חסימת העשרה מרצפי פעולות ספציפיים

במאמר הזה נסביר איך בלוקים של העשרה מאפשרים לכם שליטה גרנולרית בתהליך העשרת הנתונים. בתהליך ההעשרה שמוגדר כברירת מחדל נעשה שימוש בנתונים הקשריים ממקורות שונים, הנתונים מנותחים ונתוני השדות של מודל הנתונים המאוחד (UDM) נכתבים מחדש בהתאם ללוגיקה פנימית. בדרך כלל התהליך שמוגדר כברירת מחדל פועל כמצופה. עם זאת, במקרים מסוימים, כתיבה מחדש של נתוני השדות של UDM גורמת להתנהגות לא צפויה, כמו הפעלה לא תקינה של כללים של מנוע זיהוי.

הגדרה של בלוקים להעשרת נתונים וצפייה בהם

רק משתמשים ב-Google Security Operations עם הרשאות אדמין ב-Chronicle ועריכה יכולים להגדיר בלוקים של העשרה. כל המשתמשים ב-Google SecOps יכולים לראות את הממשק של בלוקים של העשרה.

ההגדרה הבסיסית של בלוק העשרה דורשת שלושה פרמטרים עוקבים: סוג ההעשרה, סוג יומן היעד ומקור. האפשרויות שזמינות לסוג יומן היעד תלויות בסוג ההעשרה שנבחר, והאפשרויות שזמינות למקור תלויות בסוג יומן היעד שנבחר.

אי אפשר למחוק בלוק העשרה.

אפשר להפעיל, להשבית ולהפעיל מחדש בלוקים של העשרה.

תיבת הדו-שיח בלוקים להעשרת התוכן כוללת את הכרטיסיות בלוקים מופעלים ובלוקים מושבתים. בטבלאות בשני הכרטיסיות מוצגים פרמטרי ההגדרה הבסיסיים של בלוק ההעשרה, התאריך לפי שעון UTC שבו הבלוק הופעל לאחרונה והסיבה (האופציונלית) לחסימה שצוינה על ידי המשתמש. הטבלה בכרטיסייה חסימות שהושבתו כוללת את התאריך בשעון UTC שבו החסימה הושבתה.

לוגיקה מעודכנת של חסימת זמן להעשרה

שינוי בסטטוס של בלוק העשרה מתעדכן תוך 5 עד 10 דקות.

ההשפעה העיקרית של הפעלה או השבתה של בלוק היא שעת ההתחלה המסונכרנת שלו:

  • הפעלת חסימה (הסרת העשרה): מערכת Google SecOps מסירה את ההעשרה מכל השדות המשויכים החל מ-00:00:00 UTC של התאריך הנוכחי, והפעולה נמשכת קדימה.

  • השבתת חסימה (העשרה מחדש): Google SecOps מעשיר מחדש את כל השדות המשויכים החל מ-00:00:00 UTC של התאריך הנוכחי, וממשיך להעשיר את השדות בהמשך.

לדוגמה: ביום שלישי, 16 בספטמבר, בשעה 23:59:59 ‏(UTC), מפעילים בלוק העשרה. מערכת Google SecOps מבטלת את ההעשרה של כל השדות המשויכים החל מיום שלישי, 16 בספטמבר, בשעה 00:00:00 ‏(UTC), וממשיכה להטמיע את בלוק ההעשרה. ביום רביעי, 17 בספטמבר, בשעה 09:00:00 ‏(UTC), משביתים את בלוק ההעשרה. מערכת Google SecOps מבצעת מחדש את ההעשרה של כל השדות המשויכים החל מיום רביעי, 17 בספטמבר, בשעה 00:00:00 ‏(UTC), וממשיכה להעשיר את כל הנתונים הרלוונטיים.

יצירה והפעלה של בלוק העשרה

כדי ליצור ולהפעיל בלוק העשרה:

  1. עוברים אל הגדרות > Enrichment Blocks (בלוקים להעשרת נתונים).

  2. קובעים את ההגדרות הבאות:

    1. ברשימה סוג ההעשרה בוחרים באחת מהאפשרויות הבאות:

      • כל הסוגים. ההגדרה חלה על כל הפריטים ברשימה, שמתמלאת על סמך סוגי הנתונים והיומנים ש-Google SecOps קולט.
      • נכס. אם האפשרות הזו לא מופיעה בבלוק ההעשרה, היא מבצעת את הפעולות הבאות:
        • שולף שדות כמו hostname, asset_id, mac, ip (אם asset_id ריק).
        • מעשיר שדות שכוללים כל דבר מתחת ל-Asset (לדוגמה, hostname,‏ asset_id,‏ mac או ip) מ-Noun.
        • משתמש במקורות להעשרת נתונים, כמו DHCP ו-Asset Context (לדוגמה, Tanium Asset או CrowdStrike).
      • GeoIP. אם האפשרות הזו לא מופיעה בבלוק ההעשרה, היא מבצעת את הפעולות הבאות:
        • מחולץ שדות, כמו ip אם הוא ציבורי או ניתן לניתוב.
        • העשרה של שדות שכוללים את artifact.ip, ‏ artifact.location, ‏ artifact.network, ‏ location.
        • משתמש במקורות להעשרה משירות Google GeoIP.
      • Google Threat Intel. אם האפשרות הזו לא מופיעה בבלוק ההעשרה, היא מבצעת את הפעולות הבאות:
        • מחלץ שדות רלוונטיים.
        • מעשיר את השדות File או process.file.
        • משתמש במקורות להעשרת נתונים ממטא-נתונים של קבצים ב-VirusTotal.
      • תהליך. אם האפשרות הזו לא מופיעה בבלוק ההעשרה, היא מבצעת את הפעולות הבאות:
        • מחלץ שדות, כמו process.product_specific_process_id.
        • העשרה של שדות, כולל כל מה שמופיע בקטע Process.
        • משתמש במקורות להעשרת נתונים, כמו יומני EDR (לדוגמה, מ-CrowdStrike או מ-SentinelOne).
      • משתמש. אם האפשרות הזו לא מופיעה בבלוק ההעשרה, היא מבצעת את הפעולות הבאות:
        • הפונקציה מחלצת שדות, כמו user.email_addresses, user.userid, user.windows_sid, user.employee_id, user.product_object_id.
        • מעשיר שדות שכוללים כל דבר מתחת ל-User.
        • משתמש במקורות להעשרת נתונים, כמו יומני הקשר של המשתמש (לדוגמה, מ-Workday או מ-Windows AD).

    2. מהרשימה סוג יומן היעד בוחרים את האפשרות הנדרשת, בהתאם לסוג ההעשרה שנבחר. אפשרויות לדוגמה כוללות All Types,‏ Windows_Sysmon,‏ CB_EDR ו-BRO_JSON.

    3. מהרשימה מקור בוחרים את האפשרות הרצויה. האפשרויות שזמינות תלויות בסוג יומן היעד שנבחר. בין האפשרויות האפשריות: כל הסוגים,‏ INFOBLOX_DHCP,‏ WINDOWS_AD ו-VIRUSTOTAL_FILE_METADATA.

  3. לוחצים על הפעלת חסימה כדי לפתוח את תיבת הדו-שיח הפעלת חסימה ולהציג את ההגדרה מהשלבים הקודמים.

  4. אופציונלי: בשדה הסיבה לחסימה, מזינים את הסיבה לחסימת ההעשרה.

  5. אחרי שבודקים את המידע, לוחצים על הפעלת חסימה. בטבלה חסימות שהופעלו מוצגת שורה של בלוק ההעשרה שהופעל.

    אחרי כ-5 עד 10 דקות, Google SecOps מיישם את בלוק ההעשרה (כלומר, מבטל את ההעשרה של כל השדות המשויכים שהועשרו) החל מהשעה 00:00:00 בתאריך הנוכחי לפי שעון UTC ואילך. אחרי הזמן הזה, מומלץ לוודא שהתוצאות הן כצפוי.

השבתה של בלוק העשרה

כדי להשבית בלוק העשרה:

  1. עוברים אל הגדרות > Enrichment Blocks (בלוקים להעשרת נתונים).
  2. בכרטיסייה Enabled Blocks (בלוקים מופעלים), מוצאים את בלוק ההעשרה, לוחצים על More (עוד) באותה שורה ובוחרים באפשרות Disable Block (השבתת הבלוק). תיפתח תיבת דו-שיח לאישור.

  3. בודקים את המידע ולוחצים על השבתת החסימה. בטבלה Disabled Blocks מוצגת שורה של בלוק ההעשרה שהושבת, והשורה התואמת מוסרת מהטבלה Enabled Blocks.

    אחרי כ-5 עד 10 דקות, Google SecOps מעשיר מחדש את כל השדות המשויכים החל מהשעה 00:00:00 בתאריך הנוכחי (UTC) ואילך. אחרי הזמן הזה, מומלץ לוודא שהתוצאות הן כצפוי.

הפעלה מחדש של בלוק העשרה

כדי להפעיל מחדש בלוק העשרה:

  1. עוברים אל הגדרות > Enrichment Blocks (בלוקים להעשרת נתונים).
  2. בכרטיסייה Disabled Blocks (בלוקים מושבתים), מחפשים את בלוק ההעשרה, לוחצים על More (אפשרויות נוספות) בשורה הזו ובוחרים באפשרות Enable Block (הפעלת הבלוק). נפתח חלון אישור.

  3. בודקים את המידע ולוחצים על הפעלת חסימה. בטבלה Enabled Blocks (בלוקים מופעלים) מוצגת שורה של בלוק ההעשרה שהופעל מחדש, והשורה התואמת מוסרת מהטבלה Disabled Blocks (בלוקים מושבתים).

    אחרי כ-5 עד 10 דקות, Google SecOps מיישם את בלוק ההעשרה (כלומר, מבטל את ההעשרה של כל השדות המשויכים שהועשרו) החל מהשעה 00:00:00 בתאריך הנוכחי לפי שעון UTC ואילך. אחרי הזמן הזה, מומלץ לוודא שהתוצאות הן כצפוי.

דוגמה לתהליך עבודה של בלוק העשרה

בתהליך העבודה הזה נדגים איך להשתמש בבלוק העשרה כדי לפתור בעיה שבה הפעלה של כלל מסוים לא בוצעה בצורה תקינה בגלל החלפה של נתונים לא רצויים:

  1. אימות הכלל: קיבלתם התראה וקבעתם שהיא הופעלה שלא בצורה תקינה. אתם מאשרים שהלוגיקה של הכלל נכונה – הוא לא מתאים להחרגת כלל.
  2. זיהוי מקור היומן: בודקים את ההתראה ומבינים שתנאי הטריגר התקיימו ביומן של CrowdStrike.

  3. בדיקת מקור ההעשרה: משתמשים בכלי לבדיקת אירועים כדי לזהות איזה מקור חיצוני שינה את השדה הקריטי. בשלבים הבאים נסביר איך לפתוח את הכלי Event Viewer (אבל יש גם דרכים אחרות):

    1. במסוף Google SecOps, עוברים אל Detections (זיהויים) > Alerts & IOCs (התראות ואינדיקטורים של פריצות).
    2. בוחרים את הזיהוי של ההפעלה הלא תקינה ומבצעים פירוט יתר עד לרמת האירוע.
    3. לוחצים על חותמת הזמן של האירוע כדי לפתוח את כלי הצפייה באירועים. הכרטיסייה שדות אירועים מוצגת כברירת מחדל. כל שדה מועשר מזוהה באמצעות E, ואם מרחיבים את הצומת מוצגים מקורות ההעשרה.
    4. בכרטיסייה Event Fields (שדות אירועים), מרחיבים את הצומת של השדה הבעייתי שעבר העשרה כדי לזהות את המקור. מגלים שהשדה שהפעיל את ההתראה עבר העשרה על ידי Okta.

  4. יצירה והפעלה של בלוק העשרה: יצירה והפעלה של בלוק העשרה שמשבית את נתוני User מ-Okta כמקור להעשרה ביומני CrowdStrike.

  5. אימות הפתרון: אחרי שממתינים 5-10 דקות עד שהבלוק של העשרת הנתונים ייכנס לתוקף, מוודאים שההתראה כבר לא מופעלת שלא בצדק.

הבעיה עדיין לא נפתרה? קבלת תשובות מחברי הקהילה וממומחי Google SecOps.