Cara Chronicle memperkaya data peristiwa dan entity

Dokumen ini menjelaskan cara Chronicle memperkaya data dan kolom Model Data Terpadu (UDM) tempat data disimpan.

Untuk memungkinkan investigasi keamanan, Chronicle menyerap data kontekstual dari berbagai sumber, melakukan analisis pada data, dan memberikan konteks tambahan tentang artefak di lingkungan pelanggan. Analis dapat menggunakan data yang diperkaya secara kontekstual dalam aturan Detection Engine, penelusuran investigasi, atau laporan.

Chronicle melakukan jenis pengayaan berikut:

  • Memperkaya entity dengan menggunakan grafik entity dan penggabungan.
  • Menghitung dan memperkaya setiap entity dengan statistik prevalensi yang menunjukkan popularitasnya di lingkungan tertentu.
  • Menghitung pertama kali jenis entity tertentu terlihat di lingkungan atau waktu terbaru.
  • Memperkaya entity dengan informasi dari daftar ancaman Safe Browsing.
  • Memperkaya peristiwa dengan data geolokasi.
  • Memperkaya entity dengan data WHOIS.
  • Memperkaya peristiwa dengan metadata file VirusTotal.
  • Memperkaya entity dengan data hubungan VirusTotal.
  • Menyerap dan menyimpan data Google Cloud Threat Intelligence.

Data yang diperkaya dari WHOIS, Safe Browsing, GCTI Threat Intelligence, metadata VirusTotal, dan hubungan VirusTotal diidentifikasi dengan event_type, product_name, dan vendor_name. Saat membuat aturan yang menggunakan data yang diperkaya ini, sebaiknya sertakan filter dalam aturan yang mengidentifikasi jenis pengayaan tertentu yang akan disertakan. Filter ini membantu meningkatkan performa aturan. Misalnya, sertakan kolom filter berikut di bagian events dalam aturan yang menggabungkan data WHOIS.

$enrichment.graph.metadata.entity_type = "DOMAIN_NAME"
$enrichment.graph.metadata.product_name = "WHOISXMLAPI Simple Whois"
$enrichment.graph.metadata.vendor_name = "WHOIS"

Memperkaya entity dengan menggunakan grafik entity dan penggabungan

Grafik entity mengidentifikasi hubungan antara entity dan resource di lingkungan Anda. Saat entity dari sumber yang berbeda diserap ke dalam Chronicle, grafik entity akan mempertahankan daftar yang berdekatan berdasarkan hubungan antar-entity. Grafik entity melakukan pengayaan konteks dengan melakukan penghapusan duplikat dan penggabungan.

Selama penghapusan duplikat, data redundan akan dihapus dan interval dibentuk untuk membuat entity umum. Misalnya, pertimbangkan dua entity e1 dan e2 dengan stempel waktu t1 dan t2 masing-masing. Duplikat entity e1 dan e2 dihapus dan stempel waktu yang berbeda tidak digunakan selama penghapusan duplikat. Kolom berikut tidak digunakan selama penghapusan duplikat:

  • collected_timestamp
  • creation_timestamp
  • interval

Selama penggabungan, hubungan antar-entity akan terbentuk selama interval waktu satu hari. Misalnya, pertimbangkan data entity user A yang memiliki akses ke bucket Cloud Storage. Ada data entitas lain user A yang memiliki perangkat. Setelah digabungkan, kedua entity ini menghasilkan satu entity user A yang memiliki dua relasi. Salah satu hubungan adalah bahwa user A memiliki akses ke bucket Cloud Storage, dan hubungan lainnya adalah user A memiliki perangkat. Chronicle melakukan lihat balik lima hari saat membuat data konteks entity. Fungsi ini menangani data yang terlambat tiba dan menciptakan waktu implisit untuk mendukung data konteks entity.

Chronicle menggunakan aliasing untuk memperkaya data telemetri dan menggunakan grafik entity untuk memperkaya entity. Aturan mesin deteksi menggabungkan entity gabungan terhadap data telemetri yang diperkaya untuk memberikan analisis kontekstual.

Peristiwa yang berisi kata benda entitas dianggap sebagai entitas. Berikut adalah beberapa jenis peristiwa dan jenis entity-nya yang sesuai:

  • ASSET_CONTEXT sesuai dengan ASSET.
  • RESOURCE_CONTEXT sesuai dengan RESOURCE.
  • USER_CONTEXT sesuai dengan USER.
  • GROUP_CONTEXT sesuai dengan GROUP.

Grafik entity membedakan antara data kontekstual dan indikator penyusupan (IOC) menggunakan informasi ancaman.

Saat Anda menggunakan data yang diperkaya secara kontekstual, pertimbangkan perilaku grafik entitas berikut:

  • Jangan menambahkan interval dalam entity, dan biarkan grafik entity membuat interval. Hal ini karena interval dibuat selama penghapusan duplikat kecuali jika ditentukan lain.
  • Jika interval ditentukan, hanya peristiwa yang sama yang akan dihapus duplikatnya, dan entity terbaru akan dipertahankan.
  • Untuk memastikan bahwa aturan live dan retrohunter berfungsi seperti yang diharapkan, entity harus diserap minimal sekali sehari.
  • Jika entity tidak diserap setiap hari dan diserap hanya sekali dalam dua hari atau lebih, aturan live mungkin berfungsi seperti yang diharapkan, tetapi retrohunt mungkin akan menghilangkan konteks peristiwa.
  • Jika entity diserap lebih dari sekali sehari, duplikat entity tersebut akan dihapus menjadi satu entity.
  • Jika data peristiwa tidak ada selama satu hari, data hari terakhir akan digunakan sementara untuk memastikan bahwa aturan langsung berfungsi dengan baik.

Grafik entity juga menggabungkan peristiwa yang memiliki ID serupa untuk mendapatkan tampilan data gabungan. Penggabungan ini terjadi berdasarkan daftar ID berikut:

  • Asset
    • entity.asset.product_object_id
    • entity.asset.hostname
    • entity.asset.asset_id
    • entity.asset.mac
  • User
    • entity.user.product_object_id
    • entity.user.userid
    • entity.user.windows_sid
    • entity.user.email_addresses
    • entity.user.employee_id
  • Resource
    • entity.resource.product_object_id
    • entity.resource.name
  • Group
    • entity.group.product_object_id
    • entity.group.email_addresses
    • entity.group.windows_sid

Menghitung statistik prevalensi

Chronicle melakukan analisis statistik terhadap data yang ada dan yang masuk, serta memperkaya catatan konteks entity dengan metrik terkait prevalensi.

Prevalensi adalah nilai numerik yang menunjukkan seberapa populer suatu entity. Popularitas ditentukan oleh jumlah aset yang mengakses artefak, seperti domain, hash file, atau alamat IP. Makin besar angkanya, makin populer entitas tersebut. Misalnya, google.com memiliki nilai prevalensi tinggi karena sering diakses. Jika domain jarang diakses, nilai prevalensinya akan lebih rendah. Entitas yang lebih populer biasanya cenderung tidak berbahaya.

Nilai yang diperkaya ini didukung untuk domain, IP, dan file (hash). Nilai dihitung dan disimpan di kolom berikut.

Statistik prevalensi untuk setiap entitas diperbarui setiap hari. Nilai disimpan dalam konteks entity terpisah yang dapat digunakan oleh Detection Engine, tetapi tidak ditampilkan dalam tampilan investigasi Chronicle dan penelusuran UDM.

Kolom berikut dapat digunakan saat membuat aturan Detection Engine.

Jenis entitas Kolom UDM
Domain entity.domain.prevalence.day_count
entity.domain.prevalence.day_max
entity.domain.prevalence.day_max_sub_domains
entity.domain.prevalence.rolling_max
entity.domain.prevalence.rolling_max_sub_domains
File (Hash) entity.file.prevalence.day_count
entity.file.prevalence.day_max
entity.file.prevalence.rolling_max
Alamat IP entity.artifact.prevalence.day_count
entity.artifact.prevalence.day_max
entity.artifact.prevalence.rolling_max

Nilai day_max dan rolling_max dihitung secara berbeda. Kolom dihitung sebagai berikut:

  • day_max dihitung sebagai skor prevalensi maksimum untuk artefak pada siang hari, dengan suatu hari ditentukan sebagai pukul 00.00.00 - 23.59.59 UTC.
  • rolling_max dihitung sebagai skor prevalensi per hari maksimum (yaitu day_max) untuk artefak selama periode 10 hari sebelumnya.
  • day_count digunakan untuk menghitung rolling_max dan selalu bernilai 10.

Jika dihitung untuk domain, perbedaan antara day_max versus day_max_sub_domains (dan rolling_max versus rolling_max_sub_domains) adalah sebagai berikut:

  • rolling_max dan day_max mewakili jumlah alamat IP internal unik harian yang mengakses domain tertentu (tidak termasuk subdomain).
  • rolling_max_sub_domains dan day_max_sub_domains menunjukkan jumlah alamat IP internal unik yang mengakses domain tertentu (termasuk subdomain).

Statistik prevalensi dihitung pada data entitas yang baru diserap. Penghitungan tidak dilakukan secara surut pada data yang diserap sebelumnya. Perlu waktu sekitar 36 jam untuk menghitung dan menyimpan statistik.

Menghitung waktu entitas terlihat pertama dan terakhir terlihat

Chronicle melakukan analisis statistik pada data yang masuk dan memperkaya catatan konteks entity dengan waktu entity yang terlihat pertama dan terakhir. Kolom first_seen_time menyimpan tanggal dan waktu saat entity pertama kali terlihat di lingkungan pelanggan. Kolom last_seen_time menyimpan tanggal dan waktu pengamatan terbaru.

Karena beberapa indikator (kolom UDM) dapat mengidentifikasi aset atau pengguna, waktu yang dilihat pertama kali adalah saat pertama kali indikator yang mengidentifikasi pengguna atau aset terlihat di lingkungan pelanggan.

Semua kolom UDM yang mendeskripsikan aset adalah sebagai berikut:

  • entity.asset.hostname
  • entity.asset.ip
  • entity.asset.mac
  • entity.asset.asset_id
  • entity.asset.product_object_id

Semua kolom UDM yang mendeskripsikan pengguna adalah sebagai berikut:

  • entity.user.windows_sid
  • entity.user.product_object_id
  • entity.user.userid
  • entity.user.employee_id
  • entity.user.email_addresses

Waktu terlihat pertama dan waktu terakhir terlihat memungkinkan analis untuk menghubungkan aktivitas tertentu yang terjadi setelah domain, file (hash), aset, pengguna, atau alamat IP pertama kali terlihat atau yang berhenti terjadi setelah domain, file (hash), atau alamat IP terakhir terlihat.

Kolom first_seen_time dan last_seen_time diisi dengan entity yang mendeskripsikan domain, alamat IP, dan file (hash). Untuk entity yang mendeskripsikan pengguna atau aset, hanya kolom first_seen_time yang akan diisi. Nilai ini tidak dihitung untuk entity yang mendeskripsikan jenis lain, seperti grup atau resource.

Statistik dihitung untuk setiap entity di semua namespace. Chronicle tidak menghitung statistik untuk setiap entity dalam namespace individual. Statistik ini saat ini tidak diekspor ke skema eventsChronicle di BigQuery.

Nilai yang diperkaya dihitung dan disimpan di kolom UDM berikut:

Jenis entitas Kolom UDM
Domain entity.domain.first_seen_time
entity.domain.last_seen_time
File (hash) entity.file.first_seen_time
entity.file.last_seen_time
Alamat IP entity.artifact.first_seen_time
entity.artifact.last_seen_time
Asset entity.asset.first_seen_time
Pengguna entity.user.first_seen_time

Memperkaya acara dengan data geolokasi

Data log masuk dapat menyertakan alamat IP eksternal tanpa informasi lokasi yang sesuai. Hal ini umum terjadi ketika suatu peristiwa mencatat informasi tentang aktivitas perangkat yang tidak berada dalam jaringan perusahaan ke dalam log. Misalnya, peristiwa login ke layanan cloud akan berisi alamat IP sumber atau klien berdasarkan alamat IP eksternal perangkat yang ditampilkan oleh NAT operator.

Chronicle menyediakan data yang diperkaya geolokasi untuk alamat IP eksternal guna memungkinkan deteksi aturan yang lebih andal dan konteks yang lebih besar untuk penyelidikan. Misalnya, Chronicle mungkin menggunakan alamat IP eksternal untuk memperkaya peristiwa dengan informasi tentang negara (seperti Amerika Serikat), negara bagian tertentu (seperti Alaska), dan jaringan tempat alamat IP berada (seperti ASN dan nama operator).

Chronicle menggunakan data lokasi yang disediakan oleh Google untuk memberikan perkiraan lokasi geografis dan informasi jaringan untuk alamat IP. Anda dapat menulis aturan Detection Engine pada kolom ini dalam peristiwa. Data peristiwa yang diperkaya juga diekspor ke BigQuery, yang dapat digunakan di dasbor dan pelaporan Chronicle.

Alamat IP berikut tidak diperkaya:

  • Ruang alamat IP pribadi RFC 1918 karena bersifat internal untuk jaringan perusahaan.
  • Ruang alamat IP multicast RFC 5771 karena alamat multicast tidak termasuk dalam satu lokasi.
  • Alamat Lokal Unik IPv6.
  • Alamat IP layanan Google Cloud. Pengecualiannya adalah alamat IP eksternal Google Cloud Compute Engine, yang diperkaya.

Chronicle memperkaya kolom UDM berikut dengan data geolokasi:

  • principal
  • target
  • src
  • observer
Jenis data Kolom UDM
Lokasi (misalnya, Amerika Serikat) ( principal | target | src | observer ).ip_geo_artifact.location.country_or_region
Negara bagian (misalnya, New York) ( principal | target | src | observer ).ip_geo_artifact.location.state
Bujur ( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.longitude
Lintang ( principal | target | src | observer ).ip_geo_artifact.location.region_coordinates.latitude
ASN (nomor sistem otonom) ( principal | target | src | observer ).ip_geo_artifact.network.asn
Nama ekspedisi ( principal | target | src | observer ).ip_geo_artifact.network.carrier_name
Domain DNS ( principal | target | src | observer ).ip_geo_artifact.network.dns_domain
Nama organisasi ( principal | target | src | observer ).ip_geo_artifact.network.organization_name

Contoh berikut menunjukkan jenis informasi geografis yang akan ditambahkan ke peristiwa UDM dengan alamat IP yang diberi tag ke Belanda:

Kolom UDM Nilai
principal.ip_geo_artifact.location.country_or_region Netherlands
principal.ip_geo_artifact.location.region_coordinates.latitude 52.132633
principal.ip_geo_artifact.location.region_coordinates.longitude 5.291266
principal.ip_geo_artifact.network.asn 8455
principal.ip_geo_artifact.network.carrier_name schuberg philis

Inkonsistensi

Teknologi geolokasi IP milik Google menggunakan kombinasi data jaringan serta input dan metode lainnya untuk memberikan lokasi alamat IP dan resolusi jaringan bagi pengguna kami. Organisasi lain mungkin menggunakan sinyal atau metode yang berbeda, yang terkadang dapat memberikan hasil yang berbeda.

Jika muncul kasus yang mana Anda mengalami inkonsistensi dalam hasil geolokasi IP yang diberikan Google, harap buka kasus dukungan pelanggan, sehingga kami dapat menyelidiki dan, jika sesuai, memperbaiki data kami di masa mendatang.

Memperkaya entitas dengan informasi dari daftar ancaman Safe Browsing

Chronicle menyerap data dari Safe Browsing yang terkait dengan hash file. Data untuk setiap file disimpan sebagai entitas dan memberikan konteks tambahan tentang file tersebut. Analis dapat membuat aturan Detection Engine yang mengkueri data konteks entity ini untuk membuat analisis kontekstual.

Informasi berikut disimpan dengan catatan konteks entitas.

Kolom UDM Deskripsi
entity.metadata.product_entity_id ID unik untuk entity.
entity.metadata.entity_type Nilai ini adalah FILE, menunjukkan bahwa entity mendeskripsikan file.
entity.metadata.collected_timestamp Tanggal dan waktu saat entitas diamati atau peristiwa terjadi.
entity.metadata.interval Menyimpan waktu mulai dan waktu berakhir saat data ini valid. Karena konten daftar ancaman berubah dari waktu ke waktu, start_time dan end_time mencerminkan interval waktu selama data tentang entity tersebut valid. Misalnya, hash file dianggap berbahaya atau mencurigakan antara start_time and end_time.
entity.metadata.threat.category Nama ini adalah Chronicle SecurityCategory. Nilai ini ditetapkan ke satu atau beberapa nilai berikut:
  • SOFTWARE_MALICIOUS: menunjukkan bahwa ancaman tersebut terkait dengan malware.
  • SOFTWARE_PUA: menunjukkan bahwa ancaman tersebut terkait dengan software yang tidak diinginkan.
entity.metadata.threat.severity Nama ini adalah Chronicle ProductSeverity. Jika nilainya CRITICAL, ini menunjukkan bahwa artefak tampak berbahaya. Jika nilai tidak ditentukan, berarti tidak ada cukup keyakinan untuk menunjukkan bahwa artefak berbahaya.
entity.metadata.product_name Menyimpan nilai Google Safe Browsing.
entity.file.sha256 Nilai hash SHA256 untuk file.

Memperkaya entitas dengan data WHOIS

Chronicle menyerap data WHOIS setiap hari. Selama penyerapan data perangkat pelanggan yang masuk, Chronicle mengevaluasi domain dalam data pelanggan berdasarkan data WHOIS. Jika ada kecocokan, Chronicle akan menyimpan data WHOIS terkait dengan data entity untuk domain tersebut. Untuk setiap entity, tempat entity.metadata.entity_type = DOMAIN_NAME, Chronicle memperkaya entity dengan informasi dari WHOIS.

Chronicle mengisi data WHOIS yang diperkaya ke dalam kolom berikut di data entity:

  • entity.domain.admin.attribute.labels
  • entity.domain.audit_update_time
  • entity.domain.billing.attribute.labels
  • entity.domain.billing.office_address.country_or_region
  • entity.domain.contact_email
  • entity.domain.creation_time
  • entity.domain.expiration_time
  • entity.domain.iana_registrar_id
  • entity.domain.name_server
  • entity.domain.private_registration
  • entity.domain.registrant.company_name
  • entity.domain.registrant.office_address.state
  • entity.domain.registrant.office_address.country_or_region
  • entity.domain.registrant.email_addresses
  • entity.domain.registrant.user_display_name
  • entity.domain.registrar
  • entity.domain.registry_data_raw_text
  • entity.domain.status
  • entity.domain.tech.attribute.labels
  • entity.domain.update_time
  • entity.domain.whois_record_raw_text
  • entity.domain.whois_server
  • entity.domain.zone

Untuk deskripsi kolom ini, lihat dokumen daftar kolom Model Data Terpadu.

Menyerap dan menyimpan data Google Cloud Threat Intelligence

Chronicle menyerap data dari sumber data Google Cloud Threat Intelligence (GCTI) yang memberi Anda informasi kontekstual yang dapat digunakan saat menyelidiki aktivitas di lingkungan Anda. Anda dapat membuat kueri untuk sumber data berikut:

  • Node Keluar Tor GCTI: Alamat IP yang dikenal sebagai node keluar Tor.
  • GCTI Benign Binaries: file yang merupakan bagian dari distribusi asli sistem operasi atau diupdate oleh patch sistem operasi resmi. Beberapa biner sistem operasi resmi yang telah disalahgunakan oleh musuh melalui aktivitas yang umum dalam serangan “live-off-the-land” dikecualikan dari sumber data ini, seperti yang berfokus pada vektor entri awal.

  • GCTI Remote Access Tools: file yang sering digunakan oleh pelaku kejahatan. Alat ini umumnya merupakan aplikasi yang sah yang terkadang disalahgunakan untuk terhubung dari jarak jauh ke sistem yang disusupi.

    Data kontekstual ini disimpan secara global sebagai entitas. Anda dapat membuat kueri data menggunakan aturan mesin deteksi. Sertakan kolom dan nilai UDM berikut dalam aturan untuk mengkueri entitas global ini:

  • graph.metadata.vendor_name = Google Cloud Threat Intelligence

  • graph.metadata.product_name = GCTI Feed

Dalam dokumen ini, placeholder <variable_name> mewakili nama variabel unik yang digunakan dalam aturan untuk mengidentifikasi data UDM.

Sumber data Google Cloud Threat Intelligence yang berbatas waktu versus abadi

Sumber data Google Cloud Threat Intelligence bersifat berwaktu atau berbatas waktu.

Sumber data dengan waktu memiliki rentang waktu yang terkait dengan setiap entri. Artinya, jika deteksi dibuat pada hari ke-1, pada hari apa pun di masa mendatang, deteksi yang sama diperkirakan akan dibuat untuk hari ke-1 selama perburuan retro.

Sumber data yang tak lekang waktu tidak memiliki rentang waktu yang dikaitkan dengannya. Ini karena hanya set data terbaru yang harus dipertimbangkan. Sumber data bersifat abadi sering digunakan untuk data seperti hash file yang tidak diharapkan akan berubah. Jika tidak ada deteksi yang dihasilkan pada hari ke-1, pada hari ke-2 deteksi mungkin dibuat untuk hari ke-1 selama perburuan retro karena entri baru telah ditambahkan.

Data tentang alamat IP node keluar Tor

Chronicle menyerap dan menyimpan alamat IP yang diketahui sebagai node keluar Tor. Node keluar Tor adalah titik tempat traffic keluar dari jaringan Tor. Informasi yang diserap dari sumber data ini disimpan di kolom UDM berikut. Data di sumber ini memiliki waktu.

Kolom UDM Deskripsi
<variable_name>.graph.metadata.vendor_name Menyimpan nilai Google Cloud Threat Intelligence.
<variable_name>.graph.metadata.product_name Menyimpan nilai GCTI Feed.
<variable_name>.graph.metadata.threat.threat_feed_name Menyimpan nilai Tor Exit Nodes.
<variable_name>.graph.entity.artifact.ip Menyimpan alamat IP yang diserap dari sumber data GCTI.

Data tentang file sistem operasi yang tidak berbahaya

Chronicle menyerap dan menyimpan hash file dari sumber data GCTI Benign Binaries. Informasi yang diserap dari sumber data ini disimpan di kolom UDM berikut. Data di sumber ini tidak lekang oleh waktu.

Kolom UDM Deskripsi
<variable_name>.graph.metadata.vendor_name Menyimpan nilai Google Cloud Threat Intelligence.
<variable_name>.graph.metadata.product_name Menyimpan nilai GCTI Feed.
<variable_name>.graph.metadata.threat.threat_feed_name Menyimpan nilai Benign Binaries.
<variable_name>.graph.entity.file.sha256 Menyimpan nilai hash SHA256 dari file.
<variable_name>.graph.entity.file.sha1 Menyimpan nilai hash SHA1 file.
<variable_name>.graph.entity.file.md5 Menyimpan nilai hash MD5 dari file.

Data tentang alat akses jarak jauh

Alat akses jarak jauh mencakup hash file untuk alat akses jarak jauh yang dikenal seperti klien VNC yang sering digunakan oleh pelaku kejahatan. Alat ini umumnya adalah aplikasi yang sah, yang terkadang disalahgunakan untuk terhubung dari jarak jauh ke sistem yang disusupi. Informasi yang diserap dari sumber data ini disimpan di kolom UDM berikut. Data di sumber ini tidak lekang oleh waktu.

Kolom UDM Deskripsi
.graph.metadata.vendor_name Menyimpan nilai Google Cloud Threat Intelligence.
.graph.metadata.product_name Menyimpan nilai GCTI Feed.
.graph.metadata.threat.threat_feed_name Menyimpan nilai Remote Access Tools.
.graph.entity.file.sha256 Menyimpan nilai hash SHA256 dari file.
.graph.entity.file.sha1 Menyimpan nilai hash SHA1 file.
.graph.entity.file.md5 Menyimpan nilai hash MD5 dari file.

Memperkaya peristiwa dengan metadata file VirusTotal

Chronicle memperkaya hash file menjadi peristiwa UDM dan memberikan konteks tambahan selama investigasi. Peristiwa UDM diperkaya melalui aliasing hash di lingkungan pelanggan. Aliasing hash menggabungkan semua jenis hash file dan memberikan informasi tentang hash file selama penelusuran.

Integrasi metadata file VirusTotal dan pengayaan hubungan dengan Chronicle dapat digunakan untuk mengidentifikasi pola aktivitas berbahaya dan melacak pergerakan malware di seluruh jaringan.

Log mentah memberikan informasi terbatas tentang file. VirusTotal memperkaya peristiwa dengan metadata file untuk menyediakan dump hash buruk bersama metadata file buruk. Metadata tersebut mencakup informasi seperti nama file, jenis, fungsi yang diimpor, dan tag. Anda dapat menggunakan informasi ini di mesin telusur dan deteksi UDM dengan YARA-L untuk memahami peristiwa file buruk dan secara umum selama berburu ancaman. Contoh kasus penggunaan adalah mendeteksi perubahan apa pun pada file asli, yang nantinya akan mengimpor metadata file untuk deteksi ancaman.

Informasi berikut disimpan dalam data. Untuk daftar semua kolom UDM, lihat daftar kolom Model Data Terpadu.

Jenis data Kolom UDM
SHA-256 ( principal | target | src | observer ).file.sha256
MD5 ( principal | target | src | observer ).file.md5
SHA-1 ( principal | target | src | observer ).file.sha1
Ukuran ( principal | target | src | observer ).file.size
ssdeep ( principal | target | src | observer ).file.ssdeep
vhash ( principal | target | src | observer ).file.vhash
Authentihash ( principal | target | src | observer ).file.authentihash
Jenis file ( principal | target | src | observer ).file.file_type
Tag ( principal | target | src | observer ).file.tags
Tag kemampuan ( principal | target | src | observer ).file.capabilities_tags
Nama ( principal | target | src | observer ).file.names
Waktu pertama terlihat ( principal | target | src | observer ).file.first_seen_time
Waktu terakhir terlihat ( principal | target | src | observer ).file.last_seen_time
Waktu modifikasi terakhir ( principal | target | src | observer ).file.last_modification_time
Waktu analisis terakhir ( principal | target | src | observer ).file.last_analysis_time
URL yang Disematkan ( principal | target | src | observer ).file.embedded_urls
IP Tersemat ( principal | target | src | observer ).file.embedded_ips
Domain yang disematkan ( principal | target | src | observer ).file.embedded_domains
Informasi tanda tangan ( principal | target | src | observer ).file.signature_info
Informasi tanda tangan
  • {i>Sigcheck<i}
 ( principal | target | src | observer).file.signature_info.sigcheck
Informasi tanda tangan
  • {i>Sigcheck<i}
    • Pesan verifikasi
 ( principal | target | src | observer ).file.signature_info.sigcheck.verification_message
Informasi tanda tangan
  • {i>Sigcheck<i}
    • Terverifikasi
 ( principal | target | src | observer ).file.signature_info.sigcheck.verified
Informasi tanda tangan
  • {i>Sigcheck<i}
    • Penanda Tangan
 ( principal | target | src | observer ).file.signature_info.sigcheck.signers
Informasi tanda tangan
  • {i>Sigcheck<i}
    • Penanda Tangan
      • Nama
 ( principal | target | src | observer ).file.signature_info.sigcheck.signers.name
Informasi tanda tangan
  • {i>Sigcheck<i}
    • Penanda Tangan
      • Status
 ( principal | target | src | observer ).file.signature_info.sigcheck.signers.status
Informasi tanda tangan
  • {i>Sigcheck<i}
    • Penanda Tangan
      • Penggunaan yang valid untuk sertifikat
 ( principal | target | src | observer ).file.signature_info.sigcheck.signers.valid_usage
Informasi tanda tangan
  • {i>Sigcheck<i}
    • Penanda Tangan
      • Penerbit sertifikat
 ( principal | target | src | observer ).file.signature_info.sigcheck.signers.cert_issuer
Informasi tanda tangan
  • {i>Sigcheck<i}
    • X509
 ( principal | target | src | observer ).file.signature_info.sigcheck.x509
Informasi tanda tangan
  • {i>Sigcheck<i}
    • X509
      • Nama
 ( principal | target | src | observer ).file.signature_info.sigcheck.x509.name
Informasi tanda tangan
  • {i>Sigcheck<i}
    • X509
      • Algoritma
 ( principal | target | src | observer ).file.signature_info.sigcheck.x509.algorithm
Informasi tanda tangan
  • {i>Sigcheck<i}
    • X509
      • Thumbprint
 ( principal | target | src | observer ).file.signature_info.sigcheck.x509.thumprint
Informasi tanda tangan
  • {i>Sigcheck<i}
    • X509
      • Penerbit sertifikat
 ( principal | target | src | observer ).file.signature_info.sigcheck.x509.cert_issuer
Informasi tanda tangan
  • {i>Sigcheck<i}
    • X509
      • Nomor seri
 ( principal | target | src | observer ).file.signature_info.sigcheck.x509.serial_number
Informasi tanda tangan
  • Tanda kode
 ( principal | target | src | observer ).file.signature_info.codesign
Informasi tanda tangan
  • Tanda kode
    • ID
 ( principal | target | src | observer ).file.signature_info.codesign.id
Informasi tanda tangan
  • Tanda kode
    • Format
 ( principal | target | src | observer ).file.signature_info.codesign.format
Informasi tanda tangan
  • Tanda kode
    • Waktu kompilasi
 ( principal | target | src | observer ).file.signature_info.codesign.compilation_time
Informasi Exiftool ( principal | target | src | observer ).file.exif_info
Informasi Exiftool
  • Nama file asli
 ( principal | target | src | observer ).file.exif_info.original_file
Informasi Exiftool
  • Nama produk
 ( principal | target | src | observer ).file.exif_info.product
Informasi Exiftool
  • Nama perusahaan
 ( principal | target | src | observer ).file.exif_info.company
Informasi Exiftool
  • Deskripsi file
 ( principal | target | src | observer ).file.exif_info.file_description
Informasi Exiftool
  • Titik entri
 ( principal | target | src | observer ).file.exif_info.entry_point
Informasi Exiftool
  • Waktu kompilasi
 ( principal | target | src | observer ).file.exif_info.compilation_time
Informasi PDF ( principal | target | src | observer ).file.pdf_info
Informasi PDF
  • Jumlah tag /JS
 ( principal | target | src | observer ).file.pdf_info.js
Informasi PDF
  • Jumlah tag /JavaScript
 ( principal | target | src | observer ).file.pdf_info.javascript
Informasi PDF
  • Jumlah tag /Launch
 ( principal | target | src | observer ).file.pdf_info.launch_action_count
Informasi PDF
  • Jumlah aliran objek
 ( principal | target | src | observer ).file.pdf_info.object_stream_count
Informasi PDF
  • Jumlah definisi objek (kata kunci endobj)
 ( principal | target | src | observer ).file.pdf_info.endobj_count
Informasi PDF
  • Versi PDF
 ( principal | target | src | observer ).file.pdf_info.header
Informasi PDF
  • Jumlah tag /AcroForm
 ( principal | target | src | observer ).file.pdf_info.acroform
Informasi PDF
  • Jumlah tag /AA
 ( principal | target | src | observer ).file.pdf_info.autoaction
Informasi PDF
  • Jumlah tag /EmbeddedFile
 ( principal | target | src | observer ).file.pdf_info.embedded_file
Informasi PDF
  • /Enkripsi tag
 ( principal | target | src | observer ).file.pdf_info.encrypted
Informasi PDF
  • Jumlah tag /RichMedia
 ( principal | target | src | observer ).file.pdf_info.flash
Informasi PDF
  • Jumlah tag /JBIG2Decode
 ( principal | target | src | observer ).file.pdf_info.jbig2_compression
Informasi PDF
  • Jumlah definisi objek (kata kunci obj)
 ( principal | target | src | observer ).file.pdf_info.obj_count
Informasi PDF
  • Jumlah objek streaming yang ditentukan (kata kunci streaming)
 ( principal | target | src | observer ).file.pdf_info.endstream_count
Informasi PDF
  • Jumlah halaman di PDF
 ( principal | target | src | observer ).file.pdf_info.page_count
Informasi PDF
  • Jumlah objek streaming yang ditentukan (kata kunci streaming)
 ( principal | target | src | observer ).file.pdf_info.stream_count
Informasi PDF
  • Jumlah tag /OpenAction
 ( principal | target | src | observer ).file.pdf_info.openaction
Informasi PDF
  • Jumlah kata kunci startxref
 ( principal | target | src | observer ).file.pdf_info.startxref
Informasi PDF
  • Jumlah warna yang dinyatakan dengan lebih dari 3 byte (CVE-2009-3459)
 ( principal | target | src | observer ).file.pdf_info.suspicious_colors
Informasi PDF
  • Jumlah kata kunci cuplikan
 ( principal | target | src | observer ).file.pdf_info.trailer
Informasi PDF
  • Jumlah tag /XFA yang ditemukan
 ( principal | target | src | observer ).file.pdf_info.xfa
Informasi PDF
  • Jumlah kata kunci xref
 ( principal | target | src | observer ).file.pdf_info.xref
Metadata file PP ( principal | target | src | observer ).file.pe_file
Metadata file PP
  • Imphash
 ( principal | target | src | observer ).file.pe_file.imphash
Metadata file PP
  • Titik entri
 ( principal | target | src | observer ).file.pe_file.entry_point
Metadata file PP
  • Alat titik entri
 ( principal | target | src | observer ).file.pe_file.entry_point_exiftool
Metadata file PP
  • Waktu kompilasi
 ( principal | target | src | observer ).file.pe_file.compilation_time
Metadata file PP
  • Waktu kompilasi kompilasi
 ( principal | target | src | observer ).file.pe_file.compilation_exiftool_time
Metadata file PP
  • Rubrik
 ( principal | target | src | observer ).file.pe_file.section
Metadata file PP
  • Rubrik
    • Nama
 ( principal | target | src | observer ).file.pe_file.section.name
Metadata file PP
  • Rubrik
    • Entropi
 ( principal | target | src | observer ).file.pe_file.section.entropy
Metadata file PP
  • Rubrik
    • Ukuran mentah dalam byte
 ( principal | target | src | observer ).file.pe_file.section.raw_size_bytes
Metadata file PP
  • Rubrik
    • Ukuran virtual dalam byte
 ( principal | target | src | observer ).file.pe_file.section.virtual_size_bytes
Metadata file PP
  • Rubrik
    • Hex MD5
 ( principal | target | src | observer ).file.pe_file.section.md5_hex
Metadata file PP
  • Impor
 ( principal | target | src | observer ).file.pe_file.imports
Metadata file PP
  • Impor
    • Library
 ( principal | target | src | observer ).file.pe_file.imports.library
Metadata file PP
  • Impor
    • Functions
 ( principal | target | src | observer ).file.pe_file.imports.functions
Metadata file PP
  • Informasi fasilitas
 ( principal | target | src | observer ).file.pe_file.resource
Metadata file PP
  • Informasi fasilitas
    • Hex SHA-256
 ( principal | target | src | observer ).file.pe_file.resource.sha256_hex
Metadata file PP
  • Informasi fasilitas
    • Jenis resource yang diidentifikasi oleh modul Python ajaib
 ( principal | target | src | observer ).file.pe_file.resource.filetype_magic
Metadata file PP
  • Informasi fasilitas
    • Versi ID bahasa dan subbahasa yang dapat dibaca manusia, seperti yang ditentukan dalam spesifikasi PE Windows
 ( principal | target | src | observer ).file.pe_file.resource_language_code
Metadata file PP
  • Informasi fasilitas
    • Entropi
 ( principal | target | src | observer ).file.pe_file.resource.entropy
Metadata file PP
  • Informasi fasilitas
    • Jenis file
 ( principal | target | src | observer ).file.pe_file.resource.file_type
Metadata file PP
  • Jumlah resource menurut jenis resource
 ( principal | target | src | observer ).file.pe_file.resources_type_count_str
Metadata file PP
  • Jumlah resource menurut bahasa
 ( principal | target | src | observer ).file.pe_file.resources_language_count_str

Memperkaya entitas dengan data hubungan VirusTotal

VirusTotal membantu menganalisis file, domain, alamat IP, dan URL mencurigakan untuk mendeteksi malware dan pelanggaran lainnya, serta membagikan temuannya kepada komunitas keamanan. Chronicle menyerap data dari koneksi terkait VirusTotal. Data ini disimpan sebagai entity dan memberikan informasi tentang hubungan antara hash file dan file, domain, alamat IP, dan URL.

Analis dapat menggunakan data ini untuk menentukan apakah hash file buruk berdasarkan informasi tentang URL atau domain dari sumber lain. Informasi ini dapat digunakan untuk membuat aturan Detection Engine yang mengkueri data konteks entity untuk membuat analisis kontekstual.

Data ini hanya tersedia untuk lisensi VirusTotal dan Chronicle tertentu. Periksa hak Anda dengan Account Manager.

Informasi berikut disimpan dengan catatan konteks entitas:

Kolom UDM Deskripsi
entity.metadata.product_entity_id ID unik untuk entitas
entity.metadata.entity_type Menyimpan nilai FILE, yang menunjukkan bahwa entity menjelaskan file
entity.metadata.interval start_time mengacu pada awal waktu dan end_time adalah akhir waktu bagi data ini yang valid
entity.metadata.source_labels Kolom ini menyimpan daftar key-value pair source_id dan target_id untuk entity ini. source_id adalah hash file dan target_id dapat berupa hash atau nilai URL, nama domain, atau alamat IP yang terkait dengan file ini. Anda dapat menelusuri URL, nama domain, alamat IP, atau file di virustotal.com.
entity.metadata.product_name Menyimpan nilai 'VirusTotal Relationships'
entity.metadata.vendor_name Menyimpan nilai 'VirusTotal'
entity.file.sha256 Menyimpan nilai hash SHA-256 untuk file
entity.file.relations Daftar entity turunan yang terkait dengan entity file induk
entity.relations.relationship Kolom ini menjelaskan jenis hubungan antara entity induk dan turunan. Nilainya dapat berupa EXECUTES, DOWNLOADED_FROM, atau CONTACTS.
entity.relations.direction Menyimpan nilai 'UNIDirectionsAL' dan menunjukkan arah hubungan dengan entitas turunan
entity.relations.entity.url URL yang dituju oleh file dalam kontak parent entity (jika hubungan antara parent entity dan URL adalah CONTACTS) atau URL tempat file dalam parent entity didownload (jika hubungan antara parent entity dan URL adalah DOWNLOADED_FROM).
entity.relations.entity.ip Daftar alamat IP yang terhubung dengan file di parent entity atau didownload Hanya berisi satu alamat IP.
entity.relations.entity.domain.name Nama domain yang mana file dalam kontak entity induk didownload atau berasal dari file tersebut
entity.relations.entity.file.sha256 Menyimpan nilai hash SHA-256 untuk file dalam relasi
entity.relations.entity_type Kolom ini berisi jenis entitas dalam relasi. Nilainya dapat berupa URL, DOMAIN_NAME, IP_ADDRESS, atau FILE. Kolom ini diisi sesuai dengan entity_type. Misalnya, jika entity_type adalah URL, maka entity.relations.entity.url akan diisi.

Langkah selanjutnya

Untuk mengetahui informasi tentang cara menggunakan data yang diperkaya dengan fitur Chronicle lainnya, lihat artikel berikut: