Bloquea el enriquecimiento de flujos específicos

En este documento, se explica cómo los bloques de enriquecimiento te brindan un control detallado sobre el proceso de enriquecimiento de datos. El proceso de enriquecimiento predeterminado usa datos contextuales de diferentes fuentes, analiza los datos y reemplaza los datos de los campos del Modelo de datos unificado (UDM) según la lógica interna. El proceso predeterminado suele funcionar según lo esperado. Sin embargo, en algunos casos, sobrescribir los datos de los campos del UDM provoca un comportamiento inesperado, como la activación incorrecta de las reglas del motor de detección.

Configura y visualiza los bloques de enriquecimiento

Solo los usuarios de Google SecOps con privilegios de administrador de Chronicle y editor pueden configurar bloques de enriquecimiento. Todos los usuarios de Google SecOps pueden ver la interfaz de Bloques de enriquecimiento.

La configuración básica de un bloque de enriquecimiento requiere tres parámetros secuenciales: Tipo de enriquecimiento, Tipo de registro de destino y Fuente. Las opciones disponibles para Target Log Type dependen del Enrichment Type seleccionado, y las opciones disponibles para Source dependen del Target Log Type seleccionado.

No puedes borrar un bloque de enriquecimiento.

Los bloques de enriquecimiento se pueden habilitar, inhabilitar y volver a habilitar.

El diálogo Bloques de enriquecimiento incluye las pestañas Bloques habilitados y Bloques inhabilitados. En las tablas de ambas pestañas, se muestran los parámetros de configuración básicos del bloque de enriquecimiento, la fecha en UTC en la que se habilitó el bloque por última vez y el motivo (opcional) especificado por el usuario para el bloqueo. La tabla de la pestaña Disabled Blocks incluye la fecha en UTC en la que se inhabilitó el bloqueo.

Se revisó la lógica del tiempo de bloqueo del enriquecimiento

El cambio en el estado de un bloque de enriquecimiento se aplica en un plazo de 5 a 10 minutos.

El efecto clave de habilitar o inhabilitar un bloque es su hora de inicio sincronizada:

  • Habilitar un bloqueo (eliminación del enriquecimiento): Google SecOps elimina el enriquecimiento de todos los campos asociados a partir de las 00:00:00 UTC de la fecha actual y continúa en el futuro.

  • Inhabilitar un bloqueo (re-enriquecimiento): Google SecOps vuelve a enriquecer todos los campos asociados a partir de las 00:00:00 UTC de la fecha actual y continúa enriqueciendo los datos en el futuro.

Ejemplo: El martes 16 de septiembre, a las 23:59:59 (UTC), habilitas un bloque de enriquecimiento. Google SecOps quita el enriquecimiento de todos los campos enriquecidos asociados a partir de las 0:00:00 del martes 16 de septiembre (UTC) y sigue implementando el bloqueo de enriquecimiento en el futuro. El miércoles 17 de septiembre, a las 09:00:00 (UTC), inhabilitas el bloque de enriquecimiento. Google SecOps vuelve a enriquecer todos los campos asociados a partir de las 0:00:00 del miércoles 17 de septiembre (UTC) y continúa enriqueciendo todos los datos pertinentes en el futuro.

Crea y habilita un bloque de enriquecimiento

Para crear y habilitar un bloque de enriquecimiento, haz lo siguiente:

  1. Ve a Configuración > Bloques de enriquecimiento.

  2. Configura lo siguiente:

    1. En la lista Tipo de enriquecimiento, selecciona una de las siguientes opciones:

      • Todos los tipos
      • Recurso. Cuando no se encuentra en el bloque de enriquecimiento, esta opción hace lo siguiente:
        • Extrae campos, como hostname, asset_id, mac y ip (si asset_id está vacío).
        • Enriquece los campos que incluyen cualquier elemento en Asset (por ejemplo, hostname, asset_id, mac o ip) de Noun.
        • Usa fuentes de enriquecimiento, como DHCP y Asset Context (por ejemplo, Tanium Asset o CrowdStrike).
      • GeoIP. Cuando no se encuentra en el bloque de enriquecimiento, esta opción hace lo siguiente:
        • Extrae campos, como ip si es público o se puede enrutar.
        • Enriquece los campos que incluyen artifact.ip, artifact.location, artifact.network y location.
        • Utiliza fuentes de enriquecimiento del servicio de GeoIP de Google.
      • Google Threat Intel. Cuando no se encuentra en el bloque de enriquecimiento, esta opción hace lo siguiente:
        • Extrae los campos pertinentes.
        • Enriquece los campos File o process.file.
        • Utiliza fuentes de enriquecimiento de los metadatos de archivos de VirusTotal.
      • Proceso. Cuando no se encuentra en el bloque de enriquecimiento, esta opción hace lo siguiente:
        • Extrae campos, como process.product_specific_process_id.
        • Enriquece los campos, lo que incluye todo lo que se encuentra en Process.
        • Utiliza fuentes de enriquecimiento, como los registros de EDR (por ejemplo, de CrowdStrike o SentinelOne).
      • Usuario. Cuando no se encuentra en el bloque de enriquecimiento, esta opción hace lo siguiente:
        • Extrae campos, como user.email_addresses, user.userid, user.windows_sid, user.employee_id y user.product_object_id.
        • Enriquece los campos que incluyen cualquier elemento en User.
        • Utiliza fuentes de enriquecimiento, como los registros de contexto del usuario (por ejemplo, de Workday o Windows AD).

    2. En la lista Target Log Type, selecciona la opción requerida, que depende del Enrichment Type seleccionado. Algunos ejemplos de opciones son All Types, Windows_Sysmon, CB_EDR y BRO_JSON.

    3. En la lista Fuente, selecciona la opción requerida. Las opciones disponibles dependen del Tipo de registro de destino seleccionado. Entre las opciones de ejemplo, se incluyen All Types, INFOBLOX_DHCP, WINDOWS_AD y VIRUSTOTAL_FILE_METADATA.

  3. Haz clic en Habilitar bloqueo para abrir el diálogo Habilitar bloqueo y mostrar la configuración de los pasos anteriores.

  4. Opcional: En el campo Reason for blocking, ingresa el motivo del bloqueo del enriquecimiento.

  5. Después de revisar la información, haz clic en Habilitar bloqueo. En la tabla Enabled Blocks, se muestra una fila para el bloque de enriquecimiento habilitado.

    Después de aproximadamente 5 a 10 minutos, Google SecOps implementa el bloqueo de enriquecimiento (es decir, quita el enriquecimiento de todos los campos enriquecidos asociados) a partir de las 0:00:00 de la fecha actual en UTC y en adelante. Después de este tiempo, te recomendamos que verifiques que los resultados sean los esperados.

Cómo inhabilitar un bloque de enriquecimiento

Para inhabilitar un bloque de enriquecimiento, haz lo siguiente:

  1. Ve a Configuración > Bloques de enriquecimiento.
  2. En la pestaña Enabled Blocks, busca el bloque de enriquecimiento, haz clic en Más en esa fila y selecciona Inhabilitar bloque. Se abrirá un cuadro de diálogo de confirmación.

  3. Revisa la información y haz clic en Inhabilitar bloqueo. En la tabla Bloques inhabilitados, se muestra una fila para el bloque de enriquecimiento inhabilitado, y se quita la fila correspondiente de la tabla Bloques habilitados.

    Después de aproximadamente 5 a 10 minutos, Google SecOps volverá a enriquecer todos los campos asociados a partir de las 0:00:00 de la fecha actual en UTC y en adelante. Después de este tiempo, te recomendamos que verifiques que los resultados sean los esperados.

Cómo volver a habilitar un bloqueo de enriquecimiento

Para volver a habilitar un bloque de enriquecimiento, haz lo siguiente:

  1. Ve a Configuración > Bloques de enriquecimiento.
  2. En la pestaña Disabled Blocks, busca el bloque de enriquecimiento, haz clic en Más en esa fila y selecciona Habilitar bloque. Se abrirá un cuadro de diálogo de confirmación.

  3. Revisa la información y haz clic en Habilitar bloqueo. En la tabla Enabled Blocks, se muestra una fila para el bloque de enriquecimiento que se volvió a habilitar, y se quita la fila correspondiente de la tabla Disabled Blocks.

    Después de aproximadamente 5 a 10 minutos, Google SecOps implementa el bloqueo de enriquecimiento (es decir, quita el enriquecimiento de todos los campos enriquecidos asociados) a partir de las 0:00:00 de la fecha actual en UTC y en adelante. Después de este tiempo, te recomendamos que verifiques que los resultados sean los esperados.

Ejemplo de flujo de trabajo para un bloque de enriquecimiento

En este flujo de trabajo, se muestra cómo usar un bloque de enriquecimiento para resolver una regla que se activó de forma incorrecta debido a escrituras de datos no deseadas:

  1. Validar la regla: Recibes una alerta y determinas que se activó de forma incorrecta. Confirmas que la lógica de la regla es correcta y que no es candidata para una exclusión de regla.
  2. Identifica la fuente del registro: Revisas la alerta y te das cuenta de que un registro de CrowdStrike cumplió con las condiciones de activación.

  3. Investiga la fuente de enriquecimiento: Usa el Visor de eventos para identificar qué fuente externa modificó el campo crítico. En los siguientes pasos, se muestra una forma de abrir el Visor de eventos (pero hay pasos alternativos):

    1. En la consola de Google SecOps, ve a Detections > Alerts & IOCs.
    2. Selecciona la detección activada de forma incorrecta y profundiza en el evento.
    3. Haz clic en la marca de tiempo del evento para abrir el Visualizador de eventos. La pestaña Campos del evento se muestra de forma predeterminada. Cada campo enriquecido se identifica con una E, y, si expandes el nodo, se muestran las fuentes de enriquecimiento.
    4. En la pestaña Event Fields, expande el nodo del campo enriquecido problemático para identificar la fuente. Te enteras de que Okta enriqueció el campo que activó la alerta.

  4. Crea y habilita un bloque de enriquecimiento: Crea y activa un bloque de enriquecimiento que inhabilite los datos de User de Okta como fuente de enriquecimiento en tus registros de CrowdStrike.

  5. Verifica la resolución: Después de esperar entre 5 y 10 minutos para que el bloque de enriquecimiento surta efecto, verifica que la alerta ya no se active de forma incorrecta.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.