调查实体和提醒

本文档介绍了如何在 Google Security Operations 中使用探索页面调查与支持请求相关的实体和提醒。探索页面以直观的方式呈现实体关系和提醒活动，帮助您了解可疑事件的背景信息、发生顺序和影响。 本文档还介绍了如何解读实体类型、探索相关性，以及根据可视化分析结果执行后续操作。

您可以使用探索页面探索与支持请求关联的实体和提醒。在页面中心，系统会以直观的图形表示形式（称为“视觉系列”）显示提醒和实体之间的关系。

此视图可帮助您：

• 了解实体与提醒之间的因果关系
• 查看事件的时间顺序
• 识别可疑活动事件之间的关联

识别视觉系列元素

视觉系列包含两种类型的节点：

• 实体：以六边形显示
• 制品：以圆圈形式显示

颜色用于传达含义：

• 蓝色六边形：内部实体
• 绿色圆圈：内部制品
• 红色：表示可疑商品

识别内部和外部实体

实体可以采用两种样式：

• 填充颜色的形状表示内部实体
• 仅有轮廓的形状表示外部实体

例如，属于已知内部网络的 IP 地址会显示为填充颜色的六边形，表示它是内部 IP 地址。相反，网络外部的 IP 会显示为带轮廓的六边形，表示它是外部 IP。

了解视觉系列中的实体关系

探索页面使用视觉提示和连接来显示实体和制品之间的关系。如需识别不同类型的实体和制品，请点击帮助 帮助。 这会打开实体图例，其中定义了可视化图表中使用的每种形状和颜色。

关系类型

实体和制品可以通过表示其关系的线条进行关联。 关系分为两种类型：

• 操作：以箭头形式显示；表示直接操作（例如发送电子邮件）
• 连接：以虚线显示；显示一般关联（例如，与机器主机名相关联的用户）

例如：

• 如果一个用户向另一个用户发送电子邮件，则这两个用户实体之间可能会用箭头连接。
• 虚线可能将用户实体与他们访问过的主机实体连接起来

视觉系列和映射规则

实体和制品源自映射规则，它们之间的关系（通过线条连接）由视觉系列定义。

如果未配置视觉系列，实体和制品仍会显示在中心工作区中。不过，它们之间不会显示连接线。

配置映射和视觉系列

如需在 Event Configuration（事件配置）页面上配置映射规则或分配视觉系列，请在 Google SecOps 平台中的以下任一位置点击 设置 图标 Settings（设置）：

• “提醒事件”标签页
• “本体状态”页面

如需详细了解如何配置映射和分配视觉系列，请参阅配置映射和分配视觉系列。

使用“探索”页面

如需直观地分析实体和提醒，请打开一个支持请求，然后在支持请求页面上点击探索。探索页面包含以下工作区元素：

• 左侧窗格：显示与所选支持请求关联的提醒及其相应的时间戳。
• 中间窗格：显示互联实体的图表、图形化提醒时间轴和播放控件。
• 侧边抽屉：显示所选提醒或实体的详细信息，包括原始扩充数据（如有）。选择提醒或事件后，侧边抽屉会显示相关信息。
  如果您是 Google SecOps 用户，您会在该抽屉的底部看到探索按钮。点击该按钮可在专用页面上继续调查相应提醒。如需了解详情，请参阅调查视图。 
• 页面底部：显示用于播放活动的视频控制按钮，以及一个可视时间范围（可以使用添加和移除进一步操控）。点击 play_arrow Play Event（播放活动），按时间顺序浏览图表中的活动。

点击左侧窗格中的提醒，即可突出显示中间窗格中突出显示的相关实体。表示此提醒的节点在图表上显示得比其他节点（提醒）大。将指针悬停在节点上，即可查看其各自的提醒名称。未涉及所选提醒的实体会显示为灰色（不可用）。

探索页面上提供了以下选项：

选项	说明
	适合屏幕大小：自动调整图表大小，使其适合整个可见区域。
	环形布局：默认的图表布局。点击更改图表布局可查看其他选项。
	播放事件：按顺序播放相应支持请求的所有提醒。 突出显示每个步骤的相关联实体。该图显示了提醒流程，并以较大的节点突出显示了每个播放的提醒。
	下一个活动：按顺序播放下一个提醒。从列表顶部开始。
	上一个事件：返回到上一个提醒。在播放第一个提醒之前处于停用状态。
	快进和快退：分别按时间顺序（升序）或时间倒序（降序）以 3 倍速度播放提醒。
	时间范围滑块：用于扩大或缩小 X 轴上显示的时间范围。
	系统随即会打开实体图例。

调查后采取手动措施

查看可视化时间轴后，您可以采取进一步的人工操作以进行深入调查。例如，您可以扫描 IP 地址以检查是否存在已知威胁，或调查数据渗漏等下游影响。

常见的后续行动包括：

• 隔离计算机
• 检查并扫描受感染的系统
• 调查可疑电子邮件
• 识别缺失或被盗的数据。