Memblokir pengayaan dari alur tertentu

Dokumen ini menjelaskan cara blok pengayaan memberi Anda kontrol terperinci atas proses pengayaan data. Proses pengayaan default menggunakan data kontekstual dari berbagai sumber, menganalisis data, dan mengganti data kolom Model Data Terpadu (UDM) sesuai dengan logika internal. Proses default biasanya berfungsi seperti yang diharapkan. Namun, dalam kasus tertentu, mengganti data kolom UDM menyebabkan perilaku yang tidak terduga, seperti memicu aturan mesin deteksi secara tidak tepat.

Mengonfigurasi dan melihat blok pengayaan

Hanya pengguna Google SecOps dengan hak istimewa Admin Chronicle dan Editor yang dapat mengonfigurasi blok penambahan informasi; semua pengguna Google SecOps dapat melihat antarmuka Blok Penambahan Informasi.

Konfigurasi dasar blok pengayaan memerlukan tiga parameter berurutan: Jenis Pengayaan, Jenis Log Target, dan Sumber. Opsi yang tersedia untuk Jenis Log Target bergantung pada Jenis Pengayaan yang dipilih, dan opsi yang tersedia untuk Sumber bergantung pada Jenis Log Target yang dipilih.

Anda tidak dapat menghapus blok pengayaan.

Blok pengayaan dapat diaktifkan, dinonaktifkan, dan diaktifkan kembali.

Dialog Blok Peningkatan mencakup tab Blok yang Diaktifkan dan tab Blok yang Dinonaktifkan. Tabel di kedua tab menampilkan parameter konfigurasi dasar blok penambahan data, tanggal UTC saat blok terakhir diaktifkan, dan alasan yang ditentukan pengguna (opsional) untuk blok tersebut. Tabel di tab Blok yang Dinonaktifkan mencakup tanggal UTC saat blok dinonaktifkan.

Logika waktu blok pengayaan yang direvisi

Perubahan status blok penambahan data akan diterapkan dalam waktu 5-10 menit.

Efek utama pengaktifan atau penonaktifan blok adalah waktu mulai yang disinkronkan:

  • Mengaktifkan pemblokiran (pengurangan): Google SecOps mengurangi semua kolom terkait mulai pukul 00.00.00 UTC pada tanggal saat ini dan terus berlanjut.

  • Menonaktifkan pemblokiran (pengayaan ulang): Google SecOps akan memperkaya ulang semua kolom terkait mulai dari 00.00.00 UTC pada tanggal saat ini dan terus memperkaya ke depannya.

Contoh: Pada Selasa, 16 September, pukul 23.59.59 UTC, Anda mengaktifkan blok pengayaan. Google SecOps membatalkan pengayaan semua kolom yang terkait dan telah diperkaya sejak 16 September pukul 00.00.00 UTC—dan terus menerapkan pemblokiran pengayaan ke depannya. Pada hari Rabu, 17 September, pukul 09.00.00 UTC, Anda menonaktifkan blok pengayaan. Google SecOps memperkaya kembali semua kolom terkait mulai pukul 00.00.00 UTC pada Rabu, 17 September—dan terus memperkaya semua data yang relevan ke depannya.

Membuat dan mengaktifkan blok pengayaan

Untuk membuat dan mengaktifkan blok pengayaan, lakukan hal berikut:

  1. Buka Setelan > Blok Peningkatan Kualitas.

  2. Konfigurasi hal berikut ini:

    1. Dari daftar Jenis Pengayaan, pilih salah satu opsi berikut:

      • Semua Jenis
      • Aset. Jika tidak ada di blok pengayaan, opsi ini akan melakukan hal berikut:
        • Mengekstrak kolom, seperti hostname, asset_id, mac, ip (jika asset_id kosong).
        • Memperkaya kolom yang mencakup apa pun di bawah Asset (misalnya, hostname, asset_id, mac, atau ip) dari Noun.
        • Menggunakan sumber pengayaan, seperti DHCP dan Asset Context (misalnya, Tanium Asset atau CrowdStrike).
      • GeoIP. Jika tidak ada di blok pengayaan, opsi ini akan melakukan hal berikut:
        • Mengekstrak kolom, seperti ip jika bersifat publik atau dapat dirutekan.
        • Memperkaya kolom yang mencakup artifact.ip, artifact.location, artifact.network, location.
        • Menggunakan sumber pengayaan dari Layanan GeoIP Google.
      • Google Threat Intel. Jika tidak ada di blok pengayaan, opsi ini akan melakukan hal berikut:
        • Mengekstrak kolom yang relevan.
        • Memperkaya kolom File atau process.file.
        • Menggunakan sumber pengayaan dari metadata file VirusTotal.
      • Proses. Jika tidak ada di blok pengayaan, opsi ini akan melakukan hal berikut:
        • Mengekstrak kolom, seperti process.product_specific_process_id.
        • Memperkaya kolom, yang mencakup apa pun di bagian Process.
        • Menggunakan sumber pengayaan, seperti log EDR (misalnya, dari CrowdStrike atau SentinelOne).
      • Pengguna. Jika tidak ada di blok pengayaan, opsi ini akan melakukan hal berikut:
        • Mengekstrak kolom, seperti user.email_addresses, user.userid, user.windows_sid, user.employee_id, user.product_object_id.
        • Memperkaya kolom yang menyertakan apa pun di bagian User.
        • Menggunakan sumber pengayaan, seperti log konteks pengguna (misalnya, dari Workday atau Windows AD).

    2. Dari daftar Target Log Type, pilih opsi yang diperlukan, yang bergantung pada Enrichment Type yang dipilih. Contoh opsi mencakup Semua Jenis, Windows_Sysmon, CB_EDR, dan BRO_JSON.

    3. Dari daftar Sumber, pilih opsi yang diperlukan. Opsi yang tersedia bergantung pada Jenis Log Target yang dipilih. Contoh opsi mencakup Semua Jenis, INFOBLOX_DHCP, WINDOWS_AD, dan VIRUSTOTAL_FILE_METADATA.

  3. Klik Aktifkan Pemblokiran untuk membuka dialog Aktifkan Pemblokiran dan menampilkan konfigurasi dari langkah-langkah sebelumnya.

  4. Opsional: Di kolom Alasan pemblokiran, masukkan alasan pemblokiran pengayaan.

  5. Setelah Anda meninjau informasi, klik Aktifkan Pemblokiran. Tabel Blok yang Diaktifkan menampilkan baris untuk blok pengayaan yang diaktifkan.

    Setelah sekitar 5-10 menit, Google SecOps akan menerapkan blok penambahan informasi (yaitu, menghapus penambahan informasi semua kolom yang terkait dan telah ditambahkan informasi) mulai pukul 00.00.00 UTC pada tanggal saat ini dan seterusnya. Setelah waktu ini, sebaiknya Anda memverifikasi bahwa hasilnya sesuai dengan yang Anda harapkan.

Menonaktifkan blok pengayaan

Untuk menonaktifkan blok pengayaan, lakukan hal berikut:

  1. Buka Setelan > Blok Peningkatan Kualitas.
  2. Pada tab Enabled Blocks, temukan blok pengayaan, klik Lainnya di baris tersebut, lalu pilih Nonaktifkan Blok. Dialog konfirmasi akan terbuka.

  3. Tinjau informasi, lalu klik Nonaktifkan Pemblokiran. Tabel Blokir yang Dinonaktifkan menampilkan baris untuk blokir pengayaan yang dinonaktifkan, dan baris yang sesuai akan dihapus dari tabel Blokir yang Diaktifkan.

    Setelah sekitar 5-10 menit, Google SecOps akan memperkaya ulang semua kolom terkait dari 00.00.00 tanggal saat ini UTC dan seterusnya. Setelah waktu ini, sebaiknya Anda memverifikasi bahwa hasilnya sesuai dengan yang Anda harapkan.

Mengaktifkan kembali blok pengayaan

Untuk mengaktifkan kembali blok pengayaan, lakukan langkah berikut:

  1. Buka Setelan > Blok Peningkatan.
  2. Di tab Blokir yang Dinonaktifkan, temukan blokir pengayaan, klik Lainnya di baris tersebut, lalu pilih Aktifkan Blokir. Dialog konfirmasi akan terbuka.

  3. Tinjau informasi, lalu klik Aktifkan Pemblokiran. Tabel Blok yang Diaktifkan menampilkan baris untuk blok pengayaan yang diaktifkan kembali, dan baris yang sesuai dihapus dari tabel Blok yang Dinonaktifkan.

    Setelah sekitar 5-10 menit, Google SecOps akan menerapkan blok penambahan informasi (yaitu, menghapus penambahan informasi semua kolom yang terkait dan telah ditambahkan informasi) mulai pukul 00.00.00 UTC pada tanggal saat ini dan seterusnya. Setelah waktu ini, sebaiknya Anda memverifikasi bahwa hasilnya sesuai dengan yang Anda harapkan.

Contoh alur kerja untuk blok pengayaan

Alur kerja ini menunjukkan cara menggunakan blok pengayaan untuk menyelesaikan aturan yang dipicu secara tidak benar oleh penimpaan data yang tidak diinginkan:

  1. Validasi aturan: Anda menerima pemberitahuan dan menentukan bahwa pemberitahuan tersebut dipicu secara tidak tepat. Anda mengonfirmasi bahwa logika aturan sudah benar—bukan merupakan kandidat untuk pengecualian aturan.
  2. Identifikasi sumber log: Anda meninjau pemberitahuan dan menyadari bahwa kondisi pemicu dipenuhi oleh log CrowdStrike.

  3. Selidiki sumber pengayaan: Gunakan Pelihat Peristiwa untuk mengidentifikasi sumber eksternal mana yang mengubah kolom penting. Langkah-langkah berikut menunjukkan salah satu cara untuk membuka Penampil Acara (tetapi ada langkah-langkah alternatif):

    1. Di konsol Google SecOps, buka Detections > Alerts & IOCs.
    2. Pilih deteksi yang dipicu secara tidak benar dan lihat detail peristiwa.
    3. Klik stempel waktu peristiwa untuk membuka Event Viewer. Tab Kolom Peristiwa ditampilkan secara default. Setiap kolom yang diperkaya diidentifikasi dengan E, dan memperluas node akan menampilkan sumber pengayaan.
    4. Di tab Kolom Peristiwa, luaskan node kolom yang diperkaya yang bermasalah untuk mengidentifikasi sumbernya. Anda mengetahui bahwa kolom yang memicu pemberitahuan telah diperkaya oleh Okta.

  4. Buat dan aktifkan blok penambahan informasi: Buat dan aktifkan blok penambahan informasi yang menonaktifkan data User dari Okta sebagai sumber penambahan informasi dalam log CrowdStrike Anda.

  5. Verifikasi penyelesaian: Setelah menunggu 5-10 menit hingga blok pengayaan diterapkan, verifikasi bahwa pemberitahuan tidak lagi dipicu secara tidak benar.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.