spazi dei nomi.
Al momento queste statistiche non vengono esportate nello schema events
Google Security Operations in BigQuery.
I valori estesi vengono calcolati e archiviati nei seguenti campi UDM:
Tipo di entità | Campi UDM |
---|---|
Dominio | entity.domain.first_seen_time entity.domain.last_seen_time |
File (hash) | entity.file.first_seen_time entity.file.last_seen_time |
Indirizzo IP | entity.artifact.first_seen_time entity.artifact.last_seen_time |
Asset | entity.asset.first_seen_time |
Utente | entity.user.first_seen_time |
Arricchisci gli eventi con i dati di geolocalizzazione
I dati di log in entrata possono includere indirizzi IP esterni senza informazioni sulla posizione corrispondenti. Si tratta di un problema comune quando un evento registra informazioni sull'attività del dispositivo che non si trova in una rete aziendale. Ad esempio, un evento di accesso a un servizio cloud conterrebbe un indirizzo IP di origine o client basato sull'indirizzo IP esterno di un dispositivo restituito dall'operatore NAT.
Google Security Operations fornisce dati estesi alla geolocalizzazione per indirizzi IP esterni, al fine di consentire rilevamenti più efficaci delle regole e un contesto più ampio per le indagini. Ad esempio, Google Security Operations potrebbe utilizzare un indirizzo IP esterno per arricchire l'evento con informazioni sul paese (ad esempio, Stati Uniti), su uno stato specifico (come l'Alaska) e sulla rete in cui si trova l'indirizzo IP (ad esempio l'ASN e il nome dell'operatore).
Google Security Operations utilizza i dati sulla posizione forniti da Google per fornire una posizione geografica approssimativa e informazioni sulla rete relative a un indirizzo IP. Puoi scrivere regole di Detection Engine in base a questi campi negli eventi. I dati sugli eventi estesi vengono esportati anche in BigQuery, dove possono essere utilizzati nelle dashboard e nei report delle operazioni di sicurezza di Google.
I seguenti indirizzi IP non sono arricchiti:
- Spazi di indirizzi IP privati RFC 1918 perché sono interni alla rete aziendale.
- Spazio di indirizzi IP multicast RFC 5771 perché gli indirizzi multicast non appartengono a un'unica posizione.
- Indirizzi locali univoci IPv6.
- Indirizzi IP dei servizi Google Cloud. Fanno eccezione gli indirizzi IP esterni di Google Cloud Compute Engine, che sono estesi.
Google Security Operations arricchisce i seguenti campi UDM con dati di geolocalizzazione:
principal
target
src
observer
Tipo di dati | campo UDM |
---|---|
Località (ad es. Stati Uniti) | ( principal | target | src | observer ).ip_geo_artifact.location.country_or_region |
Stato (ad es. New York) | ( principal | target | src | observer ).ip_geo_artifact.location.state |
Longitudine | ( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.longitude |
Latitudine | ( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.latitude |
ASN (Autonomous System Number) | ( principal | target | src | observer ).ip_geo_artifact.network.asn |
Nome corriere | ( principal | target | src | observer ).ip_geo_artifact.network.carrier_name |
Dominio DNS | ( principal | target | src | observer ).ip_geo_artifact.network.dns_domain |
Nome dell'organizzazione | ( principal | target | src | observer ).ip_geo_artifact.network.organization_name |
L'esempio seguente mostra il tipo di informazioni geografiche che verranno aggiunte a un evento UDM con un indirizzo IP codificato nei Paesi Bassi:
campo UDM | Valore |
---|---|
principal.ip_geo_artifact.location.country_or_region |
Netherlands |
principal.ip_geo_artifact.location.region_coordinates.latitude |
52.132633 |
principal.ip_geo_artifact.location.region_coordinates.longitude |
5.291266 |
principal.ip_geo_artifact.network.asn |
8455 |
principal.ip_geo_artifact.network.carrier_name |
schuberg philis |
Incoerenze
La tecnologia di geolocalizzazione degli IP di proprietà di Google utilizza una combinazione di dati di networking e altri input e metodi per fornire ai nostri utenti la posizione dell'indirizzo IP e la risoluzione della rete. Altre organizzazioni potrebbero utilizzare indicatori o metodi diversi, che a volte potrebbero portare a risultati diversi.
Se si verificano casi in cui noti un'incoerenza nei risultati di geolocalizzazione degli IP forniti da Google, apri una richiesta di assistenza clienti per consentirci di effettuare accertamenti e, se opportuno, correggere i nostri dati in futuro.
Arricchisci le entità con informazioni provenienti dagli elenchi di minacce di Navigazione sicura
Le operazioni di sicurezza di Google importano da Navigazione sicura i dati relativi agli hash dei file. I dati di ogni file vengono archiviati come entità e forniscono ulteriore contesto sul file. Gli analisti possono creare regole di Detection Engine che eseguono query su questi dati di contesto delle entità per creare analisi sensibili al contesto.
Le seguenti informazioni vengono archiviate con il record di contesto dell'entità.
campo UDM | Descrizione |
---|---|
entity.metadata.product_entity_id |
Un identificatore univoco dell'entità. |
entity.metadata.entity_type |
Questo valore è FILE e indica che l'entità descrive un file.
|
entity.metadata.collected_timestamp |
La data e l'ora in cui l'entità è stata osservata o in cui si è verificato l'evento. |
entity.metadata.interval |
Archivia l'ora di inizio e l'ora di fine di validità dei dati.
Poiché i contenuti dell'elenco delle minacce cambiano nel tempo, start_time e end_time riflettono l'intervallo di tempo durante il quale i dati relativi all'entità sono validi. Ad esempio, è stato osservato che l'hash di un file è dannoso o sospetto tra start_time |
entity.metadata.threat.category |
Questo è il team delle operazioni di sicurezza di Google SecurityCategory . È impostato su uno o più dei seguenti valori:
|
entity.metadata.threat.severity |
Questo è il team delle operazioni di sicurezza di Google ProductSeverity .
Se il valore è CRITICAL , significa che l'artefatto sembra dannoso.
Se il valore non è specificato, il livello di confidenza non è sufficiente per indicare che l'artefatto è dannoso.
|
entity.metadata.product_name |
Memorizza il valore Google Safe Browsing . |
entity.file.sha256 |
Il valore hash SHA256 del file. |
Arricchisci le entità con i dati WHOIS
Google Security Operations importa i dati WHOIS ogni giorno. Durante l'importazione dei dati dei dispositivi dei clienti in entrata, Google Security Operations valuta i domini nei dati dei clienti in base ai dati WHOIS. Quando viene rilevata una corrispondenza, Google Security Operations archivia i dati WHOIS correlati con il record dell'entità per il dominio. Per ogni persona giuridica,
in cui entity.metadata.entity_type = DOMAIN_NAME
, Google Security Operations arricchisce
l'entità con informazioni provenienti da WHOIS.
Google Security Operations compila i dati WHOIS estesi nei seguenti campi del record dell'entità:
entity.domain.admin.attribute.labels
entity.domain.audit_update_time
entity.domain.billing.attribute.labels
entity.domain.billing.office_address.country_or_region
entity.domain.contact_email
entity.domain.creation_time
entity.domain.expiration_time
entity.domain.iana_registrar_id
entity.domain.name_server
entity.domain.private_registration
entity.domain.registrant.company_name
entity.domain.registrant.office_address.state
entity.domain.registrant.office_address.country_or_region
entity.domain.registrant.email_addresses
entity.domain.registrant.user_display_name
entity.domain.registrar
entity.domain.registry_data_raw_text
entity.domain.status
entity.domain.tech.attribute.labels
entity.domain.update_time
entity.domain.whois_record_raw_text
entity.domain.whois_server
entity.domain.zone
Per una descrizione di questi campi, consulta il documento relativo all'elenco dei campi del modello di dati unificato.
Importa e archivia i dati di Google Cloud Threat Intelligence
Google Security Operations importa i dati dalle origini dati di Google Cloud Threat Intelligence (GCTI) che forniscono informazioni contestuali che puoi utilizzare quando analizzi le attività nel tuo ambiente. Puoi eseguire query sulle seguenti origini dati:
- Nodi di uscita GCTI Tor: indirizzi IP che sono nodi di uscita Tor noti.
- GCTI Benign Binaries: file che fanno parte della distribuzione originale del sistema operativo o che sono stati aggiornati da una patch ufficiale del sistema operativo. Alcuni programmi binari ufficiali del sistema operativo che sono stati utilizzati in modo illecito da un avversario tramite attività comuni in attacchi offline vengono esclusi da questa fonte di dati, come quelli incentrati sui vettori di ingresso iniziali.
GCTI Remote Access Tools: file che vengono utilizzati frequentemente da malintenzionati. Questi strumenti sono in genere applicazioni legittime che a volte vengono utilizzate in modo illecito per connettersi da remoto a sistemi compromessi.
Questi dati contestuali vengono archiviati a livello globale come entità. Puoi eseguire query sui dati utilizzando le regole del motore di rilevamento. Includi nella regola i seguenti campi e valori UDM per eseguire query su queste entità globali:
graph.metadata.vendor_name
=Google Cloud Threat Intelligence
graph.metadata.product_name
=GCTI Feed
In questo documento, il segnaposto <variable_name>
rappresenta il nome univoco della variabile utilizzato in una regola per identificare un record UDM.
Origini dati di Google Cloud Threat Intelligence a tempo e senza tempo
Le origini dati di Google Cloud Threat Intelligence sono a tempo o senza tempo.
Le origini dati con timestamp hanno un intervallo di tempo associato a ogni voce. Ciò significa che se un rilevamento viene generato il primo giorno, in qualsiasi giorno successivo, è previsto che venga generato lo stesso rilevamento per il giorno 1 durante una caccia retroattiva.
Alle origini dati senza tempo non è associato alcun intervallo di tempo. Questo perché dovrebbe essere preso in considerazione solo il set di dati più recente. Le origini dati senza tempo vengono spesso utilizzate per dati come gli hash di file che non sono previste modifiche. Se il giorno 1 non viene generato alcun rilevamento, il secondo giorno potrebbe essere generato un rilevamento per il giorno 1 durante una ricerca retroattiva perché è stata aggiunta una nuova voce.
Dati sugli indirizzi IP dei nodi di uscita di Tor
Google Security Operations importa e archivia gli indirizzi IP che sono nodi di uscita Tor noti. I nodi di uscita Tor sono punti in cui il traffico esce dalla rete Tor. Le informazioni importate da questa origine dati vengono archiviate nei seguenti campi UDM. I dati in questa origine sono in tempo.
campo UDM | Descrizione |
---|---|
<variable_name>.graph.metadata.vendor_name |
Memorizza il valore Google Cloud Threat Intelligence . |
<variable_name>.graph.metadata.product_name |
Memorizza il valore GCTI Feed . |
<variable_name>.graph.metadata.threat.threat_feed_name |
Memorizza il valore Tor Exit Nodes . |
<variable_name>.graph.entity.artifact.ip |
Archivia l'indirizzo IP importato dall'origine dati GCTI. |
Dati sui file non dannosi del sistema operativo
Google Security Operations importa e archivia gli hash dei file dall'origine dati GCTI Benign Binaries. Le informazioni importate da questa origine dati vengono archiviate nei seguenti campi UDM. I dati di questa fonte non hanno tempo.
campo UDM | Descrizione |
---|---|
<variable_name>.graph.metadata.vendor_name |
Memorizza il valore Google Cloud Threat Intelligence . |
<variable_name>.graph.metadata.product_name |
Memorizza il valore GCTI Feed . |
<variable_name>.graph.metadata.threat.threat_feed_name |
Memorizza il valore Benign Binaries . |
<variable_name>.graph.entity.file.sha256 |
Archivia il valore hash SHA256 del file. |
<variable_name>.graph.entity.file.sha1 |
Archivia il valore hash SHA1 del file. |
<variable_name>.graph.entity.file.md5 |
Archivia il valore hash MD5 del file. |
Dati sugli strumenti di accesso remoto
Gli strumenti di accesso remoto includono hash di file per strumenti di accesso remoto noti, come i client VNC, utilizzati spesso da malintenzionati. Questi strumenti sono generalmente applicazioni legittime, a volte utilizzate in modo illecito per connettersi da remoto a sistemi compromessi. Le informazioni importate da questa origine dati vengono archiviate nei seguenti campi UDM. I dati di questa fonte non hanno tempo.
campo UDM | Descrizione |
---|---|
Memorizza il valore Google Cloud Threat Intelligence . |
|
Memorizza il valore GCTI Feed . |
|
Memorizza il valore Remote Access Tools . |
|
Archivia il valore hash SHA256 del file. | |
Archivia il valore hash SHA1 del file. | |
Archivia il valore hash MD5 del file. |
Arricchisci gli eventi con i metadati dei file di VirusTotal
Google Security Operations arricchisce gli hash dei file in eventi UDM e fornisce un contesto aggiuntivo durante un'indagine. Gli eventi UDM vengono arricchiti tramite alias di hashing nell'ambiente del cliente. L'aliasing degli hash combina tutti i tipi di hash dei file e fornisce informazioni sull'hash del file durante una ricerca.
L'integrazione dei metadati dei file di VirusTotal e l'arricchimento delle relazioni con Google SecOps può essere utilizzata per identificare modelli di attività dannose e per monitorare i movimenti del malware attraverso una rete.
Un log non elaborato fornisce informazioni limitate sul file. VirusTotal arricchisce l'evento con i metadati dei file per fornire un dump degli hash errati insieme ai metadati relativi al file errato. I metadati includono informazioni quali nomi di file, tipi, funzioni importate e tag. Puoi utilizzare queste informazioni nel motore di ricerca e rilevamento UDM con YARA-L per comprendere gli eventi di file dannosi e in generale durante la ricerca delle minacce. Un esempio di caso d'uso è il rilevamento di qualsiasi modifica al file originale che, a sua volta, importa i metadati del file per il rilevamento delle minacce.
Insieme al record vengono memorizzate le seguenti informazioni. Per un elenco di tutti i campi UDM, consulta l'elenco dei campi del modello di dati unificato.
Tipo di dati | campo UDM |
---|---|
SHA-256 | ( principal | target | src | observer ).file.sha256 |
MD5 | ( principal | target | src | observer ).file.md5 |
SHA-1 | ( principal | target | src | observer ).file.sha1 |
Dimensioni | ( principal | target | src | observer ).file.size |
Ssdeep | ( principal | target | src | observer ).file.ssdeep |
Vhash | ( principal | target | src | observer ).file.vhash |
authentihash | ( principal | target | src | observer ).file.authentihash |
Tipo di file | ( principal | target | src | observer ).file.file_type |
Tag | ( principal | target | src | observer ).file.tags |
Tag delle funzionalità | ( principal | target | src | observer ).file.capabilities_tags |
Nomi | ( principal | target | src | observer ).file.names |
Primo accesso | ( principal | target | src | observer ).file.first_seen_time |
Orario ultimo accesso | ( principal | target | src | observer ).file.last_seen_time |
Data/ora ultima modifica | ( principal | target | src | observer ).file.last_modification_time |
Data/ora ultima analisi | ( principal | target | src | observer ).file.last_analysis_time |
URL incorporati | ( principal | target | src | observer ).file.embedded_urls |
IP incorporati | ( principal | target | src | observer ).file.embedded_ips |
Domini incorporati | ( principal | target | src | observer ).file.embedded_domains |
Informazioni sulla firma | ( principal | target | src | observer ).file.signature_info |
Informazioni sulla firma
|
( principal | target | src | observer).file.signature_info.sigcheck |
Informazioni sulla firma
|
( principal | target | src | observer ).file.signature_info.sigcheck.verification_message |
Informazioni sulla firma
|
( principal | target | src | observer ).file.signature_info.sigcheck.verified |
Informazioni sulla firma
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers |
Informazioni sulla firma
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers.name |
Informazioni sulla firma
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers.status |
Informazioni sulla firma
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers.valid_usage |
Informazioni sulla firma
|
( principal | target | src | observer ).file.signature_info.sigcheck.signers.cert_issuer |
Informazioni sulla firma
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509 |
Informazioni sulla firma
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.name |
Informazioni sulla firma
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.algorithm |
Informazioni sulla firma
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.thumprint |
Informazioni sulla firma
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.cert_issuer |
Informazioni sulla firma
|
( principal | target | src | observer ).file.signature_info.sigcheck.x509.serial_number |
Informazioni sulla firma
|
( principal | target | src | observer ).file.signature_info.codesign |
Informazioni sulla firma
|
( principal | target | src | observer ).file.signature_info.codesign.id |
Informazioni sulla firma
|
( principal | target | src | observer ).file.signature_info.codesign.format |
Informazioni sulla firma
|
( principal | target | src | observer ).file.signature_info.codesign.compilation_time |
Informazioni EXIF | ( principal | target | src | observer ).file.exif_info |
Informazioni Exiftool
|
( principal | target | src | observer ).file.exif_info.original_file |
Informazioni Exiftool
|
( principal | target | src | observer ).file.exif_info.product |
Informazioni Exiftool
|
( principal | target | src | observer ).file.exif_info.company |
Informazioni Exiftool
|
( principal | target | src | observer ).file.exif_info.file_description |
Informazioni Exiftool
|
( principal | target | src | observer ).file.exif_info.entry_point |
Informazioni Exiftool
|
( principal | target | src | observer ).file.exif_info.compilation_time |
Informazioni PDF | ( principal | target | src | observer ).file.pdf_info |
Informazioni in formato PDF
|
( principal | target | src | observer ).file.pdf_info.js |
Informazioni in formato PDF
|
( principal | target | src | observer ).file.pdf_info.javascript |
Informazioni in formato PDF
|
( principal | target | src | observer ).file.pdf_info.launch_action_count |
Informazioni in formato PDF
|
( principal | target | src | observer ).file.pdf_info.object_stream_count |
Informazioni in formato PDF
|
( principal | target | src | observer ).file.pdf_info.endobj_count |
Informazioni in formato PDF
|
( principal | target | src | observer ).file.pdf_info.header |
Informazioni in formato PDF
|
( principal | target | src | observer ).file.pdf_info.acroform |
Informazioni in formato PDF
|
( principal | target | src | observer ).file.pdf_info.autoaction |
Informazioni in formato PDF
|
( principal | target | src | observer ).file.pdf_info.embedded_file |
Informazioni in formato PDF
|
( principal | target | src | observer ).file.pdf_info.encrypted |
Informazioni in formato PDF
|
( principal | target | src | observer ).file.pdf_info.flash |
Informazioni in formato PDF
|
( principal | target | src | observer ).file.pdf_info.jbig2_compression |
Informazioni in formato PDF
|
( principal | target | src | observer ).file.pdf_info.obj_count |
Informazioni in formato PDF
|
( principal | target | src | observer ).file.pdf_info.endstream_count |
Informazioni in formato PDF
|
( principal | target | src | observer ).file.pdf_info.page_count |
Informazioni in formato PDF
|
( principal | target | src | observer ).file.pdf_info.stream_count |
Informazioni in formato PDF
|
( principal | target | src | observer ).file.pdf_info.openaction |
Informazioni in formato PDF
|
( principal | target | src | observer ).file.pdf_info.startxref |
Informazioni in formato PDF
|
( principal | target | src | observer ).file.pdf_info.suspicious_colors |
Informazioni in formato PDF
|
( principal | target | src | observer ).file.pdf_info.trailer |
Informazioni in formato PDF
|
( principal | target | src | observer ).file.pdf_info.xfa |
Informazioni in formato PDF
|
( principal | target | src | observer ).file.pdf_info.xref |
Metadati dei file PE | ( principal | target | src | observer ).file.pe_file |
Metadati dei file PE
|
( principal | target | src | observer ).file.pe_file.imphash |
Metadati dei file PE
|
( principal | target | src | observer ).file.pe_file.entry_point |
Metadati dei file PE
|
( principal | target | src | observer ).file.pe_file.entry_point_exiftool |
Metadati dei file PE
|
( principal | target | src | observer ).file.pe_file.compilation_time |
Metadati dei file PE
|
( principal | target | src | observer ).file.pe_file.compilation_exiftool_time |
Metadati dei file PE
|
( principal | target | src | observer ).file.pe_file.section |
Metadati dei file PE
|
( principal | target | src | observer ).file.pe_file.section.name |
Metadati dei file PE
|
( principal | target | src | observer ).file.pe_file.section.entropy |
Metadati dei file PE
|
( principal | target | src | observer ).file.pe_file.section.raw_size_bytes |
Metadati dei file PE
|
( principal | target | src | observer ).file.pe_file.section.virtual_size_bytes |
Metadati dei file PE
|
( principal | target | src | observer ).file.pe_file.section.md5_hex |
Metadati dei file PE
|
( principal | target | src | observer ).file.pe_file.imports |
Metadati dei file PE
|
( principal | target | src | observer ).file.pe_file.imports.library |
Metadati dei file PE
|
( principal | target | src | observer ).file.pe_file.imports.functions |
Metadati dei file PE
|
( principal | target | src | observer ).file.pe_file.resource |
Metadati dei file PE
|
( principal | target | src | observer ).file.pe_file.resource.sha256_hex |
Metadati dei file PE
|
( principal | target | src | observer ).file.pe_file.resource.filetype_magic |
Metadati dei file PE
|
( principal | target | src | observer ).file.pe_file.resource_language_code |
Metadati dei file PE
|
( principal | target | src | observer ).file.pe_file.resource.entropy |
Metadati dei file PE
|
( principal | target | src | observer ).file.pe_file.resource.file_type |
Metadati dei file PE
|
( principal | target | src | observer ).file.pe_file.resources_type_count_str |
Metadati dei file PE
|
( principal | target | src | observer ).file.pe_file.resources_language_count_str |
Arricchisci le entità con i dati sulle relazioni di VirusTotal
VirusTotal consente di analizzare file, domini, indirizzi IP e URL sospetti per rilevare malware e altre violazioni e condividere i risultati con la community sulla sicurezza. Google Security Operations importa i dati dalle connessioni correlate a VirusTotal. Questi dati vengono archiviati come entità e forniscono informazioni sulla relazione tra hash di file e file, domini, indirizzi IP e URL.
Gli analisti possono utilizzare questi dati per determinare se l'hash di un file è errato in base a informazioni sull'URL o sul dominio provenienti da altre fonti. Queste informazioni possono essere utilizzate per creare regole di Detection Engine che eseguono query sui dati di contesto dell'entità per creare analisi sensibili al contesto.
Questi dati sono disponibili solo per determinate licenze di VirusTotal e Google Security Operations. Verifica la presenza di diritti con il tuo account manager.
Con il record di contesto dell'entità vengono archiviate le seguenti informazioni:
campo UDM | Descrizione |
---|---|
entity.metadata.product_entity_id |
Un identificatore univoco dell'entità |
entity.metadata.entity_type |
Archivia il valore FILE , per indicare che l'entità descrive un file |
entity.metadata.interval |
start_time si riferisce all'inizio e end_time è la fine dell'ora in cui questi dati sono validi |
entity.metadata.source_labels |
Questo campo memorizza un elenco di coppie chiave-valore di source_id e
target_id per questa entità. source_id è l'hash del file e target_id può essere l'hash o il valore dell'URL, del nome di dominio o dell'indirizzo IP a cui è correlato il file. Puoi cercare l'URL, il nome di dominio,
l'indirizzo IP o il file all'indirizzo virustotal.com. |
entity.metadata.product_name |
Archivia il valore "VirusTotal Relationships" |
entity.metadata.vendor_name |
Archivia il valore "VirusTotal" |
entity.file.sha256 |
Archivia il valore hash SHA-256 per il file |
entity.file.relations |
Un elenco di entità figlio a cui è correlata l'entità del file padre |
entity.relations.relationship |
Questo campo spiega il tipo di relazione tra le entità principali e secondarie.
Il valore può essere EXECUTES , DOWNLOADED_FROM o CONTACTS . |
entity.relations.direction |
Archivia il valore "UNIDIREZIONAL" e indica la direzione della relazione con l'entità figlio |
entity.relations.entity.url |
L'URL contattato dal file nell'entità padre (se la relazione tra l'entità padre e l'URL è CONTACTS ) o l'URL da cui è stato scaricato il file nell'entità padre (se la relazione tra l'entità padre e l'URL è DOWNLOADED_FROM ). |
entity.relations.entity.ip |
Un elenco di indirizzi IP da cui il file si trova nei contatti dell'entità padre o da cui è stato scaricato Contiene un solo indirizzo IP. |
entity.relations.entity.domain.name |
Il nome di dominio da cui il file nell'entità padre contatta o da cui è stato scaricato |
entity.relations.entity.file.sha256 |
Archivia il valore hash SHA-256 per il file nella relazione |
entity.relations.entity_type |
Questo campo contiene il tipo di entità nella relazione. Il valore può essere
URL , DOMAIN_NAME , IP_ADDRESS o
FILE . Questi campi vengono compilati in conformità a entity_type . Ad esempio, se entity_type è URL ,
il campo entity.relations.entity.url viene compilato. |
Passaggi successivi
Per informazioni su come utilizzare i dati estesi con altre funzionalità di Google Security Operations, consulta quanto segue: