調查實體和快訊

本文說明如何使用 Google Security Operations 的「探索」頁面，調查案件相關實體和快訊。「探索」頁面會以視覺化方式呈現實體關係和警示活動，協助您瞭解可疑事件的脈絡、順序和影響。本文也會說明如何解讀實體類型、探索關聯性，以及根據視覺分析結果採取後續行動。

您可以使用「探索」頁面，探索與案件相關的實體和快訊。頁面中央會顯示視覺化呈現方式 (稱為視覺化系列)，說明快訊和實體之間的關係。

這個檢視畫面可協助你：

• 瞭解實體和快訊之間的因果關係
• 依時間順序查看事件
• 找出可疑活動/事件之間的關聯

識別視覺系列元素

視覺化系列包含兩種節點：

• 實體：以六邊形顯示
• 構件：以圓圈顯示

顏色用於傳達意義：

• 藍色六邊形：內部實體
• 綠色圓圈：內部構件
• 紅色：表示可疑項目

找出內部和外部實體

實體會以兩種樣式顯示：

• 填滿顏色的形狀代表內部實體
• 只有外框的形狀代表外部實體

舉例來說，如果 IP 位址屬於已知的內部網路，就會顯示為填滿顏色的六邊形，表示該位址屬於內部網路。反之，如果 IP 來自網路外部，則會顯示為六邊形外框，表示該 IP 屬於外部。

瞭解視覺化系列中的實體關係

「探索」頁面會使用視覺提示和連結，顯示實體和構件之間的關係。如要識別不同類型的實體和構件，請按一下「說明」。這會開啟「實體圖例」，定義視覺化內容中使用的每個形狀和顏色。

關係類型

實體和構件之間可能以線條連結，代表兩者之間的關係。 關係分為兩種類型：

• 動作：以箭頭表示，指出直接動作 (例如傳送電子郵件)
• 連線：以虛線顯示，表示一般關聯 (例如與電腦主機名稱相關聯的使用者)

例如：

• 如果一位使用者傳送電子郵件給另一位使用者，箭頭可能會連結兩個使用者實體。
• 虛線可能會將使用者實體與他們存取的主機實體連結

視覺素材系列和對應規則

實體和構件衍生自對應規則，而兩者之間的關係 (以線條連接) 則由視覺化系列定義。

如果未設定視覺化系列，實體和構件仍會顯示在中央工作區。但兩者之間不會顯示連線。

設定對應和視覺化分組

如要在「事件設定」頁面設定對應規則或指派視覺化系列，請在 Google SecOps 平台中，點選下列任一位置的「設定」 ：

• 「快訊事件」分頁
• 本體狀態頁面

如要進一步瞭解如何設定對應和指派視覺系列，請參閱「設定對應和指派視覺系列」。

使用「探索」頁面

如要以視覺化方式分析實體和快訊，請開啟案件，然後在「案件」頁面中按一下「探索」。「探索」頁面包含下列工作區元素：

• 左側窗格：顯示與所選案件相關的快訊和對應的時間戳記。
• 中間窗格：顯示互連實體的圖表、圖形警報時間軸和播放控制項。
• 側邊抽屜：顯示所選快訊或實體的詳細資料，包括原始擴充資料 (如有)。選取快訊或事件時，側邊抽屜會顯示相關資訊。
  如果您是 Google SecOps 使用者，這個抽屜的底部會顯示「探索」 按鈕。按一下即可在專屬頁面繼續調查快訊。詳情請參閱「調查檢視畫面」。 
• 頁面底部：顯示影片控制按鈕，可播放事件，以及視覺化時間範圍 (可使用「新增」和「移除」進一步操作)。按一下「播放事件」 play_arrow ，即可依時間順序查看圖表中的事件。

按一下左側窗格中的快訊，即可在中間窗格中醒目顯示相關實體。圖表上顯示這則快訊的節點會比其他節點 (快訊) 大。將指標懸停在節點上，即可查看各自的快訊名稱。未參與所選快訊的實體會顯示為灰色 (無法使用)。

「探索」頁面提供下列選項：

選項	說明
	依螢幕大小自動調整：自動調整圖表大小，以符合整個可見區域。
	圓形配置：預設圖表配置。按一下「變更圖表版面配置」，即可查看其他選項。
	播放事件：依序播放案件的所有快訊。 醒目顯示每個步驟的相關聯實體。圖表會顯示快訊流程，並以較大的節點醒目顯示每個播放的快訊。
	下一個事件：依序播放下一個警報。從清單頂端開始。
	上一個事件：返回上一個快訊。必須先播放第一個警報，這個按鈕才會啟用。
	快轉和倒轉：分別以 3 倍速依時間順序 (升序) 或反向時間順序 (降序) 播放快訊。
	時間範圍滑桿：展開或縮小 X 軸上顯示的時間範圍。
	系統會開啟實體圖例。

調查完成後採取手動操作

查看視覺化時間軸後，您可以採取進一步的手動操作，以便深入調查。舉例來說，您可以掃描 IP 位址，檢查是否有已知威脅，或調查資料外洩等下游影響。

常見的後續行動包括：

• 隔離電腦
• 檢查及掃描受感染的系統
• 調查可疑電子郵件
• 找出遺失或外洩的資料。