Bloqueie o enriquecimento de fluxos específicos

Este documento explica como os blocos de enriquecimento lhe dão controlo detalhado sobre o processo de enriquecimento de dados. O processo de enriquecimento predefinido usa dados contextuais de diferentes origens, analisa os dados e substitui os dados dos campos do modelo de dados unificados (UDM) de acordo com a lógica interna. Normalmente, o processo predefinido funciona conforme esperado. No entanto, em determinados casos, a substituição dos dados dos campos da UDM provoca um comportamento inesperado, como o acionamento incorreto das regras do motor de deteção.

Configure e veja blocos de enriquecimento

Apenas os utilizadores do Google SecOps com privilégios de administrador do Chronicle e editor podem configurar blocos de enriquecimento; todos os utilizadores do Google SecOps podem ver a interface Blocos de enriquecimento.

A configuração básica de um bloco de enriquecimento requer três parâmetros sequenciais: Tipo de enriquecimento, Tipo de registo de destino e Origem. As opções disponíveis para Tipo de registo de destino dependem do Tipo de enriquecimento selecionado, e as opções disponíveis para Origem dependem do Tipo de registo de destino selecionado.

Não pode eliminar um bloco de enriquecimento.

Os bloqueios de enriquecimento podem ser ativados, desativados e reativados.

A caixa de diálogo Blocos de enriquecimento inclui os separadores Blocos ativados e Blocos desativados. As tabelas em ambos os separadores apresentam os parâmetros de configuração básicos do bloco de enriquecimento, a data UTC em que o bloco foi ativado pela última vez e o motivo especificado pelo utilizador (opcional). A tabela no separador Blocos desativados inclui a data UTC em que o bloco foi desativado.

Lógica de tempo de bloqueio de enriquecimento revista

Uma alteração no estado de um bloco de enriquecimento entra em vigor no prazo de 5 a 10 minutos.

O efeito principal da ativação ou desativação de um bloqueio é a hora de início sincronizada:

  • Ativar um bloqueio (remoção do enriquecimento): o Google SecOps remove o enriquecimento de todos os campos associados a partir das 00:00:00 UTC da data atual e continua a fazê-lo no futuro.

  • Desativar um bloqueio (re-enriquecimento): o Google SecOps volta a enriquecer todos os campos associados a partir das 00:00:00 UTC da data atual e continua a enriquecer no futuro.

Exemplo: na terça-feira, 16 de setembro, às 23:59:59 UTC, ativa um bloco de enriquecimento. O Google SecOps remove o enriquecimento de todos os campos enriquecidos associados a partir das 00:00:00 de terça-feira, 16 de setembro, UTC, e continua a implementar o bloqueio de enriquecimento no futuro. Na quarta-feira, 17 de setembro, às 09:00:00 UTC, desativa o bloco de enriquecimento. A Google SecOps volta a enriquecer todos os campos associados a partir das 00:00:00 de quarta-feira, 17 de setembro, UTC, e continua a enriquecer todos os dados relevantes a partir desse momento.

Crie e ative um bloco de enriquecimento

Para criar e ativar um bloco de enriquecimento, faça o seguinte:

  1. Aceda a Definições > Blocos de enriquecimento.

  2. Configure o seguinte:

    1. Na lista Tipo de enriquecimento, selecione uma das seguintes opções:

      • Todos os tipos
      • Recurso. Quando não está no bloco de enriquecimento, esta opção faz o seguinte:
        • Extrai campos, como hostname, asset_id, mac, ip (se asset_id estiver vazio).
        • Enriquece os campos que incluem qualquer elemento em Asset (por exemplo, hostname, asset_id, mac ou ip) de Noun.
        • Usa origens de enriquecimento, como DHCP e Asset Context (por exemplo, Tanium Asset ou CrowdStrike).
      • GeoIP. Quando não está no bloco de enriquecimento, esta opção faz o seguinte:
        • Extrai campos, como ip, se for público ou encaminhável.
        • Enriquece os campos que incluem artifact.ip, artifact.location, artifact.network e location.
        • Usa origens de enriquecimento do serviço Google GeoIP.
      • Google Threat Intel. Quando não está no bloco de enriquecimento, esta opção faz o seguinte:
        • Extrai campos relevantes.
        • Enriquece os campos File ou process.file.
        • Usa origens de enriquecimento dos metadados de ficheiros do VirusTotal.
      • Processo. Quando não está no bloco de enriquecimento, esta opção faz o seguinte:
        • Extrai campos, como process.product_specific_process_id.
        • Enriquece os campos, que incluem tudo o que está em Process.
        • Usa origens de enriquecimento, como registos de EDR (por exemplo, do CrowdStrike ou do SentinelOne).
      • Utilizador. Quando não está no bloco de enriquecimento, esta opção faz o seguinte:
        • Extrai campos, como user.email_addresses, user.userid, user.windows_sid, user.employee_id e user.product_object_id.
        • Enriquece os campos que incluem qualquer elemento abaixo de User.
        • Usa origens de enriquecimento, como registos de contexto do utilizador (por exemplo, do Workday ou do Windows AD).

    2. Na lista Tipo de registo de destino, selecione a opção necessária, que depende do Tipo de enriquecimento selecionado. As opções de exemplo incluem Todos os tipos, Windows_Sysmon, CB_EDR e BRO_JSON.

    3. Na lista Origem, selecione a opção necessária. As opções disponíveis dependem do Tipo de registo de destino selecionado. Alguns exemplos de opções incluem Todos os tipos, INFOBLOX_DHCP, WINDOWS_AD e VIRUSTOTAL_FILE_METADATA.

  3. Clique em Ativar bloqueio para abrir a caixa de diálogo Ativar bloqueio e apresentar a configuração dos passos anteriores.

  4. Opcional: no campo Motivo do bloqueio, introduza o motivo do bloqueio do enriquecimento.

  5. Depois de rever as informações, clique em Ativar bloqueio. A tabela Blocos ativados apresenta uma linha para o bloco de enriquecimento ativado.

    Após aproximadamente 5 a 10 minutos, o Google SecOps implementa o bloqueio de enriquecimento (ou seja, remove o enriquecimento de todos os campos enriquecidos associados) a partir das 00:00:00 UTC da data atual e daí em diante. Após este período, recomendamos que verifique se os resultados são os esperados.

Desative um bloco de enriquecimento

Para desativar um bloqueio de enriquecimento, faça o seguinte:

  1. Aceda a Definições > Blocos de enriquecimento.
  2. No separador Blocos ativados, encontre o bloco de enriquecimento, clique em Mais nessa linha e selecione Desativar bloco. É apresentada uma caixa de diálogo de confirmação.

  3. Reveja as informações e clique em Desativar bloqueio. A tabela Blocos desativados apresenta uma linha para o bloco de enriquecimento desativado, e a linha correspondente é removida da tabela Blocos ativados.

    Após aproximadamente 5 a 10 minutos, o Google SecOps volta a enriquecer todos os campos associados a partir das 00:00:00 da data atual UTC e daí em diante. Após este período, recomendamos que verifique se os resultados são os esperados.

Reative um bloqueio de enriquecimento

Para reativar um bloqueio de enriquecimento, faça o seguinte:

  1. Aceda a Definições > Blocos de enriquecimento.
  2. No separador Blocos desativados, encontre o bloco de enriquecimento, clique em Mais nessa linha e selecione Ativar bloco. É aberta uma caixa de diálogo de confirmação.

  3. Reveja as informações e clique em Ativar bloqueio. A tabela Blocos ativados apresenta uma linha para o bloco de enriquecimento reativado, e a linha correspondente é removida da tabela Blocos desativados.

    Após aproximadamente 5 a 10 minutos, o Google SecOps implementa o bloqueio de enriquecimento (ou seja, remove o enriquecimento de todos os campos enriquecidos associados) a partir das 00:00:00 da data atual UTC e daí em diante. Após este período, recomendamos que verifique se os resultados são os esperados.

Exemplo de fluxo de trabalho para um bloco de enriquecimento

Este fluxo de trabalho demonstra como usar um bloco de enriquecimento para resolver uma regra acionada incorretamente por substituições de dados indesejadas:

  1. Validar a regra: recebe um alerta e determina que foi acionado incorretamente. Confirma que a lógica da regra está correta e que não é um candidato a uma exclusão de regra.
  2. Identifique a origem do registo: revê o alerta e percebe que as condições do acionador foram cumpridas por um registo do CrowdStrike.

  3. Investigue a origem do enriquecimento: use o Visualizador de eventos para identificar que origem externa modificou o campo crítico. Os passos seguintes mostram uma forma de abrir o Event Viewer (mas existem passos alternativos):

    1. Na consola do Google SecOps, aceda a Deteções > Alertas e IOCs.
    2. Selecione a deteção acionada incorretamente e detalhe o evento.
    3. Clique na data/hora do evento para abrir o Event Viewer. O separador Campos de eventos é apresentado por predefinição. Cada campo enriquecido é identificado com um E e a expansão do nó mostra as origens de enriquecimento.
    4. No separador Campos de eventos, expanda o nó do campo enriquecido problemático para identificar a origem. Ficou a saber que o campo que acionou o alerta tinha sido enriquecido pelo Okta.

  4. Crie e ative um bloco de enriquecimento: crie e ative um bloco de enriquecimento que desative os dados User do Okta como uma origem de enriquecimento nos seus registos do CrowdStrike.

  5. Verifique a resolução: após aguardar 5 a 10 minutos para que o bloco de enriquecimento entre em vigor, verifique se o alerta já não é acionado incorretamente.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.