配置提醒分组

支持的平台:

提醒分组机制会将提醒分组到案例中,从而为安全分析人员提供更好的背景信息,以便他们有效解决问题。其目的是强调为安全提醒提供更多背景信息的重要性,避免分析师在没有适当背景信息的情况下调查同一事件,从而可能浪费时间或处理不当。

您可以在 SOAR 设置 > 高级 > 提醒分组中配置提醒分组机制。

常规部分包含跨平台设置:

  • 分组到一个案例的提醒数量上限: 定义要分组到一个案例中的提醒数量上限 (30)。 达到最大数量后,系统会开始处理新的情况。
  • 对提醒分组的时间范围(以小时为单位):设置将提醒分组到案例中的时间范围(以半小时为间隔,范围为 0.5-24 小时)。这不适用于按来源分组标识符分组的规则。
  • 将实体和来源分组标识符分组到同一支持请求:启用后,根据分组规则应按来源分组标识符分组的提醒会先查找具有相同来源分组标识符的提醒,如果找不到,则会查找系统中具有共同实体的所有支持请求,并相应地对提醒进行分组(并根据跨平台时间范围)。 “来源分组标识符”提醒分组仅基于 sourceGroupIdentifiermaxAlertsInCase。它不使用时间范围。

规则

您可以在规则部分中创建针对不同分组选项的具体规则。

分组示例

借助提醒分组机制,您可以创建分组规则,以控制将哪些类型的提醒分组到同一支持请求中。举个简单的分组示例,在上午 10:00,系统将目标主机为 10.1.1.13C&C 流量相关提醒添加到名为 Malware Found 的支持请求中。

上午 11:00,系统检测到另一条具有相同目标主机的提醒,即用户账号已更改。Google 安全运营团队发现,这两条提醒涉及同一实体,且在配置的时间范围内,因此将第二条提醒归入发现恶意软件事件中。

规则层次结构

规则采用分层系统,系统会按以下顺序将每条传入的提醒与规则进行匹配:

  1. 提醒类型:例如,钓鱼式攻击提醒。
  2. 产品:例如 Cybereason EDR。
  3. 数据源:例如,Arcsight SIEM。
  4. 后备规则:当找不到与提醒类型、产品或数据源匹配的规则时使用。

一旦匹配到规则,系统就会停止检查。如果某条提醒与某条规则匹配,但没有可归入的现有支持请求,则该提醒会被添加到新的支持请求中。您无法在同一层次结构中针对同一价值创建两条规则。例如:数据源 - ArcSight 只能有一条规则。

后备规则

平台具有无法删除的预建规则。此回退规则为提醒提供了一个通用的全方位捕获机制,以确保在任何情况下始终存在分组。不过,您可以修改以下选项:

  • 分组依据:选择实体来源分组标识符(适用于来自原始系统且附有预先存在的分组 ID 的提醒)。例如,QRadar 提醒具有一个名为 offense 的标识符,该标识符是提醒在 QRadar 中所属的群组 ID。)
  • 实体分组(按方向):仅适用于实体。

“不分组”规则

借助不分组规则,您可以单独处理提醒(不会将提醒与其他提醒分组到案例中)。当需要独立调查特定提醒而无需与其他支持请求相关联时,此功能非常有用。

如需详细了解如何从提醒分组中排除特定实体,请参阅创建屏蔽列表以从提醒中排除实体

在规则中使用分组实体时,系统只需要一个匹配的实体即可将提醒归为一组。

例如,某分组规则指定了以下实体:

  • 来源 IP
  • 目标 IP 地址
  • 用户名

如果某条提醒与这些实体中的任何一个匹配,则会与包含该实体的现有支持请求归为一组,即使其他实体不匹配也是如此。

请考虑以下两种提醒:

  • 提醒 1
    来源 IP 地址:192.168.1.10
    目的地 IP 地址:10.0.0.5
    用户名:user123
  • 提醒 2
    来源 IP 地址:192.168.1.10
    目的地 IP 地址:10.0.0.6
    用户名:user456

由于这两个提醒具有相同的来源 IP 地址 (192.168.1.10),因此即使目标 IP 地址用户名不同,这两个提醒也会归入同一支持服务工单。

针对特定应用场景创建规则

以下各部分介绍了创建动态且情境感知的提醒分组规则的应用场景。

使用场景:按来源和实体对提醒进行分组

一家企业公司使用 Arcsight 和 Cybereason EDR 这两个连接器,希望按来源和目标实体对 Arcsight 提醒进行分组,并按特定条件对 Cybereason EDR 提醒进行分组:

Arcsight 提醒:按来源和目标实体分组。

Cybereason EDR 钓鱼式攻击提醒:仅按来源实体分组。

对 Cybereason EDR 登录失败提醒进行分组:仅按目标实体分组。

如需捕获此使用情形,请构建以下规则。Google SecOps 会将最终规则作为回退规则提供。

规则 1

  • 类别 = 数据源
  • 值 = Arcsight
  • 分组依据 = 实体
  • 分组实体 = 来源和目的地

规则 2

  • 类别 = 提醒类型
  • 值 = 钓鱼式攻击
  • 分组依据 = 实体
  • 对实体分组 = 来源(SourceHostName、SourceAddress、SourceUserName)

规则 3

  • 类别 = 提醒类型
  • 值 = 登录失败
  • 分组依据 = 实体
  • 分组实体 = 目的地(DestinationAddress、DestinationUserName)

规则 4(后备)

  • 类别 = 全部
  • 值 = 所有提醒
  • Grouping Entities = All Entities

使用情形:自适应分组逻辑

某 MSSP 的客户正在使用 QRadar 连接器,并希望以与 QRadar 中相同的方式对提醒进行分组。他们还有另一位客户使用 Arcsight,并希望按此客户的常见实体对提醒进行分组,但网络钓鱼提醒除外,此类提醒应按目标实体进行分组。

为了实现此使用情形,请构建以下规则:

规则 1

  • 类别 = 数据源
  • 值 = QRadar
  • 分组依据 = 来源分组标识符
  • Grouping Entities =(留空)

规则 2

  • 类别 = 数据源
  • 值 = Arcsight
  • 分组依据 = 实体
  • Grouping Entities = All Entities

规则 3

  • 类别 = 提醒类型
  • 值 = 钓鱼式攻击
  • 分组依据 = 实体
  • 分组实体 = 目的地(DestinationAddress、DestinationUserName)

规则 4(后备)

  • 类别 = 全部
  • 值 = 所有提醒
  • Grouping Entities = All Entities

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。