封鎖特定流程的擴充功能

本文說明如何透過擴充區塊，精細控管資料擴充程序。預設的擴充程序會使用不同來源的脈絡資料、分析資料，並根據內部邏輯覆寫統合式資料模型 (UDM) 欄位資料。預設程序通常會正常運作。不過，在某些情況下，覆寫 UDM 欄位資料會導致非預期的行為，例如不當觸發偵測引擎規則。

設定及查看擴充區塊

只有具備 Chronicle 管理員和編輯者權限的 Google SecOps 使用者，才能設定擴充區塊；所有 Google SecOps 使用者都能查看「擴充區塊」介面。

設定補充資料封鎖規則時，需要依序提供三個參數：補充資料類型、目標記錄類型和來源。目標記錄類型的可用選項取決於所選的擴充類型，而來源的可用選項則取決於所選的目標記錄類型。

你無法刪除強化區塊，

您可以啟用、停用及重新啟用擴充區塊。

「Enrichment Blocks」(強化區塊) 對話方塊包含「Enabled Blocks」(已啟用的區塊) 和「Disabled Blocks」(已停用的區塊) 分頁。兩個分頁中的表格都會顯示擴充區塊的基本設定參數、區塊上次啟用時的 UTC 日期，以及 (選填) 使用者指定的區塊原因。「已停用的區塊」分頁中的表格會顯示停用區塊的世界標準時間日期。

修訂的擴充區塊時間邏輯

充實區塊的狀態變更會在 5 到 10 分鐘內生效。

啟用或停用區塊的主要影響是同步開始時間：

• 啟用封鎖 (取消擴充)：Google SecOps 會從當天世界標準時間 00:00:00 開始，取消擴充所有相關聯的欄位，並持續執行這項操作。

• 停用封鎖 (重新擴充)：Google SecOps 會從世界標準時間當天的 00:00:00 開始，重新擴充所有相關聯的欄位，並持續擴充。

舉例來說，您在 9 月 16 日星期二的 23:59:59 (世界標準時間) 啟用強化區塊，自世界標準時間 9 月 16 日星期二 0:00:00 起，Google SecOps 會移除所有相關的擴充欄位，並持續封鎖擴充功能。9 月 17 日星期三 09:00:00 (世界標準時間)，你停用了擴充區塊。Google SecOps 會從 9 月 17 日星期三 0:00:00 (世界標準時間) 開始，重新擴充所有相關聯的欄位，並持續擴充所有相關資料。

建立及啟用擴充區塊

如要建立及啟用擴充區塊，請按照下列步驟操作：

1. 依序前往「設定」>「強化區塊」。

2. 設定下列項目：

   1. 在「擴充類型」清單中，選取下列其中一個選項：

      • 所有類型
      • 資產。如果不在擴充區塊中，這個選項會執行下列操作：
        • 擷取欄位，例如 hostname、asset_id、mac、ip (如果 asset_id 為空白)。
        • 擴充包含 Asset 底下任何內容的欄位 (例如 hostname、asset_id、mac 或 ip)，來源為 Noun。
        • 使用擴充來源，例如 DHCP 和 Asset Context (例如 Tanium Asset 或 CrowdStrike)。
      • GeoIP：如果不在擴充區塊中，這個選項會執行下列動作：
        • 擷取欄位，例如ip是否為公開或可路由。
        • 充實包含 artifact.ip、artifact.location、artifact.network、location 的欄位。
        • 使用 Google GeoIP 服務的擴充來源。
      • Google Threat Intelligence。如果不在擴充區塊中，這個選項會執行下列動作：
        • 擷取相關欄位。
        • 擴充 File 或 process.file 欄位。
        • 使用 VirusTotal 檔案中繼資料的擴充來源。
      • 程序。如果不在擴充區塊中，這個選項會執行下列操作：
        • 擷取欄位，例如 process.product_specific_process_id。
        • 擴充欄位，包括 Process 下的所有內容。
        • 使用擴充來源，例如 EDR 記錄 (例如來自 CrowdStrike 或 SentinelOne)。
      • 使用者。如果不在擴充區塊中，這個選項會執行下列操作：
        • 擷取欄位，例如 user.email_addresses、user.userid、user.windows_sid、user.employee_id、user.product_object_id。
        • 擴充包含 User 下方任何內容的欄位。
        • 使用擴充來源，例如使用者情境記錄 (例如來自 Workday 或 Windows AD)。

   2. 在「目標記錄類型」清單中，選取所需選項，這取決於所選的「擴充類型」。例如「所有類型」、「Windows_Sysmon」、「CB_EDR」和「BRO_JSON」。

   3. 在「來源」清單中選取所需選項。可用選項會因所選的目標記錄檔類型而異。例如「所有類型」、「INFOBLOX_DHCP」、「WINDOWS_AD」和「VIRUSTOTAL_FILE_METADATA」。

3. 按一下「啟用區塊」，開啟「啟用區塊」對話方塊，並顯示上一個步驟的設定。

4. 選用：在「封鎖原因」欄位中，輸入封鎖擴充功能的理由。

5. 查看資訊後，按一下「啟用封鎖」。「已啟用區塊」表格會顯示已啟用擴充區塊的資料列。

   大約 5 到 10 分鐘後，Google SecOps 會從目前日期 (世界標準時間) 的 00:00:00 開始，實作擴充區塊 (也就是取消擴充所有相關聯的擴充欄位)。建議您在上述時間過後，確認結果是否符合預期。

停用擴充區塊

如要停用擴充區塊，請按照下列步驟操作：

1. 依序前往「設定」>「強化區塊」。
2. 在「已啟用區塊」分頁中，找到擴充區塊，然後按一下該列中的「更多」圖示 more_vert，並選取「停用區塊」。系統會開啟確認對話方塊。

3. 檢查相關資訊，然後按一下「停用封鎖」。「已停用的區塊」表格會顯示已停用擴充區塊的資料列，而「已啟用的區塊」表格則會移除對應的資料列。

   大約 5 到 10 分鐘後，Google SecOps 會重新擴充目前日期世界標準時間 00:00:00 之後的所有相關聯欄位。建議您在上述時間過後，確認結果是否符合預期。

重新啟用擴充功能封鎖規則

如要重新啟用擴充功能區塊，請按照下列步驟操作：

1. 依序前往「設定」>「強化區塊」。
2. 在「已停用的區塊」分頁中，找出擴充功能區塊，按一下該列中的「更多」圖示 more_vert，然後選取「啟用區塊」。系統會開啟確認對話方塊。

3. 詳閱畫面上顯示的資訊，然後按一下「啟用封鎖」。「已啟用區塊」表格會顯示重新啟用的擴充功能區塊列，而「已停用區塊」表格則會移除對應的列。

   大約 5 到 10 分鐘後，Google SecOps 會從目前日期 (世界標準時間) 的 00:00:00 開始，實作擴充區塊 (也就是取消擴充所有相關聯的擴充欄位)。建議您在上述時間過後，確認結果是否符合預期。

enrichment 封鎖規則的工作流程範例

這個工作流程示範如何使用擴充區塊，解決因不必要的資料覆寫而錯誤觸發規則的問題：

1. 驗證規則：您收到快訊，但判斷快訊觸發不當。確認規則邏輯正確無誤，且不是規則排除條件。
2. 找出記錄來源：您查看快訊後發現，CrowdStrike 記錄符合觸發條件。

3. 調查擴充來源：使用事件檢視器找出修改重要欄位的外部來源。下列步驟說明如何開啟事件檢視器 (但還有其他方法)：

   1. 在 Google SecOps 控制台中，依序前往「Detections」(偵測結果) >「Alerts & IOCs」(快訊和 IOC)。
   2. 選取錯誤觸發的偵測事件，然後深入瞭解該事件。
   3. 按一下事件時間戳記，開啟「事件檢視器」。系統預設會顯示「事件欄位」分頁。每個經過擴充的欄位都會標示 E，展開節點即可查看擴充來源。
   4. 在「Event Fields」(事件欄位) 分頁中，展開有問題的擴充欄位節點，找出來源。您發現觸發快訊的欄位已由 Okta 擴充。

4. 建立並啟用擴充區塊：建立並啟用擴充區塊，停用來自 Okta 的 User 資料，做為 CrowdStrike 記錄檔中的擴充來源。

5. 確認解決問題：等待 5 到 10 分鐘，讓擴充功能封鎖生效，然後確認系統不再誤觸快訊。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。