Bloquear o enriquecimento de fluxos específicos

Este documento explica como os blocos de enriquecimento oferecem controle granular sobre o processo de enriquecimento de dados. O processo de enriquecimento padrão usa dados contextuais de diferentes fontes, analisa os dados e substitui os dados de campo do modelo de dados unificado (UDM) de acordo com a lógica interna. O processo padrão geralmente funciona conforme o esperado. No entanto, em alguns casos, a substituição dos dados do campo UDM causa um comportamento inesperado, como o acionamento inadequado de regras do mecanismo de detecção.

Configurar e acessar blocos de enriquecimento

Somente usuários do Google SecOps com privilégios de administrador do Chronicle e editor podem configurar blocos de enriquecimento. Todos os usuários do Google SecOps podem acessar a interface Blocos de enriquecimento.

A configuração básica de um bloco de enriquecimento exige três parâmetros sequenciais: Tipo de enriquecimento, Tipo de log de destino e Origem. As opções disponíveis para Tipo de registro de destino dependem do Tipo de enriquecimento selecionado, e as opções disponíveis para Origem dependem do Tipo de registro de destino selecionado.

Não é possível excluir um bloco de enriquecimento.

Os blocos de enriquecimento podem ser ativados, desativados e reativados.

A caixa de diálogo Blocos de enriquecimento inclui as guias Blocos ativados e Blocos desativados. As tabelas nas duas guias mostram os parâmetros básicos de configuração do bloco de enriquecimento, a data UTC em que o bloco foi ativado pela última vez e o motivo especificado pelo usuário (opcional). A tabela na guia Blocos desativados inclui a data UTC em que o bloqueio foi desativado.

Lógica revisada de tempo de bloco de enriquecimento

Uma mudança no status de um bloco de enriquecimento entra em vigor em 5 a 10 minutos.

O principal efeito de ativar ou desativar um bloco é o horário de início sincronizado:

  • Ativar um bloqueio (remoção de enriquecimento): o Google SecOps remove o enriquecimento de todos os campos associados a partir das 00:00:00 UTC da data atual e continua fazendo isso.

  • Desativar um bloqueio (reenriquecimento): o Google SecOps reenriquece todos os campos associados a partir das 00:00:00 UTC da data atual e continua enriquecendo no futuro.

Exemplo: na terça-feira, 16 de setembro, às 23h59min59s UTC, você ativa um bloco de enriquecimento. O Google SecOps remove todos os campos enriquecidos associados a partir das 00:00:00 de terça-feira, 16 de setembro UTC, e continua implementando o bloco de enriquecimento. Na quarta-feira, 17 de setembro, às 09:00:00 UTC, você desativa o bloco de enriquecimento. O Google SecOps reprocessa todos os campos associados a partir das 0h00 de quarta-feira, 17 de setembro, UTC, e continua enriquecendo todos os dados relevantes daqui para frente.

Criar e ativar um bloco de enriquecimento

Para criar e ativar um bloco de enriquecimento, faça o seguinte:

  1. Acesse Configurações > Blocos de enriquecimento.

  2. Faça as configurações a seguir:

    1. Na lista Tipo de enriquecimento, selecione uma das seguintes opções:

      • Todos os tipos
      • Recurso. Quando não está no bloco de enriquecimento, essa opção faz o seguinte:
        • Extrai campos, como hostname, asset_id, mac, ip (se asset_id estiver vazio).
        • Enriquece campos que incluem qualquer coisa em Asset (por exemplo, hostname, asset_id, mac ou ip) de Noun.
        • Usa fontes de enriquecimento, como DHCP e Asset Context (por exemplo, Tanium Asset ou CrowdStrike).
      • GeoIP. Quando não está no bloco de enriquecimento, essa opção faz o seguinte:
        • Extrai campos, como ip, se for público ou roteável.
        • Enriquece campos que incluem artifact.ip, artifact.location, artifact.network, location.
        • Usa fontes de enriquecimento do serviço GeoIP do Google.
      • Google Threat Intel. Quando não está no bloco de enriquecimento, essa opção faz o seguinte:
        • Extrai campos relevantes.
        • Enriquece os campos File ou process.file.
        • Usa fontes de enriquecimento dos metadados de arquivos do VirusTotal.
      • Processo. Quando não está no bloco de enriquecimento, essa opção faz o seguinte:
        • Extrai campos, como process.product_specific_process_id.
        • Enriquece campos, que incluem tudo em Process.
        • Usa fontes de enriquecimento, como registros de EDR (por exemplo, do CrowdStrike ou do SentinelOne).
      • Usuário. Quando não está no bloco de enriquecimento, essa opção faz o seguinte:
        • Extrai campos, como user.email_addresses, user.userid, user.windows_sid, user.employee_id, user.product_object_id.
        • Enriquece campos que incluem qualquer coisa em User.
        • Usa fontes de enriquecimento, como registros de contexto do usuário (por exemplo, do Workday ou do Windows AD).

    2. Na lista Tipo de registro de destino, selecione a opção necessária, que depende do Tipo de enriquecimento selecionado. Exemplos de opções incluem Todos os tipos, Windows_Sysmon, CB_EDR e BRO_JSON.

    3. Na lista Origem, selecione a opção desejada. As opções disponíveis dependem do Tipo de registro de destino selecionado. Alguns exemplos são All Types, INFOBLOX_DHCP, WINDOWS_AD e VIRUSTOTAL_FILE_METADATA.

  3. Clique em Ativar bloqueio para abrir a caixa de diálogo Ativar bloqueio e mostrar a configuração das etapas anteriores.

  4. Opcional: no campo Motivo do bloqueio, insira o motivo do bloqueio de enriquecimento.

  5. Depois de revisar as informações, clique em Ativar bloqueio. A tabela Blocos ativados mostra uma linha para o bloco de enriquecimento ativado.

    Após aproximadamente 5 a 10 minutos, o Google SecOps implementa o bloco de enriquecimento (ou seja, remove o enriquecimento de todos os campos enriquecidos associados) a partir das 00:00:00 da data atual em UTC e daqui para frente. Depois desse período, recomendamos que você verifique se os resultados estão como esperado.

Desativar um bloco de enriquecimento

Para desativar um bloco de enriquecimento, faça o seguinte:

  1. Acesse Configurações > Blocos de enriquecimento.
  2. Na guia Blocos ativados, encontre o bloco de enriquecimento, clique em Mais nessa linha e selecione Desativar bloco. Uma caixa de diálogo de confirmação será exibida.

  3. Revise as informações e clique em Desativar bloqueio. A tabela Blocos desativados mostra uma linha para o bloco de enriquecimento desativado, e a linha correspondente é removida da tabela Blocos ativados.

    Após aproximadamente 5 a 10 minutos, o Google SecOps reenriquece todos os campos associados a partir das 00:00:00 da data atual UTC em diante. Depois desse período, recomendamos que você verifique se os resultados estão como esperado.

Reativar um bloco de enriquecimento

Para reativar um bloco de enriquecimento, faça o seguinte:

  1. Acesse Configurações > Blocos de enriquecimento.
  2. Na guia Blocos desativados, encontre o bloco de enriquecimento, clique em Mais nessa linha e selecione Ativar bloco. Uma caixa de diálogo de confirmação será exibida.

  3. Revise as informações e clique em Ativar bloqueio. A tabela Blocos ativados mostra uma linha para o bloco de enriquecimento reativado, e a linha correspondente é removida da tabela Blocos desativados.

    Após aproximadamente 5 a 10 minutos, o Google SecOps implementa o bloco de enriquecimento (ou seja, remove o enriquecimento de todos os campos enriquecidos associados) a partir das 0:00:00 da data atual em UTC e daqui para frente. Depois desse período, recomendamos que você verifique se os resultados estão como esperado.

Exemplo de fluxo de trabalho para um bloco de enriquecimento

Este fluxo de trabalho demonstra como usar um bloco de enriquecimento para resolver uma regra acionada incorretamente por substituições de dados indesejadas:

  1. Validar a regra: você recebe um alerta e determina que ele foi acionado de maneira inadequada. Você confirma que a lógica da regra está correta e que ela não é candidata a uma exclusão de regra.
  2. Identifique a origem do registro: você analisa o alerta e percebe que as condições de acionamento foram atendidas por um registro do CrowdStrike.

  3. Investigue a origem do enriquecimento: use o Visualizador de eventos para identificar qual fonte externa modificou o campo crítico. As etapas a seguir mostram uma maneira de abrir o Visualizador de Eventos, mas há outras opções:

    1. No console do Google SecOps, acesse Detecções > Alertas e IOCs.
    2. Selecione a detecção acionada incorretamente e faça o detalhamento do evento.
    3. Clique no carimbo de data/hora do evento para abrir o Visualizador de eventos. A guia Campos de evento é exibida por padrão. Cada campo enriquecido é identificado com um E, e ao expandir o nó, as fontes de enriquecimento são mostradas.
    4. Na guia Campos de evento, abra o nó do campo enriquecido problemático para identificar a origem. Você descobre que o campo que acionou o alerta foi enriquecido pelo Okta.

  4. Crie e ative um bloco de enriquecimento: crie e ative um bloco de enriquecimento que desativa os dados User do Okta como uma fonte de enriquecimento nos registros do CrowdStrike.

  5. Verificar a resolução: depois de esperar de 5 a 10 minutos para que o bloco de enriquecimento entre em vigor, verifique se o alerta não é mais acionado de maneira inadequada.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.