Kami telah mengatur ulang struktur navigasi agar selaras langsung dengan alur kerja operasional Anda. Lihat catatan rilis Google SecOps untuk mengetahui informasi selengkapnya.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Mengelola pemblokiran pengayaan

Dokumen ini menjelaskan cara pemblokiran pengayaan memberi Anda kontrol terperinci atas proses pengayaan data. Proses pengayaan default menggunakan data kontekstual dari berbagai sumber, menganalisis data, dan menimpa data kolom Model Data Terpadu (UDM) sesuai dengan logika internal. Proses default biasanya berfungsi seperti yang diharapkan. Namun, dalam kasus tertentu, penimpaan data kolom UDM menyebabkan perilaku yang tidak terduga, seperti memicu aturan mesin deteksi secara tidak benar.

Mengonfigurasi dan melihat pemblokiran pengayaan

Hanya pengguna Google Security Operations dengan hak istimewa Admin Chronicle dan Editor yang dapat mengonfigurasi pemblokiran pengayaan; semua pengguna Google SecOps dapat melihat antarmuka Pemblokiran Pengayaan.

Konfigurasi dasar pemblokiran pengayaan memerlukan tiga parameter berurutan: Jenis Pengayaan, Jenis Log Target, dan Sumber. Opsi yang tersedia untuk Jenis Log Target bergantung pada Jenis Pengayaan yang dipilih, dan opsi yang tersedia untuk Sumber bergantung pada Jenis Log Target yang dipilih.

Anda tidak dapat menghapus pemblokiran pengayaan.

Pemblokiran pengayaan dapat diaktifkan, dinonaktifkan, dan diaktifkan kembali.

Dialog Pemblokiran Pengayaan mencakup tab Pemblokiran yang Diaktifkan dan Pemblokiran yang Dinonaktifkan. Tabel di kedua tab menampilkan parameter konfigurasi dasar pemblokiran pengayaan, tanggal UTC saat pemblokiran terakhir diaktifkan, dan alasan pemblokiran yang ditentukan pengguna (opsional). Tabel di tab Pemblokiran yang Dinonaktifkan mencakup tanggal UTC saat pemblokiran dinonaktifkan.

Logika waktu pemblokiran pengayaan yang direvisi

Perubahan status pemblokiran pengayaan akan berlaku dalam waktu 5-10 menit.

Efek utama pengaktifan atau penonaktifan pemblokiran adalah waktu mulai yang disinkronkan:

Mengaktifkan pemblokiran (de-pengayaan): Google SecOps melakukan de-pengayaan pada semua kolom terkait mulai pukul 00.00.00 UTC pada tanggal saat ini dan terus berlanjut.
Menonaktifkan pemblokiran (pengayaan ulang): Google SecOps melakukan pengayaan ulang pada semua kolom terkait mulai pukul 00.00.00 UTC pada tanggal saat ini dan terus berlanjut.

Contoh: Pada Selasa, 16 September, pukul 23.59.59 UTC, Anda mengaktifkan pemblokiran pengayaan. Google SecOps melakukan de-pengayaan pada semua kolom yang terkait dan diperkaya mulai pukul 00.00.00 Selasa, 16 September UTC—dan terus menerapkan pemblokiran pengayaan. Pada Rabu, 17 September, pukul 09.00.00 UTC, Anda menonaktifkan pemblokiran pengayaan. Google SecOps melakukan pengayaan ulang pada semua kolom terkait mulai pukul 00.00.00 Rabu, 17 September UTC—dan terus memperkaya semua data yang relevan.

Membuat dan mengaktifkan pemblokiran pengayaan

Untuk membuat dan mengaktifkan pemblokiran pengayaan, lakukan hal berikut:

Buka Setelan > Pemblokiran Pengayaan.
Konfigurasi hal berikut ini:
1. Dari daftar Jenis Pengayaan, pilih salah satu opsi berikut:
  - Semua Jenis. Berlaku untuk semua item dalam daftar, yang diisi berdasarkan jenis data dan log yang di-ingest oleh Google SecOps.
  - Aset. Jika tidak ada dalam pemblokiran pengayaan, opsi ini akan melakukan hal berikut:
    - Mengekstrak kolom, seperti hostname, asset_id, mac, ip (jika asset_id kosong).
    - Memperkaya kolom yang mencakup apa pun di bagian Asset (misalnya, hostname, asset_id, mac, atau ip) dari Noun.
    - Menggunakan sumber pengayaan, seperti DHCP dan Asset Context (misalnya, Tanium Asset atau CrowdStrike).
  - GeoIP. Jika tidak ada dalam pemblokiran pengayaan, opsi ini akan melakukan hal berikut:
    - Mengekstrak kolom, seperti ip jika bersifat publik atau dapat dirutekan.
    - Memperkaya kolom yang mencakup artifact.ip, artifact.location, artifact.network, location.
    - Menggunakan sumber pengayaan dari Layanan GeoIP Google.
  - Google Threat Intel. Jika tidak ada dalam pemblokiran pengayaan, opsi ini akan melakukan hal berikut:
    - Mengekstrak kolom yang relevan.
    - Memperkaya kolom File atau process.file.
    - Menggunakan sumber pengayaan dari metadata file VirusTotal.
  - Proses. Jika tidak ada dalam pemblokiran pengayaan, opsi ini akan melakukan hal berikut:
    - Mengekstrak kolom, seperti process.product_specific_process_id.
    - Memperkaya kolom, yang mencakup apa pun di bagian Process.
    - Menggunakan sumber pengayaan, seperti log EDR (misalnya, dari CrowdStrike atau SentinelOne).
  - Pengguna. Jika tidak ada dalam pemblokiran pengayaan, opsi ini akan melakukan hal berikut:
    - Mengekstrak kolom, seperti user.email_addresses, user.userid, user.windows_sid, user.employee_id, user.product_object_id.
    - Memperkaya kolom yang mencakup apa pun di bagian User.
    - Menggunakan sumber pengayaan, seperti log konteks pengguna (misalnya, dari Workday atau Windows AD).
2. Dari daftar Jenis Log Target, pilih opsi yang diperlukan, yang bergantung pada Jenis Pengayaan yang dipilih. Contoh opsi mencakup Semua Jenis, Windows_Sysmon, CB_EDR, dan BRO_JSON.
  
  Catatan: Semua Jenis berlaku untuk semua item dalam daftar, yang diisi berdasarkan jenis data dan log yang di-ingest oleh Google SecOps.
3. Dari daftar Sumber, pilih opsi yang diperlukan. Opsi yang tersedia bergantung pada Jenis Log Target yang dipilih. Contoh opsi mencakup Semua Jenis, INFOBLOX_DHCP, WINDOWS_AD, dan VIRUSTOTAL_FILE_METADATA.
Klik Aktifkan Pemblokiran untuk membuka dialog Aktifkan Pemblokiran dan menampilkan konfigurasi dari langkah sebelumnya.
Opsional: Di kolom Alasan pemblokiran, masukkan alasan pemblokiran pengayaan.
Setelah meninjau informasi, klik Aktifkan Pemblokiran. Tabel Pemblokiran yang Diaktifkan menampilkan baris untuk pemblokiran pengayaan yang diaktifkan.

Setelah sekitar 5-10 menit, Google SecOps akan menerapkan pemblokiran pengayaan (yaitu, melakukan de-pengayaan pada semua kolom yang terkait dan diperkaya) mulai pukul 00.00.00 UTC pada tanggal saat ini dan terus berlanjut. Setelah waktu ini, sebaiknya verifikasi apakah hasilnya sesuai dengan yang Anda harapkan.

Menonaktifkan pemblokiran pengayaan

Untuk menonaktifkan pemblokiran pengayaan, lakukan hal berikut:

Buka Setelan > Pemblokiran Pengayaan.
Di tab Pemblokiran yang Diaktifkan, temukan pemblokiran pengayaan, klik Lainnya di baris tersebut, lalu pilih Nonaktifkan Pemblokiran. Dialog konfirmasi akan terbuka.
Tinjau informasi dan klik Nonaktifkan Pemblokiran. Tabel Pemblokiran yang Dinonaktifkan menampilkan baris untuk pemblokiran pengayaan yang dinonaktifkan, dan baris yang sesuai akan dihapus dari tabel Pemblokiran yang Diaktifkan.

Setelah sekitar 5-10 menit, Google SecOps akan melakukan pengayaan ulang pada semua kolom yang terkait mulai pukul 00.00.00 UTC pada tanggal saat ini dan terus berlanjut. Setelah waktu ini, sebaiknya verifikasi apakah hasilnya sesuai dengan yang Anda harapkan.

Mengaktifkan kembali pemblokiran pengayaan

Untuk mengaktifkan kembali pemblokiran pengayaan, lakukan hal berikut:

Buka Setelan > Pemblokiran Pengayaan.
Di tab Pemblokiran yang Dinonaktifkan, temukan pemblokiran pengayaan, klik Lainnya di baris tersebut, lalu pilih Aktifkan Pemblokiran. Dialog konfirmasi akan terbuka.
Tinjau informasi dan klik Aktifkan Pemblokiran. Tabel Pemblokiran yang Diaktifkan menampilkan baris untuk pemblokiran pengayaan yang diaktifkan kembali, dan baris yang sesuai akan dihapus dari tabel Pemblokiran yang Dinonaktifkan.

Setelah sekitar 5-10 menit, Google SecOps akan menerapkan pemblokiran pengayaan (yaitu, melakukan de-pengayaan pada semua kolom yang terkait dan diperkaya) mulai pukul 00.00.00 UTC pada tanggal saat ini dan terus berlanjut. Setelah waktu ini, sebaiknya verifikasi apakah hasilnya sesuai dengan yang Anda harapkan.

Contoh alur kerja untuk pemblokiran pengayaan

Alur kerja ini menunjukkan cara menggunakan pemblokiran pengayaan untuk mengatasi aturan yang dipicu secara tidak benar oleh penimpaan data yang tidak diinginkan:

Memvalidasi aturan: Anda menerima pemberitahuan dan menentukan bahwa pemberitahuan tersebut dipicu secara tidak benar. Anda mengonfirmasi bahwa logika aturan sudah benar—aturan tersebut bukan kandidat untuk pengecualian aturan.
Mengidentifikasi sumber log: Anda meninjau pemberitahuan dan menyadari bahwa kondisi pemicu dipenuhi oleh log CrowdStrike.
Menyelidiki sumber pengayaan: Gunakan Penampil Peristiwa untuk mengidentifikasi sumber eksternal yang mengubah kolom penting. Langkah-langkah berikut menunjukkan salah satu cara untuk membuka Penampil Peristiwa (tetapi ada langkah-langkah alternatif):
1. Di konsol Google SecOps, buka Deteksi > Pemberitahuan & IOC.
2. Pilih deteksi yang dipicu secara tidak benar dan telusuri detail peristiwa.
3. Klik stempel waktu peristiwa untuk membuka Penampil Peristiwa. Tab Kolom Peristiwa ditampilkan secara default. Setiap kolom yang diperkaya diidentifikasi dengan E, dan memperluas node akan menampilkan sumber pengayaan.
4. Di tab Kolom Peristiwa, perluas node kolom yang diperkaya dan bermasalah untuk mengidentifikasi sumbernya. Anda mengetahui bahwa kolom yang memicu pemberitahuan telah diperkaya oleh Okta.
Membuat dan mengaktifkan pemblokiran pengayaan: Buat dan aktifkan pemblokiran pengayaan yang menonaktifkan data User dari Okta sebagai sumber pengayaan di log CrowdStrike Anda.
Memverifikasi penyelesaian: Setelah menunggu 5-10 menit agar pemblokiran pengayaan berlaku, verifikasi bahwa pemberitahuan tidak lagi dipicu secara tidak benar.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.