Bloquer l'enrichissement à partir de flux spécifiques

Ce document explique comment les blocs d'enrichissement vous permettent de contrôler précisément le processus d'enrichissement des données. Le processus d'enrichissement par défaut utilise des données contextuelles provenant de différentes sources, les analyse et remplace les données des champs du modèle de données unifié (UDM) selon une logique interne. Le processus par défaut fonctionne généralement comme prévu. Toutefois, dans certains cas, le remplacement des données des champs UDM entraîne un comportement inattendu, comme le déclenchement incorrect des règles du moteur de détection.

Configurer et afficher des blocs d'enrichissement

Seuls les utilisateurs Google SecOps disposant des droits Administrateur Chronicle et Éditeur peuvent configurer des blocs d'enrichissement. Tous les utilisateurs Google SecOps peuvent consulter l'interface Blocs d'enrichissement.

La configuration de base d'un bloc d'enrichissement nécessite trois paramètres séquentiels : Type d'enrichissement, Type de journal cible et Source. Les options disponibles pour Type de journal cible dépendent du Type d'enrichissement sélectionné, et les options disponibles pour Source dépendent du Type de journal cible sélectionné.

Vous ne pouvez pas supprimer de bloc d'enrichissement.

Les blocs d'enrichissement peuvent être activés, désactivés et réactivés.

La boîte de dialogue Blocs d'enrichissement inclut les onglets Blocs activés et Blocs désactivés. Les tableaux des deux onglets affichent les paramètres de configuration de base du bloc d'enrichissement, la date UTC à laquelle le bloc a été activé pour la dernière fois et la raison (facultative) spécifiée par l'utilisateur pour le bloc. Le tableau de l'onglet Blocages désactivés inclut la date UTC à laquelle le blocage a été désactivé.

Logique révisée du temps de blocage de l'enrichissement

La modification de l'état d'un bloc d'enrichissement prend effet sous cinq à dix minutes.

L'effet clé de l'activation ou de la désactivation d'un bloc est son heure de début synchronisée :

  • Activer un blocage (désenrichissement) : Google SecOps désenrichit tous les champs associés à partir de 00:00:00 UTC de la date actuelle et continue par la suite.

  • Désactiver un bloc (réenrichissement) : Google SecOps réenrichit tous les champs associés à partir de 00:00:00 UTC de la date actuelle et continue de les enrichir par la suite.

Exemple : Le mardi 16 septembre à 23h59:59 UTC, vous activez un bloc d'enrichissement. Google SecOps supprime l'enrichissement de tous les champs enrichis associés à partir de 00:00:00 le mardi 16 septembre (UTC) et continue d'implémenter le blocage de l'enrichissement par la suite. Le mercredi 17 septembre à 09:00:00 UTC, vous désactivez le bloc d'enrichissement. Les équipes Google SecOps réenrichissent tous les champs associés à partir de 00:00:00 le mercredi 17 septembre UTC et continuent d'enrichir toutes les données pertinentes à l'avenir.

Créer et activer un bloc d'enrichissement

Pour créer et activer un bloc d'enrichissement, procédez comme suit :

  1. Accédez à Paramètres > Blocs d'enrichissement.

  2. Ensuite, procédez à la configuration des éléments suivants, comme indiqué :

    1. Dans la liste Type d'enrichissement, sélectionnez l'une des options suivantes :

      • Tous les types
      • Asset. Lorsque cette option ne se trouve pas dans le bloc d'enrichissement, elle effectue les opérations suivantes :
        • Extrait les champs, tels que hostname, asset_id, mac et ip (si asset_id est vide).
        • Enrichit les champs qui incluent tout ce qui se trouve sous Asset (par exemple, hostname, asset_id, mac ou ip) à partir de Noun.
        • Utilise des sources d'enrichissement, telles que DHCP et Asset Context (par exemple, Tanium Asset ou CrowdStrike).
      • GeoIP Lorsque cette option ne se trouve pas dans le bloc d'enrichissement, elle effectue les opérations suivantes :
        • Extrait les champs, tels que ip s'il est public ou routable.
        • Enrichit les champs qui incluent artifact.ip, artifact.location, artifact.network et location.
        • Utilise des sources d'enrichissement du service Google GeoIP.
      • Google Threat Intelligence Lorsque cette option ne se trouve pas dans le bloc d'enrichissement, elle effectue les opérations suivantes :
        • Extrait les champs pertinents.
        • Enrichit les champs File ou process.file.
        • Utilise les sources d'enrichissement des métadonnées de fichiers VirusTotal.
      • Processus Lorsque cette option ne se trouve pas dans le bloc d'enrichissement, elle effectue les opérations suivantes :
        • Extrait des champs, tels que process.product_specific_process_id.
        • Enrichit les champs, y compris tout ce qui se trouve sous Process.
        • Utilise des sources d'enrichissement, telles que les journaux EDR (par exemple, ceux de CrowdStrike ou SentinelOne).
      • Utilisateur. Lorsque cette option ne se trouve pas dans le bloc d'enrichissement, elle effectue les opérations suivantes :
        • Extrait des champs tels que user.email_addresses, user.userid, user.windows_sid, user.employee_id et user.product_object_id.
        • Enrichit les champs qui incluent tout ce qui se trouve sous User.
        • Utilise des sources d'enrichissement, telles que les journaux de contexte utilisateur (par exemple, à partir de Workday ou Windows AD).

    2. Dans la liste Type de journal cible, sélectionnez l'option requise, qui dépend du Type d'enrichissement sélectionné. Par exemple, Tous les types, Windows_Sysmon, CB_EDR et BRO_JSON.

    3. Dans la liste Source, sélectionnez l'option requise. Les options disponibles dépendent du type de journal cible sélectionné. Par exemple, les options Tous les types, INFOBLOX_DHCP, WINDOWS_AD et VIRUSTOTAL_FILE_METADATA.

  3. Cliquez sur Activer le bloc pour ouvrir la boîte de dialogue Activer le bloc et afficher la configuration des étapes précédentes.

  4. Facultatif : Dans le champ Motif du blocage, saisissez le motif du blocage de l'enrichissement.

  5. Après avoir examiné les informations, cliquez sur Activer le blocage. Le tableau Blocs activés affiche une ligne pour le bloc d'enrichissement activé.

    Après environ 5 à 10 minutes, Google SecOps implémente le bloc d'enrichissement (c'est-à-dire qu'il supprime l'enrichissement de tous les champs enrichis associés) à partir de 00:00:00 de la date actuelle (UTC) et pour l'avenir. Passé ce délai, nous vous recommandons de vérifier que les résultats sont conformes à vos attentes.

Désactiver un bloc d'enrichissement

Pour désactiver un bloc d'enrichissement :

  1. Accédez à Paramètres > Blocs d'enrichissement.
  2. Dans l'onglet Blocs activés, recherchez le bloc d'enrichissement, cliquez sur Plus sur la même ligne, puis sélectionnez Désactiver le bloc. Une boîte de dialogue de confirmation s'affiche.

  3. Vérifiez les informations, puis cliquez sur Désactiver le blocage. Le tableau Blocs désactivés affiche une ligne pour le bloc d'enrichissement désactivé, et la ligne correspondante est supprimée du tableau Blocs activés.

    Au bout de 5 à 10 minutes environ, Google SecOps réenrichit tous les champs associés à partir de 00:00:00 de la date actuelle (UTC) et pour les dates ultérieures. Passé ce délai, nous vous recommandons de vérifier que les résultats sont conformes à vos attentes.

Réactiver un bloc d'enrichissement

Pour réactiver un bloc d'enrichissement :

  1. Accédez à Paramètres > Blocs d'enrichissement.
  2. Dans l'onglet Blocs désactivés, recherchez le bloc d'enrichissement, cliquez sur Plus sur cette ligne, puis sélectionnez Activer le bloc. Une boîte de dialogue de confirmation s'affiche.

  3. Vérifiez les informations, puis cliquez sur Activer le blocage. Le tableau Blocs activés affiche une ligne pour le bloc d'enrichissement réactivé, et la ligne correspondante est supprimée du tableau Blocs désactivés.

    Après environ 5 à 10 minutes, Google SecOps implémente le bloc d'enrichissement (c'est-à-dire qu'il supprime l'enrichissement de tous les champs enrichis associés) à partir de 00:00:00 de la date actuelle en UTC et pour l'avenir. Passé ce délai, nous vous recommandons de vérifier que les résultats sont conformes à vos attentes.

Exemple de workflow pour un bloc d'enrichissement

Ce workflow montre comment utiliser un bloc d'enrichissement pour résoudre un problème de règle déclenchée à tort par des données indésirables écrasées :

  1. Valider la règle : vous recevez une alerte et déterminez qu'elle a été déclenchée de manière inappropriée. Vous confirmez que la logique de la règle est correcte et qu'elle n'est pas éligible à une exclusion de règle.
  2. Identifiez la source du journal : vous examinez l'alerte et vous rendez compte que les conditions de déclenchement ont été remplies par un journal CrowdStrike.

  3. Examiner la source d'enrichissement : utilisez l'Observateur d'événements pour identifier la source externe qui a modifié le champ critique. Les étapes suivantes expliquent comment ouvrir l'observateur d'événements (mais il existe d'autres méthodes) :

    1. Dans la console Google SecOps, accédez à Détections > Alertes et IOC.
    2. Sélectionnez la détection déclenchée de manière inappropriée et accédez à l'événement.
    3. Cliquez sur le code temporel de l'événement pour ouvrir la Visionneuse d'événements. L'onglet Champs d'événement s'affiche par défaut. Chaque champ enrichi est identifié par un E. En développant le nœud, vous pouvez afficher les sources d'enrichissement.
    4. Dans l'onglet Champs d'événement, développez le nœud du champ enrichi problématique pour identifier la source. Vous apprenez que le champ qui a déclenché l'alerte a été enrichi par Okta.

  4. Créez et activez un bloc d'enrichissement : créez et activez un bloc d'enrichissement qui désactive les données User d'Okta en tant que source d'enrichissement dans vos journaux CrowdStrike.

  5. Vérifiez la résolution : après avoir attendu 5 à 10 minutes pour que le bloc d'enrichissement prenne effet, vérifiez que l'alerte n'est plus déclenchée de manière inappropriée.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.