實作不含比對區段的彙整
本文說明 Google Security Operations Search 中沒有 match 區段或資料聯結的聯結作業概念。
您可以根據共同的欄位值,使用聯結作業來關聯及合併多個來源的原始資料。將相關安全性事件和實體整合為單一全面檢視畫面,即可提供更有效的威脅偵測和調查。
與需要 match 區段來彙整結果的統計聯結不同,資料聯結會擷取完整的事件或實體資料,並顯示這些資料,
不會進行任何彙整。
資料彙整的運作方式
您可以比對不同事件或實體區塊中的通用欄位,建立資料聯結。你可以透過下列任一方法執行此操作:
直接比對欄位 (例如
$e1.principal.hostname = $e2.principal.hostname)將這兩個欄位指派給相同的預留位置變數 (例如
$host = $e1.principal.hostname和$host = $e2.principal.hostname)。
在這兩種情況下,如果這些欄位的值相同,搜尋功能會隱含地聯結區塊。
支援的資料彙整類型
您可以在搜尋查詢中使用下列資料聯結類型:
事件對事件的聯結:關聯兩種不同 Unified Data Model (UDM) 事件類型之間的資料。
事件與 ECG 聯結:使用實體脈絡圖 (ECG) 的資訊,擴充 UDM 事件資料。
事件對事件的聯結
事件對事件聯結最適合用於關聯兩個不同 UDM 事件類型之間的欄位。這項功能有助於找出涉及不同記錄來源或事件類型中相同實體的事件或動作序列。
下列查詢範例會找出所有源自主機的網路連線 (NETWORK_CONNECTION),以及發生使用者登入 (USER_LOGIN) 的主機:
// Find user logins and assign the hostname to the $host placeholder
$e1.metadata.event_type = "USER_LOGIN"
$host = $e1.principal.hostname
// Find network connections and join them where the hostname matches the
$host placeholder
$e2.metadata.event_type = "NETWORK_CONNECTION"
$host = $e2.principal.hostname
限制
最多可加入兩場活動。
查詢時間範圍上限為 14 天。
查詢上限為每小時 120 項查詢 (QPH)。
範例
下列查詢範例會找出所有源自主機的網路連線 (NETWORK_CONNECTION),以及發生使用者登入 (USER_LOGIN) 的主機:
// Find user logins and assign the hostname to the $host placeholder
$e1.metadata.event_type = "USER_LOGIN"
$host = $e1.principal.hostname
// Find network connections and join them where the hostname matches the $host
placeholder
$e2.metadata.event_type = "NETWORK_CONNECTION"
$host = $e2.principal.hostname
使用使用者 ID 加入
$e1.metadata.event_type = "USER_LOGIN"
$e1.security_result.action = "ALLOW"
$e1.principal.user.userid = $user
$e2.metadata.event_type = "NETWORK_CONNECTION"
$e2.principal.user.userid = $user
透過 IP 位址加入
$e1.metadata.event_type = "USER_LOGIN"
$e1.security_result.action = "ALLOW"
$e1.principal.ip = $ip
$e2.metadata.event_type = "NETWORK_CONNECTION"
$e2.principal.ip = $ip
事件至實體內容圖表聯結
事件到 ECG 的聯結最適合用來從 ECG 取得相關實體 (例如資產、使用者) 的脈絡資料,進而擴充 UDM 事件。這項聯結會結合即時事件資料與歷來和關聯實體資訊,提供更完整的資料。
限制
查詢時間範圍上限為 14 天。
查詢上限為每小時 120 次。
查詢中最多可聯結兩個 UDM 事件。
查詢最多可加入一個心電圖事件。
系統不支援將「事件至心電圖」聯結查詢匯出至資料表。
系統不支援 ECG-to-ECG 聯結。
系統不支援心電圖與資料表之間的彙整。
範例
這項查詢會根據主機名稱,將 ECG 中的資產資訊加入網路連線事件。
// Find network connections and assign the hostname to the $host placeholder
$e1.metadata.event_type = "NETWORK_CONNECTION"
$host = $e1.principal.asset.hostname
// Find asset entities in the graph and join where the hostname matches the
$host placeholder
$g1.graph.metadata.entity_type = "ASSET"
$host = $g1.graph.entity.asset.hostname
使用特定記錄類型依 IP 位址加入
$ip = $e1.principal.ip
$ip = $g1.graph.entity.ip
$e1.metadata.log_type = "WINDOWS_DEFENDER_ATP"
$g1.graph.entity.ip = "10.19.6.24"
透過主機名稱加入會議,並使用特定 IP 篩選器
$e1.metadata.event_type = "FILE_CREATION"
$host = $e1.principal.hostname
$e1.principal.ip = "10.0.0.76"
$g1.graph.metadata.entity_type = "ASSET"
$host = $g1.graph.entity.hostname
最佳做法
為避免效能緩慢和查詢逾時,請在聯結查詢的每個區塊 ($e1、$e2、$g1) 中使用具體且範圍較小的篩選器。
舉例來說,以下是不夠具體的查詢:
$e1.metadata.event_type = "USER_LOGIN"
$e2.metadata.event_type = "NETWORK_CONNECTION"
right join $e1.principal.hostname = $e2.principal.hostname
可透過新增特定條件來最佳化,如下所示:
$e1.metadata.event_type = "USER_LOGIN"
$e1.principal.ip = "192.168.1.101"
$e1.principal.user.userid = "alex"
$e2.metadata.event_type = "NETWORK_CONNECTION"
$e2.src.hostname = "altostrat.com"
right join $e1.principal.hostname = $e2.principal.hostname
使用結果
資料彙整結果會顯示在「彙整」表格中,包括來自兩個相關事件的合併欄位。這個表格與統計資料檢視畫面不同,因為它提供完整的事件或實體資料,而非匯總計數。
執行查詢後,您可以透過下列方式處理結果:
下載為 CSV:將完整結果集匯出為 CSV 檔案,以供離線分析。
匯出至資料表:將結果儲存至執行個體中的資料表,以供參考或進一步關聯 (僅適用於事件對事件的聯結)。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。