使用實體背景資訊圖 (ECG)
本文全面介紹實體背景資訊圖 (ECG),包括資料來源、處理管道,以及在規則和搜尋中的應用。ECG 是核心實體資料模型,可為偵測規則、搜尋和資訊主頁中的進階威脅偵測、調查和威脅搜尋提供重要情境。心電圖處理管道 (合併) 各個 Google SecOps 環境的脈絡資訊。
此外,ECG 還會計算實體的摘要指標,例如盛行率 (特定實體在 UDM 資料中出現的頻率與其他實體相比)、實體的 first-seen-time 和 last-seen-time,以及主要擴充來源和受駭指標 (IOC) 來源,例如 Google 威脅情報 (GTI)、安全瀏覽、WHOIS 和 VirusTotal 資料。
心電圖應用程式會使用 UDM 事件執行下列操作:
- 建立內部實體 (資產和使用者) 和外部實體 (IOC) 的豐富、相關且全面的檢視畫面。
- 找出這些實體之間的關係。
心電圖的資料來源
心電圖會整合下列來源的資料:
| 脈絡來源 | 來源 | 說明 |
|---|---|---|
| 實體背景資訊 | 客戶提供 | Google SecOps 會直接從外部系統擷取結構化機構資料,例如使用者和資產的權威詳細資料。這些來源包括身分識別提供者 (IDP)、設定管理資料庫 (CMDB) 系統 (例如 ServiceNow CMDB、Duo User Context) 和安全漏洞管理系統。 |
| 衍生情境 | Google SecOps 生成 | Google SecOps 會根據擷取的活動分析結果產生統計資料。這項服務會擴充您環境中各種來源的事件和實體 (例如 Windows AD、Azure AD、Okta、 Google Cloud、IAM)。
例如:
|
| 全球環境 | Google 來源 | 全球來源提供內部和外部威脅情報,以及信譽資料。
例如:
|
心電圖資料處理管道
首先,UDM 別名和擴充管道會將原始安全事件擷取並正規化為 UDM 結構。
接著,ECG 合併會將多個來源 (例如身分識別提供者、設定管理資料庫 (CMDB)、威脅情報動態消息和衍生內容) 的內容合併至單一整合實體設定檔,為每個實體建立豐富且具權威性的設定檔。ECG 合併作業會將新的連結、屬性和關係新增至 ECG,並建立及更新衍生情境。
ECG 會建構時間 (時間性) 和無時間 (非時間性) 實體。ECG 會評估指定規則和搜尋時間範圍內的限時實體,並評估不限時實體,而不考慮搜尋或規則的時間範圍。
ECG 會比對不同資料來源的常見鍵識別碼 (例如 hostname、MAC address、user ID 或 email address),然後合併內容記錄。系統會合併符合任一值的記錄,建立實體的全面強化檢視畫面。
ECG 別名會使用下列 UDM 欄位做為「合併鍵」:
Assetentity.asset.product_object_identity.asset.hostnameentity.asset.asset_identity.asset.mac
Userentity.user.product_object_identity.user.useridentity.user.windows_sidentity.user.email_addressesentity.user.employee_id
Resourceentity.resource.product_object_identity.resource.name
Groupentity.group.product_object_identity.group.email_addressesentity.group.windows_sid
在合併程序中,如果上述任何欄位的值發生衝突,ECG 管道會選取開始時間最新的值來更新實體。
心電圖會建立實體內容資料,回溯期為五天。這個程序會處理延遲抵達的資料,並為實體內容資料建立隱含的存留時間。
ECG 會區分內容資料 (資產、使用者、資源、群組) 和遭入侵指標 (IOC)。
示例:合併使用者資料與心電圖合併
Google SecOps 會從三個來源擷取 jdoe 的使用者資料:Okta、Azure AD 和安全漏洞掃描器。ECG 會根據相符的 ID (例如 jdoe@example.com) 合併這三筆記錄,在 ECG 中建立一個統一的jdoe使用者實體,其中包含來自所有三個來源的屬性。
範例:消除多餘資料,建立通用實體
為建立常見的合併實體,ECG 會透過重複資料刪除功能,移除多餘資料。這項功能會產生時間間隔,而不是比對確切的時間戳記。
舉例來說,假設有兩個實體 e1 和 e2,時間戳記分別為 t1 和 t2。如果 e1 和 e2 完全相同,ECG 會忽略下列欄位中的時間戳記差異,藉此將兩者重複資料刪除:
collected_timestampcreation_timestampinterval
重要實體和事件情境心電圖資料來源
Google SecOps 需要多個特定資料來源,才能建立及更新實體。
重要實體情境 ECG 資料來源
環境中使用者和資產的權威資料來源,可提供建構實體資料模型最關鍵的記錄資料。例如:
| 類別 | 重要資料來源 | 已填入實體 |
|---|---|---|
| 身分與存取權管理 | Active Directory、Azure AD、Okta、 Google Cloud Identity | user、group |
| 資產清單 | CMDB、JAMF、Microsoft Intune | asset |
| 威脅情報 | 自訂或第三方動態饋給、Google Threat Intelligence (GTI) | ip_address、domain_name、file |
範例搜尋
如要列出支援各類別的剖析器,請執行下列操作:
- 請參閱「支援的記錄檔類型 (含預設剖析器)」。
在搜尋列中輸入類別,例如:
- 如要查看與資產目錄相關的剖析器,請輸入
inventory或asset。 - 如要查看與身分與存取權管理相關的剖析器,請輸入
identity。 - 如要查看與威脅情報相關的剖析器,請輸入
IOC。
- 如要查看與資產目錄相關的剖析器,請輸入
實體剖析的資料來源和重要 UDM 欄位
Google SecOps 會根據權威實體背景資訊資料來源和重要 UDM 欄位,強化實體設定檔:
| 實體類型 | 資料來源 | 重要 UDM 欄位 (用於別名和建立索引) |
|---|---|---|
| 流程 | 端點記錄會提供 PSPI (`principal.process.product_specific_process_id`),這是穩定的 ID,對於健全的程序別名至關重要。
例如 CrowdStrike EDR (CS_EDR) 和 Windows Sysmon (WINDOWS_SYSMON)。 |
source.process.product_specific_process_id |
| 使用者 | 這些來源會提供使用者屬性和身分資訊。 例如,Duo 實體內容資料 (DUO_CONTEXT) 和 Okta (OKTA)。 |
source.user.userid、source.user.email_address、source.user.windows_sid、source.user.product_object_id |
| 資產或端點 | 這些來源會提供權威的資產資訊。 例如 ServiceNow CMDB (SERVICENOW_CMDB) 和 Tanium Asset (TANIUM_ASSET)。 |
source.ip、source.hostname、source.asset_id、principal.asset.hostname |
| 檔案雜湊 | 提供資料內容的專屬「數位指紋」,以驗證資料完整性。 | source.file.sha256、source.file.sha1、source.file.md5 |
重要事件內容資料 UDM 欄位
Google SecOps 需要多個重要事件背景資料 UDM 欄位。
最重要的 UDM 欄位是做為穩定 ID 和關係指標的欄位 (
principal.*、target.*、src_*和dst_*欄位)。請參閱主要 UDM 欄位清單,瞭解
Entity graph功能領域。如要建構完整的 ECG,請優先處理可提供高價值 ID 和關係資料的資料來源。例如:
實體類型 重要資料來源 實體建構作業的重要 UDM 欄位 資產 (主機) EDR 和 XDR、DNS 和 DHCP、防火牆、 Google Cloud 控制台稽核記錄 metadata.event_type、
principal.asset.asset_id、
principal.asset.hostname、
principal.ip使用者 識別資訊提供者 (IdP) 記錄、人資動態饋給 (背景資訊)、Cloud Identity 記錄、電子郵件閘道 principal.user.userid、
principal.user.email_addresses、
target.user.userid、
principal.ip網路 防火牆、VPN、DNS、虛擬私有雲流量記錄 principal.ip、
target.ip、
src_ip、
dst_ip、
network.direction檔案和程序 EDR 和 XDR、應用程式記錄 target.file.full_path、
target.process.file.full_path、
target.process.command_line
範例
ECG 資料會依據這些 UDM 欄位,在規則、搜尋和資訊主頁中,加入 ECG 資料和 UDM 事件資料。
舉例來說,您可以在「暴力破解」監控規則中加入使用者環境資料,只在受牽連的使用者也是「網域管理員」群組的成員,且受牽連的資產是網域控制站時,才發出快訊:
events:
$fail.metadata.event_type = "USER_LOGIN"
$fail.metadata.vendor_name = "Microsoft"
$fail.principal.hostname = $hostname
$fail.target.user.userid = $target_user
$fail.security_result.action = "BLOCK"
$fail.metadata.product_event_type = "4625"
$fail.metadata.event_timestamp.seconds < $success.metadata.event_timestamp.seconds
$success.metadata.event_type = "USER_LOGIN"
$success.metadata.vendor_name = "Microsoft"
$success.target.user.userid = $target_user
$success.principal.hostname = $hostname
$success.security_result.action = "ALLOW"
$success.metadata.product_event_type = "4624"
$user.graph.entity.user.userid = $target_user
$user.graph.metadata.entity_type = "USER"
$user.graph.metadata.source_type = "ENTITY_CONTEXT"
any $user.graph.relations.entity.group.group_display_name = "Domain Admins"
$asset.graph.entity.asset.hostname = $hostname
$asset.graph.metadata.entity_type = "ASSET"
$asset.graph.metadata.source_type = "ENTITY_CONTEXT"
any $asset.graph.relations.entity.group.group_display_name = "Domain Controllers"
match:
$target_user, $hostname over 15m
condition:
#fail > 4 and $success and $user and $asset
衍生背景資訊強化功能
Google SecOps 會根據貴機構的事件資料,為所有命名空間中的每個實體產生動態事件驅動的推論資料。這項功能會使用別名資訊、內部擴充程序中的資料和安全事件資料,建立關係 (例如使用 IP address 的 asset)。這個程序會新增有價值的背景資訊,以強化實體設定檔。
舉例來說,這會將 entity.file.sha256 新增至 file (hash) 實體,並將 (principal or target).ip_geo_artifact.location.country_or_region 新增至 network (geolocation) 實體。
Google SecOps 會分析擷取的活動中的多個指標,為事件提供背景資訊。這項服務會執行重要的擴充功能,產生實體稀有度指標 (例如普遍程度統計資料) 和時間指標 (例如 first-seen-time 和 last-seen-time)。
盛行率統計資料
ECG 也負責分析現有和傳入的資料,以計算並儲存盛行率指標做為衍生內容欄位。這些指標代表環境中實體 (例如 domain、file hash 或 IP address) 的「熱門度」數值。這有助於您找出罕見或異常活動,因為較熱門的實體通常不太可能是惡意活動。
Google SecOps 會定期更新這些統計資料,並儲存在個別實體內容中。偵測引擎可以使用這些值,您也可以使用 UDM 查詢語法搜尋這些值。不過,控制台不會與其他實體詳細資料一併顯示這些值。
建立偵測引擎規則時,可以使用下列欄位。
| 實體類型 | UDM 欄位 |
|---|---|
| 網域 | entity.domain.prevalence.day_count
entity.domain.prevalence.day_max
entity.domain.prevalence.day_max_sub_domains
entity.domain.prevalence.rolling_max
entity.domain.prevalence.rolling_max_sub_domains |
| 檔案 (雜湊) | entity.file.prevalence.day_count
entity.file.prevalence.day_max
entity.file.prevalence.rolling_max |
| IP 位址 | entity.artifact.prevalence.day_count
entity.artifact.prevalence.day_max
entity.artifact.prevalence.rolling_max |
Google SecOps 計算 day_max 和 rolling_max 值的方式不同,如下所示:
day_max是指該構件在一天內的最高普遍程度分數 (一天的定義為 UTC 時間的凌晨 12:00:00 至晚上 11:59:59)。rolling_max是過去 10 天內,構件的每日最高普及率分數 (即day_max)。- 系統會使用
day_count計算rolling_max,且其值一律為 10。
系統計算 domain 的這些值時,day_max 和 day_max_sub_domains (以及 rolling_max 與 rolling_max_sub_domains) 之間的差異如下:
rolling_max和day_max代表存取特定網域 (不含子網域) 的每日不重複內部 IP 位址數量。rolling_max_sub_domains和day_max_sub_domains代表存取特定網域 (包括子網域) 的不重複內部 IP 位址數量。
Google SecOps 會使用新擷取的實體資料計算普遍程度統計資料。Google SecOps 不會對先前擷取的資料進行回溯計算。Google SecOps 大約需要 36 小時才能計算及儲存統計資料。
範例
ECG 需要這些 UDM 欄位,才能將相關內容資料併入規則或搜尋中。您必須明確將所有心電圖相關資料加入 UDM 事件資料。
舉例來說,您可以使用心電圖中的 prevalence 資料,判斷安全性記錄檔中與「罕見」網域的連線:
$dns.metadata.event_type = "NETWORK_DNS"
$dns.network.dns.questions.name != ""
$dns.network.dns.questions.name = $domain
$prevalence.graph.metadata.entity_type = "DOMAIN_NAME"
$prevalence.graph.metadata.source_type = "DERIVED_CONTEXT"
$prevalence.graph.entity.hostname = $domain
$prevalence.graph.entity.domain.prevalence.day_count = 10
$prevalence.graph.entity.domain.prevalence.rolling_max > 0
$prevalence.graph.entity.domain.prevalence.rolling_max <= 3
match:
$domain over 5m
condition:
$dns and $prevalence
實體的首次和最近一次出現時間
Google SecOps 會分析傳入資料,並在實體背景資訊記錄中填入下列重要欄位:
first-seen-time:實體首次出現在您環境中的日期和時間。last-seen-time:最近一次觀測的日期和時間。
您可以使用這些衍生欄位,關聯 domain、file hash、asset、user 或 IP address 實體之間的活動。
系統會將這些值儲存在下列 UDM 欄位中:
| 實體類型 | UDM 欄位 |
|---|---|
| 網域 | entity.domain.first_seen_timeentity.domain.last_seen_time |
| 檔案 (雜湊) | entity.file.first_seen_timeentity.file.last_seen_time |
| IP 位址 | entity.artifact.first_seen_timeentity.artifact.last_seen_time |
| 資產 | entity.asset.first_seen_time |
| 使用者 | entity.user.first_seen_time |
首次發現時間和最後發現時間的計算例外狀況:
- 對於
asset和user實體,Google SecOps 只會填入first_seen_time欄位,不會填入last_seen_time欄位。 - Google SecOps 不會計算個別命名空間中每個實體的統計資料。
- Google SecOps 不會將這些統計資料匯出至 BigQuery 中的 Google SecOps
events結構定義。 - Google SecOps 不會為其他實體類型 (例如
group或resource) 計算這些值。
全域情境擴充功能
這些來源包括來自內部和第三方全球來源的外部威脅情報和信譽資料。
擷取 Google Threat Intelligence 資料
Google SecOps 會從 Google Threat Intelligence (GTI) 資料來源擷取資料,並提供背景資訊,協助您調查環境中的活動。
查詢下列資料來源:
- GTI Tor 結束節點:已知的 Tor 結束節點 IP 位址。
- GTI 良性二進位檔:屬於原始作業系統發行版本或由官方作業系統修補程式更新的檔案。部分遭攻擊者濫用的官方作業系統二進位檔 (透過常見的「以現有資源為跳板」攻擊活動) 不會納入這個資料來源,例如著重於初始進入向量的二進位檔。
- GTI 遠端存取工具:惡意行為人經常使用的檔案。這些工具通常是正當的應用程式,但有時會遭到濫用,用來遠端連線至遭入侵的系統。
系統會將這些脈絡資料以實體形式儲存在全球各地。您可以使用偵測引擎規則查詢資料。在規則中加入下列 UDM 欄位和值,即可查詢這些全域實體:
graph.metadata.vendor_name=Google Threat Intelligencegraph.metadata.product_name=GTI Feed
有時間限制和無時間限制的 Google Threat Intelligence 資料來源
Google Threat Intelligence 資料來源包括「有時間性」或「無時間性」類型。
時間資料來源中的每個項目都有相關聯的時間範圍。如果 Google SecOps 在第 1 天產生偵測結果,那麼在日後的任何一天,Google SecOps 都會在回溯搜尋期間,針對第 1 天產生相同的偵測結果。
不限時間資料來源沒有相關聯的時間範圍。這是因為您只需要考慮最新的資料集。系統通常會使用不隨時間變動的資料來源,取得預期不會變更的資料,例如檔案雜湊值。如果 Google SecOps 在第 1 天未產生偵測結果,但第 2 天在回溯搜尋期間,因無時效性資料來源新增了項目,而產生第 1 天的偵測結果,
Tor 結束節點 IP 位址的相關資料
Google SecOps 會擷取並儲存已知的 Tor 結束節點 IP 位址。Tor 結束節點是流量離開 Tor 網路的節點。Tor 結束節點資料是限時的。
Google SecOps 會將從這個資料來源擷取的資訊,儲存在下列 UDM 欄位中:
| UDM 欄位 | 說明 |
|---|---|
<variable_name>.graph.metadata.vendor_name |
儲存 Google Threat Intelligence 值。 |
<variable_name>.graph.metadata.product_name |
儲存 GTI Feed 值。 |
<variable_name>.graph.metadata.threat.threat_feed_name |
儲存 Tor Exit Nodes 值。 |
<variable_name>.graph.entity.artifact.ip |
儲存從 GTI 資料來源擷取的 IP 位址。 |
範例搜尋
graph.metadata.source_type ="GLOBAL_CONTEXT"
graph.metadata.product_name = "GTI Feed"
graph.metadata.threat.threat_feed_name = "Tor Exit Nodes"
良性作業系統檔案的資料
Google SecOps 會從 GTI Benign Binaries 資料來源擷取及儲存檔案雜湊值。Google SecOps 會將從這個資料來源擷取的資訊儲存在下列 UDM 欄位中。良性二進位檔資料是永久的。
| UDM 欄位 | 說明 |
|---|---|
<variable_name>.graph.metadata.vendor_name |
儲存 Google Threat Intelligence 值。 |
<variable_name>.graph.metadata.product_name |
儲存 GTI Feed 值。 |
<variable_name>.graph.metadata.threat.threat_feed_name |
儲存 Benign Binaries 值。 |
<variable_name>.graph.entity.file.sha256 |
儲存檔案的 SHA256 雜湊值。 |
<variable_name>.graph.entity.file.sha1 |
儲存檔案的 SHA-1 雜湊值。 |
<variable_name>.graph.entity.file.md5 |
儲存檔案的 MD5 雜湊值。 |
範例搜尋
graph.metadata.source_type ="GLOBAL_CONTEXT"
graph.metadata.product_name = "GTI Feed"
graph.metadata.threat.threat_feed_name = "Benign Binaries"
遠端存取工具相關資料
遠端存取工具包括已知遠端存取工具的檔案雜湊值,例如惡意行為者經常使用的 VNC 用戶端。這些工具通常是正當應用程式,但有時會遭到濫用,用來從遠端連線至遭入侵的系統。Google SecOps 會將從這個資料來源擷取的資訊儲存在下列 UDM 欄位。遠端存取工具資料沒有時間限制。
| UDM 欄位 | 說明 |
|---|---|
<variable_name>.graph.metadata.vendor_name |
儲存 Google Threat Intelligence 值。 |
<variable_name>.graph.metadata.product_name |
儲存 GTI Feed 值。 |
<variable_name>.graph.metadata.threat.threat_feed_name |
儲存 Remote Access Tools 值。 |
<variable_name>.graph.entity.file.sha256 |
儲存檔案的 SHA256 雜湊值。 |
<variable_name>.graph.entity.file.sha1 |
儲存檔案的 SHA-1 雜湊值。 |
<variable_name>.graph.entity.file.md5 |
儲存檔案的 MD5 雜湊值。 |
範例搜尋
graph.metadata.source_type ="GLOBAL_CONTEXT"
graph.metadata.product_name = "GTI Feed"
graph.metadata.threat.threat_feed_name = "Remote Access Tools"
運用安全瀏覽威脅清單中的資訊擴充實體
Google SecOps 會擷取與檔案雜湊值相關的安全瀏覽資料。 Google SecOps 會將每個檔案的資料儲存為實體,並提供檔案的額外背景資訊。 您可以建立偵測引擎規則,查詢這個實體環境資料,建構具備環境意識的分析。
Google SecOps 會將下列資訊與實體內容記錄一併儲存。
| UDM 欄位 | 說明 |
|---|---|
entity.metadata.product_entity_id |
實體的專屬 ID。 |
entity.metadata.entity_type |
這個值為 FILE,表示實體描述的是檔案。
|
entity.metadata.collected_timestamp |
觀察到實體或事件發生的日期和時間。 |
entity.metadata.interval |
儲存這項資料的有效開始時間和結束時間。由於威脅清單內容會隨時間變更,因此 start_time 和 end_time 會反映實體資料的有效時間間隔。舉例來說,系統在 start_time 和 end_time 之間發現惡意或可疑的檔案雜湊值。 |
entity.metadata.threat.category |
Google SecOps SecurityCategory。系統會將此值設為下列一或多個值:
|
entity.metadata.threat.severity |
這是 Google SecOps ProductSeverity。
如果值為 CRITICAL,表示構件疑似惡意。如果未指定值,表示系統沒有足夠的信心指出構件是否惡意。
|
entity.metadata.product_name |
儲存 Google Safe Browsing 值。 |
entity.file.sha256 |
檔案的 SHA256 雜湊值。 |
規則範例
events:
// find a process launch event, match on hostname
$execution.metadata.event_type = "PROCESS_LAUNCH"
$execution.target.process.file.sha256 != ""
$execution.principal.hostname = $hostname
// join execution event with Safe Browsing graph
$sb.graph.entity.file.sha256 = $execution.target.process.file.sha256
// look for files deemed malicious
$sb.graph.metadata.entity_type = "FILE"
$sb.graph.metadata.threat.severity = "CRITICAL"
$sb.graph.metadata.product_name = "Google Safe Browsing"
match:
$hostname over 5m
condition:
$execution and $sb
使用 WHOIS 資料充實實體
系統每天都會執行 WHOIS 資料擴充功能,這是重要功能。WHOIS 資料既有時效性,也沒有時效性。
在擷取裝置資料期間,Google SecOps 會根據 WHOIS 資料評估網域。如果網域相符,Google SecOps 會將相關 WHOIS 資料儲存在網域的實體記錄中。對於每個含有 entity.metadata.entity_type = DOMAIN_NAME 的實體,Google SecOps 會以 WHOIS 資訊加以擴充。
Google SecOps 會將經過擴充的 WHOIS 資料填入實體記錄中的下列欄位:
entity.domain.admin.attribute.labelsentity.domain.audit_update_timeentity.domain.billing.attribute.labelsentity.domain.billing.office_address.country_or_regionentity.domain.contact_emailentity.domain.creation_timeentity.domain.expiration_timeentity.domain.iana_registrar_identity.domain.name_serverentity.domain.private_registrationentity.domain.registrant.company_nameentity.domain.registrant.office_address.stateentity.domain.registrant.office_address.country_or_regionentity.domain.registrant.email_addressesentity.domain.registrant.user_display_nameentity.domain.registrarentity.domain.registry_data_raw_textentity.domain.statusentity.domain.tech.attribute.labelsentity.domain.update_timeentity.domain.whois_record_raw_textentity.domain.whois_serverentity.domain.zone
Google SecOps 會從 global context WHOIS 記錄中擷取 registrant、creation 和 expiration time 資料,並用來擴充domain實體 (entity.metadata.entity_type = "DOMAIN_NAME")。
如需這些欄位的說明,請參閱整合式資料模型欄位清單文件。
範例搜尋
graph.metadata.source_type ="GLOBAL_CONTEXT"
graph.metadata.product_name = "WHOISXMLAPI Simple Whois"
graph.entity.domain.registry_data_raw_text != b""
最佳做法:找出全球情境豐富的資料來源
如要提升規則效能,請在規則中加入篩選器,使用全域環境擴充來源的資料來識別特定擴充類型或來源。
下列篩選器參數會識別擴充類型或來源:entity_type、product_name 和 vendor_name。
舉例來說,在加入 WHOIS 資料的規則 events 區段中,加入下列篩選條件欄位:
$enrichment.graph.metadata.entity_type = "DOMAIN_NAME"
$enrichment.graph.metadata.product_name = "WHOISXMLAPI Simple Whois"
$enrichment.graph.metadata.vendor_name = "WHOIS"
實體內容圖表的限制和建議
使用內容豐富的資料時,請注意下列心電圖行為:
- 請勿在實體資料中新增間隔,而是讓心電圖建立間隔。這是因為 Google SecOps 會在重複資料刪除期間產生間隔,除非另有指定。
- 如果您指定間隔,Google SecOps 只會重複使用相同事件,並保留最近的實體。
- 為確保即時規則和回溯搜尋功能正常運作,您必須每天至少擷取一次實體。
- 如果不是每天擷取實體,而是每隔兩天以上才擷取一次,即時規則可能會正常運作,但回溯搜尋可能會遺失部分事件脈絡。
- 如果每天多次擷取相同實體,Google SecOps 會將其重複資料刪除,只保留單一實體。
- 如果某天的事件資料遺失,Google SecOps 會暫時使用前一天的資料,確保即時規則正常運作。
如要瞭解一般 Google SecOps 服務限制,請參閱「服務限制」。
相關外部內容
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。