管理丰富化屏蔽规则

本文档介绍了如何使用 丰富化屏蔽规则 来精细控制数据丰富化过程。默认丰富化过程使用来自不同来源的情境数据,分析数据,并根据内部逻辑覆盖统一数据模型 (UDM) 字段数据。默认过程通常按预期运行。但是,在某些情况下,覆盖 UDM 字段数据会导致意外行为,例如错误地触发检测引擎规则。

配置和查看丰富化屏蔽规则

只有具有 Chronicle 管理员编辑者 权限的 Google Security Operations 用户才能配置丰富化屏蔽规则;所有 Google SecOps 用户都可以查看丰富化屏蔽规则 界面。

丰富化屏蔽规则的基本配置需要三个顺序参数:丰富化类型目标日志类型来源目标日志类型的可用选项取决于所选的丰富化类型,而来源的可用选项取决于所选的目标日志类型

您无法删除丰富化屏蔽规则。

您可以启用、停用和重新启用丰富化屏蔽规则。

丰富化屏蔽规则 对话框包含已启用的屏蔽规则 标签页和已停用的屏蔽规则 标签页。这两个标签页中的表格都会显示丰富化屏蔽规则的基本配置参数、上次启用屏蔽规则的世界协调时间 (UTC) 日期,以及(可选)用户指定的屏蔽规则原因。已停用的屏蔽规则 标签页中的表格包含停用屏蔽规则的世界协调时间 (UTC) 日期。

修订后的丰富化屏蔽规则时间逻辑

丰富化屏蔽规则状态的更改会在 5-10 分钟内生效。

启用或停用屏蔽规则的主要影响是其同步的开始时间:

  • 启用屏蔽规则(取消丰富化):Google SecOps 会从当前日期的 00:00:00 UTC 开始取消丰富化所有关联的字段,并继续执行此操作。

  • 停用屏蔽规则(重新丰富化):Google SecOps 会从当前日期的 00:00:00 UTC 开始重新丰富化所有关联的字段,并继续执行此操作。

示例:9 月 16 日星期二 23:59:59 UTC,您启用了一个丰富化屏蔽规则。Google SecOps 会从 9 月 16 日星期二 0:00:00 UTC 开始取消丰富化所有关联的丰富化字段,并继续实施丰富化屏蔽规则。9 月 17 日星期三 09:00:00 UTC,您 停用 了丰富化屏蔽规则。Google SecOps 会从 9 月 17 日星期三 0:00:00 UTC 开始重新丰富化所有关联的字段,并继续丰富化所有相关数据。

创建并启用丰富化屏蔽规则

如需创建并启用丰富化屏蔽规则,请执行以下操作:

  1. 依次前往设置 > 丰富化屏蔽规则
  2. 配置以下内容:

    1. 丰富化类型 列表中,选择以下选项之一:

      • 所有类型 。适用于列表中的所有项,该列表会根据 Google SecOps 注入的数据和日志类型填充。
      • 资源。如果此选项不在丰富化屏蔽规则中,则会执行以下操作:
        • 提取字段,例如 hostnameasset_idmacip(如果 asset_id 为空)。
        • 丰富包含 Noun 下任何内容的字段(例如 hostnameasset_idmacip)。Asset
        • 使用丰富化来源,例如 DHCPAsset Context(例如 Tanium AssetCrowdStrike)。
      • GeoIP。如果此选项不在丰富化屏蔽规则中,则会执行以下操作:
        • 提取字段,例如 ip(如果它是公开的或可路由的)。
        • 丰富包含 artifact.ipartifact.locationartifact.networklocation 的字段。
        • 使用 Google GeoIP 服务的丰富化来源。
      • Google Threat Intel。如果此选项不在丰富化屏蔽规则中,则会执行以下操作:
        • 提取相关字段。
        • 丰富 Fileprocess.file 字段。
        • 使用 VirusTotal 文件元数据的丰富化来源。
      • 进程。如果此选项不在丰富化屏蔽规则中,则会执行以下操作:
        • 提取字段,例如 process.product_specific_process_id
        • 丰富包含 Process 下任何内容的字段。
        • 使用丰富化来源,例如 EDR 日志(例如来自 CrowdStrike 或 SentinelOne)。
      • 用户。如果此选项不在丰富化屏蔽规则中,则会执行以下操作:
        • 提取字段,例如 user.email_addressesuser.useriduser.windows_siduser.employee_iduser.product_object_id
        • 丰富包含 User 下任何内容的字段。
        • 使用丰富化来源,例如用户情境日志(例如来自 Workday 或 Windows AD)。
    2. 目标日志类型 列表中,选择所需的选项,该选项取决于所选的丰富化类型 。示例选项包括所有类型Windows_SysmonCB_EDRBRO_JSON

    3. 来源 列表中,选择所需的选项。可用选项取决于所选的目标日志类型 。示例选项包括所有类型INFOBLOX_DHCPWINDOWS_ADVIRUSTOTAL_FILE_METADATA

  3. 点击启用屏蔽规则 以打开启用屏蔽规则 对话框,并显示上一步中的配置。

  4. 可选:在屏蔽原因 字段中,输入丰富化屏蔽规则的原因。

  5. 查看相应信息后,点击启用屏蔽规则已启用的屏蔽规则 表格会显示已启用的丰富化屏蔽规则对应的行。

    大约 5-10 分钟后,Google SecOps 会从当前日期的 0:00:00 UTC 开始实施丰富化屏蔽规则(即 取消丰富化 所有关联的丰富化字段),并继续执行此操作。在此之后,我们建议您验证结果是否符合预期。

停用丰富化屏蔽规则

如需停用丰富化屏蔽规则,请执行以下操作:

  1. 依次前往设置 > 丰富化屏蔽规则
  2. 已启用的屏蔽规则 标签页中,找到丰富化屏蔽规则,点击该行中的 更多 ,然后选择停用屏蔽规则 。此时会打开一个确认对话框。
  3. 查看相应信息并点击停用屏蔽规则已停用的屏蔽规则 表格会显示已停用的丰富化屏蔽规则对应的行,并且已启用的屏蔽规则 表格中会移除相应的行。

    大约 5-10 分钟后,Google SecOps 会从当前日期的 0:00:00 UTC 开始 重新丰富化 所有关联的字段,并继续执行此操作。在此之后,我们建议您验证结果是否符合预期。

重新启用丰富化屏蔽规则

如需重新启用丰富化屏蔽规则,请执行以下操作:

  1. 依次前往设置 > 丰富化屏蔽规则
  2. 已停用的屏蔽规则 标签页中,找到丰富化屏蔽规则,点击该行中的 更多 ,然后选择启用屏蔽规则 。此时会打开一个确认对话框。
  3. 查看相应信息并点击启用屏蔽规则已启用的屏蔽规则 表格会显示重新启用的丰富化屏蔽规则对应的行,并且已停用的屏蔽规则 表格中会移除相应的行。

    大约 5-10 分钟后,Google SecOps 会从当前日期的 0:00:00 UTC 开始实施丰富化屏蔽规则(即 取消丰富化 所有关联的丰富化字段),并继续执行此操作。在此之后,我们建议您验证结果是否符合预期。

丰富化屏蔽规则的工作流示例

此工作流演示了如何使用丰富化屏蔽规则来解决因不必要的数据覆盖而错误触发的规则:

  1. 验证规则:您收到一条提醒,并确定该提醒是错误触发的。您确认规则逻辑正确无误,因此该规则不适合排除
  2. 确定日志源:您查看提醒,发现触发条件是由 CrowdStrike 日志满足的。
  3. 调查丰富化来源:使用事件查看器确定哪个外部来源修改了关键字段。以下步骤展示了打开事件查看器的一种方法(但还有其他方法):

    1. 在 Google SecOps 控制台中,依次前往检测 > 提醒和 IOC
    2. 选择错误触发的检测,然后深入查看事件。
    3. 点击事件时间戳以打开事件查看器。默认情况下,系统会显示事件字段 标签页。每个丰富化字段都标有 E,展开节点会显示丰富化来源。
    4. 事件字段 标签页中,展开有问题的丰富化字段的节点以确定来源。您了解到,触发提醒的字段已由 Okta 丰富化。
  4. 创建并启用丰富化屏蔽规则:创建并启用一个丰富化屏蔽规则,该规则会禁止将 Okta 中的 User 数据作为 CrowdStrike 日志中的丰富化来源。

  5. 验证解决方案:等待 5-10 分钟,让丰富化屏蔽规则生效,然后验证提醒是否不再错误触发。

需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。