Anreicherung aus bestimmten Flows blockieren

In diesem Dokument wird erläutert, wie Sie mit Anreicherungsblöcken den Datenanreicherungsprozess detailliert steuern können. Beim Standardprozess zur Anreicherung werden Kontextdaten aus verschiedenen Quellen verwendet, die Daten analysiert und die Felddaten des Unified Data Model (UDM) gemäß interner Logik überschrieben. Das Standardverfahren funktioniert in der Regel wie erwartet. In bestimmten Fällen kann das Überschreiben der UDM-Felddaten jedoch zu unerwartetem Verhalten führen, z. B. dazu, dass Regeln der Erkennungs-Engine fälschlicherweise ausgelöst werden.

Anreicherungsblöcke konfigurieren und ansehen

Nur Google SecOps-Nutzer mit den Berechtigungen Chronicle-Administrator und Bearbeiter können Anreicherungsblöcke konfigurieren. Alle Google SecOps-Nutzer können die Benutzeroberfläche Anreicherungsblöcke aufrufen.

Für die grundlegende Konfiguration eines Anreicherungsblocks sind drei aufeinanderfolgende Parameter erforderlich: Anreicherungstyp, Ziellogtyp und Quelle. Die für Ziel-Logtyp verfügbaren Optionen hängen vom ausgewählten Anreicherungstyp ab. Die für Quelle verfügbaren Optionen hängen vom ausgewählten Ziel-Logtyp ab.

Sie können keinen Anreicherungsblock löschen.

Anreicherungsblöcke können aktiviert, deaktiviert und wieder aktiviert werden.

Das Dialogfeld Enrichment Blocks (Anreicherungsblöcke) enthält die Tabs Enabled Blocks (Aktivierte Blöcke) und Disabled Blocks (Deaktivierte Blöcke). In den Tabellen auf beiden Tabs werden die grundlegenden Konfigurationsparameter des Anreicherungsblocks, das UTC-Datum, an dem der Block zuletzt aktiviert wurde, und der (optionale) vom Nutzer angegebene Grund für den Block angezeigt. Die Tabelle auf dem Tab Deaktivierte Blöcke enthält das UTC-Datum, an dem der Block deaktiviert wurde.

Überarbeitete Zeitlogik des Anreicherungsblocks

Eine Änderung des Status eines Anreicherungsblocks wird innerhalb von 5 bis 10 Minuten wirksam.

Der Haupteffekt beim Aktivieren oder Deaktivieren eines Blocks ist die synchronisierte Startzeit:

  • Blockierung aktivieren (Entfernen von zusätzlichen Informationen): Google SecOps entfernt ab 00:00:00 Uhr UTC des aktuellen Datums alle zugehörigen Felder und setzt dies fort.

  • Block deaktivieren (erneute Anreicherung): Google SecOps reichert alle zugehörigen Felder ab 00:00:00 Uhr UTC des aktuellen Datums an und setzt die Anreicherung fort.

Beispiel: Am Dienstag, 16. September, um 23:59:59 Uhr UTC aktivieren Sie einen Anreicherungsblock. Google SecOps entfernt alle zugehörigen angereicherten Felder ab Dienstag, 16. September, 00:00:00 UTC und setzt die Blockierung der Anreicherung fort. Am Mittwoch, 17. September, um 09:00:00 Uhr UTC deaktivieren Sie den Anreicherungsblock. Google SecOps reichert alle zugehörigen Felder ab Mittwoch, 17. September, 00:00:00 Uhr UTC, neu an und setzt die Anreicherung aller relevanten Daten fort.

Anreicherungsblock erstellen und aktivieren

So erstellen und aktivieren Sie einen Anreicherungsblock:

  1. Rufen Sie die Einstellungen > Anreicherungsblöcke auf.

  2. Nehmen Sie folgende Einstellungen vor:

    1. Wählen Sie in der Liste Anreicherungstyp eine der folgenden Optionen aus:

      • Alle Typen
      • Asset Wenn sie sich nicht im Anreicherungsblock befindet, wird mit dieser Option Folgendes ausgeführt:
        • Extrahiert Felder wie hostname, asset_id, mac, ip (wenn asset_id leer ist).
        • Reichert Felder an, die alles unter Asset enthalten (z. B. hostname, asset_id, mac oder ip) aus Noun.
        • Verwendet Anreicherungsquellen wie DHCP und Asset Context (z. B. Tanium Asset oder CrowdStrike).
      • GeoIP: Wenn sie nicht im Anreicherungsblock enthalten ist, wird mit dieser Option Folgendes ausgeführt:
        • Extrahiert Felder wie ip, wenn sie öffentlich oder routingfähig sind.
        • Reichert Felder an, die artifact.ip, artifact.location, artifact.network und location enthalten.
        • Verwendet Anreicherungsquellen aus dem Google GeoIP-Dienst.
      • Google Threat Intel Wenn sie nicht im Anreicherungsblock enthalten ist, wird mit dieser Option Folgendes ausgeführt:
        • Extrahiert relevante Felder.
        • Reichert die Felder File oder process.file an.
        • Verwendet Anreicherungsquellen aus den VirusTotal-Dateimetadaten.
      • Prozess: Wenn sie sich nicht im Anreicherungsblock befindet, wird mit dieser Option Folgendes ausgeführt:
        • Extrahiert Felder wie process.product_specific_process_id.
        • Felder werden angereichert, einschließlich aller Elemente unter Process.
        • Verwendet Anreicherungsquellen wie EDR-Logs (z. B. von CrowdStrike oder SentinelOne).
      • Nutzer Wenn sie nicht im Anreicherungsblock enthalten ist, wird mit dieser Option Folgendes ausgeführt:
        • Felder wie user.email_addresses, user.userid, user.windows_sid, user.employee_id und user.product_object_id werden extrahiert.
        • Reichert Felder an, die Elemente unter User enthalten.
        • Verwendet Anreicherungsquellen wie Protokolle zum Nutzerkontext (z. B. von Workday oder Windows AD).

    2. Wählen Sie in der Liste Target Log Type (Ziel-Logtyp) die gewünschte Option aus. Diese hängt vom ausgewählten Enrichment Type (Anreicherungstyp) ab. Beispieloptionen sind Alle Typen, Windows_Sysmon, CB_EDR und BRO_JSON.

    3. Wählen Sie in der Liste Quelle die gewünschte Option aus. Die verfügbaren Optionen hängen vom ausgewählten Ziel-Logtyp ab. Beispieloptionen sind Alle Typen, INFOBLOX_DHCP, WINDOWS_AD und VIRUSTOTAL_FILE_METADATA.

  3. Klicken Sie auf Block aktivieren, um das Dialogfeld Block aktivieren zu öffnen und die Konfiguration aus den vorherigen Schritten anzuzeigen.

  4. Optional: Geben Sie im Feld Grund für die Blockierung den Grund für die Blockierung der Anreicherung ein.

  5. Klicken Sie nach der Überprüfung der Informationen auf Blockierung aktivieren. In der Tabelle Aktivierte Blöcke wird eine Zeile für den aktivierten Anreicherungsblock angezeigt.

    Nach etwa 5 bis 10 Minuten implementiert Google SecOps den Anreicherungsblock. Das bedeutet, dass alle zugehörigen angereicherten Felder ab 00:00:00 UTC des aktuellen Datums entreichert werden. Danach sollten Sie überprüfen, ob die Ergebnisse Ihren Erwartungen entsprechen.

Anreicherungsblock deaktivieren

So deaktivieren Sie einen Anreicherungsblock:

  1. Rufen Sie die Einstellungen > Anreicherungsblöcke auf.
  2. Suchen Sie auf dem Tab Aktivierte Blöcke nach dem Anreicherungsblock, klicken Sie in dieser Zeile auf das Dreipunkt-Menü  Mehr und wählen Sie Block deaktivieren aus. Ein Bestätigungsdialogfeld wird geöffnet.

  3. Prüfen Sie die Informationen und klicken Sie auf Blockierung deaktivieren. In der Tabelle Deaktivierte Blöcke wird eine Zeile für den deaktivierten Anreicherungsblock angezeigt und die entsprechende Zeile wird aus der Tabelle Aktivierte Blöcke entfernt.

    Nach etwa 5 bis 10 Minuten reichert Google SecOps alle zugehörigen Felder ab 00:00:00 Uhr UTC des aktuellen Datums an. Danach sollten Sie überprüfen, ob die Ergebnisse Ihren Erwartungen entsprechen.

Anreicherungsblock wieder aktivieren

So aktivieren Sie einen Anreicherungsblock wieder:

  1. Rufen Sie die Einstellungen > Anreicherungsblöcke auf.
  2. Suchen Sie auf dem Tab Deaktivierte Blöcke nach dem Anreicherungsblock, klicken Sie in dieser Zeile auf das Dreipunkt-Menü  Mehr und wählen Sie Block aktivieren aus. Ein Bestätigungsdialogfeld wird geöffnet.

  3. Prüfen Sie die Informationen und klicken Sie auf Blockierung aktivieren. In der Tabelle Aktivierte Blöcke wird eine Zeile für den reaktivierten Anreicherungsblock angezeigt und die entsprechende Zeile wird aus der Tabelle Deaktivierte Blöcke entfernt.

    Nach etwa 5 bis 10 Minuten implementiert Google SecOps den Anreicherungsblock. Das bedeutet, dass alle zugehörigen angereicherten Felder ab 00:00:00 UTC des aktuellen Datums entreichert werden. Danach sollten Sie überprüfen, ob die Ergebnisse Ihren Erwartungen entsprechen.

Beispielworkflow für einen Anreicherungsblock

In diesem Workflow wird gezeigt, wie Sie einen Anreicherungsblock verwenden, um eine Regel zu korrigieren, die fälschlicherweise durch unerwünschte Datenüberschreibungen ausgelöst wurde:

  1. Regel validieren: Sie erhalten eine Benachrichtigung und stellen fest, dass sie fälschlicherweise ausgelöst wurde. Sie bestätigen, dass die Regellogik korrekt ist und kein Regelausschluss infrage kommt.
  2. Logquelle identifizieren: Sie prüfen die Benachrichtigung und stellen fest, dass die Auslösebedingungen durch ein CrowdStrike-Log erfüllt wurden.

  3. Anreicherungsquelle untersuchen: Verwenden Sie die Ereignisanzeige, um herauszufinden, welche externe Quelle das kritische Feld geändert hat. Die folgenden Schritte zeigen eine Möglichkeit zum Öffnen der Ereignisanzeige (es gibt aber auch alternative Schritte):

    1. Rufen Sie in der Google SecOps Console Detections > Alerts & IOCs auf.
    2. Wählen Sie die fälschlicherweise ausgelöste Erkennung aus und rufen Sie das Ereignis auf.
    3. Klicken Sie auf den Zeitstempel des Ereignisses, um die Ereignisanzeige zu öffnen. Standardmäßig wird der Tab „Ereignisfelder“ angezeigt. Jedes angereicherte Feld ist mit einem E gekennzeichnet. Wenn Sie den Knoten maximieren, werden die Anreicherungsquellen angezeigt.
    4. Maximieren Sie auf dem Tab Ereignisfelder den Knoten des problematischen angereicherten Felds, um die Quelle zu ermitteln. Sie stellen fest, dass das Feld, das die Benachrichtigung ausgelöst hat, von Okta angereichert wurde.

  4. Anreicherungsblock erstellen und aktivieren: Erstellen und aktivieren Sie einen Anreicherungsblock, der User-Daten aus Okta als Anreicherungsquelle in Ihren CrowdStrike-Logs deaktiviert.

  5. Auflösung überprüfen: Warten Sie 5 bis 10 Minuten, bis der Anreicherungsblock wirksam wird, und prüfen Sie dann, ob der Alarm nicht mehr fälschlicherweise ausgelöst wird.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten