调查提醒

提醒与安全系统识别为威胁的数据相关联。通过调查提醒,您可以了解相应提醒及相关实体的背景信息。

点击提醒后,您将转到包含提醒详细信息的页面,该页面按照以下三个标签进行区分:

  • 概览:提供关于提醒的重要详细信息的摘要,包括提醒状态和检测窗口。
  • 图表:直观呈现 YARA-L 规则生成的提醒。它提供提醒与其他实体关系的图表。触发提醒后,与提醒关联的实体会显示在图表上和屏幕左侧,每个实体都有自己的卡片。提醒图在 UDM 事件中使用以下实体:principaltargetsrcobserverintermediaryabout
  • 提醒历史记录:列出此提醒发生的所有更改,包括提醒的状态更改或添加了备注的时间。

图表下方直观呈现了实体与提醒之间的关系,以下是三个子标签页,它们提供了有关提醒的更多背景信息:

  • 事件:包含与提醒相关的事件的详细信息。
  • 实体:包含与提醒关联的每个实体的详细信息。
  • 提醒上下文:提供有关提醒的其他上下文

准备工作

如需填充提醒图表,您需要创建一条 YARA-L 规则来生成提醒。提醒图的质量与 YARA-L 规则内置的上下文相关联。规则的结果部分为规则触发的检测提供了上下文。

我们建议将以下 UDM 名词添加到结果部分,因为它们用在警报图中:principaltargetsrcobserverintermediaryabout。对于这些 UDM 名词,警报图中会使用以下字段:

  • artifact.ip
  • asset.asset_id
  • asset.hostname
  • asset.ip
  • asset.mac
  • asset.product_object_id
  • asset_id
  • domain.name
  • file.md5
  • file.sha1
  • file.sha256
  • hostname
  • ip
  • mac
  • process.file.md5
  • process.file.sha1
  • process.file.sha256
  • resource.name
  • url
  • user.email_addresses
  • user.employee_id
  • user.product_object_id
  • user.userid
  • user.windows_sid

上述 UDM 字段的值列表也会从提醒上下文子标签页中链接到 UDM 搜索。如需了解详情,请参阅查看提醒的相关背景信息

在以下 YARA-L 规则中,当大量 Google Cloud 服务 API 在短时间(1 小时)内遭到停用时,系统会生成提醒。

rule gcp_multiple_service_apis_disabled {

  meta:
    author = "Google Cloud Security"
    description = "Detect when multiple Google Cloud Service APIs are disabled in a short period of time."
    severity = "High"
    priority = "High"

  events:
    $gcp.metadata.event_type = "USER_RESOURCE_UPDATE_CONTENT"
    $gcp.metadata.log_type = "GCP_CLOUDAUDIT"
    $gcp.metadata.product_event_type = "google.api.serviceusage.v1.ServiceUsage.DisableService"
    $gcp.security_result.action = "ALLOW"
    $gcp.target.application = "serviceusage.googleapis.com"
    $gcp.principal.user.userid = $userid

  match:
    $userid over 1h

  outcome:
    $risk_score = max(75)
    $network_http_user_agent = array_distinct($gcp.network.http.user_agent)
    $principal_ip = array_distinct($gcp.principal.ip)
    $principal_user_id = array_distinct($gcp.principal.user.userid)
    $principal_user_display_name = array_distinct($gcp.principal.user.user_display_name)
    $target_resource_name = array_distinct($gcp.target.resource.name)
    $dc_target_resource_name = count_distinct($gcp.target.resource.name)

  condition:
    $gcp and $dc_target_resource_name > 5
}

生成提醒后,您可以导航到提醒图表页面,获取有关提醒的更多背景信息并进一步调查。

您可以从提醒和 IOC 页面或 UDM 搜索页面访问该

通过“提醒”和“IOC”访问提醒图表

提醒和入侵指标 (IOC) 页面上,您可以过滤和查看当前影响您企业的所有提醒和 IOC。如需详细了解此页面以及如何查看 IOC 匹配项,请访问查看提醒和 IOC

如需从“提醒和 IOC”页面查看有关提醒的更多信息,请完成以下步骤:

  1. 在导航栏中,依次点击检测 > 提醒和 IOC
  2. 在提醒表格中找到您要调查的提醒。
  3. 在该提醒对应的行中,点击名称列中的文本以打开提醒图
  1. 在导航栏顶部,选择搜索
  2. 使用搜索管理器加载搜索或创建新搜索。如需详细了解如何在 UDM 中执行搜索,请参阅 UDM 搜索
    1. 系统会显示三个标签页:概览实体提醒。 点击提醒
  3. 点击您要调查的提醒。此时会显示提醒查看器。
  4. 点击查看详细信息以打开提醒视图。
  5. 点击 Graph 标签页以显示提醒图表。

查看提醒的详细信息

在提醒视图中,概览标签页会显示与提醒相关的以下信息:

  • 提醒详细信息:提醒状态、创建日期、严重程度、优先级和风险得分。
  • 检测摘要:生成提醒的检测规则。您可以查看同一检测规则中的其他提醒。
  • 事件:与此提醒相关联的事件。

除了查看重要信息外,您还可以调整提醒状态。

更改提醒状态

  1. 点击右上角的更改提醒状态
  2. 在显示的窗口中,相应地更新严重性和优先级。
  3. 点击保存

关闭提醒

  1. 点击关闭提醒
  2. 在随即显示的窗口中,您可以选择添加备注,添加更多有关您关闭提醒原因的背景信息。
  3. 输入您的信息,然后按保存

查看实体关系

图表显示了不同提醒与实体之间的关联。此功能为您提供了一个直观的交互式图表,可用于展开现有实体的关系信息以显示未知关系。您还可以通过延长时间范围并展开过去的时间点提醒以获得更丰富的提醒路径,从而扩大搜索范围。

您还可以通过点击任意节点右上角的 + 图标来扩展搜索。执行此操作会显示与该实体相关的所有节点。

图表图标

不同的实体由不同的图标表示。

图标 图标所代表的实体 说明
用户 用户是请求访问您的广告联盟并使用其中的信息的个人或其他实体。示例:janedoe、cloudysanfrancisco@gmail.com
数据库 资源 资源是具有自己唯一资源名称的实体的通用术语。示例:BigQuery 表、数据库和项目。
IP 地址
说明 文件
域名
网址
device_unknown 未知实体类型 Google Security Operations 软件无法识别的实体类型。
内存 资源 资产是指为贵组织创造价值的任何东西。这可能包括主机名、MAC 地址和内部 IP 地址。示例:10.120.89.92(内部 IP 地址)、00:53:00:4a:56:07(MAC 地址)

如果两条或更多提醒来自同一规则,则这些提醒将归入一个群组图标。代表同一实体的指示器会合并到一个图标中。

如需详细了解每个图标,请查看以下文档:

点击提醒图表时,图表会显示提醒前后 12 小时的所有结果。如果提醒没有实体,则图表中只会显示原始提醒。

主要提醒会以红色圆圈突出显示。提醒用实线连接,其他提醒用虚线连接。如果将指针悬停在边缘(连接两个节点的线条)上,它会显示结果变量或将其连接到图表上节点的匹配变量。

左侧会显示每个节点对应的卡片,其中包含有关关联规则、检测窗口、严重性和优先级状态等的详细信息。

图表正上方有一个标记为图表选项的按钮。点击图表选项后,系统会显示两个选项:非提醒检测风险得分。两者在默认情况下处于开启状态,您可以根据自己的偏好开启或关闭。

要移动节点,只需围绕图表拖动节点即可。当您释放节点后,它会固定在您离开它的位置,直到您点击刷新

添加和移除节点

如果您点击某个节点,屏幕底部会显示一个表格。您可以在每个节点上执行以下操作:

提醒

  • 查看相关实体、提醒和事件
  • 查看提醒的结果和匹配项
  • 移除任何子图
  • 通过选中“图表上”列中的复选框,在图表中添加或移除相关实体和提醒

实体

  • 查看所有相关提醒
  • 移除任何子图
  • 通过选中或取消选中“在图表上”列中的复选框,在图表中添加相关提醒或从中移除相关提醒

群组

  • 查看构成该组的所有实体或提醒
  • 点击页面底部表格上的 On Graph,将各个节点取消分组。

如需在节点中添加或移除风险得分,请勾选或取消选中表格上方的风险得分复选框。

展开提醒图表

要查看更多相关节点,请点击提醒底部的 + 图标。此时会弹出与所选图标相关的实体和提醒。每条新提醒的侧边都有一张卡片,提供更多详细信息。

重置图表

如果要清除图表,您可以在右侧窗口中调整时间范围。最大范围为 90 天。重置时间范围也会将图表重置为原始状态。更新时间范围会清除图表中的所有额外节点,并将图表重置为原始状态。

如需将节点移回默认位置,请点击刷新

查看关于提醒的上下文

Alert context 部分包含一系列值,这些值提供有关提醒的其他背景信息。

提醒上下文包含一个类型列,用于了解您所选提醒是规则的哪一部分生成了提醒:结果还是匹配。下一列称为变量。这些变量名称基于规则中定义的匹配项名称和结果变量。最后,最右边的列是 UDM 字段列中也列出了列有 UDM 字段的变量。

除了准备工作部分中列出的 UDM 字段之外,以下 UDM 字段也与 UDM 搜索页面相关联:

  • file.full_path
  • process.command_line
  • process.file.full_path
  • process.parent_process.product_specific_process_id
  • process.pid
  • process.product_specific_process_id
  • resource.product_object_id

与这些字段关联的具体 UDM 名词有 principaltargetsrcobserverintermediaryabout。如果您点击某个值,则会触发 UDM 搜索,并将该值与过去一天的时间范围一起传递。

准备工作部分提供的示例 YARA-L 规则中,以下 UDM 字段将关联到 UDM 搜索页面:

  • principal.ip
  • principal.user.userid
  • principal.user.user_display_name
  • target.resource.name

查看提醒记录

提醒历史记录标签页中,您可以查看针对此类提醒执行的所有操作的完整历史记录。其中包括:

  • 首次出现警报的时间
  • 您的团队中其他成员针对这条提醒留下的备注
  • 如果严重程度发生变化
  • 如果优先级已更改
  • 提醒是否关闭

来自 Google Security Operations SOAR 的提醒

来自 Google Security Operations SOAR 的提醒包含有关 Google Security Operations SOAR 案例的更多信息。这些提醒还提供了在 Google Security Operations SOAR 中打开案例的链接。如需了解详情,请参阅 Google Security Operations SOAR 案例概览

针对 Google Security Operations SOAR 案例的提醒

Google Security Operations SOAR 支持请求提醒