Bloquear el enriquecimiento de flujos específicos

En este documento se explica cómo los bloques de enriquecimiento te permiten controlar de forma granular el proceso de enriquecimiento de datos. El proceso de enriquecimiento predeterminado usa datos contextuales de diferentes fuentes, analiza los datos y sobrescribe los datos de los campos del modelo de datos unificado (UDM) según la lógica interna. El proceso predeterminado suele funcionar correctamente. Sin embargo, en algunos casos, sobrescribir los datos del campo UDM provoca un comportamiento inesperado, como la activación incorrecta de las reglas del motor de detección.

Configurar y ver bloques de enriquecimiento

Solo los usuarios de Google SecOps con privilegios de administrador y editor de Chronicle pueden configurar bloques de enriquecimiento. Todos los usuarios de Google SecOps pueden ver la interfaz Bloques de enriquecimiento.

La configuración básica de un bloque de enriquecimiento requiere tres parámetros secuenciales: Tipo de enriquecimiento, Tipo de registro de destino y Fuente. Las opciones disponibles para Tipo de registro de destino dependen del Tipo de enriquecimiento seleccionado, y las opciones disponibles para Fuente dependen del Tipo de registro de destino seleccionado.

No puedes eliminar un bloque de enriquecimiento.

Los bloques de enriquecimiento se pueden habilitar, inhabilitar y volver a habilitar.

El cuadro de diálogo Bloques de enriquecimiento incluye las pestañas Bloques habilitados y Bloques inhabilitados. En las tablas de ambas pestañas se muestran los parámetros de configuración básicos del bloque de enriquecimiento, la fecha UTC en la que se habilitó por última vez y el motivo (opcional) especificado por el usuario para el bloqueo. La tabla de la pestaña Bloques inhabilitados incluye la fecha en UTC en la que se inhabilitó el bloque.

Lógica de tiempo de bloque de enriquecimiento revisada

Los cambios en el estado de un bloque de enriquecimiento se aplican en un plazo de entre 5 y 10 minutos.

El efecto principal de habilitar o inhabilitar un bloque es su hora de inicio sincronizada:

  • Habilitar un bloqueo (desenriquecimiento): Google SecOps desenriquece todos los campos asociados a partir de las 00:00:00 UTC de la fecha actual y continúa haciéndolo en adelante.

  • Inhabilitar un bloque (reenriquecimiento): Google SecOps vuelve a enriquecer todos los campos asociados a partir de las 00:00:00 UTC de la fecha actual y sigue enriqueciendo los datos.

Ejemplo: El martes 16 de septiembre a las 23:59:59 UTC, habilitas un bloque de enriquecimiento. Google SecOps elimina todos los campos enriquecidos asociados a partir de las 00:00:00 del martes 16 de septiembre (UTC) y sigue implementando el bloqueo del enriquecimiento. El miércoles 17 de septiembre a las 09:00:00 (UTC), inhabilitas el bloque de enriquecimiento. Google SecOps vuelve a enriquecer todos los campos asociados desde las 00:00:00 del miércoles 17 de septiembre (UTC) y sigue enriqueciendo todos los datos pertinentes a partir de ese momento.

Crear y habilitar un bloque de enriquecimiento

Para crear y habilitar un bloque de enriquecimiento, sigue estos pasos:

  1. Ve a Ajustes > Bloques de enriquecimiento.

  2. Configure lo siguiente:

    1. En la lista Tipo de enriquecimiento, seleccione una de las siguientes opciones:

      • Todos los tipos
      • Recurso Si no está en el bloque de enriquecimiento, esta opción hace lo siguiente:
        • Extrae campos como hostname, asset_id, mac y ip (si asset_id está vacío).
        • Enriquece los campos que incluyen cualquier elemento de Asset (por ejemplo, hostname, asset_id, mac o ip) de Noun.
        • Usa fuentes de enriquecimiento, como DHCP y Asset Context (por ejemplo, Tanium Asset o CrowdStrike).
      • GeoIP. Si no está en el bloque de enriquecimiento, esta opción hace lo siguiente:
        • Extrae campos, como ip si es público o se puede enrutar.
        • Enriquece los campos que incluyen artifact.ip, artifact.location, artifact.network y location.
        • Usa fuentes de enriquecimiento del servicio GeoIP de Google.
      • Google Threat Intel. Si no está en el bloque de enriquecimiento, esta opción hace lo siguiente:
        • Extrae los campos pertinentes.
        • Enriquece los campos File o process.file.
        • Usa fuentes de enriquecimiento de metadatos de archivos de VirusTotal.
      • Proceso. Si no está en el bloque de enriquecimiento, esta opción hace lo siguiente:
        • Extrae campos, como process.product_specific_process_id.
        • Enriquece los campos, que incluyen cualquier elemento de Process.
        • Usa fuentes de enriquecimiento, como registros de EDR (por ejemplo, de CrowdStrike o SentinelOne).
      • Usuario Si no está en el bloque de enriquecimiento, esta opción hace lo siguiente:
        • Extrae campos como user.email_addresses, user.userid, user.windows_sid, user.employee_id y user.product_object_id.
        • Enriquece los campos que incluyen cualquier elemento de User.
        • Usa fuentes de enriquecimiento, como los registros de contexto de usuario (por ejemplo, de Workday o Windows AD).

    2. En la lista Target Log Type (Tipo de registro de destino), selecciona la opción que corresponda, que depende del Enrichment Type (Tipo de enriquecimiento) seleccionado. Entre las opciones, se incluyen Todos los tipos, Windows_Sysmon, CB_EDR y BRO_JSON.

    3. En la lista Fuente, selecciona la opción que corresponda. Las opciones disponibles dependen del Tipo de registro de destino seleccionado. Entre las opciones, se incluyen Todos los tipos, INFOBLOX_DHCP, WINDOWS_AD y VIRUSTOTAL_FILE_METADATA.

  3. Haga clic en Habilitar bloqueo para abrir el cuadro de diálogo Habilitar bloqueo y mostrar la configuración de los pasos anteriores.

  4. Opcional: En el campo Motivo del bloqueo, indica la razón por la que quieres bloquear el enriquecimiento.

  5. Una vez que haya revisado la información, haga clic en Habilitar bloqueo. La tabla Bloques habilitados muestra una fila para el bloque de enriquecimiento habilitado.

    Después de unos 5-10 minutos, Google SecOps implementa el bloque de enriquecimiento (es decir, elimina el enriquecimiento de todos los campos enriquecidos asociados) a partir de las 0:00:00 UTC de la fecha actual. Después de este tiempo, le recomendamos que verifique que los resultados son los que esperaba.

Inhabilitar un bloque de enriquecimiento

Para inhabilitar un bloque de enriquecimiento, sigue estos pasos:

  1. Ve a Ajustes > Bloques de enriquecimiento.
  2. En la pestaña Bloques habilitados, busca el bloque de enriquecimiento, haz clic en Más en esa fila y selecciona Inhabilitar bloque. Se abrirá un cuadro de diálogo de confirmación.

  3. Revisa la información y haz clic en Inhabilitar bloqueo. En la tabla Bloqueos inhabilitados se muestra una fila correspondiente al bloque de enriquecimiento inhabilitado, y la fila correspondiente se elimina de la tabla Bloqueos habilitados.

    Al cabo de unos 5-10 minutos, Google SecOps volverá a enriquecer todos los campos asociados a partir de las 0:00:00 de la fecha actual (UTC) y en adelante. Después de este tiempo, te recomendamos que verifiques que los resultados son los que esperabas.

Volver a habilitar un bloque de enriquecimiento

Para volver a habilitar un bloqueo de enriquecimiento, sigue estos pasos:

  1. Ve a Ajustes > Bloques de enriquecimiento.
  2. En la pestaña Bloques inhabilitados, busca el bloque de enriquecimiento, haz clic en Más en esa fila y selecciona Habilitar bloque. Se abrirá un cuadro de diálogo de confirmación.

  3. Revisa la información y haz clic en Habilitar bloqueo. En la tabla Bloques habilitados se muestra una fila correspondiente al bloque de enriquecimiento que se ha vuelto a habilitar, y la fila correspondiente se elimina de la tabla Bloques inhabilitados.

    Después de unos 5-10 minutos, Google SecOps implementa el bloque de enriquecimiento (es decir, elimina el enriquecimiento de todos los campos enriquecidos asociados) a partir de las 0:00:00 UTC de la fecha actual. Después de este tiempo, te recomendamos que verifiques que los resultados son los que esperabas.

Ejemplo de flujo de trabajo de un bloque de enriquecimiento

En este flujo de trabajo se muestra cómo usar un bloque de enriquecimiento para resolver una regla que se ha activado incorrectamente debido a sobrescrituras de datos no deseadas:

  1. Validar la regla: recibes una alerta y determinas que se ha activado de forma incorrecta. Confirma que la lógica de la regla es correcta y que no es candidata a una exclusión de regla.
  2. Identifica la fuente del registro: revisas la alerta y te das cuenta de que se han cumplido las condiciones de activación de un registro de CrowdStrike.

  3. Investiga la fuente de enriquecimiento: usa el Visor de eventos para identificar qué fuente externa ha modificado el campo crítico. En los pasos que se indican a continuación se muestra una forma de abrir el Visor de eventos (aunque hay otras):

    1. En la consola de Google SecOps, ve a Detecciones > Alertas e IOCs.
    2. Selecciona la detección que se ha activado incorrectamente y consulta los detalles del evento.
    3. Haz clic en la marca de tiempo del evento para abrir el Visor de eventos. La pestaña Campos de evento se muestra de forma predeterminada. Cada campo enriquecido se identifica con una E. Si se despliega el nodo, se muestran las fuentes de enriquecimiento.
    4. En la pestaña Campos de evento, despliega el nodo del campo enriquecido que da problemas para identificar la fuente. Descubres que Okta ha enriquecido el campo que ha activado la alerta.

  4. Crea y habilita un bloque de enriquecimiento: crea y activa un bloque de enriquecimiento que inhabilite los datos de User de Okta como fuente de enriquecimiento en tus registros de CrowdStrike.

  5. Verificar la resolución: después de esperar entre 5 y 10 minutos para que el bloque de enriquecimiento surta efecto, compruebe que la alerta ya no se activa de forma incorrecta.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.