Bloccare l'arricchimento da flussi specifici

Questo documento spiega come i blocchi di arricchimento ti consentono di controllare in modo granulare il processo di arricchimento dei dati. Il processo di arricchimento predefinito utilizza dati contestuali provenienti da diverse origini, li analizza e sovrascrive i dati dei campi Unified Data Model (UDM) in base alla logica interna. Il processo predefinito di solito funziona come previsto. Tuttavia, in alcuni casi, la sovrascrittura dei dati del campo UDM causa un comportamento imprevisto, ad esempio l'attivazione impropria delle regole del motore di rilevamento.

Configurare e visualizzare i blocchi di arricchimento

Solo gli utenti di Google SecOps con privilegi Amministratore Chronicle ed Editor possono configurare i blocchi di arricchimento; tutti gli utenti di Google SecOps possono visualizzare l'interfaccia Blocchi di arricchimento.

La configurazione di base di un blocco di arricchimento richiede tre parametri sequenziali: Tipo di arricchimento, Tipo di log di destinazione e Origine. Le opzioni disponibili per Tipo di log di destinazione dipendono dal Tipo di arricchimento selezionato, mentre le opzioni disponibili per Origine dipendono dal Tipo di log di destinazione selezionato.

Non puoi eliminare un blocco di arricchimento.

I blocchi di arricchimento possono essere attivati, disattivati e riattivati.

La finestra di dialogo Blocchi di arricchimento include le schede Blocchi attivati e Blocchi disattivati. Le tabelle di entrambe le schede mostrano i parametri di configurazione di base del blocco di arricchimento, la data UTC in cui il blocco è stato attivato l'ultima volta e il motivo (facoltativo) specificato dall'utente per il blocco. La tabella nella scheda Blocchi disattivati include la data in formato UTC in cui il blocco è stato disattivato.

Logica rivista del tempo di blocco dell'arricchimento

Una modifica dello stato di un blocco di arricchimento diventa effettiva entro 5-10 minuti.

L'effetto principale dell'attivazione o della disattivazione di un blocco è l'ora di inizio sincronizzata:

  • Attivazione di un blocco (depotenziamento): Google SecOps depotenzia tutti i campi associati a partire dalle ore 00:00:00 UTC della data corrente e continua in futuro.

  • Disattivazione di un blocco (riarricchimento): Google SecOps riarricchisce tutti i campi associati a partire dalle ore 00:00:00 UTC della data corrente e continua ad arricchirli in futuro.

Esempio: martedì 16 settembre alle 23:59:59 UTC, attivi un blocco di arricchimento. Google SecOps rimuove tutti i campi arricchiti associati a partire dalle ore 00:00:00 di martedì 16 settembre UTC e continua a implementare il blocco dell'arricchimento in futuro. Mercoledì 17 settembre, alle 09:00:00 UTC, disattivi il blocco dell'arricchimento. Google SecOps riarricchisce tutti i campi associati a partire dalle ore 00:00:00 di mercoledì 17 settembre UTC e continua ad arricchire tutti i dati pertinenti in futuro.

Crea e attiva un blocco di arricchimento

Per creare e attivare un blocco di arricchimento:

  1. Vai a Impostazioni > Blocchi di arricchimento.

  2. Configura quanto segue:

    1. Dall'elenco Tipo di arricchimento, seleziona una delle seguenti opzioni:

      • Tutti i tipi
      • Asset. Quando non si trova nel blocco di arricchimento, questa opzione esegue le seguenti operazioni:
        • Estrae campi come hostname, asset_id, mac, ip (se asset_id è vuoto).
        • Arricchisce i campi che includono qualsiasi elemento in Asset (ad esempio hostname, asset_id, mac o ip) da Noun.
        • Utilizza origini di arricchimento, ad esempio DHCP e Asset Context (ad esempio, Tanium Asset o CrowdStrike).
      • GeoIP. Quando non si trova nel blocco di arricchimento, questa opzione esegue le seguenti operazioni:
        • Estrae i campi, ad esempio ip se è pubblico o instradabile.
        • Arricchisce i campi che includono artifact.ip, artifact.location, artifact.network, location.
        • Utilizza fonti di arricchimento del servizio Google GeoIP.
      • Google Threat Intel. Quando non si trova nel blocco di arricchimento, questa opzione esegue le seguenti operazioni:
        • Estrae i campi pertinenti.
        • Arricchisce i campi File o process.file.
        • Utilizza le origini di arricchimento dei metadati dei file di VirusTotal.
      • Procedura. Quando non si trova nel blocco di arricchimento, questa opzione esegue le seguenti operazioni:
        • Estrae campi, ad esempio process.product_specific_process_id.
        • Arricchisce i campi, inclusi tutti quelli in Process.
        • Utilizza origini di arricchimento, come i log EDR (ad esempio di CrowdStrike o SentinelOne).
      • Utente. Quando non si trova nel blocco di arricchimento, questa opzione esegue le seguenti operazioni:
        • Estrae campi come user.email_addresses, user.userid, user.windows_sid, user.employee_id, user.product_object_id.
        • Arricchisce i campi che includono qualsiasi elemento in User.
        • Utilizza origini di arricchimento, come i log del contesto utente (ad esempio, da Workday o Windows AD).

    2. Nell'elenco Tipo di log di destinazione, seleziona l'opzione richiesta, che dipende dal Tipo di arricchimento selezionato. Le opzioni di esempio includono Tutti i tipi, Windows_Sysmon, CB_EDR e BRO_JSON.

    3. Nell'elenco Origine, seleziona l'opzione richiesta. Le opzioni disponibili dipendono dal tipo di log di destinazione selezionato. Le opzioni di esempio includono Tutti i tipi, INFOBLOX_DHCP, WINDOWS_AD e VIRUSTOTAL_FILE_METADATA.

  3. Fai clic su Attiva blocco per aprire la finestra di dialogo Attiva blocco e visualizzare la configurazione dei passaggi precedenti.

  4. (Facoltativo) Nel campo Motivo del blocco, inserisci il motivo del blocco dell'arricchimento.

  5. Dopo aver esaminato le informazioni, fai clic su Attiva blocco. La tabella Blocchi abilitati mostra una riga per il blocco di arricchimento abilitato.

    Dopo circa 5-10 minuti, Google SecOps implementa il blocco dell'arricchimento (ovvero rimuove l'arricchimento di tutti i campi arricchiti associati) a partire dalle ore 00:00:00 della data corrente UTC e per il futuro. Trascorso questo periodo, ti consigliamo di verificare che i risultati siano quelli che ti aspetti.

Disattivare un blocco di arricchimento

Per disattivare un blocco di arricchimento:

  1. Vai a Impostazioni > Blocchi di arricchimento.
  2. Nella scheda Blocchi attivati, trova il blocco di arricchimento, fai clic su Altro in quella riga e seleziona Disattiva blocco. Si apre una finestra di dialogo di conferma.

  3. Controlla le informazioni e fai clic su Disattiva blocco. La tabella Blocchi disattivati mostra una riga per il blocco di arricchimento disattivato e la riga corrispondente viene rimossa dalla tabella Blocchi attivati.

    Dopo circa 5-10 minuti, Google SecOps riarricchisce tutti i campi associati a partire dalle ore 00:00:00 della data corrente UTC e in avanti. Trascorso questo periodo, ti consigliamo di verificare che i risultati siano quelli che ti aspetti.

Riattivare un blocco di arricchimento

Per riattivare un blocco di arricchimento:

  1. Vai a Impostazioni > Blocchi di arricchimento.
  2. Nella scheda Blocchi disattivati, trova il blocco di arricchimento, fai clic su Altro nella riga e seleziona Attiva blocco. Si apre una finestra di dialogo di conferma.

  3. Controlla le informazioni e fai clic su Attiva blocco. La tabella Blocchi attivati mostra una riga per il blocco di arricchimento riattivato e la riga corrispondente viene rimossa dalla tabella Blocchi disattivati.

    Dopo circa 5-10 minuti, Google SecOps implementa il blocco dell'arricchimento (ovvero rimuove l'arricchimento di tutti i campi arricchiti associati) a partire dalle ore 00:00:00 della data corrente in formato UTC e per il futuro. Trascorso questo periodo, ti consigliamo di verificare che i risultati siano quelli che ti aspetti.

Workflow di esempio per un blocco dell'arricchimento

Questo flusso di lavoro mostra come utilizzare un blocco di arricchimento per risolvere un problema di attivazione errata di una regola causato da sovrascritture di dati indesiderate:

  1. Convalida la regola: ricevi un avviso e determini che è stato attivato in modo improprio. Confermi che la logica della regola sia corretta e che non sia un candidato per un'esclusione della regola.
  2. Identifica l'origine del log: esamini l'avviso e ti rendi conto che le condizioni di attivazione sono state soddisfatte da un log CrowdStrike.

  3. Esamina l'origine dell'arricchimento: utilizza il visualizzatore eventi per identificare l'origine esterna che ha modificato il campo critico. I passaggi seguenti mostrano un modo per aprire Visualizzatore eventi (ma esistono passaggi alternativi):

    1. Nella console Google SecOps, vai a Rilevamenti > Avvisi e indicatori di compromissione.
    2. Seleziona il rilevamento attivato in modo improprio e visualizza in dettaglio l'evento.
    3. Fai clic sul timestamp dell'evento per aprire il Visualizzatore eventi. Per impostazione predefinita, viene visualizzata la schedaCampi evento. Ogni campo arricchito è identificato con una E e l'espansione del nodo mostra le origini dell'arricchimento.
    4. Nella scheda Campi evento, espandi il nodo del campo arricchito problematico per identificare l'origine. Scopri che il campo che ha attivato l'avviso è stato arricchito da Okta.

  4. Crea e attiva un blocco di arricchimento: crea e attiva un blocco di arricchimento che disattiva i dati User di Okta come origine di arricchimento nei log di CrowdStrike.

  5. Verifica della risoluzione: dopo aver atteso 5-10 minuti affinché il blocco dell'arricchimento abbia effetto, verifica che l'avviso non venga più attivato in modo improprio.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.