调查提醒
提醒与安全系统识别为威胁的数据相关联。 调查提醒可让您了解提醒和相关实体的背景信息。
点击提醒后,系统会将您定向到包含提醒详情的页面,该页面分为以下三个标签页:
- 概览:提供有关提醒的重要详细信息的摘要,包括提醒状态和检测窗口。
- 图表:直观呈现根据 YARA-L 规则生成的提醒。它会提供一个图表,显示相应提醒与其他实体的关系。触发提醒后,与提醒关联的实体会显示在图表和屏幕左侧,每个实体都有自己的卡片。提醒图表使用 UDM 事件中的以下实体:
principal、target、src、observer、intermediary和about。 - 提醒历史记录:列出了此提醒发生的所有变化,包括提醒状态何时发生变化或何时添加了备注。
在直观显示实体与提醒之间关系的图表下方,有以下三个子标签页,可提供有关提醒的更多背景信息:
- 事件:包含与提醒相关的事件的详细信息。
- 实体:包含与提醒关联的每个实体的详细信息。
- 提醒上下文:提供有关提醒的其他背景信息。
准备工作
如需填充提醒图表,您需要创建可生成提醒的 YARA-L 规则。提醒图的质量与 YARA-L 规则中内置的上下文相关。规则的结果部分可为规则触发的检测提供上下文。
建议您将以下 UDM 名词添加到结果部分,因为它们在提醒图中会用到:principal、target、src、observer、intermediary 和 about。对于这些 UDM 名词,提醒图中使用了以下字段:
artifact.ipasset.asset_idasset.hostnameasset.ipasset.macasset.product_object_idasset_iddomain.namefile.md5file.sha1file.sha256hostnameipmacprocess.file.md5process.file.sha1process.file.sha256resource.nameurluser.email_addressesuser.employee_iduser.product_object_iduser.useriduser.windows_sid
上述 UDM 字段列表中的值还会链接到提醒上下文子标签页中的 UDM 搜索。如需了解详情,请参阅查看有关提醒的背景信息。
在以下 YARA-L 规则中,如果短时间(1 小时)内有大量 Google Cloud 服务 API 被停用,系统就会生成提醒。
rule gcp_multiple_service_apis_disabled {
meta:
author = "Google Cloud Security"
description = "Detect when multiple Google Cloud Service APIs are disabled in a short period of time."
severity = "High"
priority = "High"
events:
$gcp.metadata.event_type = "USER_RESOURCE_UPDATE_CONTENT"
$gcp.metadata.log_type = "GCP_CLOUDAUDIT"
$gcp.metadata.product_event_type = "google.api.serviceusage.v1.ServiceUsage.DisableService"
$gcp.security_result.action = "ALLOW"
$gcp.target.application = "serviceusage.googleapis.com"
$gcp.principal.user.userid = $userid
match:
$userid over 1h
outcome:
$risk_score = max(75)
$network_http_user_agent = array_distinct($gcp.network.http.user_agent)
$principal_ip = array_distinct($gcp.principal.ip)
$principal_user_id = array_distinct($gcp.principal.user.userid)
$principal_user_display_name = array_distinct($gcp.principal.user.user_display_name)
$target_resource_name = array_distinct($gcp.target.resource.name)
$dc_target_resource_name = count_distinct($gcp.target.resource.name)
condition:
$gcp and $dc_target_resource_name > 5
}
生成提醒后,您可以前往提醒图表页面,详细了解提醒的背景信息并进一步调查。
前往提醒图表
您可以从提醒和 IOC 页面或 UDM 搜索页面访问图表。
通过“提醒和 IOC”访问提醒图
在提醒和失陷指标 (IOC) 页面上,您可以过滤和查看目前影响贵企业的所有提醒和 IOC。如需详细了解此页面以及如何查看 IOC 匹配项,请参阅查看提醒和 IOC。
如需在“提醒和 IOC”页面中查看有关提醒的更多信息,请完成以下步骤:
- 在导航栏中,依次点击检测 > 提醒和 IOC。
- 在提醒表格中找到要调查的提醒。
- 在该提醒的行中,点击“名称”列中的文字以打开提醒图表。
通过 UDM 搜索访问提醒图表
- 在导航栏顶部,选择搜索。
- 使用搜索管理器加载搜索,或创建新的搜索。如需详细了解如何在 UDM 中进行搜索,请参阅 UDM 搜索。
- 系统会显示三个标签页:概览、实体和提醒。 点击提醒。
- 点击要调查的提醒。系统会显示提醒查看器。
- 点击查看详情以打开“提醒”视图。
- 点击图表标签页以显示提醒图表。
查看提醒的详细信息
在“提醒”视图中,概览标签页会显示与提醒相关的以下信息:
- 提醒详细信息:提醒状态、创建日期、严重程度、优先级和风险评分。
- 检测摘要:生成提醒的检测规则。您可以查看同一检测规则触发的其他提醒。
- 事件:与相应提醒关联的事件。
除了查看重要信息外,您还可以调整提醒状态。
更改提醒状态
- 点击右上角的更改提醒状态。
- 在随即显示的窗口中,相应地更新严重程度和优先级。
- 点击保存。
关闭提醒
- 点击关闭提醒。
- 在随即显示的窗口中,您可以选择添加备注,以提供有关您关闭提醒的更多背景信息。
- 输入您的信息,然后按保存。
查看实体关系
图表会显示不同提醒和实体之间的关联。借助此功能,您可以获得一个直观的交互式图表,用于扩展现有实体的关系信息,从而发现未知关系。您还可以通过增加时间范围和扩展过去的时间点提醒,来扩展搜索范围,从而获得更丰富的提醒路径。
您还可以点击任意节点右上角的 + 图标来扩大搜索范围。执行此操作会显示与相应实体相关的所有节点。
图表图标
不同的实体由不同的图标表示。
| 图标 | 图标所代表的实体 | 说明 |
| 用户 | 用户是指请求访问和使用您网络中的信息的个人或其他实体。示例:janedoe、cloudysanfrancisco@gmail.com | |
| 数据库 | 资源 | 资源是指具有自己唯一资源名称的实体的统称。示例:BigQuery 表、数据库和项目。 |
| IP 地址 | ||
| 说明 | 文件 | |
| 域名 | ||
| 网址 | ||
| device_unknown | 未知实体类型 | Google SecOps 软件无法识别的实体类型。 |
| 内存 | 资产 | 资产是指能为组织创造价值的任何事物。这可以包括主机名、MAC 地址和内部 IP 地址。示例:10.120.89.92(内部 IP 地址)、00:53:00:4a:56:07(MAC 地址) |
如果多条提醒来自同一规则,则它们会归为一组,并显示在组图标中。代表同一实体的指示器会合并为一个图标。
如需详细了解每个图标,请参阅以下文档:
浏览提醒图表
点击提醒图表后,图表会显示提醒前后 12 小时内的所有结果。如果提醒没有实体,则图表上仅显示原始提醒。
主要提醒会以红色圆圈突出显示。实体与提醒之间以实线连接,提醒与其他提醒之间以虚线连接。如果您将指针悬停在边(连接两个节点的线)上,系统会显示将该边连接到图上某个节点的结果变量或匹配变量。
左侧是每个节点的卡片,其中包含有关关联规则、检测窗口、严重程度和优先级状态等的详细信息。
图表正上方有一个标签为图表选项的按钮。点击图表选项后,系统会显示两个选项:非提醒检测和风险得分。这两项设置在默认情况下均处于开启状态,您可以根据自己的偏好开启或关闭它们。
如需移动节点,只需在图表中拖动节点即可。释放节点后,该节点会固定在您放置的位置,直到您点击刷新。
添加和移除节点
如果您点击某个节点,屏幕底部会显示一个表格。您可以对每个节点执行以下操作:
提醒
- 查看相关实体、提醒和活动
- 查看提醒中的比赛结果和赛事
- 移除任何子图
- 通过选中“在图表中”列中的复选框,在图表中添加或移除相关实体和提醒
实体
- 查看所有相关提醒
- 移除任何子图
- 通过选中或取消选中“在图表上”列中的复选框,在图表中添加或移除相关提醒
群组
- 查看构成该群组的所有实体或提醒
- 点击页面底部表格中的 On Graph,取消对各个节点的分组。
如需在节点中添加或移除风险评分,请选中或取消选中表格上方的风险评分框。
展开提醒图表
如需查看更多相关节点,请点击提醒底部的 + 图标。系统会弹出与所选图标相关的实体和提醒。每个新提醒都会在侧边显示一张卡片,其中包含更多详细信息。
重置图表
如果您想清除图表,可以在右侧窗口中调整时间范围。最长为 90 天。重置时间范围也会将图表重置为原始状态。更新时间范围会清除图表中的所有其他节点,并将图表重置为原始状态。
如需将节点移回默认位置,请点击刷新。
查看有关提醒的上下文
提醒上下文部分包含一系列值,用于提供有关提醒的其他上下文信息。
提醒上下文包含一个类型列,用于告知您所选提醒是由规则的哪个部分(结果或匹配)生成的。下一列称为“变量”。这些变量名称基于规则中定义的匹配变量和结果变量的名称。最后,最右侧的列是 UDM 字段。列出了 UDM 字段的变量也会在值列中进行关联。
除了准备工作部分中列出的 UDM 字段外,以下 UDM 字段也与 UDM 搜索页面相关联:
file.full_pathprocess.command_lineprocess.file.full_pathprocess.parent_process.product_specific_process_idprocess.pidprocess.product_specific_process_idresource.product_object_id
与这些字段关联的具体 UDM 名词包括 principal、target、src、observer、intermediary 和 about。如果您点击某个值,系统会触发 UDM 搜索,并传递该值以及过去一天的时间范围。
在准备工作部分中显示的 YARA-L 规则示例中,以下 UDM 字段将链接到 UDM 搜索页面:
principal.ipprincipal.user.useridprincipal.user.user_display_nametarget.resource.name
查看提醒记录
通过提醒历史记录标签页,您可以查看此提醒的所有操作的完整历史记录。其中包括:
- 提醒首次出现的时间
- 团队成员针对此提醒留下的任何备注
- 如果严重程度已发生变化
- 如果优先级已更改
- 如果提醒已关闭
Google Security Operations SOAR 发出的提醒
Google Security Operations SOAR 发出的提醒包含有关 Google Security Operations SOAR 案例的其他信息。这些提醒还提供了一个链接,用于在 Google Security Operations SOAR 中打开支持请求。如需了解详情,请参阅 Google Security Operations SOAR 案例概览。
Google Security Operations SOAR 支持请求的提醒
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。