設定快訊分組

支援的國家/地區:

警報分組機制會將警報歸類至案件,為安全分析師提供更完善的脈絡,協助他們有效解決問題。目標是強調安全快訊額外背景資訊的重要性,避免分析人員在沒有適當背景資訊的情況下調查同一事件,進而浪費時間或處理不當。

如要設定警報分組機制,請依序前往「SOAR 設定」>「進階」>「警報分組」

「一般」部分包含跨平台設定:

  • 能分組至單一案件的最大警告數: 定義能分組至單一案件的最大警告數 (30)。 達到上限後,系統會啟動新的案件。
  • 警告分組時間範圍 (小時):設定案件警告的分組時間範圍 (以半小時為間隔,範圍為 0.5 至 24 小時)。這不適用於依來源分組 ID 分組的規則。
  • 將實體和來源分組 ID 分組至同一案件:啟用後,系統會先根據分組規則,尋找具有相同來源分組 ID 的警示,如果找不到,就會尋找系統中具有共同實體的所有案件,並據此分組警示 (以及根據跨平台時間範圍)。來源分組 ID 快訊分組完全以 sourceGroupIdentifiermaxAlertsInCase 為依據。不會使用時間範圍。

規則

您可以在「規則」部分建立特定規則,指定不同的分組選項。

分組範例

您可以透過快訊分組機制建立分組規則,控管要將哪些類型的快訊歸類至案件。以分組的基本範例來說,系統會在上午 10 點將目的地主機為 10.1.1.13 的「C&C 流量」快訊,新增至名為「發現惡意軟體」的案件。

上午 11:00 收到另一則警報「使用者帳戶已變更」,目的地主機相同。Google Security Operations 發現兩則警報涉及的實體相同,且發生時間在設定的時間範圍內,因此將第二則警報歸入「發現惡意軟體」案件。

規則階層

規則採用階層式系統,會依下列順序比對每則傳入的快訊與規則:

  1. 快訊類型:例如網路釣魚快訊。
  2. 產品:例如 Cybereason EDR。
  3. 資料來源:例如 Arcsight SIEM。
  4. 備用規則:當系統找不到相符的快訊類型、產品或資料來源時,就會使用這項規則。

系統比對到相符規則後,就會停止檢查。如果快訊符合規則,且沒有現有案件可供分組,系統就會將快訊新增至新案件。您無法在同一階層中,為相同的值建立兩條規則。舉例來說,資料來源 - ArcSight 只能有一項規則。

備用規則

平台有無法刪除的預先建構規則。這項備用規則會提供警示的一般全方位分類,確保案件中一律會進行分組。不過,您可以編輯下列選項:

  • 分組依據:選擇「實體」或「來源分組 ID」 (適用於來自原始系統且已附加現有群組 ID 的快訊)。舉例來說,QRadar 警報有一個名為「offense」的 ID,這是警報在 QRadar 中所屬的群組 ID。
  • 將實體分組 (依方向):僅適用於實體。

「不要分組」規則

不要分組規則可讓您獨立處理快訊 (不會與其他快訊歸類至案件)。如果特定快訊需要獨立調查,且不與其他案件連結,這個做法就非常實用。

如要進一步瞭解如何將特定實體排除在快訊群組之外,請參閱「建立封鎖清單,將實體排除在快訊之外」。

在規則中使用「分組實體」時,系統只需要一個相符的實體,就會將警報歸為同一組。

舉例來說,分組規則會指定下列實體:

  • 來源 IP
  • 目的地 IP
  • 使用者名稱

如果快訊與其中任何一個實體相符,即使其他實體不相符,系統也會將快訊與包含該實體的現有案件分組。

請參考以下兩個快訊:

  • 快訊 1
    來源 IP 位址:192.168.1.10
    目的地 IP 位址:10.0.0.5
    使用者名稱:user123
  • 快訊 2
    來源 IP 位址:192.168.1.10
    目的地 IP 位址:10.0.0.6
    使用者名稱:user456

由於這兩項快訊的來源 IP 位址 (192.168.1.10) 相同,因此即使目的地 IP 位址使用者名稱不同,系統仍會將這兩項快訊歸入同一個案件。

建立特定用途的規則

接下來的章節將說明建立動態和情境感知警報分組規則的使用案例。

用途:依來源和實體將快訊分組

某家企業使用 Arcsight 和 Cybereason EDR 這兩個連接器,希望依來源和目的地實體將 Arcsight 快訊分組,並依特定條件將 Cybereason EDR 快訊分組:

Arcsight 快訊:依來源和目的地實體分組。

Cybereason EDR 網路釣魚警示:僅依來源實體分組。

將 Cybereason EDR 登入失敗快訊分組:僅依目標實體分組。

如要擷取這個用途,請建立下列規則。Google SecOps 會提供最終規則做為備援規則。

規則一

  • 類別 = 資料來源
  • 值 = Arcsight
  • 分組依據 = 實體
  • 實體分組 = 來源和目的地

規則二

  • 類別 = 快訊類型
  • 值 = Phishing
  • 分組依據 = 實體
  • 將實體分組 = 來源 (SourceHostName、SourceAddress、SourceUserName)

規則三

  • 類別 = 快訊類型
  • 值 = 登入失敗
  • 分組依據 = 實體
  • 將實體分組 = 目的地 (DestinationAddress、DestinationUserName)

規則四 (備援)

  • 類別 = 所有
  • 值 = 所有快訊
  • 分組實體 = 所有實體

用途:適應性分組邏輯

MSSP 的客戶使用 QRadar 連接器,並希望以與 QRadar 中相同的方式將快訊分組。他們還有另一位客戶使用 ArcSight,並希望為這位客戶的快訊 (網路釣魚快訊除外) 依常見實體分組,網路釣魚快訊則依目的地實體分組。

如要擷取這個用途,請建立下列規則:

規則一

  • 類別 = 資料來源
  • Value = QRadar
  • 分組依據 = 來源分組 ID
  • 將實體分組 = (留空)

規則二

  • 類別 = 資料來源
  • 值 = Arcsight
  • 分組依據 = 實體
  • 分組實體 = 所有實體

規則三

  • 類別 = 快訊類型
  • 值 = Phishing
  • 分組依據 = 實體
  • 將實體分組 = 目的地 (DestinationAddress、DestinationUserName)

規則四 (備援)

  • 類別 = 全部
  • 值 = 所有快訊
  • 分組實體 = 所有實體

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。