阻止来自特定流程的丰富数据

本文档介绍了如何通过丰富块精细控制数据丰富过程。默认的丰富处理流程会使用来自不同来源的上下文数据，分析这些数据，并根据内部逻辑覆盖统一数据模型 (UDM) 字段数据。默认流程通常可以按预期运行。不过，在某些情况下，覆盖 UDM 字段数据会导致意外行为，例如错误地触发检测引擎规则。

配置和查看丰富化块

只有拥有 Chronicle 管理员和编辑者权限的 Google SecOps 用户才能配置信息增补块；所有 Google SecOps 用户都可以查看信息增补块界面。

丰富化屏蔽规则的基本配置需要三个按顺序排列的参数：丰富化类型、目标日志类型和来源。目标日志类型的可用选项取决于所选的丰富类型，而来源的可用选项取决于所选的目标日志类型。

您无法删除富集块。

您可以启用、停用和重新启用富集块。

丰富内容块对话框包含已启用的内容块标签页和已停用的内容块标签页。这两个标签页中的表格会显示丰富块的基本配置参数、上次启用该块的 UTC 日期，以及（可选）用户指定的屏蔽原因。已停用的广告内容块标签页中的表格包含停用广告内容块的世界协调时间 (UTC) 日期。

修订了富集块时间逻辑

丰富化代码块的状态更改会在 5-10 分钟内生效。

启用或停用块的主要影响是其同步的开始时间：

• 启用屏蔽（去丰富化）：Google SecOps 会从当前日期的 00:00:00 UTC 开始去丰富化所有关联的字段，并持续进行下去。

• 停用屏蔽（重新丰富）：Google SecOps 会从当前日期的 00:00:00 UTC 开始重新丰富所有关联字段，并继续丰富后续字段。

示例：在 9 月 16 日（星期二）23:59:59（世界协调时间 [UTC]），您启用了丰富化广告块。Google SecOps 会从 9 月 16 日（星期二）0:00:00（世界协调时间 [UTC]）开始，对所有关联的丰富字段进行去丰富处理，并继续实施丰富处理屏蔽。9 月 17 日（星期三）09:00:00（世界协调时间），您停用了富集块。Google SecOps 会从 9 月 17 日（星期三）0:00:00（世界协调时间 [UTC]）开始重新丰富所有关联字段，并继续丰富所有相关数据。

创建并启用丰富化块

如需创建并启用丰富化块，请执行以下操作：

1. 依次前往设置 > 丰富化块。

2. 配置以下内容：

   1. 从扩充类型列表中，选择以下选项之一：

      • 所有类型
      • Asset。如果此选项不在丰富块中，则会执行以下操作：
        • 提取字段，例如 hostname、asset_id、mac、ip（如果 asset_id 为空）。
        • 从 Noun 中扩充包含 Asset 下任何内容的字段（例如 hostname、asset_id、mac 或 ip）。
        • 使用丰富来源，例如 DHCP 和 Asset Context（例如 Tanium Asset 或 CrowdStrike）。
      • GeoIP。如果此选项不在丰富块中，则会执行以下操作：
        • 提取字段，例如 ip（如果它是公开的或可路由的）。
        • 扩充包含 artifact.ip、artifact.location、artifact.network、location 的字段。
        • 使用 Google GeoIP 服务的丰富来源。
      • Google Threat Intel。如果此选项不在丰富块中，则会执行以下操作：
        • 提取相关字段。
        • 丰富 File 或 process.file 字段。
        • 使用来自 VirusTotal 文件元数据的富集来源。
      • 流程。如果该选项不在富集块中，则会执行以下操作：
        • 提取字段，例如 process.product_specific_process_id。
        • 丰富字段，包括 Process 下的任何内容。
        • 使用增强来源，例如 EDR 日志（例如来自 CrowdStrike 或 SentinelOne）。
      • 用户。如果此选项不在丰富块中，则会执行以下操作：
        • 提取字段，例如 user.email_addresses、user.userid、user.windows_sid、user.employee_id、user.product_object_id。
        • 丰富包含 User 下任何内容的字段。
        • 使用扩充来源，例如用户上下文日志（例如来自 Workday 或 Windows AD）。

   2. 在目标日志类型列表中，选择所需的选项，具体取决于所选的丰富类型。示例选项包括 All Types、Windows_Sysmon、CB_EDR 和 BRO_JSON。

   3. 从来源列表中，选择所需的选项。可用选项取决于所选的目标日志类型。示例选项包括所有类型、INFOBLOX_DHCP、WINDOWS_AD 和 VIRUSTOTAL_FILE_METADATA。

3. 点击 Enable Block（启用块）打开 Enable Block（启用块）对话框，并显示上一步中的配置。

4. 可选：在屏蔽原因字段中，输入屏蔽丰富化的原因。

5. 查看信息后，点击启用屏蔽。已启用的块表格会显示已启用的丰富块对应的行。

   大约 5-10 分钟后，Google SecOps 会从当前日期（世界协调时间）的 0:00:00 开始实施富集阻止（即取消富集所有关联的富集字段）。在此时间之后，我们建议您验证结果是否符合预期。

停用富集块

如需停用富集块，请执行以下操作：

1. 依次前往设置 > 丰富化块。
2. 在已启用的块标签页中，找到富集块，点击相应行中的 more_vert 更多，然后选择停用块。此时会打开一个确认对话框。

3. 查看相应信息，然后点击停用屏蔽。已停用的块表格会显示已停用的富集块对应的行，而已启用的块表格中会移除相应行。

   大约 5-10 分钟后，Google SecOps 会从当前日期 0:00:00 UTC 开始重新丰富所有关联的字段。在此时间之后，我们建议您验证结果是否符合预期。

重新启用丰富化屏蔽规则

如需重新启用丰富化屏蔽规则，请执行以下操作：

1. 依次前往设置 > 丰富化块。
2. 在已停用的块标签页中，找到富集块，点击相应行中的 more_vert 更多，然后选择启用块。此时会打开一个确认对话框。

3. 查看相应信息，然后点击启用屏蔽。已启用的块表格会显示重新启用的富集块对应的行，而已停用的块表格中会移除相应行。

   大约 5-10 分钟后，Google SecOps 会从当前日期（世界协调时间）的 0:00:00 开始实施富集阻止（即取消富集所有关联的富集字段）。在此时间之后，我们建议您验证结果是否符合预期。

富集块的工作流示例

此工作流演示了如何使用富集块来解决因不必要的数据覆盖而错误触发的规则：

1. 验证规则：您收到一条提醒，并确定该提醒是错误触发的。您确认规则逻辑正确无误，且该规则不属于规则排除对象。
2. 确定日志来源：您查看提醒，发现触发条件是由 CrowdStrike 日志满足的。

3. 调查丰富来源：使用事件查看器确定哪个外部来源修改了关键字段。以下步骤展示了打开事件查看器的一种方法（但还有其他方法）：

   1. 在 Google SecOps 控制台中，依次前往检测 > 提醒和 IOC。
   2. 选择错误触发的检测结果，然后深入分析相应事件。
   3. 点击活动时间戳即可打开事件查看器。默认情况下，系统会显示“活动字段”标签页。每个富化字段都标有 E，展开相应节点即可查看富化来源。
   4. 在事件字段标签页中，展开有问题的富集字段的节点，以确定来源。您了解到，触发提醒的字段已通过 Okta 进行了丰富。

4. 创建并启用扩充块：创建并启用一个扩充块，该扩充块会停用来自 Okta 的 User 数据，使其不再作为 CrowdStrike 日志中的扩充来源。

5. 验证解决方案：等待 5-10 分钟，让富集块生效，然后验证是否不再错误地触发提醒。

需要更多帮助？获得社区成员和 Google SecOps 专业人士的解答。