以視覺化系列呈現安全事件關係

支援的國家/地區:

Google Security Operations 提供一系列預先定義的視覺化系列,可滿足許多常見的快訊類型。預設視覺化系列包含所有實體類型和基本關係。

視覺化系列代表安全性事件中實體之間的關係,有助於找出主要行為者和安全性事件的流程。

每個視覺化家庭都包含多項規則。每項規則最多可包含四個來源、四個目的地和一個連線類型。來源和目的地都代表與快訊相關的實體類型,兩者之間的連結為「已輸入」或「已連結」

  • 類型連結會連結快訊中的主要實體 (行為者)。這類關係通常代表一個實體對另一個實體 (或自身) 執行的動作,並以箭頭線顯示。每個視覺化系列都必須包含單一型別的連結規則。
  • 連結連線會連結兩個以上邏輯上相關的實體,例如主機名稱和 IP 位址,或是電子郵件和使用者名稱。以虛線表示,代表這種邏輯關係。

此外,視覺化分組會定義哪些實體類型可參與活動。 將事件欄位對應至實體時,允許的實體類型會由指派給該事件類型的視覺化系列預先決定。

視覺化分組會套用至特定類型或產品的事件,並與其他事件動態匯總,為整個快訊和案件建立視覺化實體圖表。您可以在「事件設定」>「視覺化」頁面或「探索」頁面查看這張圖表。

定義視覺化系列

請按照下列步驟建立視覺化圖表,顯示實體之間的關係和連結:

  1. 找出需要視覺化系列的事件。
  2. 將欄位分類並對應至各自的實體類型。在本範例中,請使用下列 Suspicious Connection 事件:
        {
  "name": "Suspicious Connection", 
  "product": "SecOps", 
  "event_type": "Suspicious connection", 
  "hostname": "USER_PC", 
  "process_sha256": "6857fee8812490499164bb7efb7f457d038e82140bb1fa0adbd0dc018e404f84", 
  "process_name": "notepad.exe", 
  "destination_domain": "google.com",
  "destination_ip_address": "8.8.8.8" 
}
  3. 將事件欄位分類至特定實體類型,如下所示:
    欄位 實體類型
    主機名稱 SourceHostName
    process_name SourceProcessName
    process_sha256 FileHash
    destination_domain DestinationDomain
    destination_ip_address DestinationAddress
  4. 依序前往「設定」>「本體」>「視覺系列」
  5. 選取「新增」 ,然後輸入名稱和說明。
  6. 找出主要動作,定義必要型別的連結規則。在這個範例中,由於程序建立了與網域的連線,因此 process 實體是來源,而 domain 實體是目的地。
  7. 使用連結的連線規則定義邏輯相關的實體。 以同一個活動為例,您可以觀察到幾種關係:
    • SourceProcessName」已於 SourceHostName執行。
    • SourceProcessName 雜湊是 FileHash 實體
    • DestinationDomainDestinationAddress 代表程序目的地。
  8. 儲存視覺化分組。儲存後,你可以在「設定」>「本體」>「視覺系列」表格中,選擇性新增代表視覺系列的圖片。

浮動實體

浮動實體是指顯示在圖表視覺化效果中,但未與其他實體建立任何連結的實體。這可能是因為幾個主要原因,瞭解原因對於有效分析及呈現資料至關重要:

  • 視覺化系列中缺少連結規則:視覺化系列定義事件的顯示方式,但可能沒有規則可將浮動實體類型連結至事件中的現有實體類型。舉例來說,系統可能已定義「使用者」實體,但沒有規則指定該實體應在「檔案存取」事件中連結至「檔案」實體。
  • 活動資料不完整:活動資料本身可能缺少建立連結所需的資訊。舉例來說,網路連線的事件可能缺少目的地 IP 位址,導致無法連結至主機實體。
  • 獨立實體:系統可能會建立實體,但從未有任何其他事件參照該實體,因此該實體會成為「獨立實體」。舉例來說,系統已建立新的使用者帳戶,但該帳戶尚未執行任何動作,因此不會產生可連結的事件。

如要解決浮動實體問題,請執行下列動作:

  • 查看視覺化家庭:確認視覺化家庭是否具備連結實體類型所需的規則。如果沒有,您可能需要建立新規則來建立關係。
  • 檢查原始事件資料:檢查事件的原始資料,確認是否包含對應所需的欄位 (例如來源 IP、目的地連接埠、使用者 ID)。
  • 調整欄位對應:如果資料存在但未正確對應,請調整欄位對應,確保正確的事件欄位會填入實體屬性。

進一步瞭解如何建立實體 (對應和建模),以及如何設定對應並指派視覺系列

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。